Internetnutzer bekommen mehr Rechte
Einfachere Beschwerdemöglichkeiten für Verbraucher, umfassende Verpflichtungen für Unternehmer: Was die jetzt in Kraft getretene Datenschutz-Grundverordnung der EU bringt.
Es war ein zähes, jahrelanges Ringen, bis sich Vertreter von EU-Kommission, Europaparlament und der Mitgliedsländer im Vorjahr auf eine Reform des Datenschutzes einigten. Europas Internetnutzer sollen künftig mehr Kontrolle über ihre persönlichen Daten haben.
Das ist eines der zentralen Ziele der neuen Datenschutz-Grundverordnung, welche die DatenschutzRichtlinie aus dem Jahr 1995 ersetzt. Deren Regeln wurden in den einzelnen Ländern unterschiedlich umgesetzt. Heute sind sie veraltet und lassen sich mit der zügig voranschreitenden Digitalisierung nur noch schwer in Einklang bringen.
Künftig sollen in allen 28 EULändern gleich hohe Standards gelten, die Bestimmungen zum Datenschutz werden harmonisiert. Für Verbraucher ist das zu begrüßen: Durch die neuen Vorschriften erhalten sie mehr Kontrolle über ihre personenbezogenen Daten.
1. Wie werden die Rechte der Verbraucher gestärkt?
Verbraucher und Internetnutzer haben künftig einen einfacheren Zugang zu ihren personenbezogenen Daten. Sie haben ein Recht auf Berichtigung und Löschung („Recht auf Vergessenwerden“) sowie ein Widerspruchs recht, auch in Hinblick auf die Verwendung ihrer Daten im Zusammenhang mit der „Profilerstellung“. Außerdem wird es leichter sein, Daten von einem Anbieter zum nächsten mitzunehmen („Portabilität“).
Unternehmer dagegen werden stärker in die Pflicht genommen: Nach den Bestimmungen der Datenschutz-Grundverordnung müssen sie ihren Kunden transparente und leicht zugängliche Informationen über die Datenverarbeitung bereitstellen. Firmen, auch Internetkonzerne wie Google, Facebook oder Amazon, müssen die Zustimmung zur Daten nutzung jetzt ausdrücklich einholen und ihre Produkte datenschutz freundlich voreinstellen.
Darüber hinaus sind geeignete Sicherheitsmaßnahmen zutreffen, um die Daten zu schützen. Was unter geeignet konkret zu verstehen ist, hängt vom Risiko ab, das mit den jeweiligen Datenve rar bei tungsvorgän gen verbunden ist.
Ferner sind Unternehmen in bestimmten Fällen dazu verpflichtet, Verletzung endes Schutzes personenbezogener Daten zu melden. Behörden und Unternehmen, die besonders riskante Datenverarbeitungen vornehmen, müssen einen Datenschutzbeauftragten benennen, der für die Einhaltung der Vorschriften verantwortlich ist.
2. Wie werden Minderjährige stärker geschützt?
Für die Nutzung von Internetdiensten, darunter soziale Netzwerke wie Facebook, Twitter oder Instagram, legt Art. 8 der Verordnung ein Mindestalter fest: Personenbezogene Daten von Minderjährigen dürfen demzufolge nur dann verarbeitet werden, wenn das Kind seine ausdrückliche Zustimmung erteilt hat und über 16 Jahre alt ist.
Vor Vollendung des 16. Lebensjahres bedarf es einer Einwilligung der Eltern.
Die Mitgliedsstaaten können auch niedrigere Altersgrenzen vorsehen, diese dürfen aber nicht unter dem vollendeten 13. Lebensjahr liegen.
US-Technologieunternehmen hatten sich mit Nachdruck gegen ein Mindestalter von 16 Jahren gewehrt und ein Mindestalter von 13 Jahren gefordert, wie es in den Vereinigten Staaten der Fall ist.
3. Wie werden die Strafen für Verstöße verschärft?
Im österreichischen Datenschutzgesetz (DSG 2000) sind für Übertretungen Verwaltungsstrafen von bis zu 25.000 Euro vorgesehen, wobei diese bisher eher lasch verfolgt wurden. In Zukunft werden deutlich strengere Sanktionen verhängt: Im Falle einer Verletzung der Vorschriften drohen jetzt Geldbußen von bis zu 20 Millionen Euro oder bei Unternehmen vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Verhängt wird die jeweils höhere Strafe. Wer sich in seinen Rechten verletzt fühlt, kann bei einer Aufsichtsbehörde Beschwerde einlegen oder den Rechtsweg beschreiten. Neben diesen Verwaltungsstrafen drohen Klagen von Mitbewerbern und Schutzverbänden, die nach dem Gesetz gegen den unlauteren Wettbewerb gegen Datenschutzsünder vorgehen können. Bis spätestens 25. 5. 2018 müssen die neuen Bestimmungen umgesetzt sein – dann gelten sie unmittelbar in jedem Mitgliedsstaat. Stephan Kliemstein ist Rechtsanwalt in Salzburg (Zumtobel Kronberger Rechtsanwälte)