EU-Datenschutz-Grundverordnung

Einheitlicher Schutz in ganz Europa

Ab 25. Mai gilt ein neues Datenschutzrecht. Dies bedeutet - besseren Schutz persönlicher Daten, europaweit auf gleichem Niveau. Die Wirtschaft kann von mehr Wettbewerbsgleichheit profitieren. Die neuen Regeln bringen auch Umsetzungsaufwand. Die Bundesregierung plant zeitnah eine Evaluation der Grundverordnung.

Datenschutz

Ab dem 25. Mai 2018 kommen die neuen Datenschutzregeln der Europäischen Union zur Anwendung.

Foto: Bundesregierung

Das neue Recht behält grundlegende Prinzipien der alten Datenschutz-Regelungen bei. Unternehmen und Behörden sollen nach wie vor:

  • so wenige personenbezogene Daten wie möglich erheben.
  • transparent machen, was mit den Daten geschieht und nur so lange wie notwendig speichern.
  • personenbezogene Daten nur verarbeiten, wenn eine Einwilligung des Betroffenen vorliegt oder in gesetzlich vorgesehenen Fällen.
  • Daten nur weiterverwenden, wenn dies mit dem ursprünglichen Zweck der Erhebung vereinbar ist.

Für wen gelten die neuen Regelungen?

Die neuen Regelungen gelten nicht nur für Unternehmen in Europa. Alle Unternehmen, die Waren und Dienstleistungen in der EU anbieten, müssen sie einhalten. Das gilt auch dann, wenn Unternehmen mit Sitz in der EU Daten innerhalb Europas erfassen, sie aber anderswo verarbeiten.

Bei Verstößen gegen das europäische Datenschutzrecht drohen – als letztes Mittel – Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Strafverfolgungsbehörden erhalten zudem mehr Befugnisse bei Rechtsverstößen.

Was bringt das neue Recht für Verbraucher?

Das neue Datenschutzrecht stärkt den Schutz der Privatsphäre und die Kontrolle über die eigenen Daten. Verbraucher haben das Recht auf:

Information: Betroffene sind nicht nur bei der erstmaligen Erhebung ihrer Daten, sondern bei jeder Weiterverarbeitung zu einem anderen Zweck aktiv, klar und verständlich zu informieren. Und zwar auch darüber, wie lange die Daten gespeichert werden, wer die Empfänger sind und ob sie in Länder außerhalb der EU übermittelt werden. Werden die Daten bei Dritten erhoben, muss auch die Herkunft klar sein. Unternehmen müssen durch geeignete technische und organisatorische Maßnahmen personenbezogene Daten schützen. Ereignen sich dennoch Datenschutz-Verstöße – etwa durch Datenlecks oder Hackerangriffe – müssen sie ihre Nutzer unverzüglich darüber informieren. Unter bestimmten Bedingungen müssen sie einen Datenschutzbeauftragten benennen. So etwa, wenn das Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf.

Einwilligung: Unternehmen oder Behörden dürfen persönliche Daten, wie Name, Adresse, E-Mail-Adresse oder Ausweisnummer grundsätzlich nur erheben, wenn die Betroffenen zustimmen. Ohne Zustimmung ist dies nur in eng begrenzten Fällen zulässig. Etwa wenn ein Vertragsabschluss persönliche Daten erfordert. Dies ist an sich nicht neu. Künftig ist es aber notwendig, die Zwecke der Datenverarbeitung noch genauer zu benennen und verständliche Formulierungen zu verwenden.

Bei Kindern und Jugendlichen unter 16 Jahren müssen die Eltern der Datenverarbeitung zustimmen.

Auskunft: Sie muss grundsätzlich kostenfrei und innerhalb eines Monats in klarer und einfacher Sprache gegeben werden. Betroffene haben Anspruch auf eine unentgeltliche Kopie der verarbeiteten Daten.

Widerspruch: Man kann grundsätzlich seine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit und ohne Begründung widerrufen. Zudem hat man das Recht, der Datenverarbeitung zum Zweck der Direktwerbung jederzeit zu widersprechen.

Vergessenwerden: Betroffene können ihre Daten korrigieren oder löschen lassen - unter bestimmten Voraussetzungen. Etwa, wenn die Daten für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden. Hat die verantwortliche Organisation personenbezogene Daten veröffentlicht, muss sie bei einer Lösch- oder Korrekturverpflichtung andere Nutzer dieser Daten darüber informieren. Beispiel: Man hat einen berechtigten Löschanspruch, weil die Datenverarbeitung rechtswidrig war. Dann müssen auch Betreiber von Suchmaschinen Verweise und Links auf diese Daten entfernen.

Datentransfer: Beim Wechsel zu einem neuen Anbieter kann man die zur Verfügung gestellten persönlichen Daten "mitnehmen". Ein Wechsel wird dadurch deutlich erleichtert. Der bisherige Anbieter muss die Daten in einem standardisierten maschinenlesbaren Format aushändigen; der neue Anbieter muss sie in sein System übernehmen. Man kann vom alten Anbieter auch verlangen, dass er die Daten direkt dem neuen Anbieter zur Verfügung stellt.

Beschwerde: Unternehmen müssen ihre Kundinnen und Kunden über deren Beschwerderecht bei der Datenschutzbehörde informieren. Wer einen Verstoß gegen die Datenschutzregeln befürchtet, sollte sich zunächst an das Unternehmen wenden. Ist die Antwort unzureichend, kann man sich künftig immer an eine deutsche Datenschutzbehörde wenden – auch wenn das Unternehmen in einem anderen EU-Staat niedergelassen ist. Das ist in der Regel die Landesdatenschutzbehörde des jeweiligen Bundeslandes.

Was bringt das neue Recht den Unternehmen?

Wie jede Neuregelung führt auch das neue Datenschutzrecht zu einem gewissen Umsetzungsaufwand. Es bietet für Unternehmen aber auch eine Reihe von Chancen.

Ein Kontinent, ein Recht: Ein einheitliches Regelwerk, statt wie bisher 28, erleichtert Unternehmen die Geschäftstätigkeit in der EU, beseitigt Wettbewerbsverzerrungen und kann unter anderem Rechtsanwalts- und Beratungskosten sparen.

Eine zentrale Anlaufstelle: Unternehmen haben sich nur noch an eine einzige Aufsichtsbehörde zu richten. Geschäfte zu tätigen, wird einfacher und günstiger.

Vorteile auch für Kleine: Für KMU ergeben sich neue Marktchancen. Verbraucher können vom alten Anbieter verlangen, dass er Daten direkt einem neuen Anbieter zur Verfügung stellt. KMU können somit auf Daten zugreifen, die bislang in der Hand großer digitaler Konzerne waren.

Datenschutzbeauftragte: KMU sind nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen – es sei denn, die Datenverarbeitung ist ihr Kerngeschäft. Die Aufgabe kann auch ein ad-hoc hinzugezogener Berater übernehmen.

Schutz gegen Missbrauch: Wenn Anträge auf Zugang zu den Daten offensichtlich unbegründet oder unverhältnismäßig sind, können KMU Gebühren für die Bereitstellung des Zugangs verlangen.

Meldepflicht entfällt: KMU sind nicht verpflichtet, Verletzungen des Schutzes personenbezogener Daten zu melden, sofern diese kein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen.

Wer sind die Ansprechpartner?

Für Unternehmen, Verbände und Vereine halten die Aufsichtsbehörden eine Vielzahl von Hilfestellungen für die Umsetzung der neuen Regelungen bereit. Hier bieten auch die Datenschutzaufsichtsbehörden der Länder umfassende Hilfe an, weil diese für die Auslegung und Kontrolle der datenschutzrechtlichen Vorschriften im nicht-öffentlichen Bereich zuständig sind. Ein Beispiel, die Handreichungen für kleine Unternehmen und Vereine des Bayerischen Landesamts für Datenschutzaufsicht. Kleine und mittlere Unternehmen können sich auch an ihre jeweiligen Wirtschaftsverbände richten.

Verbraucherinnen und Verbraucher sind von den Verantwortlichen klar und verständlich über die neuen Datenschutzregelungen zu informieren. Auch für sie gibt es eine Vielzahl von Informationsmöglichkeiten. Bei Fragen können sie sich an Verbraucherorganisationen und die Datenschutzbeauftragten wenden.

Beitrag teilen
Schlagwörter