Was ist die DSGVO?

Anders als die Vorgängerregelung aus dem Jahr 1995 ist die DSGVO keine Richtlinie, sondern eine Verordnung. Das heißt: Sie tritt in allen Mitgliedsländern sofort in Kraft, muss nicht wie eine Richtlinie erst in nationales Recht umgesetzt werden. Im Zentrum steht der Schutz personenbezogener Daten. Um zu unterstreichen, welchen Stellenwert die EU diesen Daten zumisst, wurden die Strafen für Verstöße erheblich nach oben gesetzt. Bei schweren Verstößen können die Datenschutzbehörden Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen oder aber vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens - je nachdem, welcher Betrag höher ausfällt. Bei großen Firmen kann das in die Milliarden gehen.

Was ist neu?

Neu ist vor allem das erweiterte Recht der Bürger zu erfahren, was mit ihren Daten passiert. Nutzer können jetzt auch verlangen, dass ihre Daten gelöscht werden oder dass sie sie bekommen, um zu einem anderen Anbieter wechseln zu können. Marit Hansen, Datenschutzbeauftragte des Landes Schleswig-Holstein, hebt zudem hervor, dass durch die neuen Vorschriften Datenschutz von vorneherein eingebaut sei, "das ist nun ein Grundprinzip". Dadurch veränderten sich die Standard-Einstellungen. Will ein Nutzer Auskunft über seine Daten, reicht es oft aus, eine E-Mail an das Unternehmen zu schreiben. Allerdings kann ein Unternehmen noch weitere Daten verlangen, etwa die Postadresse des Betroffenen, damit die Identität des Absenders eindeutig geklärt ist. Sollte ein Dienst Daten speichern, können Nutzer sie korrigieren, wenn sie falsch sind oder löschen lassen, etwa nachdem ein Preisausschreiben abgelaufen ist. Generell müssen Unternehmen persönliche Daten löschen, wenn diese nicht mehr benötigt werden.

Personenbezogene Daten

Als personenbezogen gelten nicht bloß Daten wie Name, Adresse, Geburtsdatum, sondern auch Informationen wie Internetadressen oder Aktenzeichen. Daten etwa zu Geschlecht, Religionszugehörigkeit oder Hautfarbe gelten dann als personenbezogen, wenn sie einer bestimmten Person zugeordnet werden können.

Wer ist betroffen?

Die Verordnung erfasst jeden, der personenbezogene Daten verarbeitet, dazu gehören zum Beispiel auch Vereine, Blogger oder freie Fotografen. Je sensibler die Daten sind, desto besser müssen sie geschützt werden. Für Gesundheitsdaten etwa gelten daher besonders strenge Regeln, an die sich Arztpraxen oder Krankenhäuser halten müssen. Betroffen sind auch ausländische Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten.

Neue Nutzungsregeln

Die neuen Vorschriften sind der Grund dafür, dass nun zahlreiche Unternehmen ihre Nutzer dazu auffordern, geänderten Nutzungsbedingungen zuzustimmen. Die Verordnung verlangt von den Unternehmen, dass sie die Änderungen auf eine leicht verständliche Weise kommunizieren. Schließlich sollen die Nutzer freiwillig und informiert entscheiden. Ob das immer eingehalten wird, daran haben Verbraucherschützer allerdings ihre Zweifel. "Die Frage ist, ob ich eine Wahl habe", sagt Carola Elbrecht, Referentin im Marktwächter der Verbraucherzentrale Bundesverband (VZBV). Die Anbieter müssten eigentlich in einfacher Sprache erklären, was sie ändern wollen, nicht einfach neue Bestimmungen vorlegen, die auf einem Handy schnell mal 60, 70 Bildschirmseiten umfassen, "das ist ein Ärgernis seit Jahren", sagt Elbrecht.

Wie werden Kinder geschützt?

Die DSGVO ist hier wie auch in vielen anderen Bereichen sehr allgemein gehalten. Internet-Dienste dürfen personenbezogene Daten künftig erst verarbeiten, wenn ein Nutzer 16 Jahre oder älter ist. Sind die Nutzer jünger, müssen die Eltern mitentscheiden. Die neuen Regeln schreiben aber nicht vor, wie ein Unternehmen das Alter der Betroffenen feststellen soll. Auch wie sich Eltern gegenüber dem Dienst identifizieren sollen, lässt die DSGVO offen. Facebook schlägt beispielsweise vor, dass Kinder unter 16 in bestimmten Fällen die Facebook-Profile ihrer Eltern verlinken oder deren E-Mail-Adresse angeben sollen. Auf Eltern könnten daher weitere Datenschutz-E-Mails zukommen. Andere Dienste, wie etwa der Messenger Whatsapp, haben sich entschieden das Nutzungsalter gleich auf 16 Jahre anzuheben, man kann sich allerdings unter Angabe falscher Daten trotzdem anmelden.

Wie kann man Daten übertragen?

Die DSGVO enthält ein Recht auf Datenübertragbarkeit: Nutzer sollen gespeicherte Daten auf einfache Weise von einem Dienst zu einem anderen übertragen können und somit mehr Kontrolle erhalten. Davon sind nicht nur Profildaten wie der Name oder Alter betroffen, sondern alle Daten, die mit einer Person verknüpft sind. So soll der Wettbewerb unter Apps, E-Mail-Anbietern oder sozialen Netzwerken gefördert werden. Unternehmen wie Google und Facebook haben bereits reagiert und bieten schon umfangreiche Werkzeuge an, damit Nutzer ihre Daten herunterladen können. Genaue Regeln liefert die DSGVO allerdings nicht. Wie einfach Nutzer den Anbieter wechseln können, wird sich also erst in Zukunft zeigen.

Was ist bei Fotos zu beachten?

Bei den genauen Auswirkungen der DSGVO auf Fotos im Netz sind sich die Juristen noch nicht einig. Generell wird angenommen, dass es sich um personenbezogene Daten handelt, wenn Menschen auf Bildern auftauchen. Diese müssten die Verarbeitung erlauben und könnten die Zustimmung später widerrufen. Allerdings gilt die DSGVO nicht für den privaten Bereich: Wer ein Gruppenfoto auf Facebook hochlädt, muss deswegen vermutlich nicht eine rechtssichere Erklärung von allen Abgebildeten einholen. Probleme könnten eher auf Fotografen zukommen, die mit ihren Bildern Geld verdienen. Während einige schon das Ende der Fotografie ausrufen, sehen andere die neuen Regeln gelassener: Bestehende Ausnahmeregeln würden weiterhin gelten, und für kommerzielle Fotografen werde sich wohl kaum etwas ändern. Auch diese Frage dürfte schon bald Gerichte beschäftigen.

Wo kann man sich beschweren?

Die erste Anlaufstelle sind natürlich die Unternehmen. Falls dies nicht fruchtet, kann man sich an eine Verbraucherzentrale wenden oder auch an eine Datenschutzbehörde. Allerdings sollte man viel Geduld mitbringen, denn die Verfahren können sich hinziehen. Das zeigt sich an bereits anhängigen Verfahren zum Beispiel dem der VZBV gegen Whatsapp vor dem Landgericht Berlin.

Mögliche Folgen der DSGVO

Studien wie etwa im Auftrag des IT-Dienstleisters Veritas kommen zu dem Schluss, dass die Unternehmen mit massenhaften Anfragen deutscher Verbraucher zu ihren personenbezogenen Daten rechnen müssen. Zwei von fünf Deutschen (38 Prozent) gaben demnach an, sie wollten in den kommenden sechs Monaten von ihren neuen Auskunftsrechten Gebrauch machen. Am stärksten betroffen sollen soziale Medien, Finanzdienstleister und der Handel sein. Ob das eintritt, ist aber ebenso unklar wie die Befürchtung, dass es zu einer Welle von Abmahnungen kommen werde. Unseriöse Anwälte könnten versuchen, damit das schnelle Geld zu machen.

Wer kontrolliert das alles?

Zuständig für die Kontrolle sind die Datenschutzbehörden der Länder sowie die Bundesdatenschutzbeauftragte Andrea Voßhoff (CDU). Einige der Behörden, aber nicht alle, sind dafür personell aufgestockt worden, auch weil das Personal dafür nicht leicht zu bekommen ist. Die Wahrscheinlichkeit, dass Datenschützer ohne einen konkreten Anlass zur Kontrolle anrücken, ist zwar minimal. Allerdings, geben Experten zu bedenken, müssten alle Betroffenen damit rechnen, dass sie von irgendjemandem angeschwärzt werden können, zum Beispiel von einem verärgerten Mitarbeiter oder Kunden.

Wie weit ist die Umstellung?

Die DSGVO gilt eigentlich schon seit Ende Mai 2016, eine zweijährige Übergangsfrist sollte den Betroffenen Gelegenheit geben, sich vorzubereiten. Die meisten Großunternehmen haben das auch getan. Viele kleine Firmen oder auch Selbständige oder Vereine wissen aber bis heute kaum etwas davon oder haben noch nichts unternommen und sind nun zu spät dran. Jedes dritte Start-up in Deutschland hat dem Branchenverband Bitkom zufolge noch nichts in Sachen DSGVO unternommen.

Wie geht es weiter?

Die DSGVO ist in vielen Punkten sehr allgemein formuliert. Es ist deshalb zu erwarten, dass einiges nachjustiert, beziehungsweise von Gerichten geklärt werden muss. Letzte Instanz hierbei ist der Europäische Gerichtshof (EuGH) in Luxemburg. Für eine Präzisierung sollte auch die ePrivacy-Verordnung sorgen. Ursprünglich war geplant, sie zeitgleich mit der Datenschutzgrundverordnung zu verabschieden, doch es gelang nicht, die vielen kollidierenden Interessen unter einen Hut zu bringen.