Warum kommen die neuen Regeln jetzt?

Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 – und sind ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor mehr als zwei Jahren haben sich EU-Staaten und Parlament auf die sogenannte Datenschutz-Grundverordnung geeinigt, an die sich nun jeder halten muss.

Was regelt die neue Verordnung?

Im Kern soll die Verarbeitung personenbezogener Daten etwa durch Unternehmen, Organisationen oder Vereine geregelt werden. Dazu gehören Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse. Wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme – ist egal. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Die neuen Regeln gelten auch für Unternehmen, die außerhalb der EU sitzen, ihre Dienste aber hier anbieten. Deshalb sind Internetriesen mit US-Sitz wie Facebook oder Google davon betroffen.

Was ändert sich für Verbraucher?

Das Versprechen ist: EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen. Zum Beispiel wird ihnen künftig ein „Recht auf Vergessenwerden“ zugestanden. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes: Kunden könnten etwa erfahren, wie oft sie die Karte verwendet haben, bei welchen Supermärkten sie eingekauft haben, und ob der Supermarkt die Daten an eine Tochter weitergegeben hat. Außerdem bekommen Internetnutzer mehr Kontrolle über ihre persönlichen Daten. Wechseln sie von einem Anbieter zum anderen, können sie E-Mails, Fotos oder Kontakte mitnehmen. Zudem müssen Verbraucher über Datenschutz-Verstöße – etwa durch Datenlecks oder Hackerangriffe – informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden.

Und wie soll das durchgesetzt werden?

Ab sofort drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nach dem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden. Über mögliche Verstöße können sich die Verbraucher künftig bei den nationalen Datenschutzbehörden oder dem neuen EU-Datenschutzausschuss beschweren.

Was müssen Unternehmen und andere Organisationen beachten?

Grundsätzlich dürfen nur Daten erhoben werden, die tatsächlich gebraucht werden. Und sie müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist. Zudem dürfen die Daten nicht länger gespeichert werden, als sie gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen.