Technik

Datenschutzgrundverordnung Was Nutzer jetzt wissen müssen

Datenschutzgrundverordnung DSGVO.jpg

Ab dem 25. Mai gilt die EU-Datenschutz-Grundverordnung.

(Foto: imago/Steinach)

Ab dem 25. Mai gilt die europäische Datenschutz-Grundverordnung (DSGVO). Unter anderem soll sie Nutzern mehr Kontrolle über ihre Daten geben. n-tv.de beantwortet die wichtigsten Fragen zu dem neuen Regelwerk.

Eigentlich gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) schon seit zwei Jahren. Doch erst ab dem 25. Mai muss sie in allen Mitgliedsstaaten umgesetzt werden. Nutzer werden bis auf viele E-Mails mit der Bitte um Zustimmung zu neuen Regeln zunächst wenig davon mitbekommen. Aber sie profitieren vor allem von strengeren Vorschriften, die für Unternehmen oder Betreiber von Websites nicht immer einfach umzusetzen sind.

Was regelt die DSGVO?

Die Verordnung regelt vor allem die Verarbeitung personenbezogener Daten von Nutzern durch Unternehmen, aber auch durch Behörden, Organisationen oder Vereine. Dabei löst sie weitgehend nationales Recht ab und ersetzt es durch Vorschriften, die EU-weit gelten. Besonders wichtig: Die DSGVO gilt auch für Unternehmen wie Facebook, Google, Apple oder Microsoft, die ihren Sitz außerhalb der EU haben, hier aber ihre Dienste anbieten.

Warum wird sie eingeführt?

Bisher galt die Europäische Datenschutzrichtlinie, die die Mitgliedstaaten sehr unterschiedlich umgesetzt haben. Die DSGVO soll zum einen die Arbeit von Unternehmen durch einheitliche Standards erleichtern und Chancengleichheit im Wettbewerb herstellen. Durch den freien Verkehr personenbezogener Daten in der EU soll ein digitaler Binnenmarkt entstehen. Auf 2,3 Milliarden Euro schätzt die EU-Kommission den wirtschaftlichen Vorteil durch das einheitliche Regelwerk.

Vor allem aber sollen Nutzer eine bessere Kontrolle über ihre Daten erhalten. Laut einer EU-Statistik glauben nur 15 Prozent der Menschen, die vollständige Kontrolle über die von ihnen online bereitgestellten Informationen zu haben.  Die DSGVO soll das verlorene Vertrauen der Bürger in den Datenschutz zurückgewinnen.

Was sind personenbezogene Daten?

Nach dem Bundesdatenschutzgesetz sind das grundsätzlich "alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person". Dazu gehören Namen, Adressen, Ausweisnummern, Online-Kennungen oder IP-Adressen, Standortdaten oder das Einkommen. Als besonders schutzbedürftig gelten Gesundheitsdaten, Informationen über die rassische oder ethnische Herkunft, politische, religiöse, gewerkschaftliche oder sexuelle Orientierung.

Ändert sich mit der DSGVO alles?

Nein, die bestehenden Regelungen werden weitgehend fortgeführt. Sie werden lediglich ergänzt und in wichtigen Bereichen strenger ausgelegt.

Was sind jetzt die wichtigsten Rechte der Verbraucher?

- Unternehmen müssen eine eindeutige Zustimmung zur Datenverarbeitung einholen. Dabei müssen sie den Nutzer in verständlicher Sprache informieren und klar formuliert erklären, welche Daten warum verarbeitet werden. Außerdem muss der Nutzer sehen können, wie lange die Informationen gespeichert werden und an wen sie eventuell weitergeleitet werden. Grundsätzlich sollen immer so wenige Daten wie möglich gesammelt werden und sie dürfen auch nur zu dem angegebenen Zweck verwendet werden. Außerdem haben Unternehmen, die regelmäßig Daten verarbeiten, eine Aufzeichnungs- und Nachweispflicht.

- Im Bundesdatenschutzgesetz gab es keine Altersgrenze. Das ändert sich jetzt. Ab dem 25. Mai müssen die Eltern einwilligen, wenn Daten von Kindern unter 16 Jahren verarbeitet werden sollen. Hier haben die EU-Mitgliedsstaaten allerdings das Recht, eine niedrigere Grenze zu bestimmen, die aber nicht unter 13 Jahren liegen darf. In Österreich müssen Erziehungsberechtigte erst bei Kindern unter 15 Jahren gefragt werden.

- Die Nutzer haben ein Recht auf Auskunft. Unternehmen müssen auf Anfrage erklären, welche Daten sie gespeichert haben und müssen sie auch zur Verfügung stellen, beispielsweise zum Download. Sie müssen aber auch ermöglichen, dass Kunden ihre Daten problemlos zu einem anderen Anbieter mitnehmen können.

- Die DSGVO gibt Nutzern auch das Recht auf "Vergessenwerden". Unternehmen sind verpflichtet, auf Wunsch personenbezogene Daten zu löschen. Dafür müssen aber bestimmte Bedingungen erfüllt sein. Beispielsweise, dass die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Oder der betroffene Nutzer widerruft seine Einwilligung und es gibt keine andere Rechtsgrundlage für die Datenverarbeitung. Die Daten dürfen nicht gelöscht werden, wenn dies der Meinungsfreiheit oder Forschungsprojekten im öffentlichen Interesse entgegensteht.

- Wird ein Profil des Nutzers erstellt, um rechtsverbindliche Anträge zu erstellen, muss der Nutzer informiert werden und kein Roboter darf abgelehnte Anträge prüfen. Außerdem muss der Betroffene die Entscheidung anfechten können.

- In Newslettern muss es eine einfache und gut sichtbare Möglichkeit geben, sich abzumelden. Unternehmen müssen einen ausreichend guten technischen Schutz der ihnen anvertrauten Daten gewährleisten.

Und wenn die Daten nicht in der EU gespeichert werden?

Der Transfer von personenbezogenen Daten in Länder außerhalb der EU ist grundsätzlich nur zulässig, wenn dort die allgemeinen Regeln des DSGVO eingehalten werden. Die Speicherung ist dann zulässig,

- wenn die EU-Kommission im Rahmen eines "Angemessenheitsbeschlusses" einem Land ein angemessenes Schutzniveau bescheinigt. Laut Bundesinnenministerium ist das beispielsweise bei der Schweiz, Argentinien, Kanada, Neuseeland und Uruguay der Fall. Besonders wichtig: Auch der EU-US-Datenschutzschild gilt als Angemessenheitsbeschluss.

- wenn es geeignete Garantien wie verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln gibt oder diese in Form von genehmigten Verhaltensregeln oder eines genehmigten Zertifizierungsmechanismus gegeben werden.

- wenn es einen berechtigten Grund für eine Ausnahme gibt, beispielsweise den Schutz lebenswichtiger Interessen.

Was passiert bei Verstößen?

Bisher wurde der Datenschutz in Unternehmen oft vernachlässigt, weil sie kaum Sanktionen fürchten mussten. Jetzt gibt es Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Davor gibt es aber Verwarnungen, Rügen und ein vorübergehendes Verbot der Datenverarbeitung.

Wo kann man sich genauer informieren?

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat mehrere Broschüren zu den wichtigsten Punkten der DSGVO veröffentlicht. Außerdem bietet die Behörde das komplette Regelungspaket mit vorangestellten Erläuterungen zum Download an.

Quelle: n-tv.de