Datenschutz-Grundverordnung Darauf müssen Sie sich bis zum Stichtag am 25. Mai einstellen

Montag, 05. Februar 2018
Ab 25. Mai ist der Umgang mit persönlichen Daten EU-weit neu geregelt
Ab 25. Mai ist der Umgang mit persönlichen Daten EU-weit neu geregelt
© Fotolia / Tomasz Zajda

Stichtag 25. Mai: An diesem Tag tritt die Datenschutz-Grundverordnung in Kraft - und trifft die Digitalwirtschaft in besonderem Maße. Schon hier - und nicht erst in der aktuell sehr viel mehr gefürchteten E-Privacy-Verordnung - ist unter anderem die aktive Zustimmung der Nutzer zur Datenverarbeitung geregelt. Die Auswirkungen der neuen Datenschutzregeln sind dementsprechend enorm. Wir geben einen Überblick über die zentralen Änderungen und die Probleme, die zu lösen sind.

Um was geht es?

Die Datenschutz-Grundverordnung (EU-DSGVO) gilt als eines der wichtigsten Gesetze des 21. Jahrhunderts. In Kraft getreten ist das Mammutprojekt der Europäischen Union bereits im Mai 2016. Seitdem befinden sich Unternehmen in der zweijährigen Übergangszeit, in der sie sämtliche Prozesse der Datenverarbeitung an die neuen Regeln anpassen müssen. Die DSGVO gilt dabei sowohl für Unternehmen, die ihren Sitz in einem EU-Mitgliedstaat haben, als auch für nicht-europäische Häuser. Das heißt: Auch Google, Facebook und andere Tech-Größen sind betroffen, zumindest theoretisch. Praktisch gibt es unter den Paragrafen schon jetzt zahlreiche sogenannte „Öffnungsklauseln“, die nationale Regelungen zulassen, etwa zu den Aufgaben von Datenschutzbeauftragten. Dass die US-Unternehmen mit ihren monopolartigen Diensten zudem bereits über die unmittelbare Nähe zum Nutzer verfügen, dem sie Betriebssystem, E-Mail, soziales Netz oder Shoppingplattform zur Verfügung stellen und im Gegenzug dafür Zustimmungen und Daten von ihm einholen, ist ebenfalls kein Geheimnis. Schon allein aus diesem Grund ist die DSGVO höchstens ein erster Schritt in Richtung einheitlicher Regulierung, mehr nicht. Für alle Unternehmen gilt: Die Übergangszeit endet am 25. Mai 2018. An diesem Tag tritt die neue Verordnung offiziell in Kraft und ist bindend. Toleranzschwellen für Unternehmen, die die Umstellung verpasst haben, sind nicht vorgesehen. Bisherige Einwilligungen von Nutzern bleiben nur dann gültig, wenn sie der neuen DSGVO entsprechen.

Datenschutzprinzipien

Der Mai macht aber nicht alles neu. Die bisherigen Eckpfeiler des Datenschutzes wie Zweckbindung, Transparenz und Datenminimierung bleiben in der neuen DSGVO erhalten. Darauf aufbauend beschreibt Artikel 5 sieben Grundprinzipien für die Datenverarbeitung, darunter das „Verbot mit Erlaubnisvorbehalt“ (Jede Nutzung personenbezogener Daten ist verboten, außer wenn  sie per Gesetz erlaubt wurde), die „Datenminimierung“ (Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das notwendige Maß beschränken) und „Integrität und Vertraulichkeit“ (Daten müssen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden). Diese Prinzipien werden in Artikel 25 durch die Konzepte „Privacy by Design“ (Datenschutzmaßnahmen müssen demnach bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden) und "Privacy by Default“ aufgestockt. Letzteres enthält Zündstoff. Das Prinzip bezieht sich auf die Voreinstellungen von Geräten, Online-Plattformen und Web-Browsern, die vom Start weg  datenschutzfreundlich konfiguriert sein müssen. Der private Modus von Mozillas Firefox, der sowohl Tracking als auch Werbung blockiert, ist bereits ein Vorläufer dieser Regelung, die zudem für mobile Browser gelten soll.

Strafen

Mit der DSGVO tritt zugleich ein Bußgeldkatalog in Kraft, der es in sich hat. Unternehmen, die gegen die ab 25. Mai 2018 verbindlichen Regelungen verstoßen, müssen sich auf Strafen von bis zu 10 Millionen Euro beziehungsweise bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres einstellen. Bei einem Verstoß gegen die Betroffenenrechte, also beispielsweise gegen das Auskunftsrecht und die Informationspflicht des Nutzers, droht ein noch höheres  Bußgeld von bis zu 20 Millionen Euro beziehungsweise bis zu 4 Prozent des gesamten Jahresumsatzes. Stand heute soll die Verhängung einer Geldbuße bei Verstößen gegen die DSGVO der Regelfall sein – einfache  Verwarnungen dagegen sind die Ausnahme.

Und E-Privacy?

Die E-Privacy-Verordnung ist Teil der DSGVO und sollte ursprünglich gleichzeitig mit ihr in Kraft treten. Im Fokus steht hier vor allem der Schutz personenbezogener Daten bei der elektronischen Kommunikation beziehungsweise bei der Internetnutzung, der adäquat zur DSGVO  vereinheitlicht werden soll. In ihrer heutigen Form würde die E-Privacy-Verordnung das Verarbeiten personenbezogener Daten grundsätzlich verbieten, wenn ein Nutzer nicht ausdrücklich seine Zustimmung (Opt-in) erteilt. Wegen massiven Protesten, unter anderem aus der Digitalwirtschaft, wird das Regelwerk derzeit noch im Europäischen Rat verhandelt. Wann die E-Privacy-Verordnung kommt, ist aktuell also unklar. Dass sie kommt, ist gewiss. kan
HORIZONT Newsletter Vor 9 Newsletter

Der Wake-Up Call der Branche

 


Meist gelesen
stats