Dossierbild Democracy
Dossier

Democracy - Im Rausch der Daten


Drucken
EPUB & PDF zusammenstellen
counter
26.3.2018 | Von:
Kai Schöneberg

Was steht in der Europäischen Datenschutz-Grundverordnung?

Datenschutz-Grundverordnung – ein sperriger Name, aber jede Menge Auswirkungen für alle, die in Europa das Internet nutzen. Der Journalist Kai Schöneberg erklärt die wichtigsten Details.

Democracy AusschnittSzene aus dem Film "Democracy - Im Rausch der Daten" (© INDI Film)

Jetzt werden die Büroräume über dem Supermarkt im irischen Portarlington doch zu klein. Irlands Datenschutzbeauftragte Helen Dixon will ihr Personal in dem 8000-Seelen-Ort 80 Kilometer westlich von Dublin noch in diesem Jahr von 60 auf 100 Mitarbeiterinnen und Mitarbeiter aufstocken – und sucht dafür neue Räumlichkeiten. Mehr Datenschützer in Irland – das hat auch Auswirkungen für Bürgerinnen und Bürger in Deutschland: Immerhin werden von Irland aus wichtige Teile der Datenschutzbelange aller europäischen Kunden von Apple, Facebook, Google, Twitter oder WhatsApp kontrolliert.

Das irische Datenschutzniveau ist im Vergleich zu anderen EU-Ländern vergleichsweise gering. Die Software-Konzerne aus den USA nahmen dies als Einladung, dort ihre Europa-Zentrale zu eröffnen. Neben der vorteilhaften irischen Gesetzeslage waren auch die Sprache und günstige Steuersätze triftige Gründe für Google und Co., ihre EU-Hauptquartiere in Irland aufzuschlagen. Zum Ärger vieler deutscher Datenschützerinnen und Datenschützer, denn für alle 500 Millionen europäischen User gelten bei der Nutzung dieser Anbieter seither irische Schutzregeln.

Doch damit ist im Mai 2018 Schluss. Neun Jahre nach den ersten Anstrengungen der EU-Kommission in diese Richtung muss dann in allen Staaten der Union die Europäische Datenschutz-Grundverordnung (DSGVO) in nationales Recht umgesetzt sein. In Deutschland hat der Bundestag Ende April 2017 dafür das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG-EU) beschlossen. DSGVO und DSAnpUG-EU ersetzen und ergänzen teils Jahrzehnte alte nationale Regelungen - in Deutschland wird das 40 Jahre alte Bundesdatenschutzgesetz abgelöst. Der Datenschutz soll so europaweit vereinheitlicht werden. Es sind allerdings noch zahlreiche nationale Öffnungsklauseln möglich, unter anderem bei den Datenschutzbeauftragten oder beim Beschäftigungsdatenschutz. Für die großen US-Internetkonzerne soll mit der DSGVO das "Forum-Shopping" (engl. "Gerichts-Einkaufsbummel") vorbei sein: Das heißt, dass die Unternehmen sich dann nicht mehr den vermeintlich schwächsten Kontrolleur in der EU aussuchen können, datenschutzrechtliche "Rückzugsräume" innerhalb Europas soll es nicht mehr geben.

Sperriger Name, jede Menge Auswirkungen

Datenschutz-Grundverordnung - ein sperriger Name, aber jede Menge Auswirkungen für alle, die in Europa im Netz unterwegs sind. Bei der Regelung geht es vorrangig um den Umgang mit den von Firmen im EU-Binnenmarkt immer umfassender gesammelten digitalen Daten - also etwa um die Regeln zur Weitergabe, Speicherung und Löschung von Daten oder um Dokumentationspflichten von Firmen. Die Aufzeichnung von Daten ist mittlerweile ein Riesengeschäft für Konzerne. Big Data geht jedoch häufig zu Lasten der Privatsphäre.

"Privacy Breakfast". Ausschnitt aus "Democracy - Im Rausch der Daten" (© INDI Film GmbH)

Die DSGVO versucht den Spagat zwischen diesem neuen globalen Geschäftsfeld und dem Recht auf informationelle Selbstbestimmung. Dafür zurrt die Verordnung die Datenschutzstandards für die nächsten Jahrzehnte in Europa fest und entscheidet damit maßgeblich über den künftigen Stellenwert von Privatsphäre und Bürgerrechten im globalen Waren- und Datenverkehr.

Die Verordnung wird von vielen Seiten im Detail kritisiert. Aus der Wirtschaft heißt es, die Dokumentationspflichten seien zu bürokratisch, das Schutzniveau für persönliche Daten insgesamt zu hoch. Datenschützer monieren dagegen, die Verordnung ermögliche die massenhafte Speicherung von personenbezogene Daten fast unbegrenzt. Dass es die Verordnung aber überhaupt gibt, begrüßen Unternehmen wie Verbraucherschützer. Einige von ihnen sehen in der DSGVO sogar einen "Meilenstein" für den Datenschutz in Europa und begrüßen die vielen neuen Schutzregeln. Unternehmerverbände unterstreichen, dass das Regelwerk Rechtssicherheit auch für Firmen und gleiche Bedingungen für alle Marktteilnehmer schaffe.

Hier die wichtigsten Regeln der DSGVO im Überblick

Zustimmung

Nutzerinnen und Nutzer müssen künftig eine Datenverarbeitung durch Unternehmen oder Institutionen bewusst und aktiv zulassen – und nicht aktiv ablehnen wie bisher. Die Verordnung stellt klar, dass die Einwilligung von Usern nicht vermutet werden darf. User müssen also künftig nicht mehr voreingestellte Haken aus Kästchen entfernen. Jede Zustimmung bedarf auch einer klaren zustimmenden Handlung. Diese muss freiwillig sein, ein Vertrag darf nicht an die Verarbeitung von Daten gebunden sein, die mit der erbrachten Leistung oder dem Produkt nichts zu tun hat. Eine Taschenrechner-App auf dem Smartphone darf beispielsweise nicht einfach auf Daten im Adressbuch zugreifen. Außerdem muss es möglich sein, Dienste anonym und unter Pseudonym zu nutzen. Zudem müssen dem User leicht verständliche Informationen darüber gegeben werden, wer seine Daten zu welchem Zweck wie und wo verarbeitet. Wirtschaftsverbände kritisieren, dass auch die anonymisierte Verwendung persönlicher Daten einer gesonderten Zustimmung bedarf.

Informationsrechte

Künftig sollen Nutzerinnen und Nutzer in der EU einen leichteren Zugang zu den von Firmen über sie gesammelten Daten haben. Jeder Europäer hat mit Inkrafttreten der DSGVO Anspruch darauf zu erfahren, welche Daten Unternehmen über ihn sammeln. Die Nutzungsbedingungen müssen leicht verständlich sein. Datenschutz-Symbole sollen die langen und oft nur für Juristen lesbaren Datenschutzerklärungen leicht und verständlich zusammenfassen.

Datenportabilität

Wer einen Anbieter wechseln möchte, hat das Recht, persönliche Daten mitzunehmen. Anbieter müssen die Nutzerdaten auf Anfrage auf elektronischem Weg und in einem allgemein nutzbaren Format kostenlos und schnell aushändigen.

Recht auf Vergessenwerden

Betreiber von Online-Seiten werden verpflichtet, Daten von Bürgerinnen und Bürgern auf deren Antrag zu berichtigen oder zu löschen. Datenverarbeiter wie Facebook oder Google müssen die Löschanfrage auch an Dritte weiterleiten, an die sie Daten weitergegeben hatten. Wenn die Informationen über eine Person veraltet sind und kein öffentliches Interesse an der Veröffentlichung dieser Information besteht, müssen Suchmaschinen bereits laut einem Urteil des Europäischen Gerichtshofs von 2016 Links zu persönlichen Daten auf Antrag löschen.

Privacy by design / Privacy by default (engl. Privatheit bei der Planung, Privatheit als Standardeinstellung)

Künftig müssen die Voreinstellungen bei elektronischen Geräten verbraucher- und datenschutzfreundlich sein. Datenschutz ist dann schon beim Planen („design“) von Technik oder Software und durch datenschutzfreundliche Standardeinstellungen („default“) zu berücksichtigen.

Datenschutzverstöße

Laut DSGVO müssen alle Datenschutz-Pannen – etwa infolge von Hacker-Angriffen – innerhalb von 72 Stunden bei einer Aufsichtsbehörde gemeldet werden. Die Betroffenen sind „ohne unangemessene Verzögerung“ zu benachrichtigen. Falls Bürgerinnen und Bürger Beschwerden haben, gilt für sie das „One-Stop-Shop“-Prinzip. Also können sie sich immer bei der Datenschutzbehörde ihres Mitgliedstaats beschweren, unabhängig davon, wo der Datenschutzmissbrauch passiert ist.

Drittstaaten

Personenbezogene Daten dürfen grundsätzlich nicht direkt an Behörden in Drittstaaten weitergereicht werden. Außer es gibt ein Rechtshilfeabkommen – etwa zu strafrechtlichen Zwecken. Als personenbezogene Daten gelten alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können. Die Kommission muss regelmäßig über Datentransfers in Drittstaaten berichten. Der Datenaustausch zum Beispiel zwischen der EU und den USA ist umstritten. Im Oktober 2015 hatte der Europäische Gerichtshof die Weitergabe von Facebook-Daten in die USA unter dem Regime des sogenannten „Safe Harbor“-Abkommen für ungültig erklärt. Seit 2016 ist dessen Nachfolger, das sogenannte „Privacy Shield“-Abkommen, in Kraft.

Zustimmung erst ab 16

Die DSGVO legt das Mindestalter für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten auf 16 Jahre fest. Damit können Online-Dienste wie Facebook oder WhatsApp ohne Einwilligung der Eltern erst ab 16 Jahren genutzt werden. Derzeit gilt für Anbieter wie diese nach den US-Vorschriften ein Mindestalter von 13 Jahren. Kritiker dieser Regelung gehen davon aus, dass sich Jugendliche künftig vermehrt ohne Zustimmung der Eltern – und damit rechtswidrig – anmelden werden.

Sanktionen

Wenn Bestimmungen der DSGVO verletzt werden, drohen empfindliche Strafen in Höhe von bis zu 20 Millionen Euro oder aber bis zu vier Prozent des globalen Umsatzes. Bislang galten deutlich geringere Strafgelder, in Deutschland bis zu 300.000 Euro.

Datenschutz als Unternehmensziel

Die in der DSGVO aufgestellten Datenschutz-Grundsätze wie Datensparsamkeit, Transparenz, Zweckgebundenheit, Rechtmäßigkeit und IT-Sicherheit haben auch Einfluss auf die Unternehmensführungs- (Compliance)-Regeln in der EU. Die Einhaltung der Datenschutz-Grundsätze muss künftig durch Rechenschafts- und Dokumentationspflichten nachgewiesen werden. Zudem müssen künftig alle Unternehmen ein Datenschutzkonzept besitzen. Falls eine neue Technologie möglicherweise den Datenschutz gefährdet, müssen die Unternehmen eine Datenschutz-Folgenabschätzung vornehmen.

Scoring

Die neue Datenschutzverordnung der EU könnte Verbraucherschützern zufolge den Datenschutz bei der Ermittlung der Kreditwürdigkeit einzelner Bürgerinnen und Bürger schwächen. Die Verordnung macht laut Verbraucherzentrale Bundesverband (VZBV) beim sogenannten Scoring, der Bonitätsbewertung von Wirtschaftsauskunfteien wie der Schufa, deutlich weniger strenge Vorgaben als das deutsche Recht. Es drohe ein "massiver rechtlicher Rückschritt", kritisiert der VZBV. Denn im Gegensatz zum Bundesdatenschutzgesetz verhindere die EU-Verordnung beispielsweise nicht, dass mögliche finanzielle Forderungen an einen Verbraucher in die Bewertung einfließen, obwohl dieser deren Rechtmäßigkeit bestreitet. In Deutschland sei das hingegen laut VZBV seit 2010 ausdrücklich verboten. Künftig könnten ungeklärte Verbindlichkeiten aber in das Scoring aufgenommen werden.

Marktortprinzip

Verbraucherschützer wie der VZBV begrüßen jedoch, dass sich künftig jedes Unternehmen an die DSGVO halten muss, das im europäischen Markt agiert. Also gelten mit der Grundverordnung auch für US-Konzerne europäische Regeln. Bislang war bei umstrittenen Datenschutzpraktiken zum Beispiel von Facebook oft unklar, ob dafür deutsche, amerikanische oder irische Datenschutzgesetze gültig sind. Unternehmen müssen sich laut DSGVO nur noch mit einer Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.

Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by-nc-nd/4.0 Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by-nc-nd/4.0
Autor: Kai Schöneberg für bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.


Drucken
EPUB & PDF zusammenstellen

Weitere Inhalte

Dossier

Leiterbahnen auf einer Computerplatine.

Datenschutz

Was bedeutet Datenschutz? Wie ist er gesetzlich geregelt? Was steckt hinter den Begriffen informationelle Selbstbestimmung und Privatsphäre? Wie können persönliche Daten im Internet geschützt werden? Das Online-Dossier Datenschutz klärt über Hintergründe auf und gibt praktische Handlungsanleitungen zum Thema.

Mehr lesen

Anzug, Lobbyismus, Schlips, Business

Schwerpunkt Lobbyismus

Lobbyist/-innen: Sie werden immer zahlreicher, ihr Einfluss immer größer. Ist das prinzipiell schlecht? Was bedeutet der Lobbyismus für eine Demokratie? Kann er sie stärken? Oder untergräbt er ihr Grundprinzip der demokratischen Legitimation? Wo kommt der Lobbyismus eigentlich her und wie arbeiten Lobbyist/-innen? Unser neuer Schwerpunkt auf netzdebatte.bpb.

Mehr lesen

Dialog

Besucher der re:publica 2013

Die Netzdebatte

Netzdebatte ist das Debattenportal der Bundeszentrale für politische Bildung. Das Weblog greift Themen auf, die die Gesellschaft bewegen. Netzdebatte erklärt Hintergründe, bildet Positionen ab und bietet einen Ort zum Diskutieren.

Mehr lesen

Logo spielbar.de

spielbar.de

spielbar.de informiert über Computerspiele und erstellt pädagogische Beurteilungen. Pädagogen, Eltern und Gamer sind eingeladen, ihre eigenen Beurteilungen, Meinungen und Kommentare zu veröffentlichen.

Mehr lesen auf spielbar.de

Wir setzen auf dieser Website Cookies ein. Diese dienen dazu, Ihnen Servicefunktionen anbieten zu können sowie zu Statistik-und Analysezwecken (Web-Tracking). Wie Sie dem Web-Tracking widersprechen können sowie weitere Informationen dazu finden Sie in unserer Datenschutzerklärung.