DSGVO tritt in Kraft
25.05.2018, 12:00 Uhr
Ab sofort gelten die neuen Datenschutz-Regeln der EU
Nach zweijähriger Übergangszeit ist es dann plötzlich so weit: Heute, am 25. Mai 2018, tritt die neue Datenschutzgrundverordnung in Kraft (DSGVO). Was kommt jetzt auf uns zu?
(Quelle: lassedesignen / shutterstock.com)
Aufregung, Nervosität, Ungewissheit – die neuen EU-Datenschutzregeln haben viele Reaktionen hervorgerufen. Nach zweijähriger Übergangszeit gilt die Datenschutzgrundverordnung (DSGVO) vom heutigen Freitag an in allen 28 EU-Staaten. Aber was kommt auf die Verbraucher zu? Ein Überblick über die wichtigsten Fragen.
Warum kommen die neuen Regeln jetzt?
Datenschutz ist in der EU ein Grundrecht. «Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten», heisst es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 – und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor mehr als zwei Jahren haben sich EU-Staaten und das Europaparlament auf die sogenannte Datenschutzgrundverordnung geeinigt. Vom heutigen Freitag an muss sich jedes EU-Land daran halten. Die Gültigkeit für Schweizer Firmen und die damit einhergehenden Folgen können Sie hier nachlesen. Unter diesem Link haben wir Ihnen zudem zusammengefasst, wo das neue Datenschutzgesetz der Schweiz momentan steht.
Ein Argument für die neue Verordnung hat Facebook zuletzt selbst geliefert: Bis zu 87 Millionen Nutzer waren Unternehmensangaben zufolge vom aktuellen Datenskandal betroffen. Facebook-Chef Mark Zuckerberg zeigte Reue und kündigte an, die EU-Regeln künftig weltweit anwenden zu wollen. Selbst im Europaparlament kam er zum Gespräch mit den Fraktionschefs vorbei. Das Treffen am Dienstag verkam nach Ansicht von Kritikern allerdings zur Farce: Wegen des eigenwilligen Formats redeten hauptsächlich die Europapolitiker. In Bedrängnis kam Zuckerberg nicht.
Was regelt die neue Verordnung?
Im Kern soll die Verarbeitung personenbezogener Daten etwa durch Unternehmen, Organisationen oder Vereine geregelt werden. Dazu gehören Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse.
Wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme - ist egal. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Die neuen Regeln gelten auch für Unternehmen, die ausserhalb der EU sitzen, ihre Dienste aber hier anbieten. Deshalb sind Internetriesen mit US-Sitz wie Facebook oder Google davon betroffen.
Was ändert sich für Verbraucher?
Dass Versprechen ist: EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen. Zum Beispiel wird ihnen künftig ein «Recht auf Vergessenwerden» zugestanden. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen.
Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes: Kunden könnten etwa erfahren, wie oft sie die Karte verwendet haben, bei welchen Supermärkten sie eingekauft haben, und ob der Supermarkt die Daten an eine Tochter weitergeben hat.
Ausserdem bekommen Internetnutzer durch den sogenannten Datenrucksack mehr Kontrolle über ihre persönlichen Daten. Wechseln sie von einem Anbieter zum anderen, können sie E-Mails, Fotos oder Kontakte mitnehmen. Zudem müssen Verbraucher über Datenschutz-Verstösse – etwa durch Datenlecks oder Hackerangriffe - informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstösse zudem bei nationalen Behörden melden.
Und wie soll das durchgesetzt werden?
Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Ab sofort drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nach dem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmass sollen Faktoren wie Schwere und Dauer des Verstosses, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden. Über mögliche Verstösse können sich die Verbraucher künftig bei den nationalen Datenschutzbehörden oder dem neuen EU-Datenschutzausschuss beschweren.
Was müssen Unternehmen und andere Organisationen beachten?
Grundsätzlich sollen so wenige Information wie möglich gesammelt werden – es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese Daten müssen so sicher gespeichert werden, dass unbefugter und unrechtmässiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist.
Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten oder eine bestimmte Grösse überschreiten, müssen zudem einen Datenschutzbeauftragten ernennen.
Wie fallen die Reaktionen aus?
Verbraucher- und Datenschützer jubeln. Für sie sind die neuen Regeln ein Meilenstein: besserer Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten, mehr Macht für Strafverfolgungsbehörden bei Verstössen. «Die neuen Datenschutzstandards sind eine grosse Errungenschaft für die EU», sagt die innenpolitische Sprecherin der Sozialdemokraten im Europaparlament, Birgit Sippel. «In unserer zunehmend digitalisierten Welt waren die bisherigen Regeln von 1995 nicht mehr angemessen.»
Die deutsche Bundesdatenschutzbeauftragte Andrea Vosshoff sagte dem Rundfunk Berlin-Brandenburg (rbb), das Vertrauen in ein Unternehmen werde sich künftig zunehmend auch an dessen Umgang mit Kundendaten orientieren. «Der Datenschutz in der digitalen Welt ist für mich die Grundvoraussetzung, dass die Digitalisierung gelingen kann.»
Je näher der heutige Freitag rückte, desto lauter wurde allerdings auch die Kritik an der DSGVO: Unternehmen, Vereine und Verbände beklagten sich über mangelnde Informationen seitens der Behörden und daraus entstehender Unsicherheit. Der Deutsche Industrie- und Handelskammertag etwa warnt, vor allem kleine und mittelständische Unternehmen könnten Probleme bekommen, weil die neuen Regeln zu unpräzise seien. Insgesamt stehen die Unternehmen in Europa den neuen Regeln jedoch eher positiv gegenüber. Nach einer Analyse im Auftrag des Hamburger Finanzdienstleisters EOS sieht der Mehrheit der Unternehmen in der EU mehr Vor- als Nachteile in den einheitlichen Standards.
Während der Gesetzgebung haben besonders grosse Tech-Firmen versucht, den Datenschutz aufzuweichen. Kleinere und mittlere Unternehmen und Vereine fürchten vor allem den bürokratischen Aufwand - und hohe Strafen, falls sie gegen die neuen Regeln verstossen.
Wie geht es weiter mit dem Datenschutz in der EU?
Die EU-Kommission hat im vergangenen Jahr weitere Reformvorschläge für die elektronische Kommunikation über WhatsApp, Facebook oder Skype vorgelegt. Diese sehen in vielen Fällen die ausdrückliche Einwilligung der Nutzer zur weiteren Verwendung von Informationen wie Inhalt und Metadaten vor.