Bisher haben Unternehmen Daten gesammelt, analysiert und munter verkauft. Je nach Land können Strafen bei Datenschutzverstößen sehr unterschiedlich ausfallen. DAS wird sich bald ändern, zumindest in Europa durch die DSGVO.
Spätestens im Juni 2016 soll die neue EU Datenschutz-Grundverordnung vom Europäischen Parlament verabschiedet werden. Sie wird ab 2018 angewendet. Dann gilt europaweit für alle dasselbe Datenschutzrecht. Die bisherige EG Datenschutzrichtlinie und weite Teile des bisher in Deutschland geltenden Bundesdatenschutzgesetzes werden durch diese neue Verordnung ersetzt. Als Verordnung gilt sie unmittelbar und muss von den Mitgliedstaaten nicht durch nationale Gesetze umgesetzt werden.
Wir fragten Ralf Bendrath, was die neue Verordnung bringt. Er ist wissenschaftlicher Mitarbeiter von Jan Philipp Albrecht (Bündnis90/Die Grünen), Europaabgeordneter und stellvertretender Vorsitzenden des EU Innen- und Justizausschusses. Zusammen mit Albrecht war Bendrath am Entwurf der Verordnung maßgeblich beteiligt.
Was regelt die DSGVO Verordnung?
Sie regelt die Verarbeitung von personenbezogenen Daten in Europa oder von datenverarbeitenden Unternehmen, die keine Niederlassung in der EU haben, aber Dienste auf dem europäischen Markt anbieten, z. B. Online Dienste wie AirBnB oder Twitter.
Sie regelt nicht die Datenverarbeitung in den EU-Institutionen selber – dafür gibt es ein eigenes Rechtsinstrument. Sie regelt auch nicht Bereiche, in denen der EU-Gesetzgeber nicht kompetent ist, wie nationale Sicherheit und Geheimdienste.
Bekommen Verbraucher/innen jetzt einen besseren Datenschutz?
Ja, auf jeden Fall. Allein schon dadurch, weil ich in ganz Europa weiß, woran ich bin. Zukünftig kann man seine Rechte im eigenen Land und in der eigenen Sprache einklagen oder sich bei „seinem“ Datenschutzbeauftragten beschweren, auch wenn das Unternehmen z. B. in Irland oder Spanien sitzt.
Außerdem gibt es viele weitere Verbesserungen: verbesserte Informationspflichten, wenn Daten erhoben werden; die Möglichkeit, ähnlich einer Lebensmittelampel standardisierte Symbole einzuführen, damit man die wesentlichen Elemente der Datenerhebung auf einen Blick erfassen kann; Bürger/innen haben das Recht auf sogenannte Datenportabilität, d.h. im Falle eines Anbieterwechsels darf ein Kunde/eine Kundin seine/ihre personenbezogenen Daten zum neuen Anbieter mitnehmen. Das sorgt für besseren Wettbewerb und weniger Monopolbildungen.
In Zukunft können Strafen bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden. Diese Tatsache wird sicherlich von den Unternehmensvorständen zur Kenntnis genommen. Denn bisher lag das Strafmaß bei Verstößen gegen den Datenschutz je nach Land zwischen ein paar 100 Euro bis zu 300.000 Euro.
Was kommt auf die Unternehmen zu?
Unternehmen müssen ihre Information umfassender, lesbarer und verständlicher zur Verfügung stellen. Sie müssen mir die Daten, die sie über mich verarbeiten, in einem maschinenlesbaren, gängigen Format geben, das ich weiterverarbeiten kann. Nicht wie im Fall von Maximilian Schrems gegen Facebook in Form von über 1.200 PDF-Seiten. Damit die Kund/inn/en beim Anbieterwechsel ihre Daten „mitnehmen“ können, müssen die Unternehmen die technischen Voraussetzungen schaffen. Wenn sie neue datenverarbeitende Systeme einführen, müssen sie künftig schon in der Designphase darauf achten, sie entsprechend zu gestalten, Stichwort Datensparsamkeit (Data Protection by Design).
Es gibt zudem eine wichtige Erleichterung: Auch Unternehmen müssen sich nur noch mit einer Datenschutzaufsichtsbehörde, nämlich im Land ihres Hauptsitzes, auseinandersetzen; die Datenschutzbehörden koordinieren sich europaweit untereinander.
Gelten für große Unternehmen andere Bestimmungen als für kleine?
Nein, da gibt es keinen Unterschied. Der Datenschutz hängt nicht von der Unternehmensgröße ab. Auch ein kleines Start-up Unternehmen kann mit Hilfe von Cloud-Diensten sensible Nutzerdaten in Millionenumfang verarbeiten.
Wie ist die Weitergabe von Daten an ausländische Behörden, z. B. Strafverfolger, geregelt?
Ein Unternehmen, das in Europa Daten verarbeitet, kann diese nicht einfach an Behörden oder gar Geheimdienste von Drittstaaten weitergeben. Dies kann nur über ein Rechtshilfeabkommen zwischen dem Drittstaat und dem europäischen Staat erfolgen. Gibt es keines, ist die Weitergabe nicht möglich, oder es muss ein Rechtshilfeabkommen beschlossen werden.
Der Datenschutz wird mit der neuen Verordnung zwar vereinheitlicht, es sind aber immer noch nationale Regelungen möglich. Was bedeutet das für Verbraucher/innen in Deutschland?
Es gibt noch einige wenige Bereiche, in denen nationale Gesetzgeber einen Spielraum haben, nämlich immer dann, wenn im Zuge hoheitlicher Aufgaben Behörden Daten verarbeiten, wie etwa Finanzämter bei der Steuererklärung. Dafür braucht es spezielle Regelungen im nationalen Steuergesetz.
Oder auch in der Frage, wann ein/e betriebliche/r Datenschutzbeauftragte/r bestellt werden muss. Das ist z. B. erforderlich, wenn sensible Daten verarbeitet werden, wenn man eine Behörde ist oder wenn man in großem Stil Menschen überwacht wie Google Analytics. Die Mitgliedstaaten können aber noch weitere Kriterien für die Bestellung eines betrieblichen Datenschutzbeauftragten beschließen. In Deutschland gehen wir davon aus, dass Unternehmen, die hauptsächlich Daten verarbeiten, wie bisher ab zehn Beschäftigteneine/n eine/n Datenschutzbeauftragte/n benennen müssen.
Ändert sich etwas bei den sensiblen Daten?
Ja, hier sind drei Kategorien dazu gekommen, die 1995 noch nicht enthalten waren: genetische Daten,
biometrische Daten, sofern sie verwendet werden, um eine Person eindeutig zu identifizieren, und
sexuelle Orientierung.
Lassen sich das Interesse der Bürgerinnen und Bürger am Schutz ihrer Daten und ihrer Privatsphäre und das Interesse von Unternehmen, Daten zu erheben und damit Geschäfte zu machen, überhaupt vereinbaren?
Das ist ein Spannungsfeld. In den letzten Jahren haben die Unternehmen oft gemacht, was immer sie wollten. Die User und die Bürger/innen hatten dabei das Nachsehen. Nach der Europäischen Grundrechtecharta ist Datenschutz aber ein Grundrecht! Natürlich darf man als Unternehmen Daten verarbeiten, aber nicht immer. Bisher konnten Unternehmen schon Daten verarbeiten, wenn sie ein „berechtigtes Interesse“ geltend machen konnten und zwar, ohne die Betroffenen vorher zu fragen. Zukünftig geht das nur noch, wenn die Betroffenen diese Datenverarbeitung vernünftigerweise auf der Grundlage ihrer Beziehung zu dem Datenverarbeiter erwarten können. Wenn ich also irgendwo einkaufe, gehe ich eine Geschäftsbeziehung ein. Wenn der Datenverarbeiter meine Daten dann für Werbezwecke nutzt, kann ich das irgendwie erwarten. Ich kann dem aber auch widersprechen. Das Entscheidende: Die neue Verordnung schließt aus, dass meine Daten z. B. an meine Krankenversicherung oder Unternehmen, die ich gar nicht kenne, weitergegeben werden.
Wenn die EU-Datenschutz Grundverordnung 2018 greift, was muss ich tun, wenn ich meine Daten ganz besonders gut schützen möchte?
Ich selbst muss wenig tun. Vor allem die Datenverarbeiter sind gefordert. Ich erhalte bessere Informationen, welche Daten von mir bei einem Unternehmen vorhanden sind. Unternehmen dürfen keine Daten erheben, die für die Erbringung eines Dienstes nicht notwendig sind. Im Onlinebereich können User zukünftig rechtsverbindlich durch bestimmte Browsereinstellungen einer Datenerhebung automatisiert widersprechen, das ist das sogenannte „Do Not Track“.
Mehr Informationen zur DSGVO
Viele weitere Informationen zur EU Datenschutz-Grundverordnung findet ihr auf der Website von Jan Philipp Albrecht, auf der Website des Berufsverbands der Datenschutzbeauftragten Deutschlands oder im Weihnachtskalender von De Lege Data.
Am 20. Mai 2016 startet der Film Democracy Im Rausch der Daten, mit dem Regisseur David Bernet einen erstaunlichen Einblick in den Gesetzgebungsprozess auf EU-Ebene gibt.
Update Mai 2018
Übrigens, wir haben unsere Datenschutzerklärung auf der Grundlage der DSGVO aktualisiert.
Foto: Ralf Bendrath beim Talk, Copyright hellercom, http://bit.ly/hellercom
Photo by NeONBRAND on Unsplash
Schreibe einen Kommentar