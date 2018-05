Seit Langem hat ein neues Gesetz nicht mehr für derart lange Zeit für so viel Gesprächsstoff gesorgt wie sie: die europäische Norm mit dem sperrigen Namen EU-Datenschutzgrundverordnung (EU-DSGVO). In einer Serie beleuchtet die „Schwäbische Zeitung“, was die Verordnung beinhaltet – und welche Auswirkungen sie auf Verbraucher, Unternehmen und Vereine in der Region hat. Im ersten Teil der Serie wird erklärt, was im Text der Verordnung steht, welche Ziele sie hat und was sich ändert.

Was ist die EU-DSGVO eigentlich?

Die EU-DSGVO ist eine Verordnung der Europäischen Union – also ein EU-weites Gesetz, das in allen 28 Mitgliedsstaaten unmittelbar gültig ist. Das 99 Artikel starke Gesetz enthält allerdings einige sogenannte Öffnungsklauseln, die es den einzelnen Staaten ermöglichen, bestimmte Aspekte zu erweitern oder genauer festzulegen. Erklärtes Ziel der EU-DSGVO ist es, die „personenbezogenen Daten“ aller Bürger der EU besser und einheitlicher zu schützen. „Personenbezogene Daten“ sind Daten mit persönlichem Bezug zu einem Menschen (etwa Geburtstag und -ort und Adresse) oder solche mit einem sachlichen Bezug (etwa eine Mitarbeiternummer) zu ihm. In der Verordnung gesondert behandelt sind „besondere Kategorien personenbezogener Daten“: Informationen etwa zu Religion, politischer Präferenz, Gesundheitszustand oder ethnischer Zugehörigkeit. Sie werden durch die Verordnung besonders stark geschützt. Der EU-DSGVO zugestimmt haben das EU-Parlament und – einstimmig – der Ministerrat, also die Regierungen aller Mitgliedsstaaten. In Kraft getreten ist die EU-DSGVO schon am 24. Mai 2016. Anzuwenden und somit in der ganzen EU bindend ist sie ab Freitag, den 25.Mai 2018.

Was soll die EU-DSGVO den Bürgern konkret bringen?

Durch die EU-DSGVO sollen die Rechte von Verbrauchern gegenüber Unternehmen und privaten wie staatlichen Organisationen gestärkt werden. Jede Person soll selbst bestimmen können, welche Unternehmen, Behörden, Verbände und Vereine auf welche Art und wie lange über ihre personenbezogenen Daten verfügen. Das schließt das „Recht auf Vergessenwerden“ ein – also das Recht, seine Daten bei einem Unternehmen komplett löschen zu lassen. Wenn in den folgenden Zeilen von „Unternehmen“ die Rede ist, sind immer auch andere private und staatliche Organisationen gemeint. Die EU-DSGVO legt fest, wer überhaupt welche Daten sammeln darf, wozu die Daten verwendet werden dürfen und welche Rechte die Person hat, um deren Daten es geht. Das Prinzip hinter der EU-DSGVO: Grundsätzlich ist das Sammeln personenbezogener Daten verboten. Erlaubt ist es in der Regel nur, wenn die betroffene Person der Datenerhebung und -verarbeitung eindeutig, freiwillig und wissentlich zustimmt – oder wenn es ein Gesetz erlaubt (das betrifft etwa die Verarbeitung von Daten durch das Finanzamt), wenn die Daten zur Erfüllung von Verträgen nötig sind, wenn sie erforderlich sind, um lebenswichtige Interessen zu schützen oder eine Aufgabe im öffentlichen Interesse zu erfüllen. Die Speicherung und Verarbeitung von Daten ist auch dann erlaubt, wenn dadurch das „berechtigte Interesse“ eines Unternehmens durchgesetzt wird. Dieses Interesse muss aber schwer wiegen – schwerer als die Grundrechte und Grundfreiheiten der Person, um deren Daten es geht. Und das ist eine ziemlich hohe juristische Hürde. Eine einmal erteilte Zustimmung zur Datenverarbeitung kann eine Person jederzeit widerrufen – und kann von Unternehmen Auskunft über die gespeicherten Daten, deren Korrektur und deren Löschung verlangen.

Wie ist die bisherige Rechtslage in Deutschland?

In Deutschland waren die Regeln zum Datenschutz schon vor Anwendung der EU-DSGVO vergleichsweise streng. Seit 1978 gilt das Bundesdatenschutzgesetz (BDSG), das mehrfach verändert worden ist. In seiner jetzigen Fassung setzt das BDSG die Datenschutzrichtlinie der EU aus dem Jahr 1995 in deutsches Recht um. Diese Richtlinie wird nun durch die EU-DSGVO ersetzt, das BDSG legt künftig nurmehr die Ergänzungen zur EU-DSGVO fest. Auch bisher galten in Deutschland drei Grundsätze, die auch das Fundament der DSGVO sind: das grundsätzliche Verbot der Datenerhebung; die Zweckbindung (Daten dürfen nur für den Zweck verwendet werden, für den sie gesammelt wurden); die Datensparsamkeit (es sollen nur die Daten gesammelt werden, die wirklich nötig sind – und solange es wirklich nötig ist). Die Änderungen sind in Deutschland deshalb weniger gravierend als in anderen EU-Staaten.

Was genau ändert sich durch die EU-DSGVO?

Erstens wird durch die DSGVO das Datenschutzrecht europaweit weiter vereinheitlicht. Der freie Verkehr personenbezogener Daten innerhalb der EU wird so erleichtert – und kann nicht mehr mit dem Argument behindert werden, dass unterschiedliche nationale Regelungen gelten. Zweitens gilt nun bei internationalen Datenschutz-Streitigkeiten das Marktortprinzip. Das heißt, EU-Bürger können sich immer auf die EU-DSGVO berufen, wenn sie auf dem Gebiet der EU mit Unternehmen in Kontakt treten. Bisher galt – etwa bei Streitigkeiten mit US-Technologieriesen wie Google und Facebook – das Recht des Landes, in dem das Unternehmen seinen Hauptsitz hatte. Drittens – und das ist auch für europäische Unternehmen eine große Herausforderung – wird beim Datenschutz jetzt die Beweislast umgekehrt. Bisher mussten Verbraucher im Streitfall dem Unternehmen nachweisen, dass es Daten mangelhaft gespeichert oder verarbeitet hatte. Jetzt müssen umgekehrt die Unternehmen belegen, dass sie alles korrekt gemacht haben. Viertens hat jeder Verbraucher nun das Recht darauf, zu erfahren, welche Daten ein Unternehmen über ihn gespeichert hat – und kann die Löschung der Daten verlangen (es sei denn, ein Gesetz steht dem entgegen – wie etwa beim Finanzamt). Aus Änderung drei und vier ergibt sich Nummer fünf: Unternehmen müssen ein geeignetes Datenschutz-Management aufbauen und – mit Ausnahme von Kleinunternehmern – einen Datenschutzbeauftragten benennen. Sechstens – und das macht die EU-DSGVO für Unternehmen besonders brisant – sind die Strafen bei Verstößen deutlich höher als bisher: Sie können maximal 20 Millionen Euro betragen – oder, bei internationalen Großkonzernen, bis zu vier Prozent des weltweiten Jahresumsatzes. Bei Facebook etwa wären aktuell bis zu 1,6 Milliarden Euro Strafe möglich.