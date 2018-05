EU-Datenschutzverordnung : Ab Freitag gilt der neue Datenschutz

Ab Freitag gelten neue Datenschutzregeln (Symbolbild). Foto: dpa/Patrick Pleul

Berlin Die neue EU-Datenschutzverordnung verunsichert Betriebe, Vereine und Selbstständige. Es gibt viele Änderungen. Ein Überblick.

Von Jan Drebes und Verena Kensbock

Derzeit vergeht kaum ein Tag, an dem nicht eine E-Mail im Postfach auftaucht, in der um Zustimmung zur Datenverarbeitung gebeten wird. Was mancher zum Ausmisten der eigenen Newsletter-Abonnements nutzt, hat für die Absender einen ernsten Hintergrund. Ab Freitag (25. Mai) muss die bereits seit 2016 geltende neue EU-Datenschutzgrundverordnung (DSGVO) umgesetzt werden. Besonders kleine Unternehmen oder private Betreiber von Websites wissen oft nicht, was zu tun ist, und fürchten hohe Bußgelder. Hier die wichtigsten Hintergründe und bevorstehenden Anpassungen.

Reformbedarf Im Jahr 1995 hielt sich das Lied "Back for Good" der britischen Band Take That 31 Wochen lang in den Charts, Siemens brachte das erste Mobiltelefon auf den Markt, das SMS senden und empfangen konnte, und nur 250.000 Deutsche hatten einen Internetanschluss. So alt sind auch die bisher geltenden Datenschutzregeln in Europa. Heute sind 60 Millionen Deutschen online. Das Internet hat sich rapide gewandelt, jedes Jahr vervielfacht sich die Menge produzierter Daten, ihre Nutzung wird immer komplexer. Eine Anpassung des Datenschutzes war daher überfällig.

Info Wer was tun muss, um auf der sicheren Seite zu sein Wer ist betroffen? Alle Betreiber von Internetseiten und Diensten, die Personendaten wie Namen, Kontonummern und E-Mail-Adressen erheben und verarbeiten - egal ob Unternehmen oder Sportvereine, Handwerker oder Blogger. Was müssen Betreiber tun? Fachanwälte raten Betreibern kleiner Websites dazu, sich einen Überblick über sogenannte Plug-ins zu verschaffen, die auf der eigenen Website im Hintergrund laufen und womöglich personenbezogene Nutzerdaten wie IP-Adressen speichern. Wenn diese Programme nicht gebraucht werden, sollten sie deaktiviert werden. Außerdem braucht es zusätzlich zum Impressum eine Datenschutzerklärung, die mit der Datenschutzgrundverordnung (DSGVO) konform ist. Eine solche Erklärung lässt sich mit Online-Instrumenten erstellen. Wann braucht man einen Datenschutzbeauftragten? Eine speziell zur Überwachung des Datenschutzes ausgebildete Person brauchen alle Firmen, in denen mindestens zehn Mitarbeiter mit der automatisierten Datenverarbeitung beschäftigt sind. Risiken für Nutzer Bei Nutzungsbedingungen einfach auf "Zustimmen" zu klicken, sollten Nutzer vermeiden. "Grundsätzlich kann es sein, dass Anbieter unter dem Vorwand der DSGVO versuchen, sich mehr Rechte einzuräumen", rät die Verbraucherzentrale NRW. Eine vorschnelle Einwilligung könnten Nutzer jederzeit widerrufen. Ein Missbrauch von Daten kann bei den Landesdatenschutzbehörden gemeldet werden.

Wichtigste Änderungen Die Verordnung gilt europaweit und soll den Schutz von Daten innerhalb der EU einheitlich gewährleisten. Verbraucherrechte werden gestärkt, indem es künftig etwa ein "Recht auf Vergessenwerden" gibt. EU-Bürger dürfen demnach von Unternehmen verlangen, dass die ihre personenbezogenen Daten (wie Name, Geburtsdatum, Kontonummer oder Kfz-Kennzeichen) löschen, wenn die Speicherung nicht länger notwendig ist oder es einen Missbrauch der Informationen gab.

Außerdem dürfen Nutzer verlangen, ihre Daten einsehen oder bei einem Wechsel von einem Onlinedienst zu einem anderen mitnehmen zu können. So müssen Unternehmen künftig binnen einer Standardfrist von einem Monat dem Nutzer darlegen, ob und welche Informationen gespeichert sind, für welchen Zweck und wie lange sie vorgehalten werden. Firmen müssen künftig zudem mehr Auskünfte über Datenlecks oder Hackerangriffe erteilen.

Eine weitere wichtige Änderung: Wer sich über die Nutzung seiner Daten beschweren will, kann dies künftig immer im Heimatland und in der eigenen Sprache tun - und muss nicht mehr wie bisher etwa den Dienstsitz eines sozialen Netzwerks wie Facebook beachten.

Grundsätzlich verlangt die Verordnung auch, dass Dienstleister im Netz - vom Reisebüro bis zum Onlinehändler - ihre Portale von vornherein so einstellen, dass der Datenschutz gewährleistet ist. Bisher war es oftmals so, dass die Kunden erst in die Verästelungen eines Menüs vordringen mussten, um der umfangreichen Nutzung ihrer Daten zu widersprechen. Stichworte für diese Änderungen sind "Privacy by Design" (privatsphärefreundliche Gestaltung) und "Privacy by Default" (Voreinstellungen im Sinne des Datenschutzes).

Folgen für Unternehmen und Website-Betreiber Künftig müssen Datenschutzerklärungen und Allgemeine Geschäftsbedingungen auf Websites verständlicher formuliert werden. Damit dürften sie in der Regel aber auch noch länger als bisher werden. Außerdem müssen derzeit alle Unternehmen, die personenbezogene Daten erheben und verarbeiten, um Einverständnis dafür bitten. Zudem gilt der Grundsatz der Datenminimierung: Firmen dürfen nur die Informationen erfassen, die für die Vertragszwecke notwendig sind. Außerdem müssen Website-Betreiber in einem "Verzeichnis der Verarbeitungstätigkeiten" auflisten, welche Daten wann, wie und warum erhoben und wie sie weiterverarbeitet wurden.

Spezielle Probleme Wenn die Verordnung ab Freitag gilt, kann das in Einzelfällen Probleme verursachen. Etwa bei Handwerkern, die bisher den Messenger-Dienst Whatsapp auf ihrem Diensthandy genutzt haben, um sich von Kunden Fotos für die Reparaturen schicken zu lassen. Rechtlich werden die Bilder damit an Whatsapp übertragen, ohne dass die Kunden dafür eine Einwilligung gegeben haben. Der Handwerksverband ZDH sieht daher rechtliche Schwierigkeiten bei der Nutzung von Whatsapp. Probleme können auch Blogger bekommen, wenn sie etwa ein Statistik-Instrument von Google auf ihrer Seite eingebaut haben, um die Nutzung des eigenen Blogs zu messen, die Nutzer aber nicht in der Datenschutzerklärung darauf hinweisen.

Strafen Die Sanktionen bei Verstößen gegen die Verordnung können insbesondere für große Unternehmen drastisch ausfallen - mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes. Ein Konzern wie Facebook müsste also beträchtliche Summen zahlen. Betreiber kleiner Websites, Vereine, Schulen, Blogger und andere stehen allerdings nicht im Fokus der Behörden. Die Aufsichtsstellen der Länder haben einen Ermessensspielraum und sind zunächst vor allem beratend tätig. Ob sich rund um die Verordnung eine Abmahnindustrie entwickeln wird, ist derzeit noch umstritten. Verbraucherschützer raten zu Gelassenheit und dazu, Zahlungsforderungen nicht sofort zu folgen, sondern Expertenmeinungen einzuholen.

Weitere Informationen Auf der Internetseite deinedatendeinerechte.de gibt es umfangreiche Erklärungen zum neuen Datenschutzrecht, ebenso bei den Datenschutzbehörden. Die Grünen werfen der Bundesregierung jedoch vor, die Bürger nicht ausreichend informiert zu haben. „Dass man bis heute von dem beim Datenschutz federführenden Bundesinnenminister kein Wort zur Grundverordnung vernommen hat, irritiert nachdrücklich“, sagte Grünen-Fraktionsvize Konstantin von Notz. Das Verhalten zeige erneut, dass der in der digitalisierten Welt immer wichtiger werdende Daten- und Verbraucherschutz bei der großen Koalition in keinen guten Händen sei. „Derzeit ist die Verunsicherung groß. Statt sie durch Aufklärung und Hilfestellung an die Hand zu nehmen, hat die Bundesregierung diejenigen, die sich fragen, wie die Vorgaben der unmittelbar geltenden Verordnung konkret umzusetzen sind, allein gelassen“, sagte der Digitalexperte. Nur wenige Tage vor Inkrafttreten der nach jahrelangen Verhandlungen mit einer breiten Mehrheit im Europäischen Parlament und im Ministerrat verabschiedeten Reform schüre die Kanzlerin durch unbedachte, weder politisch noch juristisch durchsetzbare Äußerungen zusätzliche Ängste, kritisierte von Notz.

(RP)