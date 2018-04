Bei jedem Klick und jedem Webseitenbesuch hinterlassen Internet-Nutzer Spuren. Daten-Unternehmen stellen aus diesen Informationen persönliche Profile her. In Zukunft wird ihnen das nicht mehr so leicht fallen. © Foto: dpa/Jens Wolf

Igor Steinle

Berlin (MOZ) In einem Monat tritt die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Mit dem „Grundgesetz des Datenschutzes“ beginnt in Europa ein neues Zeitalter des Datenrechts, prophezeien Datenschützer. Was für Verbraucher ein Fortschritt ist, stellt Unternehmen vor große Herausforderungen.

Was ändert sich?

Nutzer müssen fortan einwilligen, bevor ihre personenbezogenen Daten erhoben und weitergegeben werden dürfen. Wenn Nutzer dem nicht zustimmen, darf ihnen die Internet-Dienstlesitung nicht verweigert werden. Die Ausnahme ist, wenn die Daten des Nutzers für die Funktion des Dienstes unentbehrlich sind.

Was sind personenbezogene Daten?

Dazu gehören etwa Name, Adresse, Email-Adresse, Ausweisnummer oder IP-Adresse. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden.

Wie finde ich heraus, ob sich Unternehmen daran halten?

Unternehmen sind verpflichtet, Nutzern auf Wunsch ausführlich darzulegen, welche Daten sie von ihnen besitzen – und an wen sie verkauft wurden. Facebook und Google, die ihre Dienste bereits DSGVO-konform umgestaltet haben, bieten dies schon heute an. So kann man nachvollziehen, ob die eigenen Daten etwa unerlaubt an Dritte weitergegeben wurden.

Was, wenn das der Fall ist?

Hat ein Nutzer das Gefühl, dass Internet-Firmen trotz fehlender Einwilligung Daten weitergeben, kann er dies der zuständigen Landes-Datenschutzbehörde mitteilen. Diese ist verpflichtet, dem möglichen Verstoß nachzugehen. „Wir sind auf mündige Nutzer angewiesen“, sagt der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink. Denn in den meisten Fällen sind die Datenschutzbehörden personell so schlecht ausgestattet, dass sie eher selten von sich aus vorgehen werden.

Was droht den Konzernen bei Verstößen?

Sehr hohe Geldstrafen. Sie können je nach Schwere des Verstoßes bis zu vier Prozent des weltweiten Jahresumsatzes betragen. Bei Facebook, das 2017 einen Umsatz von 40 Millliarden Dollar machte, könnten sich die Bußgelder damit auf 1,6 Milliarden Dollar summieren.

Müssen Konzerne meine Daten auf Wunsch löschen?

Ja, ein „Recht auf Vergessenwerden“ ist vorgesehen. Unternehmen müssen private Informationen auf Verlangen der Nutzer löschen. „Das geht über ein reines Recht auf Löschung hinaus“, erklärt die Datenschutz-Expertin Susanne Dehmel des Digitalverbands Bitkom. Denn Unternehmen müssen das Löschungsersuchen auch jenen Diensten mitteilen, denen sie Daten weitergegeben haben.

Nutzer können ihre Daten auch wieder „mitnehmen“. Was bedeutet das?

Der Wechsel von einem sozialen Netzwerk zu einem anderen soll einfacher werden. In einem „Datenrucksack“ sollen Nutzer ihre Daten deswegen künftig einfacher zu einem anderen Dienst übertragen können. So müsste Facebook etwa auf Wunsch alle Nachrichten, Bilder und sonstige Daten in einem kompatiblen Format an den Nutzer selbst oder einen neuen Anbieter weiterreichen.

Was müssen Firmen und Organisationen beachten?

Künftig müssen Unternehmen ihren Kunden in einfacher Sprache erklären, warum sie welche Daten brauchen und wie lange sie gespeichert werden. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten, müssen zudem einen Datenschutzbeauftragten ernennen. Unabhängig von der Unternehmensgröße sind Betriebe verpflichtet, jeden Prozess zu dokumentieren, in dem personenbezogene Daten verarbeitet werden. Nur so können sie nachweisen, jederzeit datenschutzkonform gehandelt zu haben.

Was ändert sich im Alltag?

Grundsätzlich sollen so wenig Daten wie möglich gesammelt werden – nur jene, die tatsächlich gebraucht werden. Das hat zur Folge, dass viele Unternehmer und Angestellte ihre Kunden- oder Kontaktdatenbanken nicht mehr wie gewohnt führen können. Denn Hotels oder Vertriebsmitarbeiter speichern darin oft Daten wie Geburtstage oder persönliche Vorlieben der Gäste, die über einen reinen Geschäftszweck hinausgehen. „Streng genommen durften sie das auch schon nach dem Bundesdatenschutzgesetz nicht“, erklärt Rechtsanwalt und Datenschutz-Experte Axel Keller. Wegen mangelnder Sanktionsmöglichkeiten war das Gesetz jedoch nahezu wirkungslos.

Darf man das Geschäftshandy weiterhin auch privat nutzen?

Das ist eine Grauzone, die von der Unternehmenspolitik abhängt. Viele verbieten es, weil sie nicht sicherstellen können, ob der Angestellte unsichere Apps herunterlädt. Tatsächlich sind viele Artikel der DSGVO unklar formuliert. Deswegen ist absehbar, dass es zu einigen Rechtsstreitigkeiten kommen wird, bis die Verordnung ausinterpretiert ist. Die können sich bis zum Europäischen Gerichtshof ziehen.

Drohen nun Abmahnwellen?

„Es gibt Kollegen, die warten schon auf den 25. Mai“, sagt Keller. Abmahnanwälte würden vor allem nach Unternehmen fahnden, die auf ihren Webseite keine Datenschutzerklärung veröffentlicht haben. Keller befürchtet außerdem, dass Datenschutz-Mängel in Streitigkeiten von Mitarbeitern als Druckmittel benutzt werden könnten.

Warum die Reform?

Datenschutz war in Europa bisher überall anders geregelt. In den meisten Ländern wurde die Gesetzgebung nicht den Herausforderungen gerecht, vor die sie das Internet und weltweit agierende Daten-Konzerne wie Amazon und Google stellen. Zudem konnten Datenkraken wie Facebook sich diesen Flickenteppich zu Nutze machen: Indem das soziale Netzwerk seinen Europa-Sitz in Irland ansiedelte, galten für das Unternehmen europaweit lediglich die laxen Datenschutz-Regeln der Iren. Damit hat es nun ein Ende.