Ein lauter Ton schallt durch das Büro und erinnert mich zum geschätzt hundertsten Mal daran, doch endlich meine Warntöne für E-Mails auszuschalten. Beim Blick in mein Postfach fällt mir die seltsam homogene Zusammensetzung der ungelesenen Mails auf. Egal ob Amazon, mein Sportverein oder ein kleines Musikmagazin – gefühlt will mir jeder, der meine E-Mail-Adresse kennt, mitteilen, dass ich jetzt auf die jeweilige Seite zugeschnittene Datenschutzbestimmungen zu akzeptieren habe und meinen Wunsch, weiter E-Mails zu erhalten, überall bestätigen muss. Ich mache mein Handy aus und verschiebe die Beantwortung der Mails auf einen unbestimmten Zeitpunkt in der Zukunft. Irgendwas will ich ja noch schaffen.
Der Datenschutz in Europa gleicht einem Flickenteppich. 28 verschiedene Gesetzgebungen in den EU-Mitgliedstaaten regeln die Erhebung und Verarbeitung von Daten auf vollkommen unterschiedliche Arten und Weisen. Manche Länder wie Deutschland und die Niederlande haben strenge nationale Datenschutzgesetze, andere Staaten ordnen den Schutz der personenbezogenen Daten ihrer Einwohner wirtschaftlichen Interessen unter.
So zum Beispiel Irland. Dort haben sich Technikfirmen wie Google, Amazon und Facebook niedergelassen. Zum einen wegen der niedrigen Steuern, zum anderen weil die Datenschutzgesetze in Irland nicht so streng sind wie in einigen anderen EU-Ländern. Das ist zwar schon länger so, jedoch nutzten die großen Firmen die lasche irische Gesetzgebung, um personenbezogene Daten einfacher von der EU in die Vereinigten Staaten verschieben zu können. Die irische Regierung köderte die großen Technikunternehmen mit niedrigen Steuersätzen, anstatt ihre Datenschutzgesetze anzupassen. Deshalb gilt die grüne Insel in der Europäischen Union als Datenschutzloch.
Diese Löcher im Datenschutz, die durch die vielen individuellen Gesetzgebungen entstehen, will die EU nun stopfen. Zu diesem Zweck wurde vor zwei Jahren eine Richtlinie erlassen, welche die Datenschutzgesetzgebungen in den EU-Staaten vereinheitlichen soll. Ab dem 25. Mai 2018 soll die Datenschutzgrundverordnung (DSGVO), so der sperrige Name des neuen Datenschutzgesetzes, nun europaweit umgesetzt werden.
Das sind die wichtigsten Fragen:
Was ist denn diese DSGVO?
Sie ist eine EU-Verordnung. Diese rechtlichen Leitlinien werden von der Europäischen Union erlassen und sind danach in allen 28 EU-Ländern ab einem festgelegten Stichtag gültig.
Die Verordnung besteht aus 99 Artikeln, die in elf Kapitel eingeteilt sind. Die deutsche Fassung besteht aus 88 Seiten voller Regelungen zum Datenschutz. Neben der eigentlichen Verordnung hat die EU 173 sogenannte „Erwägungsgrundsätze“ veröffentlicht. Das sind die ausformulierten Ziele, die die DSGVO erreichen soll. Außerdem helfen sie bei der Interpretation der komplizierten Verordnung.
Warum wird die Verordnung überhaupt eingeführt?
Einerseits vereinfacht sie den Datenschutz. Wie eingangs erwähnt, hat jeder EU-Staat eine eigene Datenschutzgesetzgebung. In Deutschland gibt es sogar zwei Gesetze: Das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG), die zu den strengsten Datenschutzgesetzen der Welt gehören. Die EU will diese Regelungen jetzt vereinheitlichen. Zum einen, weil bei 28 unterschiedlichen Gesetzen niemand mehr durchblickt, zum anderen, weil manche Firmen ihre europäischen Zentralen in Länder mit laschem Datenschutz verlegen. So können sie die Daten ihrer Nutzer einfacher erheben und verarbeiten.
Andererseits gibt die EU durch die DSGVO den Nutzern – also auch dir – mehr Kontrolle über die eigenen Daten. Unternehmen müssen dir etwa jederzeit sagen, welche Daten sie zu welchem Zweck erheben.
Um welche Informationen geht es dabei?
Es geht um alle personenbezogenen Daten. Also, im Klartext, Daten, die es anderen ermöglichen, Rückschlüsse auf die Identität eines Nutzers zu ziehen. Weil das ganz schön viele sind, habe ich dir eine Liste zusammen gestellt:
- Vor- und Nachname
- Geburtsdatum
- E-Mail-Adresse
- IP-Adresse
- Steuernummer
- KFZ-Kennzeichen
- Bankverbindung
- Informationen über die ethnische und kulturelle Herkunft
- Politische, philosophische und religiöse Gesinnung
- Gesundheitszustand
- Sexuelle Orientierung
Dürfen diese ganzen Daten tatsächlich verarbeitet werden?
Jein. Artikel 6 der DSGVO knüpft die Verarbeitung der oben genannten Daten an ganz konkrete Bedingungen. Das sind wiederum ziemlich viele. Hoffentlich magst du Listen.
Deine Daten dürfen verarbeitet werden, wenn …
- … deine ausdrückliche Einwilligung vorliegt. Dieses System heißt Opt-In, ich erkläre es dir später.
- … sie Menschen dabei helfen, ihre Rechte im Bereich des Arbeitsrechts oder beim Antrag auf Sozialhilfe wahrzunehmen.
- … es um lebenswichtige Interessen der Person geht, die keine Einwilligung geben kann. Zum Beispiel nach einem Unfall oder bei einer schweren Krankheit.
- … diese Daten auf der Grundlage ausreichender Garantien von gemeinnützigen Organisationen und unter Einhaltung weiterer Bestimmungen verarbeitet werden. Das könnte auch auf religiöse Vereinigungen anwendbar sein.
- … die Person selbst diese Daten öffentlich gemacht hat.
- … es Rechtsansprüche gibt, über die Menschen vor Gericht streiten.
- … die erhobenen Daten im öffentlichen Interesse stehen.
- … sie zur Erfüllung eines Vertrages notwendig sind.
Welche Regeln müssen all jene beachten, die meine Daten erheben und verarbeiten wollen?
Sie müssen die sogenannten Grundsätze befolgen. Das sind sechs Regeln, die genau diese Frage klären.
Die erste Regel schreibt vor, dass du jederzeit nachfragen können musst, welche Daten zu welchem Zweck genutzt werden. Wer auch immer Daten von dir erhoben hat, darf sich nun vier Wochen Zeit lassen, um deine Frage zu beantworten, danach darfst du dich an die zuständige Datenschutzbehörde wenden. Die EU gibt diesem Grundsatz der Datenverarbeitung den Namen „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Dazu gehört auch, dass du jederzeit wissen musst, wer für die Verarbeitung deiner Namen verantwortlich ist. Wie du deine Daten abfragst, erkläre ich weiter unten.
Die zweite Regel bestimmt, dass Daten ausschließlich „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden dürfen. Eine Ausnahme stellt dabei ihre Verwendung zu Forschungs,- Statistik- oder Archivzwecken dar. Deshalb heißt die Regel auch „Zweckbindung“.
Dann gibt es noch die „Datenminimierung“, die vorschreibt dass das Erheben von Daten „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein soll.
Regel vier legt fest, dass alle Daten „aktuell und korrekt“ sein müssen – ist das nicht der Fall, müssen sie gelöscht werden.
Gleiches gilt dann, wenn die Daten keinen Zweck mehr erfüllen. Die EU nennt das „Speicherminimierung“.
Außerdem müssen Daten „vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung“ geschützt werden. Die Verantwortung dafür trägt wie bei allen Regeln derjenige, der deine Daten verarbeitet.
Was heißt das Ganze konkret für mich?
Zuerst einmal: Nicht so viel, wie du jetzt in vielen Medien liest. Das liegt vor allem daran, dass Deutschland mit dem Bundesdatenschutzgesetz und dem Telemediengesetz schon zwei starke Datenschutzgesetze hat, die auch in Kraft bleiben.
Werfen wir mal einen Blick auf Artikel 12 der DSGVO. Jeder, der online Daten erhebt und verarbeitet, muss, so heißt es im Gesetzestext, seine Nutzer über die Verarbeitung ihrer Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über ihre Rechte informieren. Dazu gehört nicht nur, welche Daten erhoben werden, sondern auch zu welchem Zweck. Dies gilt insbesondere für komplizierte Sachverhalte, „wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik“ dafür sorgt, dass der Otto-Normal-Nutzer nicht versteht, was das Unternehmen eigentlich mit seinen Daten macht.
Für dich bedeutet das, dass Unternehmen beispielsweise ihre AGBs nicht mehr in Juristendeutsch verklausulieren dürfen, sondern diese „in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form“ formulieren müssen. So versteht jeder Nutzer eher, worauf er sich einlässt, wenn er die AGBs eines Unternehmens akzeptiert oder den E-Mail-Newsletter einer Sportmannschaft abonniert. Ob das dazu führt, dass auf einmal mehr Menschen die ellenlangen Geschäftsbedingungen lesen, wird sich erst nach der Umsetzung der DSGVO zeigen.
Falls dich interessiert, welche Daten Unternehmen von dir speichern, kannst du das nun deutlich einfacher herausfinden. Außerdem darfst du verlangen, dass sie gelöscht werden, sobald sie keinen Zweck mehr erfüllen.
Übrigens kannst du bei Unternehmen zukünftig nicht mehr nur erfragen, welche Daten sie von dir speichern, sondern auch den Grund dafür. Dafür musst du nur eine Anfrage an die entsprechende Adresse schicken. Anschließend hat der Empfänger der Nachricht vier Wochen Zeit zu antworten – oder um die Frist unter Angabe von Gründen um zwei Monate zu verlängern. Sollte der Verantwortliche innerhalb dieser Zeitspanne nicht antworten, kannst du dich an die zuständige Datenschutzbehörde wenden und dort Rechtsmittel einlegen, um das Löschen der Daten oder die Auskunft darüber zu erreichen. Die Kollegen von Heise und C’t haben einen Musterfragebogen erstellt, den du nur noch ausfüllen und wegschicken musst, um Antworten auf deine datenschutzrechtlichen Fragen zu bekommen.
Außerdem müssen Unternehmen dir erklären können, nach welcher Logik sie das sogenannte „Profiling“ betreiben.
Sekunde, was? Profiling? Das verstehe ich nicht.
Als Profiling bezeichnet man den Vorgang, bei dem Unternehmen anhand der Daten ihrer Nutzer deren Lebenssituation einschätzen. Das können Rückschlüsse auf die wirtschaftliche Lage sein oder auf dessen Arbeitsleistung. Ab sofort müssen Unternehmen klar definieren, welcher Logik sie beim Auswerten dieser Daten folgen.
Die DSGVO definiert Profiling noch ein bisschen spezieller. In Erwägungsgrund 71 wird die automatisierte Datenanalyse als jegliche „Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte“ einer Person definiert, „soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.
Alles klar soweit?
Alles klar, die Unternehmen müssen persönliche Daten also noch besser schützen. Aber was ist zum Beispiel, wenn ich den Newsletter meiner Sportmannschaft verschicke oder in meinem Restaurant auch Onlinebestellungen entgegennehme? Damit erhebe und verarbeite ich ja auch Daten.
Richtig. Allerdings willst du diese Daten ja nicht verkaufen oder damit personalisierte Werbung an deine Abonnenten schicken. Deshalb musst du auf deutlich weniger Dinge achten als Unternehmen wie Google oder Facebook. Sobald du jedoch mit den Daten anderer Geld verdienen willst, etwa durch personalisierte Werbung auf deiner Seite, gelten für dich die gleichen Bestimmungen wie für die Big Player.
Deine Nutzer müssen der Verarbeitung ihrer Daten nun aktiv zustimmen. Dieser Vorgang heißt Opt-In-Verfahren und ist jetzt verpflichtend, was vor allem daran liegt, dass die DSGVO grundsätzlich die Verarbeitung personenbezogener Daten verbietet – es sei denn, es besteht ein Rechtfertigungsgrund. Dieser Grund kann zum Beispiel ein Haken sein, den ein User setzen muss, bevor er einen Newsletter abonniert.
Ein weiterer Punkt ist die sogenannte Löschungspflicht. Diese Regelung verpflichtet Unternehmen dazu, Nutzerdaten auf deren Verlangen zu löschen, solange es keine juristischen Gründe gibt, die eine weitere Speicherung der Daten rechtfertigen.
Außerdem kommt, auch bei kleinen Unternehmen, die oben bereits erwähnte Transparenzpflicht hinzu. Demnach hat der Nutzer jederzeit das Recht, die über ihn gespeicherten Daten einzusehen. Außerdem haben Unternehmen die Pflicht, ihre Nutzer ausführlicher darüber zu informieren, wenn ihre Daten gehackt werden.
Für alle online tätigen Unternehmen hat das Bundesministerium für Wirtschaft und Energie eine Checkliste mit den wichtigsten Punkten erarbeitet.
Welche Kritik gibt es?
Kritik kommt von verschiedenen Seiten. Schon letztes Jahr gab der Datenschutzrechtler Alexander Roßnagel ein Interview bei netzpolitik.org, in dem er die DSGVO kritisiert. Ein wesentliches Problem der Verordnung sei, dass „sie die eigentlich schwierigen Herausforderungen der Digitalisierung nicht thematisiert. Wir finden da kein Wort zu Big Data, Künstlicher Intelligenz und so weiter”. Diese Themen seien zwar schon vor vier Jahren, als die DSGVO erarbeitet wurde, bekannt gewesen, hätten aber keinen Einzug in die Verordnung gefunden. Aus diesem Grund unterscheide die EU-Verordnung bei der Anwendbarkeit der Gesetze nicht zwischen großen Unternehmen wie Facebook oder Google, die riesige Datenmengen automatisiert verarbeiten, und kleinen Betrieben oder Bloggern, die ihre Daten manuell auswerten.
Einen anderen Kritikpunkt führt Carsten Linnemann an, der Chef der Mittelstandsvereinigung der CDU/CSU. Er bemängelt, die DSGVO spiele Abmahnanwälten in die Hände, die es vor allem auf kleine und mittelständische Unternehmen abgesehen hätten. Seiner Meinung nach liegt die Verantwortung zum Schutz der Mittelständler und Kleinunternehmer bei der Großen Koalition: „Die Regierung muss jetzt schnell dafür sorgen, dass mit Abmahnungen kein Unwesen getrieben wird und dass die Betroffenen sicher wissen, dass versehentliche Versäumnisse nicht zu Bußgeldern führen“, so Linnemann gegenüber dem Spiegel. Regierungssprecher Steffen Seibert betont allerdings, konkrete Schritte zum Schutz vor Abmahnungen seien nicht geplant. Die Bundesregierung sei jedoch „bemüht, die Abmahnsorgen aufzunehmen.“
Bei Facebook tauchen in letzter Zeit immer wieder Bilder auf. Darauf steht, ich könnte der DSGVO widersprechen und Strafen entgehen, indem ich die Fotos in meiner Chronik teile. Stimmt das?
Meinst du dieses Bild? Das hat der Stockfotoproduzent Robert Kneschke als Scherz erstellt und auf seiner Facebookseite gepostet. Er wollte damit das Prinzip der Bilder verulken, die auf Facebook reiche Gewinne versprechen oder bewusst falsche Fakten verbreiten. Auf seiner Website erzählt er, der Witz habe eine Eigendynamik entwickelt, mit der er nicht gerechnet habe.
Außerdem erklärt er, was du vermutlich wissen willst: Einer Verordnung oder einem Gesetz kannst du nicht per Facebook-Posting widersprechen. Generell ist die Regelung bei Facebook undurchsichtig. Generell scheint die DSGVO aber erfüllt zu sein, wenn das Kunsturhebergesetz nicht verletzt wird. Letztendlich müssen Fotografen und Endnutzer allerdings die Umsetzung der EU-Verordnung abwarten, damit klar wird, inwieweit eventuelle Verstöße gegen die DSGVO auch geahndet werden.
Immerhin. Jetzt aber mal Butter bei die Fische. Ist Krautreporter denn schon für die DSGVO gerüstet?
Weitestgehend. Wir haben jetzt eine wunderbare Datenschutzbeauftragte, außerdem hat KR die Datenschutzbestimmungen schon umgestellt. Das Opt-In-Verfahren nutzen wir auch schon. Ansonsten sind wir von vielen Änderungen nicht so stark betroffen, weil wir keine Userdaten nutzen, um personalisierte Werbung zu schalten und erhobene Daten nicht an Dritte verkaufen.
Redaktion Sebastian Christ, Schlussredaktion Susan Mücke, Bildredaktion Martin Gommel (Aufmacher: iStock/Rohappy).