Das bedeutet der neue Datenschutz für Verbraucher, Firmen und Blogger

Der neue Datenschutz gilt ab dem 25. Mai EU-weit und betrifft alle Bürger, Firmen, Vereine und Behörden in der EU. Das erklärte Ziel der EU-Kommission ist, die Grundrechte der Bürger zu stärken und Geschäftstätigkeiten in der EU zu erleichtern, indem Vorschriften vereinheitlicht und vereinfacht werden. Die Verordnung, die die Datenschutzrichtlinie aus dem Jahr 1995 – also der Frühzeit des Internets – modernisiert, ist eine der weitreichendsten der vergangenen Jahre. Das zeigt auch die Höhe der Bußgelder. Sie kann maximal 20 Millionen Euro oder aber vier Prozent des weltweiten Jahresumsatzes eines Unternehmens und damit mehrere Milliarden Euro betragen. Die Verordnung hat mit „EU-Datenschutz-Grundverordnung“ einen sperrigen Namen und ein kryptisches Kürzel: EU-DSGVO.

Der neue EU-Datenschutz soll den Bürgern mehr Kontrolle über ihre personenbezogenen Daten ermöglichen. Gestärkt werden sie in ihrem Recht, klar und verständlich informiert zu werden, wie ihre Daten verarbeitet werden und ob sie an Dritte weitergegeben wurden. Unternehmen und Behörden müssen dies begründen. Die Verbraucher können Daten löschen oder sie zu einem anderen Anbieter übertragen lassen. Hackerangriffe müssen ihnen unverzüglich mitgeteilt werden, wenn sie ihre Daten betreffen könnten. Die Verbraucher können sich auch leichter wegen Verstößen beschweren.

Jeder, der personenbezogene Daten verarbeitet – das kann ein Blogger oder ein Weltkonzern sein. Zu den personenbezogenen Daten zählen Namen, Geburtsdaten, Post- und Internetadresse, Gesundheitsdaten, Kontonummern und Autokennzeichen, also alles, was Menschen identifizierbar macht.

Sie erhalten vielfältige Hilfestellungen. So sind künftig datenschutzfreundliche Voreinstellungen ein Grundprinzip. Standardmäßig müssen diese so definiert sein, dass Firmen und Behörden nur jene Nutzerdaten erheben dürfen, die sie für den Vertragszweck brauchen. Wer zum Beispiel auf Facebook personalisierte Werbung erhalten oder Apps nutzen möchte, muss jetzt dafür zuerst seine Zustimmung geben, das sogenannte Opt-in. Die Einwilligung zur Datenerhebung kann jederzeit widerrufen werden. Um mehr über die gespeicherten Daten zu erfahren, reicht es in vielen Fällen, eine E-Mail zu schreiben. Vorlagen für die Anschreiben bieten zum Beispiel die Verbraucherzentralen. Die Auskunft muss binnen eines Monates erfolgen. Allerdings muss die Identität des Verbrauchers bewiesen sein.

Bürger können ihre personenbezogenen Daten zum Schutz der Privatsphäre löschen lassen. Das gilt zum Beispiel für Verleumdungen im Internet. Auch wer sein soziales Netzwerk verlassen will, kann diese Daten löschen lassen. Das spielt zum Beispiel für Jugendliche eine Rolle, wenn sie zu viel über sich preisgegeben haben, ohne die Folgen einzuschätzen. Allerdings müssen die Meinungsfreiheit und die historische und wissenschaftliche Forschung gewahrt bleiben. So könne kein Politiker verlangen, dass seine Kommentare aus dem Internet entfernt werden, betont die EU-Kommission. Generell gilt: Firmen müssen persönliche Daten löschen, wenn diese nicht mehr für den Zweck – wie einem Onlinekauf – benötigt werden. Wie schon bisher gilt das Kopplungsverbot: Ein Händler darf zum Beispiel einen Online-Verkauf nicht von der Einwilligung zu einem Newsletter abhängig machen.

Der EU-Datenschutz verlangt, dass Unternehmen für einen Newsletter die ausdrückliche Einwilligung der Verbraucher benötigen. Ansonsten müssen sie die Nutzerdaten löschen. Da viele Unternehmen Einwilligungen nicht oder nicht alle eingeholt haben, schreiben sie die Nutzer zur Sicherheit an. Wer weiterhin informiert werden will, muss dem also jetzt zustimmen. „Auf diese Mails wird nur ein Bruchteil der Verbraucher reagieren, für viele Firmen ist der Schwund ihrer Datenbestände ein großes Problem“, sagt der Stuttgarter Anwalt und Experte für Internetrecht Carsten Ulbricht.

Auch auf den Webseiten und in den Apps weisen derzeit die Onlinedienste von Banken, sozialen Netzwerken und Online-Shops auf ihre überarbeiteten Erklärungen zum Datenschutz und zu den Allgemeinen Geschäftsbedingungen hin. Wer die neuen Geschäftsbedingungen ablehnt, kann die Dienste ab dem 25. Mai möglicherweise nicht mehr oder nur eingeschränkt nutzen.

Das hängt von dem jeweiligen Dienst ab, die Verordnung überlässt den Unternehmen Spielraum. Fest steht: Die Nutzer sollen alle mit ihrer Person verknüpften Daten einfach zu einem anderen Anbieter übertragen können. Die Unternehmen müssen dazu die technischen Hilfsmittel bieten. Konzerne wie Facebook und Google haben diese bereits auf ihren Webseiten integriert. Mit der Datenübertragbarkeit will die EU den Wettbewerb ankurbeln. So können Verbraucher beispielsweise ihre Daten zu dem Portal mit dem höchsten Datenschutzstandard übertragen.

Sie müssen dokumentieren, wie Daten bei ihnen verarbeitet werden – zum Beispiel Gehaltsabrechnungen oder die Lebensläufe von Bewerbern. Das gilt auch, wenn Daten weitergegeben werden, zum Beispiel an einen externen Steuerberater. Für diese sogenannte Auftragsdatenverarbeitung sind Verträge Pflicht. Außerdem müssen Unternehmen jetzt den Verbrauchern genauer Auskunft geben. Jede Behörde und jedes Unternehmen mit zehn oder mehr Mitarbeitern benötigt ab 25. Mai einen Datenschutzbeauftragten.

Auch für sie gelten neue Informations-, Dokumentations-, Auskunfts- und Löschpflichten. Selbst wer nur eine Webseite betreibt, die nicht nur persönlichen oder familiären Zwecken dient, muss aktiv werden, betont der Internet-Rechtsexperte Carsten Ulbricht: Hier haben sich die Anforderungen an die Transparenz der Datenverarbeitung erhöht. „Blogger oder andere Webseitenbetreiber müssen auf der Datenschutzerklärung ihrer Webseite zum Beispiel darüber informieren, welche Rechte die Betroffenen haben und wo sie sich gegebenenfalls beschweren können.“

Ansprechpartner sind die Landesdatenschutzbehörde, die Bundesdatenschutzbeauftragte, Andrea Voßhoff (CDU), und natürlich auch die betreffenden Firmen und Organisationen selbst. Der Landesdatenschutz kontrolliert nicht nur, sondern berät und verhängt Bußen. Aus diesem Grund wurde die Behörde dieses Jahr um 20 auf 54,5 Stellen aufgestockt. Im Fokus der Behörde stehen zunächst die großen Unternehmen. „Wir arbeiten auf der Basis von Hinweisen der Bürger. Diese wird es vor allem bei größeren Firmen geben“, sagt Behördenchef Stefan Brink. Der Landesdatenschützer setzt auch mit dem Inkrafttreten der Verordnung auf Information. „Wenn wir merken, dass Firmen noch nicht alle Vorgaben erfüllen, aber bereits Anstrengungen unternommen haben, werden wir weiter beraten und nicht sanktionieren.“ Vor allem die kleineren Vereine im Land wolle man bei der Umsetzung in den kommenden Wochen noch intensiver unterstützen.

Bei den Firmen sicherlich nicht flächendeckend, wie auch eine Umfrage unserer Zeitung bei den größten Verbänden des Landes Ende Februar ergab. So schätzte der Handelsverband, dass deutlich weniger als die Hälfte der Mitglieder die Frist einhalten werde. Andere Umfragen stützen das. Eine im März durchgeführte Forsa-Umfrage spricht gar davon, dass zu diesem Zeitpunkt ein Drittel der kleinen und mittleren Unternehmen von den neuen Regeln noch nicht einmal gehört hatte. Eine Umfrage des Verbandes der Internetwirtschaft Eco sieht derzeit Defizite vor allem bei den neuen Dokumentationspflichten und dem Löschen personenbezogener Daten. Laut dem Landesdatenschutz hinken auch viele Vereine, nicht aber die Behörden bei der Umsetzung hinterher.

Der oberste Landesdatenschützer rechnet damit, dass künftig mehr Bürger bei den Firmen Anträge einreichen werden, wie ihre Daten verarbeitet werden, und sich gegebenenfalls beim Landesdatenschutz beschweren werden. „Schon jetzt ist die Zahl der Beschwerden wegen vermeintlich unzulässiger Werbung in den vergangenen Wochen um 20 Prozent gestiegen“, sagt Behördenchef Stefan Brink. Laut einer Umfrage des IT-Dienstleisters Veritas wollen mehr als ein Drittel aller Deutschen in den kommenden sechs Monaten ihre neuen Auskunftsrechte nutzen, vor allem bei sozialen Netzwerken und Finanzdienstleistern.

„Ich sehe die Gefahr einer Klageindustrie“, sagt Landesdatenschützer Stefan Brink. „Abmahnanwälte werden versuchen, die Datenschutzverstöße gleichzeitig als Verletzung des Verbraucherrechts darzustellen und sich dabei vor allem auf kleinere und mittlere Unternehmen konzentrieren. Diese Unterstützung haben wir weder gerufen, noch wollen wir, dass Unternehmen auf diese Weise abgezockt werden.“ Internetrechtsexperte Ulbricht betont: „Derzeit kann man leider nicht ausschließen, dass in größerem Umfang abgemahnt wird – auch weil sich in kurzer Zeit viel Geld verdienen lässt.“ In der Branche gebe es auch zweifelhafte Übereinkünfte: So meldet ein Abmahnanwalt den Datenschutzverstoß einer Firma dem Konkurrenten, damit dieser wiederum den Anwalt für die Abmahnung beauftrage, erklärt Ulbricht.