Recht auf Vergessen und Datenmitnahme

Noch 100 Tage sind es, bis ab 25. Mai in der Europäischen Union neue Regeln für den Datenschutz gelten. Für die Verbraucher bedeutet das mehr Rechte, für die Unternehmen mehr Aufwand. Viele Regelungen der EU-Verordnung gibt es im deutschen Datenschutzrecht schon. Neu sind aber etwa die Rechte auf Vergessenwerden oder zur Datenmitnahme.

Wenn noch Jugendsünden im Netz unterwegs sind, die Betroffene gerne loswerden möchten, haben sie nun das sogenannte Recht auf Vergessenwerden: Firmen oder Behörden müssen die Daten über einen Menschen löschen, wenn dieser das fordert – und es keine rechtlichen Gründe gibt, sie weiter zu speichern. Informationsfreiheit kann ein Löschungshindernis sein, etwa wenn ein Politiker frühere Fehltritte vertuschen möchte.

Personenbezogene Daten dürfen zu anderen Netzwerken mitgenommen werden

Verbraucher haben ab Mai das Recht, ihre personenbezogenen Daten zu einem anderen Dienst mitzunehmen, etwa von einem sozialen Netzwerk zu einem anderen. Die Firmen müssen die Daten entweder dem Verbraucher maschinenlesbar aushändigen oder direkt an die neue Firma schicken.

Wenn die eigenen Daten von einer Panne oder einem Hackerangriff betroffen waren, müssen die Firmen das den Verbrauchern binnen 72 Stunden melden – außer der Vorfall führte „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten“ der Betroffenen.

Wer darüber hinaus wissen will, was die Firmen oder Behörden mit den eigenen Daten anstellen, hat Anspruch auf mehr Informationen. Dazu gehören etwa Zweck und Dauer der Datenspeicherung sowie die Weitergabe an andere Stellen. Beobachter gehen davon aus, dass in der Praxis die bestehenden und oftmals ignorierten Datenschutzbelehrungen einfach um einige Seiten verlängert werden.

Eltern haben mehr Rechte

Grundsätzlich brauchen Unternehmen eine Einwilligung, damit sie personenbezogene Daten verarbeiten dürfen. Mit der neuen Verordnung wird erstmals geregelt, dass es für Kinder einer vorherigen Zustimmung der Eltern bedarf.

In Deutschland liegt die Altersgrenze bei 16 Jahren. Wie die Firmen nun bei Jüngeren überprüfen wollen, ob die Eltern einer Nutzung des Diensts zustimmen, ist bislang offen.

Unternehmen sollen datenschutzfreundlich arbeiten

Unternehmen und Behörden müssen bei ihren Anwendungen von Anfang an den Datenschutz mitdenken und die Grundeinstellungen der Dienste datenschutzfreundlich gestalten. Wenn sich bei neuen Anwendungen Risiken für die Datensicherheit abzeichnen, müssen die Firmen den zuständigen Datenschutzbeauftragten informieren. Der kann die Datenverarbeitung sogar komplett untersagen.

Außerdem müssen sie den regelungskonformen Umgang mit den Daten dokumentieren und im Zweifelsfall vor Gericht nachweisen können. Bedeutsam vor allem für US-Konzerne wie Facebook und Google ist, dass künftig die nationale Auslegung der Datenschutz-Verordnung in jedem Land für sie gilt – nicht wie früher nur die am Unternehmenssitz.

Verstoßen sie gegen Datenschutzvorschriften, kann es künftig teuer werden: Die Geldbußen können bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweiten Jahresumsatzes betragen. (afp)