Das neue Datenschutzrecht sorgt für einen stärkeren Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten und mehr Befugnisse für Strafverfolgungsbehörden bei Rechtsverstößen. Die Verordnung gilt für die ganze EU und sichert somit ein einheitliches Datenschutzniveau für alle Mitgliedsstaaten.

Sie löst die bisher geltende Datenschutzrichtlinie von 1995 ab und behält grundsätzliche Prinzipien bei. So die Grundsätze der "Zweckbindung", der "Datenminimierung" und der "Transparenz". Das heißt: Unternehmen und Behörden dürfen Daten nur weiterverwenden, wenn dies mit dem ursprünglichen Zweck der Erhebung vereinbar ist. Es sind so wenige personenbezogene Daten wie möglich zu erheben, die nicht länger gespeichert werden dürfen, als notwendig. Die "Datenverarbeiter" müssen transparent machen, was mit den Daten geschieht.

Die Regelungen im Einzelnen

Auf dieser Grundlage gibt es für Verbraucherinnen und Verbraucher erhebliche Verbesserungen:

Recht auf Information: Betroffene sind nicht nur bei der erstmaligen Erhebung ihrer Daten, sondern bei jeder Weiterverarbeitung zu einem anderen Zweck aktiv sowie klar und verständlich zu informieren. Ebenso darüber, wie lange die Daten gespeichert werden, wer die Empfänger sind und ob sie in Länder außerhalb der EU übermittelt werden. Wenn die Daten bei Dritten erhoben werden, muss auch die Herkunft klar sein.

Recht auf Auskunft: Betroffene erhalten ein umfangreiches Auskunftsrecht. Es ist grundsätzlich kostenfrei. Die Antworten haben innerhalb eines Monats in klarer und einfacher Sprache zu erfolgen. Ebenso besteht das Recht, eine unentgeltliche Kopie der verarbeiteten Daten zu erhalten.

Einwilligung: Unternehmen oder Behörden dürfen persönliche Daten, wie Name, Adresse, E-Mail-Adresse oder Ausweisnummer grundsätzlich nur erheben, wenn die Betroffenen dem zustimmen. Die Verarbeitung bzw. die Weiterverwendung personenbezogener Daten ohne Zustimmung des Betroffenen ist nur in eng begrenzten Fällen zulässig. Dies ist an sich nicht neu. Künftig ist es aber notwendig, die Zwecke der Datenverarbeitung noch genauer zu benennen und verständliche Formulierungen zu verwenden.

Haben Kinder das 16. Lebensjahr noch nicht vollendet, müssen Eltern der Datenverarbeitung zustimmen. So sind etwa Facebook oder WhatsApp zukünftig erst ab 16 nutzbar, wenn Eltern bei jüngeren Kindern nicht zustimmen.

Recht auf Widerspruch: Personen können grundsätzlich ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten jederzeit und ohne Begründung widerrufen. Zudem haben sie jederzeit das Recht, der Datenverarbeitung zum Zweck der Direktwerbung zu widersprechen.

Recht auf "Vergessenwerden": Unter bestimmten Voraussetzungen können Betroffene Berichtigungen, Einschränkungen oder die Löschung der Datenverarbeitung verlangen. Etwa, wenn die Daten für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden. Hat die verantwortliche Organisation personenbezogene Daten öffentlich gemacht, hat sie im Falle einer Löschverpflichtung andere Nutzer dieser Daten darüber zu informieren. Gleiches gilt, wenn unrichtige Daten weitergegeben wurden, damit Dritte diese korrigieren können. Beispiel: Personen haben einen berechtigten Löschanspruch gegen die "Datenverarbeiter", etwa weil die Datenverarbeitung rechtswidrig war. Dann müssen auch die Betreiber von Suchmaschinen Verweise und Links auf diese Daten entfernen.

Datenrucksack: Der sogenannte "Datenrucksack" gibt das Recht, beim Wechsel von einem Anbieter zum neuen Anbieter, die diesem zur Verfügung gestellten persönlichen Daten "mitzunehmen". Der bisherige Anbieter muss die Daten in einem standardisierten maschinenlesbaren Format aushändigen; der neue Anbieter muss die Daten in sein System übernehmen. Auch kann man vom alten Anbieter verlangen, dass er die Daten direkt dem neuen Anbieter zur Verfügung stellt.

Unternehmenspflichten aus Verbrauchersicht

Unternehmen müssen durch geeignete technische und organisatorische Maßnahmen die personenbezogenen Daten schützen. Ereignen sich dennoch Datenschutz-Verstöße - etwa durch Datenlecks oder Hackerangriffe – müssen sie ihre Nutzer unverzüglich darüber informieren. Auch müssen sie unter bestimmten Bedingungen einen Datenschutzbeauftragten benennen. So etwa, wenn das Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf.

Neu ist auch das sogenannte "Marktortprinzip". Es bedeutet, dass die neuen Regelungen künftig nicht nur für europäische Unternehmen gelten. Sondern alle Unternehmen, die Waren und Dienstleistungen in der EU anbieten, müssen diese einhalten. Unternehmen müssen die europäischen Datenschutzstandards auch dann einhalten, wenn sie Daten innerhalb Europas erfassen, diese aber anderswo verarbeitet werden. Verstoßen Unternehmen und andere Organisationen gegen das europäische Datenschutzrecht, drohen Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Die Unternehmen müssen zudem ihre Kundinnen und Kunden über deren Beschwerderecht bei der Datenschutzbehörde informieren. Wer einen Verstoß gegen die Datenschutzregeln befürchtet, sollte sich zunächst an das Unternehmen wenden. Ist die Antwort unzureichend, können sich Verbraucherinnen und Verbraucher künftig immer an eine deutsche Datenschutzbehörde wenden – auch wenn das Unternehmen in einem anderen EU-Staat niedergelassen ist. Das ist in der Regel die Landesdatenschutzbehörde des jeweiligen Bundeslandes.