Ab dem 25. Mai 2018 kommen die neuen Datenschutzregeln der EU zur Anwendung. Hier erfahren Sie, was das für Ihre Rechte als Bürger bedeutet - und warum Experten mit Abmahnwellen rechnen.
1.Was ist die Datenschutz-Grundverordnung?
Die Verordnung soll den Datenschutz in der EU vereinheitlichen und ins Internetzeitalter befördern. Sie ersetzt eine EU-Richtlinie, die noch aus der Frühzeit des World Wide Web stammt, nämlich aus dem Jahr 1995. Der offizielle Name der Datenschutz-Grundverord-nung lautet deshalb auch "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbei-tung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG". Die neue Verordnung gilt nun für alle gleich, während die Richtlinie den Mitgliedstaaten mehr Spielraum ließ.
In 99 Artikeln regelt die neue Verordnung, wie Unternehmen und Behörden, aber zum Beispiel auch Vereine mit personenbezogenen Daten umgehen sollten. Im deutschsprachigen Netz wird über die Verordnung vor allem unter der Abkürzung DSGVO diskutiert, auf Englisch ist der Name General Data Protection Regulation, kurz GDPR, geläufig.
Inhaltlich ist die Verordnung kein kompletter Neuanfang. Vielmehr baut sie auf der bisherigen Richtlinie und den nationalen Gesetzen auf, etwa dem deutschen Bundesdatenschutzgesetz. Auch in der EU-Grundrechtecharta sind Datenschutzrechte verankert, die die Verordnung aufgreift.
2. Was passiert am 25. Mai 2018?
Die DSGVO kommt am 25. Mai 2018 EU-weit zur Anwendung, ihre Vorgaben müssen also fortan komplett umgesetzt werden, sonst drohen Strafen. Bis hierhin war es ein weiter Weg, mit vielen Abstimmungen zwischen den Ländern und regelrechten Lobbyschlachten: Der erste Entwurf der EU-Kommission ist datiert auf den Januar 2012, vorausgegangen waren zwei Konsultationsphasen. Beschlossen wurde die Verordnung vom EU-Ministerrat und dem Europäischen Parlament aber erst im April 2016. In Kraft getreten ist sie bereits im Mai 2016.
3. Was will die EU mit der Datenschutz-Grundverordnung erreichen?
Die DSGVO lässt sich ganz allgemein aus drei Perspektiven betrachten: Wirtschaft, Technik, Verbraucher.
Anders als eine Richtlinie, die erst in nationale Gesetze überführt und dabei durchaus unterschiedlich interpretiert wird, gilt eine Verord-nung unmittelbar in allen Mitgliedstaaten. Zwar ermöglichen sogenannte Öffnungsklauseln den Mitgliedstaaten auch eigene Rege-lungen, aber nur in begrenztem Umfang.
Die technische Perspektive: Ein grundsätzliches Ziel der DSGVO ist es, die veraltete bisherige EU-Richtlinie durch moderne, technik-neutrale Regelungen zu ersetzen. 1995 gab es noch keine so großen sozialen Netzwerke wie Facebook, kein Videostreaming und keine Big-Data-Anwendungen.
Der Grünen-Politiker Jan Philipp Albrecht, der eine wichtige Rolle beim Zustandekommen der Ver-ordnung gespielt hat, ist "sehr zu-versichtlich", dass die Verordnung Datenschutzfragen rund um aktuelle Themen wie Deep Learning oder zukünftige Techniken beant-worten kann. Die nächste grundlegende Reform werde sich die EU "wahrscheinlich erst in 15 oder 20 Jahren vornehmen müssen", sagt er dem SPIEGEL.
Die Verbraucher-Perspektive: Die DSGVO reflektiert, wie viele Daten über jeden einzelnen Verbraucher erhoben, verarbeitet, weiterver-breitet und kommerzialisiert werden. Sie bringt den Nutzern verschiedene neue Auskunfts-, Lösch- und Widerspruchsrechte, die die Posi-tion der Verbraucher stärken.
Das Recht auf Vergessenwerden etwa bedeutet, dass EU-Bürger unter gewissen Umständen die Löschung ihrer personenbezogenen Daten verlangen können, zum Beispiel, wenn die Speicherung nicht länger notwendig ist oder wenn sie unrechtmäßig verarbeitet wurden.
Neu ist zudem das Recht auf Datenportabilität. Es besagt, dass Nutzer eines Onlinedienstes die Herausgabe ihrer personenbezogenen Daten in strukturierter, maschinenlesbarer Form verlangen können, um sie zu einem anderen Anbieter übertragen zu können. Im Auge hatte der Gesetzgeber vor allem soziale Netzwerke. Verschärft wird auch die Auskunftspflicht von Firmen nach einer Datenpanne oder einem Hack.
Kerngedanken der Verordnung sind die Prinzipien "Privacy by Design" und "Privacy by Default" - also Privatsphäre, die schon bei der Entwicklung eines Dienstes oder Produkts berücksichtigt wird und privatsphärefreundliche Voreinstellungen.
4.Wen betreffen die neuen Regeln?
Die DSGVO hat Folgen für jeden, der personenbezogene Daten verarbeitet, also auch für viele Blogger und Betreiber kleiner Websites (siehe Frage 6). Was "personenbezogene Daten" sind und was mit deren "Verarbeitung" gemeint ist, wird definiert: Personenbezogen sind Daten, wenn sie sich direkt oder indirekt auf einen identifizierbaren Menschen beziehen lassen. Namen sind also immer personenbe-zogene Daten. Physische Merkmale wie Geschlecht, Hautfarbe oder Kleidergröße sind personenbezogen, wenn sie einem Menschen zu-geordnet werden können. Das gilt auch für Autokennzeichen und IP-Adressen, soweit es rechtlich zulässige Wege gibt, die zu ihnen ge-hörenden Personen zu ermitteln.
Verarbeitet werden Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, transfe-riert, verknüpft, abgeglichen oder gelöscht werden. Besonders strenge Vorgaben gelten für die Verarbeitung von Daten, aus denen "ras-sische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen" hervorgehen sowie für Gesund-heitsdaten.
Folglich müssen sich viele Institutionen und Firmen - darunter natürlich auch SPIEGEL ONLINE - sowie Einzelpersonen auf die DSGVO einstellen. Das ist eine große Herausforderung, weil die Regelungen der DSGVO sehr allgemein gehalten sind und auch die Experten oft nicht sicher sind, was zukünftig wie erlaubt ist.
Ein Beispiel: Manche, aber nicht alle Rechtsexperten gehen davon aus, dass die DSGVO das Verhältnis zwischen Kunstfreiheit bezie-hungsweise Kunsturhebergesetz und Datenschutz verändert - zum Nachteil von Fotografen. Ihr Szenario: Wer nicht fest angestellt für ein Medium arbeite, sondern zum Beispiel als freier Sport-, Konzert- oder Hochzeitsfotograf, braucht ab dem 25. Mai 2018 die Einwilligung jeder Person, die er fotografiert.
Website-Betreiber müssen, sofern ihre Seite nicht ausschließlich persönlichen oder familiären Zwecken dient, jeden Besucher darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange speichern. Vermieter haben durch die DSGVO ebenfalls neue Schutz-, Dokumentations-, Auskunfts- und Löschpflichten, wie sowohl der Deutsche Mieterbund als auch der Eigentümerverband Haus & Grund Deutschland sagen.
Auch Blogger, Onlineshop-Betreiber, niedergelassene Ärzte und Krankenhäuser, Schulen und Sportvereine müssen bestimmte Anforderungen erfüllen und Maßnahmen ergreifen - und natürlich auch US-Unternehmen wie Google und Facebook, die in der EU tätig sind und deren Geschäftsmodelle auf der Verwertung von Nutzerdaten beruhen. Besonders schwierig wird es künftig für Firmen, deren Dienste sich explizit oder in großem Maße an Minderjährige richten - sie müssen bei Nutzern unter 16 Jahren künftig Einwilligungen der Eltern einholen - oder aufs Speichern von Daten verzichten, so wie es zum Beispiel Snapchat tun will.
Ausgenommen von den Regeln der DSGVO sind übrigens die Daten von Strafverfolgungs- und Justizbehörden, wenn es um die Aufdeck-ung, Verfolgung oder Verhinderung von Straftaten geht. Für diese Daten gilt die ebenfalls neue, zeitgleich verabschiedete EU-Richtlinie für den Datenschutz bei Polizei und Justiz.
5. Was ändert sich durch die Verordnung für normale Internetnutzer?
Grundsätzlich anders wird das Web nach dem 25. Mai wohl nicht sein, zumindest nicht auf deutschen Internetseiten: Einerseits, weil viele Vorgaben des DSGVO in ähnlicher Form schon im bisherigen deutschen Bundesdatenschutzgesetz auftauchen. Andererseits, weil vor allem große Firmen ihre Angebote bereits in den vergangenen Wochen oder Monaten an die Vorgaben angepasst haben - teils abge-stimmt innerhalb der Branche. Vom Berliner Versandhändler Zalando, der viel mit personenbezogenen Daten arbeitet, heißt es beispiels-weise: "Wir stehen in regem Austausch mit anderen Digital-Unternehmen, um sicherzustellen, dass die Datenschutz-Grundverordnung einheitlich interpretiert wird."
Eine der offensichtlichsten Veränderungen, die Nutzern auf fast jeder Website begegnen könnten, dürften überarbeitete Datenschutz-erklärungen und Allgemeine Geschäftsbedingungen (AGB) sein. Viele Dienste haben ihre Kunden darauf auch längst aktiv hingewiesen: mit E-Mails oder Pop-up-Hinweisen in ihren Apps. Von Daimler, die über ihren Carsharing-Anbieter Car2go Leihautos vermitteln, etwa heißt es, die "datenschutzrechtlichen Änderungen in den AGB" seien Car2go-Kunden bereits Anfang April angekündigt worden. Und wei-ter: "Vor Inkrafttreten der Änderungen werden wir alle unsere Kunden zu den Anpassungen unserer Datenschutz- und Einwilligungserklä-rungen nochmals per E-Mail und über unsere App informieren."
Grundsätzlich sollen Online-Datenschutzerklärungen künftig detaillierter und allgemeinverständlicher sein. Das hat jedoch auch einen un-schönen Nebeneffekt: Die Texte werden in vielen Fällen um einiges länger - und damit für den Nutzer unterm Strich vielleicht noch unat-traktiver, als sie es bisher schon waren. Möglich scheint es auch, dass viele Firmen die Informationspflichten der DSGVO anfangs zur Sicherheit wohl eher übererfüllen werden.
Auf die neuen oder gestärkten Rechte, die die DSGVO für Internetnutzer mit sich bringt, werden hingegen wohl wenige Anbieter offensiv hinweisen - denn sie bedeuten für sie zusätzliche Arbeit. So können Bürger bei Unternehmen nun etwa mit einer Standard-Antwortfrist von einem Monat nicht nur anfragen, ob und, wenn ja, welche Informationen über sie dort gespeichert sind, sondern auch, für welchen Zweck und wie lange solche Daten gespeichert werden.
Erhalten Bürger die entsprechende Auskunft nicht oder nicht rechtzeitig - eine Fristverlängerung auf maximal drei Monate ist jedoch mög-lich -, kann man sich bei der Datenschutzbehörde über das Untenehmen beschweren. Eine Vorlage zur "datenschutzrechtlichen Selbst-auskunft" findet sich beim Tech-Magazin "c't" als Word- und Open-Document-Datei.
6. Worauf sollten Blogger und Betreiber kleiner Websites jetzt achten?
Viele Website-Betreiber und Blogger müssen sich mit der DSGVO auseinandersetzen - ansonsten drohen womöglich Abmahnungen. "Wenn ich auf meinem Blog zum Beispiel privat meine Katzen zeige, dann ist das okay, dann gilt die DSGVO für mich nicht", erklärt der Fachanwalt für IT-Recht Joerg Heidrich auf SPIEGEL-Anfrage. "Wenn ich das Gleiche aber als Züchter mache, wenn ich so auch nur indirekt mein Geschäft fördere, verlasse ich schon den rein privaten Bereich und muss auf die DSGVO-Vorgaben achten. Das gilt auch, wenn ich auf meiner Seite irgendwo Werbung oder Affiliate-Links schalte."
Generell gilt: Wer mit seinem Online-Angebot in irgendeiner Form Nutzerdaten verarbeitet (siehe Frage 4) - und sei es, weil etwa Word-press-Plug-ins Nutzerdaten erfassen oder Nutzer in Kommentaren ihren Namen hinterlassen -, der sollte davon ausgehen, von der DSGVO betroffen zu sein. Im Zweifel kann man seine Datenschutzbehörde fragen, ob und welche Vorkehrungen man bis zum 25. Mai treffen muss.
Personen mit Handlungsbedarf rät Anwalt Heidrich, als Erstes die Website selbst DSGVO-fit zu machen - vor allem als Absicherung gegen etwaige Abmahnungen von Mitbewerbern oder Abmahnvereinen. So sollte man sich zum Beispiel einen Überblick verschaffen, welche Plug-ins von Drittanbietern im Hintergrund laufen.
"Nicht dringend gebrauchte Plug-ins oder Social-Media-Buttons (in ihrer Standardform) würde ich jetzt rausschmeißen", sagt Heidrich, "insbesondere dann, wenn offensichtlich ist, dass sie persönliche Daten erheben - und seien es nur IP-Adressen, denn auch die sind persönliche Daten."
Ebenso wichtig sei es, zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website zu haben, die sich von jeder Unterseite aus erreichen lässt. Bei ihrem Aufsetzen könnten Online-Generatoren helfen, sagt Heidrich. Ein Beispiel für einen solchen Generator, der die DSGVO bereits berücksichtigt, finden Sie hier.
Bei nicht selbstgehosteten Angeboten muss zudem eine gesonderte Auftragsverarbeitungs-Vereinbarung mit dem Host-Provider abge-schlossen werden, also jenem Anbieter, bei dem das eigene Blog oder die eigene Website liegt. Ein solches Papier - eine Vorlage findet sich zum Beispiel hier - müsse einem der Anbieter auf Aufforderung übersenden, sagt Joerg Heidrich. Liegt die eigene Seite bei einem US-Hoster, ist es wichtig, dass die Firma am Datenschutzabkommen Privacy Shield (siehe Frage 10) teilnimmt, wie es zum Beispiel Google und Automattic - letzteres Unternehmen steht hinter Wordpress.com - tun.
Nicht vergessen sollte man auch, dass möglicherweise noch ein Verzeichnis der Verarbeitungstätigkeiten rund um die eigene Website erstellt werden muss, etwa nach diesem Muster.
Sollte trotz aller Anpassungen des eigenen Internetangebots dennoch eine Abmahnung mit Bezug auf die DSGVO ankommen, rät Heidrich Betroffenen, sich an einen Anwalt zu wenden: "Sonst kann das unter Umständen richtig teuer werden."
7.Wer kontrolliert, ob die Regeln eingehalten werden?
In jedem EU-Land sollen unabhängige Aufsichtsbehörden über die Umsetzung der Verordnung wachen. In Deutschland sind das die Datenschutzbehörden der 16 Bundesländer und die Bundesdaten-schutzbeauftragte, Andrea Voßhoff (CDU), deren Amtszeit im Februar 2019 endet.
Die Aufsichtsbehörden haben durch die DSGVO das Recht, zum Beispiel von Firmen Informationen einzufordern, die die Kontrolleure für ihre Arbeit benötigen. Dazu dürfen sie auch Ortsbesuche in den Geschäftsräumen machen. Außerdem führen die Behörden Datenschutz-überprüfungen durch und erteilen Zertifizierungen.
Weil viele internationale Konzerne länderübergreifend mit Daten arbeiten, war bislang nicht immer eindeutig, welche Aufsichtsbehörde zu-ständig ist. Das versucht die DSGVO durch das Prinzip des "One Stop Shop zu ändern: Jede Firma soll eine federführende Aufsichtsbe-hörde haben, die für sie zuständig ist. Festgelegt wird das anhand der Hauptniederlassung des Unternehmens.
8. Welche Sanktionen drohen bei Verstößen?
Die DSGVO-Kontrolleure können bei wenig gravierenden Verstößen eine Verwarnung aussprechen und fordern, dass der Missstand in-nerhalb einer Frist behoben wird. Außerdem kann die Datenschutzbehörde dafür sorgen, dass personenbezogene Daten eines Nutzers berichtigt, gelöscht oder in ihrer Verarbeitung eingeschränkt werden - oder dafür, dass eine zuvor erteilte Zertifizierung wieder entzogen wird.
Darüber hinaus kann die DSGVO-Aufsicht Bußgelder verhängen, die deutlich höher sind als bei Verstößen gegen das bisherige Bundes-datenschutzgesetz, bei denen maximal 300.000 Euro Bußgeld drohte. Jetzt können - je nach Schwere des Verstoßes - bis zu 20 Millio-nen Euro fällig werden (Art. 83).
Weil großen Tech-Konzernen auch solche Summen eventuell klein erscheinen, gilt eine Extra-Regel: Sie sieht vor, dass das Bußgeld bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen kann. Es soll immer diejenige Berechnung angewandt werden, die den höheren Bußgeld-Betrag für eine Firma nach sich zieht. Unter Umständen haften Verantwortliche sogar mit ihrem Privatvermögen.
An diese neuen Kompetenzen müssen auch die deutschen Aufseher ihre Arbeit erst noch anpassen. "Die DSGVO verlangt eine verän-derte Arbeitsweise der Aufsichtsbehörden, da Entscheidungen der Aufsichtsbehörden in zusätzlichen Bereichen künftig auch justiziabel sein werden", sagt ein Sprecher der Bundesdatenschutzbeauftragten.
9. Welche Kritik gibt es an den neuen Regeln?
Während viele Verbraucherschützer die DSGVO insgesamt positiv sehen, gibt es auch Widerspruch: Firmen, deren Geschäftsmodell auf personenbezogenen Daten fußt, fürchten um ihre Zukunft. Sie haben - genauso wie Betreiber kleiner Internetseiten - Angst vor der Um-stellungszeit und der damit verbundenen Rechtsunsicherheit.
Die DSGVO ist zwar jahrelang vorbereitet worden, doch an vielen Stellen ist selbst Juristen nicht klar, was die neue Verordnung fordert und wie manche Passagen im Alltag auszulegen sind. Beobachter rechnen damit, dass sich Gerichte bald mit etlichen Streitfällen be-fassen müssen. Da die Verordnung EU-weit gilt, könnten Streitfälle letztlich beim Europäischen Gerichtshof (EuGH) landen, der die finale Entscheidung trifft. Bis zum ersten EuGH-Urteil rund um die DSGVO dürften Jahre vergehen.
Ein Beispiel: In Artikel 6 der DSGVO wird Firmen die Verarbeitung von personenbezogenen Daten erlaubt, wenn dies "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist". Doch welche Interessen von Firmen aber sind berechtigt und welche nicht mehr?
Noch zeigen wird sich, ob nach dem 25. Mai, wie Experten befürchten, neue Abmahnwellen drohen. Niko Härting vom Deutschen Anwalt-verein hält es für denkbar, dass die Auskunftsansprüche der Bürger für massenhafte Abfragen missbraucht werden.
Unklar ist bislang auch, wie gut die Vereinheitlichung der unterschiedlichen Datenschutz-Standards der EU-Mitglieder letztlich funktionie-ren wird. Österreich etwa hat bereits ein "Datenschutz-Deregulierungsgesetz" verabschiedet.
Mit Blick auf Deutschland sorgen sich einige Datenschützer, dass die DSGVO gar keine Verbesserung ist, sondern das Land im Vergleich zum Bundesdatenschutzgesetz vielmehr auf ein EU-weites niedrigeres Datenschutzniveau herunterzieht.
10. In welchem Zusammenhang steht die Verordnung mit Regelungen wie dem Privacy Shield und e-Privacy?
Die DSGVO löst auf EU-Ebene die Datenschutzrichtlinie von 1995 ab. Im Unterschied zu ihr gilt die DSGVO unmittelbar in der gesamten EU. Flankiert werden soll die Neuordnung des EU-Datenschutzes durch die Einführung der sogenannten ePrivacy-Verordnung.
Diese Verordnung soll gewissermaßen den Datenschutz für Endgeräte sichern, ohne dass es zwingend um personenbezogene Daten ge-hen muss. Konkret geht es zum Beispiel um das Nutzer-Tracking auf Websites. Die ePrivacy-Verordnung wird derzeit noch verhandelt. Wann und in welcher Form sie in Kraft tritt, ist daher schwer abzusehen.
Neben der DSGVO und der ePrivacy-Verordnung ist der sogenannte Privacy Shield ein weiteres wichtiges internationales Regelwerk in Sachen Datenschutz. Den Privacy Shield gibt es bereits seit 2016. Er ist ein umstrittenes Konstrukt, das auf das gekippte Safe-Harbor-Ab-kommen folgte. Der "Datenschutzschild" weist geografisch über die EU hinaus und regelt den transatlantischen Datenaustausch zwischen der EU und den USA. Er wird neben der DSGVO weiterexistieren.
Auch in Deutschland muss nationales Recht angepasst werden. Kernstück ist ein auf die Verordnung abgestimmtes neues Bundesdaten-schutzgesetz.
11. Welche Bedeutung hat die Verordnung außerhalb Europas?
Die DSGVO gilt in allen 28 Staaten der EU. Aber die Verordnung dürfte zum Beispiel auch viele amerikanische Tech-Unternehmen be-schäftigen: Dafür sorgt das sogenannte Marktortprinzip. "Unternehmen außerhalb der EU unterliegen der Verordnung, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten", sagt eine Sprecherin des Wirtschafts-ministeriums dazu.
Dass internationale Firmen die neuen EU-Regeln einfach für ihr weltweites Geschäft übernehmen, zeichnet sich derzeit nicht ab. Im Ge-genteil:Facebook etwa wird seine interne Nutzer-Zuordnung aufwendig umschichten, um zu verhindern, dass rund 1,5 Milliarden Face-book-Nutzer aus Afrika, Asien, Australien oder Lateinamerika die Rechte und Klagemöglichkeiten der EU-Bürger gemäß DSGVO bekom-men. Andere Tech-Konzerne planen offenbar ähnliche Maßnahmen.
