Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) ausnahmslos in Kraft. Dann endet auch die zweijährige Übergangszeit, an deren Ende die Mitgliedsstaaten alle Regeländerungen in ihre nationalen Gesetze übernommen haben sollten.
Was ist die Europäischen Grundverordnung zum Datenschutz (DSGVO)?
Der europäische Datenschutz ist bisher ein Flickenteppich. Mit der neuen Europäischen Datenschutzgrundverordnung soll das Recht EU-weit auf einen einheitlichen Stand gebracht werden. Die EU-Kommission erhofft sich so mehr Kontrolle der Bürger über ihre Daten und gleiche Wettbewerbsbedingungen für alle Unternehmen, die in der EU tätig sind.
Für wen gilt die Verordnung?
Betroffen sind alle, die automatisiert personenbezogene Daten verarbeiten, also vor allem Unternehmen und Selbständige – aber auch das elektronische Mitgliederverzeichnis eines Vereins fällt schon unter die DSGVO. Die DSGVO gilt also für Großkonzerne wie Facebook und Google aber eben auch für kleine Handwerksbetriebe. Ausgenommen sind Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwenden. Auch für Journalisten, die für ihre Berichterstattung personenbezogene Daten erheben oder nutzen, wird es ähnlich wie bislang Ausnahmen geben.
Was sind personenbezogene Daten?
Die juristische Definition ist kompliziert. Praktisch zählen dazu Name, Geburtsdatum oder E-Mail-Adresse. Auch Angaben wie IP-Adresse, Steuernummer, Autokennzeichen oder Kontoverbindung gelten aber als personenbezogene Daten.
Was ändert sich für Bürger?
Noch umfassender als bisher müssen Bürger darüber informiert werden, welche Daten in welcher Form über sie gespeichert sind – und wie diese verwendet werden. Neu eingeführt wird mit der DSGVO beispielsweise auch ein "Recht auf Vergessen werden", das Bürger in bestimmten Fällen einfordern können, und dass strenge Datenschutzeinstellungen in Zukunft der Standard sein müssen. Das "Recht auf Datenübertragbarkeit" sichert Verbrauchern insbesondere bei digitalen Diensten wie Apps die Möglichkeit, ihre Daten von einem Anbieter zum nächsten mitzunehmen.
Was ändert sich für Unternehmen?
Wichtig sind die verschärften Dokumentations- und Rechenschaftspflichten: Hat etwa ein Nutzer oder Kunde seine ausdrückliche Zustimmung dazu gegeben, dass seine Daten gespeichert und verwendet werden dürfen? In diesem Fall muss das ein Betrieb nachweisen können. Wie personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt werden, müssen Unternehmen mit der DSGVO in einem "Verzeichnis von Verarbeitungstätigkeiten" festhalten. Nötig ist dieses zum Beispiel, wenn ein Betrieb Personalakten elektronisch verwaltet oder eine Kundendatei führt. Über die Anforderungen, etwa an die technische Umsetzung, herrscht noch an vielen Stellen Unklarheit. Künftig ist es zudem noch wichtiger, Daten nur zweckgebunden zu verwenden: Hat ein Kunde etwa seine E-Mail-Adresse nur für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür verwendet werden und nicht für andere Zwecke.
Gibt es eine Übergangsfrist beim Inkrafttreten der Verordnung?
Ja, die gibt es – allerdings läuft sie bereits seit knapp zwei Jahren. Ab dem 25. Mai gilt die DSGVO für alle.
Wer kontrolliert die Umsetzung?
Im Regelfall ist dafür die NRW-Landesdatenschutzbeauftragte zuständig – "in enger Zusammenarbeit mit den anderen Behörden", erklärt ein Sprecher. Tätig werde die Behörde, wenn sie einen Hinweis erhalte, beispielsweise durch die Beschwerde eines Betroffenen. "Wir werden aber wie bisher auch Stichproben durchführen."
Was droht bei einem Verstoß?
Alle Datenschutzbehörden in den EU-Staaten können bei einem Verstoß gegen die neue DSGVO hohe Geldbußen verhängen. Vorgesehen sind Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens – je nachdem was höher ist. Gerade am Anfang wollen die Landesdatenschützer jedoch vor allem beratend tätig sein. "Wenn sich Unternehmen aber beratungsresistent zeigen, werden wir auch Bußgelder verhängen", bekräftigt ein Sprecher. Übrigens: Passiert in einem Unternehmen eine Datenpanne und gibt es dadurch ein Risiko für Betroffene, muss der Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
Droht jetzt eine Abmahnwelle?
Die DSGVO räumt Nutzern auch die Möglichkeit ein, zivilrechtlich Schadensersatz bei einem Unternehmen geltend zu machen, wenn es gegen die neuen Regeln verstößt. "Wie hoch dieser Schadensersatz sein könnte, wissen wir aber nicht", sagt Thomas Schwenke, Rechtsanwalt für Datenschutz. Er kann sich trotzdem vorstellen, dass "Abmahnanwälte" die neue Rechtslage "austesten" könnten. "Betroffen sein dürften hierbei vor allem kleine und mittelständische Unternehmen, da sich diese rechtlich eher nicht zur Wehr setzen." Wichtig ist aus Schwenkes Sicht deshalb: eine aktuelle und stimmige Datenschutzerklärung auf der Unternehmenswebsite, der konforme Einsatz von Analyse-Tools wie Google Analytics und der Versand von Newslettern nur nach ausdrücklicher Zustimmung. "Die Fassade muss stimmen", sagt der Anwalt.
Ab wann braucht man einen Datenschutzbeauftragten?
Für die meisten Unternehmen gilt: Haben mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung von Daten zu tun, muss ein Datenschutzbeauftragter an die Landesbehörde gemeldet werden. Viele kleine Betriebe sind hier also nicht in der Pflicht.
