Deine Daten gehören dir! Das ändert sich mit dem neuen EU-Datenschutz
Die Aufregung ist groß. Am 25. Mai kommt das neue EU-Gesetz zum Datenschutz. Die 11 wichtigsten Fragen zur neuen Datenschutzgrundverordnung (DSGVO):
Muss das gerade jetzt sein?
Es muss. Die alte EU-Regelung stammen aus dem Jahr 1995, das Internet war damals noch neu, an Facebook und Instagram oder Airbnb nicht einmal zu denken. Nun macht sich Europa auf den Weg ins Digitalzeitalter. Und schafft neue Fakten. Im Gegensatz zur alten Richtlinie ist die neue Datenschutzregelung eine Verordnung, das heißt: Sie gilt unmittelbar als nationales Gesetz; in allen 28 Mitgliedstaaten der EU. Und darüber hinaus.
Wer muss sich eigentlich an die neuen Regeln halten?
Alle, die in der EU mit personenbezogenen Daten umgehen. Von Vereinen, die Adresslisten pflegen, über Verbände, die einen Newsletter verschicken, bis hin zu großen Unternehmen mit ihren gewaltigen Datenbergen. (Firmen mit mehr als 250 Mitarbeitern brauchen künftig sogar einen eigenen Datenschutzbeauftragten.)
Doch, was nützen die besten Regeln, wenn sich Unternehmen nicht daran halten müssen, weil sie zwar Daten in der EU sammeln, aber außerhalb Europas sitzen wie zum Beispiel Airbnb? Die neuen Regeln legen auch das fest: Wer auf dem Markt in der EU Geschäfte macht, muss sich auch an Europas Datenschutzstandards halten. Juristen sprechen vom Marktortprinzip.
Und worum geht's eigentlich?
Um personenbezogene Daten. Das sind alle Daten, die dich eindeutig indentifizierbar machen. Neben Name, Adresse und Geburtsort sind das auch IT-Adressen oder Mailadresse.
Was hab' ich davon?
Die Auskunftspflicht wird strenger geregelt. Welche Daten hat Facebook über mich gesammelt? Was weiß meine Bank? Was die Fluglinie? Künftig kann jeder bei Unternehmen nachfragen, welche Daten
dort über ihn erfasst sind. Die Firmen sollen binnen vier Wochen antworten.
Generell gilt: Daten sollen
so kurz wie möglich gespeichert werden.
die Speicheraktion muss angemessen sein
wird der Server eines Unternehmens gehackt, müssen die Kunden binnen 72 Stunden
über den Datenklau informiert werden.
Und warum krieg ich jetzt so viele Mails mit der AGB-Gedöns?
Allgemeine Geschäftsbedingungen (AGBs) zählen zu den am wenigsten gelesenen Texten. Das wird sich auch künftig wohl nicht ändern. Die neue Regelung schreibt nun eine aktive Einwilligung vor. Wichtig etwa für Datentracking via Cookies. Auch muss der User künftig zustimmen. Und zwar aktiv. Neu ist also die eindeutige Einwilligung.
Was passiert, wenn du den Anbieter wechselst?
Playlist? Adressdatei? Fitnessband? Cloud Daten? Künftig gilt: Meine Daten gehören mir. Und ich kann sie mitnehmen, wenn
ich einen Anbieter wechsle. Und zwar in einem gängigen Datenformat. Juristen reden in ihrer unnachahmlichen Sprache von Übertragbarkeit oder Daten-Portabilität.
Und meine Fotos auf Facebook und Instagram?
Juristisch knifflig. Sind auch Bilder personenbezogene Daten? Darüber streiten Datenschützer und Juristen. Generell gilt:
- Für private Fotos von privaten Feiern ist eine Zustimmung nicht erforderlich.
- Auch von Passanten, die auf meinem Foto im Hintergrund zu sehen sind und nicht eindeutig identifizierbar, brauche ich kein Okay.
- Strittig sind andere Szenen, auf denen Menschen eindeutig zu erkennen sind. Für Großveranstaltungen wie Konzerte, Turniere etc. gehen die meisten Juristen von einem "berechtigten Interesse" aus. Fotos können also ins Netz gestellt werden. Für alle anderen Fälle gilt wie für Pressefotografen die bisher schon strengen Regeln des Urheberrechts und Rechts am Bild.
Was ist mit unliebsamen Netzeinträgen?
Früher war das alles sehr einfach. Es gab einen Rechner und eine Festplatte und noch kein Internet. Daher genügte ein einziger Befehl: Delete *.* lautete der Befehl, der einst aus Bits und Bytes ein digitales Nichts machte. Im Zeitalter von Google, Bing und Facebook ist das anders. Im Netz verschwindet nix.
Vor vier Jahren hatte der Europäische Gerichtshof (EuGH) in Luxemburg bereits ein Recht auf Vergessen festgeschrieben. Geklagt hatte der Spanier Mario Costeja Gonzalez. Eine Annonce, dass sein Haus einst zwangsversteigert wurde, fand sich auch mehr als ein Jahrzehnt später noch in der Liste der Google-Treffer. Damit ist nun Schluss. Das Netz lernt vergessen. Und die EU lernt dazu. In der neuen Regelung ist festgeschrieben, dass andere Anbieter über den Löschwunsch informiert werden müssen, wenn die Daten weitergereicht wurden. Vom Recht auf Vergessen sprechen Juristen,
Wie ist das mit dem Netz für Kinder?
Personenbezogene Daten dürfen laut neuem Gesetz erst verarbeitet werden, wenn der User 16 ist. Whatsapp setzte das Mindestalter gleich auf 16 Jahre fest, Facebook testet einen Link zur Seite der Eltern. Da wird also in der Praxis noch experimentiert.
Mir passt die ganze Richtung nicht: Und wo kann ich mich beschweren?
Der Österreicher Max Schrems musste in Irland vor Gericht ziehen, um an seine Facebookdaten zu kommen. Der Grund: Die Europazentrale von Facebook sitzt in der irischen Hauptstadt Dublin. Mit der neuen EU-Regelung wird das anders. In Datenschutzfragen kann sich künftig jeder EU-Bürger an die Datenschutzbehörden in seinem Land wenden, die klären den Fall, egal, wo das Unternehmen in der EU seine Europazentrale hat. Von One-Stop-Shop reden die Experten, heißt nix anderes als: ein einziger Ansprechpartner für dich in der gesamten EU. Und hier geht's zu den Datenschutzbehörden.
Das wird teuer! Und wenn sich Facebook & Co nicht an die Regeln halten?
Datenschutzregeln gab es bisher schon. Nur hatte es kaum Folgen, wenn Facebook mit Cambridge Analytica kumpanierte. Außer moralischer Empörung mit vielen Ausrufezeichen!!!
Künftig wird es teuer!!! Es droht ein hohes Bußgeld. Bis zu vier Prozent des weltweiten jährlichen Umsatzes muss ein Unternehmen zahlen, wenn es gegen die neuen Regeln verstößt. Bei Facebook mit einem jährlichen Umsatz (2017) von rund 34 Milliarden Euro wären das 1,3 Mrd. Euro.