MENU
Eine Ilustration der Buchstaben DSGVO
Checkliste

Was ändert sich mit der Europäischen Datenschutz-Grundverordnung?

17. Mai 2018

Am 25. Mai 2018 ist Stichtag: Dann tritt die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Ab diesem Zeitpunkt drohen empfindliche Strafen für Verstöße gegen Datenschutzbestimmungen. Doch noch immer haben sich manche Unternehmen nicht mit den neuen Richtlinien beschäftigt, und auch für viele Nutzer ist weiterhin unklar, wie und in welchen Fällen die DSGVO ihre Rechte stärken kann. #explore erklärt, was auf Unternehmen, Webseitenbetreiber und Nutzer zukommt.

Welche Ziele verfolgt der Gesetzgeber mit der Datenschutz-Grundverordnung?

Bislang hat jeder Mitgliedstaat der Europäischen Union eigene Gesetze für den Schutz der Privatsphäre und für die Datensicherheit erlassen. Mit der neuen Datenschutz-Grundverordnung will die EU nun Datenschutzgesetze europaweit vereinheitlichen und die Rechte der Bürger an ihren privaten Daten stärken.

Welche Unternehmen sind überhaupt von der DSGVO betroffen?

Die Datenschutz-Grundverordnung gilt für alle Unternehmen, die personenbezogene Daten verarbeiten – und zwar online wie offline. Denn die DSGVO ist „technologie­neutral“. Sie betrifft also nicht nur die Internetaktivitäten einer Firma, sondern sämtliche Bereiche, in denen Betriebe persönliche Daten erheben: von den eigenen Mitarbeitern über Patienten bis zu Kunden oder Nutzern. Anders als bisher gelten nun auch IP-Adressen oder Cookies als personenbezogene Daten. Grundsätzlich verlangt die DSGVO, Datenbestände, Datenflüsse und Daten­verarbeitungs­prozesse im Unternehmen zu ermitteln, zu dokumentieren und gegebenenfalls anzupassen. „Wie hoch der Aufwand für die Einführung der DSGVO ist, hängt vor allem davon ab, wie gut der Datenschutz im Betrieb bereits verankert ist“, sagt Jörg Schlißke von TÜViT.

„Wie hoch der Aufwand für die Einführung der DSGVO ist, hängt vor allem davon ab, wie gut der Datenschutz im Betrieb bereits verankert ist.“

Jörg Schlißke, Produktmanager für Datenschutz-Qualifizierung bei TÜViT

Welche Daten gelten als „besonders schutzwürdig“?

Bereits unter dem bisherigen Bundesdatenschutzgesetz gelten etwa Daten zu Gesundheit, Religion und ethnischer Abstammung als „besonders schutzwürdig“. Mit der DSGVO kommen nun auch genetische und biometrische Daten hinzu, über die eine Person identifiziert werden kann. Diese Daten dürfen nur verarbeitet werden, wenn ein Betroffener ausdrücklich eingewilligt hat oder wenn ihre Verarbeitung auf einer speziellen Rechtsgrundlage erfolgt. Für sehr kritische Bereiche wie das Profiling, die massenhafte Verarbeitung sensitiver Daten und die ausgedehnte Überwachung von öffentlichen Räumen mit Videosystemen muss eine Datenschutz-Folgenabschätzung durchgeführt werden, in der die Risiken für die Betroffenen detailliert analysiert werden.

Wie bzw. wann müssen Unternehmen auf Datenpannen reagieren?

Datenschutzpannen müssen künftig innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde gemeldet werden. Auch die Betroffenen sind „ohne unangemessene Verzögerung“ zu benachrichtigen.

Welche Strafen drohen bei Verstößen?

Mit der Datenschutz-Grundverordnung wächst sowohl die Höhe der Buß­gelder als auch die Zahl der betroffenen Unternehmen drastisch. Das bisherige Bundes­daten­schutz­gesetz sah Geldstrafen von bis zu 300.000 Euro vor, wobei diese Summe nach oben hin angepasst werden konnte, damit sie den wirtschaftlichen Vorteil des Täters in jedem Fall übersteigt. Ab 25. Mai können die Aufsichts­behörden Verstöße mit bis zu 20 Millionen Euro sanktionieren. Bei Konzernen können bis zu vier Prozent des weltweiten Vorjahres­umsatzes fällig werden. Dabei gilt zukünftig das sogenannte Marktortprinzip: Das heißt, die DSGVO gilt für alle Betriebe, die in Europa personen­bezogene Daten erheben – selbst wenn sie ihren Firmen­sitz etwa in San Francisco oder Singapur haben.

Was ändert sich bei den Informationspflichten von Webseitenbetreibern, und was bedeutet das für die Nutzer?

Sorgfältiger, sparsamer und transparenter sollen etwa die Betreiber von Webseiten, sozialen Netzwerken oder Handelsplattformen zukünftig mit den Nutzerdaten umgehen. Kryptische Datenschutzerklärungen, die man nur mit Jura-Examen verstehen kann, sind ab 25. Mai tabu. Onlineanbieter müssen ihre Bestimmungen zum Datenschutz „in klarer und einfacher Sprache“ formulieren, sodass zum Beispiel auch Minderjährige sie nachvollziehen können. Damit ist die Transparenzpflicht der Betreiber allerdings noch nicht erfüllt. Enthalten muss die Datenschutzerklärung unter anderem:

  • die Kontaktdaten des Verantwortlichen bzw. des Datenschutzbeauftragten,
  • Informationen zum Zweck der Datenverarbeitung,
  • Angaben über die Ersterhebung der Daten sowie eine pflichtgemäße Mitteilung im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung ihrer Verarbeitung, - Informationen, ob die Daten in Drittstaaten übertragen werden sollen,
  • den Hinweis auf das jederzeit anwendbare Widerrufsrecht einer erteilten Einwilligung.

Die Einwilligung in die Datenverarbeitung durch die Nutzer kann schriftlich, mündlich oder elektronisch erfolgen. „Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit sind keine Einwilligungen im Sinne der DSGVO“, ergänzt Datenschutzexperte Schlißke von TÜV NORD. Eine aktive Zustimmung seitens der Nutzer ist also notwendig, und genau diese müssen die Verantwortlichen in Zukunft auch nachweisen können, wenn sie personenbezogene Daten verarbeiten. Der Widerruf der Einwilligung muss dabei ebenso einfach sein wie die Zustimmung – idealerweise ebenfalls durch einen Klick statt durch langwierigen Mailverkehr mit dem Kundenservice.

„Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit sind keine Einwilligungen im Sinne der DSGVO.“

Jörg Schlißke, Produktmanager für Datenschutz-Qualifizierung bei TÜViT

Was ändert sich beim Auskunftsrecht für die Nutzer?

Was viele Nutzer nicht wissen: Schon nach dem bisher geltenden Bundes­daten­schutz­gesetz haben sie das Recht, von Unternehmen zu erfahren, welche Daten diese von ihnen besitzen und verarbeiten. Die Daten­schutz-Grund­verordnung stärkt und erweitert die Auskunftsrechte der Nutzer. Mündlich, schriftlich, per Fax oder E-Mail können Verbraucher Auskünfte einfordern. Die Firmen müssen dann kostenlos und innerhalb eines Monats unter anderem offenlegen:

  • wie lange die Daten gespeichert werden,
  • wer die Daten bereits erhalten hat oder noch bekommen soll,
  • woher die Daten stammen, wenn das Unternehmen sie nicht selbst erhoben hat.

Die Betriebe müssen Strukturen schaffen, um ihrer Auskunfts­pflicht fristgerecht nachkommen zu können. In komplizierten Fällen dürfen sie für die Bearbeitung bis zu zwei Monate benötigen, müssen das allerdings gegenüber dem Betroffenen begründen. Firmen, die eine Vielzahl persönlicher Daten verarbeiten, beispiels­weise Banken oder Versicherungen, können gegebenenfalls verlangen, dass ein Nutzer präzisiert, auf welche Informationen sich sein Auskunfts­ersuchen bezieht.

Wann können Nutzer ihr „Recht auf Vergessen“ einfordern?

Nutzer können die unverzügliche Löschung ihrer persönlichen Daten wie Telefonnummer oder E-Mail-Adresse verlangen, wenn diese den ursprünglichen Zweck der Speicherung erfüllt haben, wenn sie ihre Einwilligung in die Datenverarbeitung widerrufen haben oder ihre Daten unrechtmäßig verarbeitet wurden. Kam es etwa zu einer Verbreitung von Daten über das Internet, muss das dafür verantwortliche Unternehmen auch alle anderen Stellen, die diese Daten verwendet oder verbreitet haben, über die eingeforderte Löschung informieren. Beseitigt werden müssen dann außerdem alle Links zu den betreffenden Daten und sämtliche Kopien.

An wen können sich Nutzer bei Verstößen gegen den Datenschutz wenden?

Haben Nutzer den Verdacht, dass ihre persönlichen Daten unrechtmäßig verarbeitet oder nicht bzw. nur unvollständig gelöscht wurden, können sie sich an die Datenschutzaufsichtsbehörden wenden. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. Liegt der Firmensitz im Ausland, ist die Landesdatenschutzbehörde verantwortlich. Eine wichtige Neuerung: In Zukunft haben nicht nur die Aufsichtsbehörden, sondern auch Einzelpersonen die Möglichkeit, materielle und immaterielle Schäden durch missbräuchliche oder unerlaubte Verwendung ihrer Daten einzuklagen. Und anders als bisher liegt die Beweispflicht künftig beim Unternehmen. Dieses muss also einwandfrei nachweisen, dass es die Daten des Nutzers verarbeiten durfte.

Was ist das „Recht auf Datenübertragbarkeit“, und in welchen Fällen kommt es Verbrauchern zugute?

Wer bislang einen Streamingdienst oder das soziale Netzwerk wechseln wollte, fing grundsätzlich von vorne an, musste also sämtliche Daten neu eingeben. Die Datenschutz-Grundverordnung soll das ändern. Verbraucher können künftig verlangen, dass Dienste ihre gespeicherten personenbezogenen Daten in maschinenlesbarer Form zur Verfügung stellen und auf Wunsch direkt an einen anderen Anbieter übertragen. Laut der sogenannten Artikel-29-Gruppe der europäischen Datenschutzbeauftragten sollte das etwa den Wechsel bei intelligenten Stromzählern, Fitnesstrackern oder Musik-Streamingdiensten erleichtern. Playlisten der eigenen Lieblingssongs würden sich dadurch ebenso auf einen anderen Anbieter übertragen lassen wie gespeicherte Laufkilometer oder Daueraufträge von einer Bank zur anderen. Dies soll die Wahlfreiheit für Bürger stärken, die bislang durch den hohen Aufwand bei einem Anbieterwechsel ausgebremst wurde.