Neue Datenschutzregeln treten EU-weit in Kraft

Ab Freitag gelten in der Europäischen Union neue Regeln für den Datenschutz. Ziel ist, ein einheitliches Datenschutzrecht innerhalb der EU zu erreichen. Die Grundsätze der Verordnung zur Datenverarbeitung gleichen denen des Bundesdatenschutzgesetzes: Rechtmäßigkeit, Zweckbindung, Datenminimierung und Datensparsamkeit, Richtigkeit, zeitliche Beschränkung der Speicherung, Integrität und Vertraulichkeit sowie eine Rechenschaftspflicht der Verantwortlichen für die Einhaltung dieser Grundsätze.

Kunden und Nutzer bekommen Möglichkeiten, gegen Missbrauch vorzugehen. Bei Verstößen drohen den Verursachern hohe Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes.

Fortan gibt es auch ein Recht auf Vergessenwerden, um etwa Jugendsünden aus dem Netz zu entfernen. Firmen oder Behörden müssen Daten über Betroffene löschen, wenn diese das fordern – und es keine rechtlichen Gründe gibt, sie weiter zu speichern.

Darüber hinaus haben Verbraucher künftig das Recht, ihre Daten wie Nachrichten oder Bilder von einem Anbieter zum anderen mitzunehmen.

Einige Neuerungen

Enthalten sind Neuerungen in Bezug auf die rechtlichen Grundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Die Daten dürfen auch weiterhin verarbeitet (Art. 6 DSGVO) werden, wenn eine Einwilligung vorliegt. Das Mindestalter soll dabei bei 16 Jahren liegen, es sei denn, einzelne Staaten senken die Altersgrenze auf bis zu 13 Jahre ab. Zum anderen muss die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich sein.

Im Abs. 4 gibt es jedoch auch eine Regelung, „nach der Daten später auch zu Zwecken verarbeitet werden dürfen, die nicht dem ursprünglichen Zweck der Erhebung entsprechen. Dies ist aber nur dann zulässig, wenn die Verarbeitung mit dem ursprünglichen Erhebungszweck kompatibel ist. Hierzu zählt ausdrücklich die Nutzung zu statistischen Zwecken. Allerdings müssen die Betroffenen darüber informiert werden“, wie „wbs-law“ schreibt.

Welche Daten dürfen grundsätzlich nicht gespeichert werden?

So gibt es Daten, die grundsätzlich nicht gespeichert werden dürfen. Dazu gehören Daten,„aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen.“ („wbs-law“)

Darunter fallen auch biometrische Daten (Fingerabdruck, Stimmerkennung…). Diese Kategorien sind umfangreicher als im Bundesdatenschutzgesetz.

Der vollständige Gesetzestext ist hier zu finden. Dort ist geregelt, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein sollen. Die Praxis wird zeigen, inwieweit die mittelständischen Unternehmen durch Kontrollen und Sanktionen abgehalten werden, ihrer eigentlichen Arbeit nachzugehen.

Gilt für Unternehmen, wenn sich ihre Angebote an EU-Bürger richten

Auch wenn viele Aspekte der DSGVO keine umfassenden Änderungen beinhalten, so befürchten manche Unternehmen durch die europäische Einheitslösung verstärkte Kontrollen und Nachfragen.

Die europäischen Datenschutzgrundverordnung gilt auch für Unternehmen, die ihren Sitz nicht in der EU haben – wenn sich ihre Angebote aber an EU-Bürger wenden. Damit gelten diese auch für Unternehmen wie Facebook, Amazon und Google. (afp/ks)