Wenn Ihr in den letzten Wochen Euer E-Mail-Postfach geöffnet habt, kennt Ihr das: eine Lawine von Hinweisen auf die Änderungen von Datenschutzregeln und Nutzungsbedingungen der verschiedensten Newsletter und Mailinglisten, die der DSGVO angepasst wurden. Um den Regeln tatsächlich komplett zu entsprechen (was eher selten vorkommt), hättet ihr sogar aufgefordert werden müssen, euer Einverständnis für den Empfang von Mails und der Datenverarbeitung zu erneuern. DSGVO, Einverständnis, Daten? Wovon reden wir hier überhaupt genau?
DSGVO, was ist das überhaupt?
Die DSGVO ist eine europäische Verordnung, die unmittelbar für das gesamte Gebiet der Europäischen Union (EU) gilt. Damit ist sie direkt einklagbar vor den Gerichten aller EU-Mitgliedsstaaten. Kürzlich verabschiedete Gesetze in diesem Bereich haben ausschließlich dazu gedient, geltende Bestimmungen zu präzisieren und an die DSGVO anzupassen. Der Zweck der DSGVO ist der Schutz der Bürger*innen bei der Speicherung und Verarbeitung von personenbezogenen Daten.
Was sind personenbezogene Daten?
Es handelt sich dabei um jede Art von Information, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person bezieht. Das geschieht in Bezugnahme auf ein persönliches Kennzeichen wie einen Namen, eine Identifikationsnummer, eine Ortsangabe, einen Online-Benutzernamen oder auch ein oder mehrere Angaben, die sich auf spezifische physiologische, genetische, psychische, ökonomische, kulturelle oder soziale Merkmale einer Person beziehen. Im Klartext: Jede Information, die ein Individuum eindeutig bestimmt. Bestimmte Informationen, die für sich genommen nicht als personenbezogene Daten gelten, fallen in diese Kategorie, wenn sie sich mit anderen Informationen überschneiden, die eine eindeutige Identifizierung der Person möglich machen. Sogar eine variable IP-Adresse (die Nummer, die uns beim Surfen im Internet zugeordnet wird) kann als personenbezogen gelten, wenn sie mit einer anderen Angabe, wie beispielsweise einer Zeitangabe, verbunden ist.
Wen betrifft die Verordnung?
Die DSGVO hat eine sehr große Tragweite. Sie gilt für die Datenverarbeitung durch jede juristische Person (Unternehmen, Verein etc.), die in der EU tätig ist und für alle Personen, die sich auf dem Gebiet der EU aufhalten. Das betrifft allerdings nicht nur Europäer auf europäischem Boden: Die Daten eines chinesischen Bürgers, die in einem Facebook-Rechenzentrum in Irland gespeichert sind, fallen ebenso in den Geltungsbereich der DSGVO. Genauso kommt natürlich eine amerikanische Bürgerin in den Genuss des EU-Datenschutzes, wenn sie in Paris lebt und dort Onlinedienste nutzt. Die „Verarbeitung von Daten“ wiederum ist definiert als jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Darunter fällt z.B. das Sammeln, Speichern, Teilen, Löschen und sogar das schiere Abrufen von Daten.
Was ändert sich für den Schutz unserer Daten?
Die DSGVO unterscheidet bei der Datenverarbeitung mehrere Prinzipien.
Rechtmäßigkeit, Anständigkeit, Transparenz…
Die betroffene Person muss der Speicherung ihrer Daten zustimmen, und zwar freiwillig, spezifisch, aktiv und eindeutig (opt-in). Dieses Einverständnis kann zu jeder Zeit zurückgezogen werden. Die Person, deren Daten gesammelt werden, muss informiert werden, welche Daten wann und wieso verarbeitet werden. Ein E-Mail, die euch nur über die Änderung der Nutzungsbedingungen informiert, ist also nicht ausreichend. Zusätzlich zu dieser Information müsst ihr z.B. durch das ankreuzen einer Option der Verarbeitung eurer Daten zustimmen. Ewig lange Nutzungsbedingungen, die niemand liest, sind jetzt dem Prinzip nach ebenfalls verboten, da sie nicht dem vorgesehenen Gebot der Klarheit entsprechen. Zu guter Letzt müsst ihr die Sammlung von Daten verweigern können, die nichts mit dem Dienst zu tun haben, für den ihr euch anmeldet. Wenn ihr euch bei einem Musik-Streamingdienst anmeldet, müsst ihr z.B. nicht eure drei zuletzt besuchten Konzerte angeben.
Sicherheit der Daten und Wiedergutmachung von Schäden
Die Verarbeitung muss die Sicherheit der personenbezogenen Daten garantieren. Das erfordert Verpflichtungen zur Vertraulichkeit und Maßnahmen der Internetsicherheit. Das heißt auch, dass ihr Anspruch auf Schadensersatz habt, wenn die Verordnung zu eurem Nachteil verletzt wird, z.B. wenn ihr Opfer eines Datenlecks werdet. Um diesen Vorgang zu erleichtern, erlaubt die DSGVO Zusammenschlüsse (über zugelassene Vereine) zur Durchsetzung von Schadensersatzansprüchen.
Begrenzung von Datentransfers in Drittländer
Die Artikel 45 bis 50 der DSGVO enthalten extrem restriktive Bedingungen zum Verschieben von Daten in Länder außerhalb der EU. Nur solche Länder sind als Ziel solcher Transfers zulässig, deren Datenschutzbestimmungen von der europäischen Kommission als angemessen eingestuft werden. Für Länder wie Andorra, Argentinien, Kanada, Israel, Neuseeland, die Schweiz und Uruguay wurde eine solche Entscheidung bereits getroffen. Auf Grundlage des Abkommens „Privacy Shield“ wurde auch den USA die Angemessenheit der dortigen Datenschutzbestimmungen bescheinigt. Unilateral verabschiedet, können diese Entscheidungen auch unilateral und unabhängig von internationalen Abkommen wieder zurückgezogen werden.
Wieso sollten sich Unternehmen an die DSGVO halten?
Verletzungen der DSGVO können Unternehmen und Verbände teuer zu stehen kommen. Abgesehen von den Entschädigungen, die Bürger*innen vor Gericht einklagen können, fallen die administrativen Bußgelder zum Teil extrem hoch aus. Bis zu zehn Millionen Euro oder vier Prozent des weltweiten Umsatzes eines Unternehmens können bei Nichteinhaltung der DSGVO anfallen.
Auf Unternehmensseite liegt die flächendeckende Erfüllung der DSGVO auch nach der zweijährigen Übergangszeit in weiter Ferne. Es wird aber auch Zeit brauchen, bis sich die Unionsbürger*innen ihrer neuen Rechte bewusstwerden, was wohl vor allem durch die Arbeit spezialisierter Verbände gelingen wird. Letztlich handelt es sich bei der Datenschutzgrundverordnung jedoch um einen einzigartigen Fortschritt für die Bürger*innen, der ohne die Europäische Union nicht möglich gewesen wäre.
Kommentare verfolgen: |