Magdeburg l Fast zehn Jahre hat es gedauert, bis in Europa neue Regeln für den Datenschutz kommen. Der Zeitpunkt rund um den Facebook-Datenskandal könnte nicht besser sein. Aber was ändert sich wirklich? Ein Überblick.

Warum kommen die neuen Regeln jetzt?
Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 – und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor zwei Jahren haben sich EU-Staaten und das Europaparlament auf die sogenannte Datenschutz-Grundverordnung geeinigt. Vom 25. Mai an muss sich jedes EU-Land daran halten.

Ein Argument für die neue Verordnung hat Facebook zuletzt selbst geliefert: Bis zu 87 Millionen Nutzer waren Unternehmensangaben zufolge vom aktuellen Datenskandal betroffen. Facebook-Chef Mark Zuckerberg zeigte Reue und wurde zuletzt fast zum Botschafter der EU-Verordnung: Er kündigte an, die Regeln künftig weltweit anwenden zu wollen.

Warum kommen die neuen Regeln jetzt?
Im Kern soll die Verarbeitung personenbezogener Daten etwa durch Unternehmen oder Vereine geregelt werden. Dazu gehören etwa Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Die neuen Regeln gelten auch für Unternehmen, die außerhalb der EU sitzen, ihre Dienste aber hier anbieten. Die neuen Vorschriften sind der Grund, dass zahlreiche Firmen und Vereine ihre Nutzer derzeit dazu auffordern, geänderten Nutzungsbedingungen zuzustimmen. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen.

Gilt die Verordnung nur für digitale Daten?
Nein. Es ist egal, wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme.

Was ändert sich für Verbraucher?
EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, ist das Versprechen. Das bedeutet zum Beispiel, dass ihnen ein „Recht auf Vergessenwerden“ zugestanden wird. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes: Kunden könnten etwa erfahren, wie oft sie die Karte verwendet haben, bei welchen Supermärkten sie eingekauft haben und ob der Supermarkt die Daten an eine Tochter weitergegeben hat.

Zudem müssen Verbraucher über Datenschutz-Verstöße – etwa durch Datenlecks oder Hackerangriffe – informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße bei nationalen Behörden innerhalb von 72 Stunden melden.

Und wie soll das durchgesetzt werden?
Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Nun drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden.

Was müssen Vereine und Unternehmen beachten?
Unternehmen müssen dokumentieren, wie sie die Daten von Beschäftigten oder Geschäftspartnern speichern. Grundsätzlich sollen so wenige Informationen wie möglich gesammelt werden – es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese Daten müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist.

Wie lange dürfen die Daten gespeichert werden?
Das ist abhängig vom Zweck. Grundsätzlich sollen sie nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist.

Wer braucht einen Datenschutzbeauftragten?
Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten oder eine bestimmte Größe überschreiten, benötigen einen Datenschutzbeauftragten. Dieser ist Pflicht, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.

An wen kann man sich bei Verstößen wenden?
Die erste Anlaufstelle ist der Datenschutzbeauftragte des Unternehmens. Auch die Landesbeauftragten für den Datenschutz und die Bundesdatenschutzbeauftragte Andrea Voßhoff (CDU) helfen weiter.

Wie fallen die Reaktionen aus?
Verbraucher- und Datenschützer jubeln. Für sie sind die neuen Regeln ein Meilenstein: besserer Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten, mehr Macht für Strafverfolgungsbehörden bei Rechtsverstößen. „Das ist der letzte Schritt der bahnbrechenden Reform des EU-Datenschutzes“, sagte der Grünen-Abgeordnete Jan Philipp Albrecht nach der Einigung mit den EU-Staaten. Die Vize-Generaldirektorin des europäischen Verbraucherschutzverbands Beuc, Ursula Pachl, erklärte: „Konsumenten profitieren natürlich von vielen neuen Diensten, die auf der Verarbeitung von Nutzerdaten basieren. In vielen Fällen war die Einhaltung dieser Regeln jedoch das schwache Element dieser Dienste.“

Die Kritik aus der Wirtschaft ist zuletzt wieder etwas lauter geworden. Der Deutsche Industrie- und Handelskammertag warnt, vor allem kleine und mittelständische Unternehmen könnten Probleme bekommen, weil die neuen Regeln zu unpräzise seien. Der Bundesverband der Deutschen Industrie kritisiert vor allem das Prinzip der Datensparsamkeit. Dies sei ein großer Fehler, sagte Präsident Dieter Kempf. „In Zeiten der Datenvielfalt ist Datensparsamkeit einfach das falsche Bauprinzip.“ Es müsse intensiv darum gerungen werden, die „Version zwei“ der Verordnung zu diskutieren. Allerdings begrüßt die Wirtschaft, dass die Regeln in der EU nun einheitlich sind.

Zuletzt haben besonders große Tech-Firmen versucht, den Datenschutz aufzuweichen. Kleinere und mittlere Unternehmen und Vereine fürchten vor allem den bürokratischen Aufwand – und hohe Strafen, falls sie gegen die neuen Regeln verstoßen.

Weitere Informationen gibt es hier.