Heute, am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Viele sehe darin einen Meilenstein im Datenschutz in Europa.
Die neue Regelung der Datenverarbeitung innerhalb der EU soll einerseits die Rechte der Bürgerinnen und Bürger schützen und die Durchsetzung von erheblichen Strafen für Vergehen gegen das Datenschutzgesetz, besonders mit Hinblick auf große Internet-Konzerne wie Facebook und Google, ermöglichen. Gleichzeitig stellt sie aber auch die mit der Umsetzung beauftragten Behörden vor ein Dilemma.
Trotz der jahrelangen Vorbereitung und Ankündigung der Verordnung (schon im Januar 2012 stellte die EU-Kommission ihren Gesetzesvorschlag vor) beklagen die Europäischen Behörden Mangel an Personal, das für die stringente Umsetzung der Richtlinien dringend benötigt würde. Demnach seien 17 von 24 befragten nationalen Datenschutzbehörden nicht ausreichend mit Personal und rechtlichen Kompetenzen ausgestattet, wie die Nachrichtenagentur Reuters bekannt gab. Datenschützer hatten schon vor Jahren auf die Dringlichkeit einer Personalaufstockung in diesem Bereich hingewiesen.
Die bedeutendste Datenschutzbehörde innerhalb der EU, der irische Datenschutzkommissar, hielt sich zu diesem Thema bedeckt, was vor allem vor dem Hintergrund der Tatsache, dass Konzerne wie Facebook ihren EU-Hauptsitz in Irland haben, erstaunlich ist.
Vor der DSGVO war eine Verfolgung und Ahndung von Datenschutzverletzungen nahezu unmöglich. Die neue Regelung sieht nun allerdings vor, Konzerne im Falle von erheblichen Verstößen mit finanziellen Strafen in einer Höhe von bis zu 4% ihres globalen Jahresumsatzes zu sanktionieren.
Dies klingt in der Theorie solide, bringt jedoch gleichzeitig ein umfangreiches Verfahren mit sich. Mit der DGSVO können künftig alle Bürger*innen direkt in ihrer Landesdatenschutzbehörde Beschwerden gegen Internetkonzerne wie Facebook einreichen. Dies ist als das „One-Stop Shop“ Prinzip bekannt. Das Verfahren wird im nächsten Schritt allerdings von Facebooks Hauptniederlassung geleitet, die sich in den Bereichen Marketing und Werbung in Hamburg befindet, in allen anderen Bereichen allerdings in Dublin. Somit verlieren die deutschen Behörden bei einer solchen Beschwerde zum Teil ihre Zuständigkeit und spielen lediglich die Rolle des Vermittlers oder können tätig werden, wenn die Behörden in Dublin untätig bleiben.
Des Weiteren können Themen allerdings auch dem Europäischen Datenschutzausschuss, der als Gremium bestehend aus allen nationalen Datenschutzbehörden mit Inkrafttreten der DGSVO aktiv wird, vorgelegt werden.
In Deutschland haben sich laut einer Umfrage der netzpolitik.org die 16 Landesdatenschutzbehörden als unsicher über die praktische Umsetzung von Beschwerden geäußert (Näheres hierzu hier). Unterstützung finden sie im Büro der Bundesbeauftragten für Datenschutz, obwohl die Handlungsmacht in Fällen von Beschwerden gegen Google Facebook und weitere Konzernen weiterhin auf irischer Seite liegt, die laut Reuters allerdings finanziell ebenfalls unzureichend ausgestattet sei.
Aus diesem Grund ist es wahrscheinlich, dass etwaige Entscheidungen eher im Europäischen Datenschutzausschuss getroffen werden.
Insgesamt soll die DGSVO die Durchsetzung der Rechte der Bürger*innen erleichtern und den „Datenschutz-Flickenteppich“ (Vgl. Albrecht, Jan Philipp (2015): EU Datenschutzverordnung: Stand der Dinge – 10 wichtige Punkte), (siehe hier) lösen. Große Konzerne können sich künftig nicht mehr den Luxus herausnehmen, ihren Sitz in dem Mitgliedstaat mit den niedrigsten Datenschutzstandards zu erbauen. Dabei ist es ohne Bedeutung, ob ein Unternehmen tatsächlich ein Produkt aus einem Mitgliedstaat ist, oder von außerhalb im europäischen Markt agiert – innerhalb der EU gelten mit der DSGVO für alle die gleichen Standards und Vorschriften.
Neben der strengeren Überwachung über die Verwendung personenbezogener Daten können Bürgerinnen und Bürger in Zukunft auf die Löschung ihrer Daten beantragen, was ebenso beinhaltet, dass auch Dritte diese Daten löschen müssen. Gleichzeitig soll aber die Meinungs- und Informationsfreiheit nicht eingeschränkt werden. Lediglich im Fall einer rechtswidrigen Veröffentlichung von Daten müssen die Verantwortlichen auch dafür Sorge tragen, dass jegliche Kopien dieser Daten ebenfalls gelöscht werden.
Grundsätzlich sieht die DSGVO vor, dass die Bürgerinnen und Bürger über die Verarbeitung ihrer Daten informiert werden und dieser außerdem aktiv zustimmen müssen. Ein einfacher Informationshinweis genügt zukünftig nicht mehr.
Das Europäische Parlament fordert darüber hinaus eine erhöhte Verständlichkeit von Informationshinweisen über die Datenverarbeitungen für den Durchschnittsbürger. Dies bringt mit sich, dass die Verarbeiter von Daten künftig datensparsam arbeiten und sich auf tatsächlich benötigte Daten beschränken müssen.
Gegen die DSGVO ist trotz des mit ihr einhergehenden erhöhten Datenschutzstandards auch viel Kritik geäußert worden: So sieht die CDU eine Gefahr für Mittelständler, die nicht genügend auf die neue Regelung vorbereitet sind. Sie würden von dem neuen Gesetz unverhältnismäßig stark belastet, so der Generalsekretär des Wirtschaftsrates, Wolfgang Steiger. Daher schlägt er vor, weiterhin etwaige Vergehen, die unter Umständen aus Unkenntnis der genauen Sachlagen entstehen könnten, „erst [zu] verwarnen, statt [zu] bestrafen“.
Insgesamt bleibt abzuwarten, welche Neuerungen genau die DSGVO für den Normalbürger mit sich bringt. Fakt ist jedoch, dass in Zeiten der „Mass Data“ ein wichtiger Schritt in Richtung erhöhter Datensicherheit und weg vom transparenten Glasbürger gemacht worden ist, den manche vielleicht in seiner Konsequenz, ob positiv oder negativ, unterschätzen mögen.
Wenn Sie mehr über das Thema erfahren möchten, klicken Sie hier!
Die EU-Datenschutz-Grundverordnung in voller Länge können Sie hier einsehen.
Zudem gibt es einen Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018
Hier noch ein kleines Filmchen mit der Datenschutzseite der EU
Da im Konkreten noch viele Fragen offen sind und Vereine, Handwerksbetriebe und Kleinunternehmer stark verunsichert sind, hier einige hilfreiche Informationen.
Informationen des Bayerischen Landesdatenschutzbeauftragten
- Einführung und Überblick
- Begriffe und Grundsätze
- Rechtmäßige Verarbeitung
- Verantwortlicher, Datenverarbeiter
Hier noch einige Hinweise für die Erstellung einer Einwilligungserklärung
Hinweise zur Erstellung Einwilligungserklärung