Von: mk
Bozen – Die „Datenschutz-Grundverordnung“ – DSGVO (2016/679) ist eine Verordnung der Europäischen Union zum Datenschutz in allen Mitgliedsstaaten. Sie ist bereits vor zwei Jahren verkündet worden und muss ab dem 25. Mai 2018 in allen Mitgliedsstaaten der EU angewendet werden. Damit wurden erstmals in einem einheitlichen Gesetz für alle Staaten der EU verpflichtende Regeln zum Datenschutz getroffen.
Hier die wichtigsten Grundsätze des europäischen Datenschutzes und wesentliche Neuerungen, die die Verbraucher und Unternehmen betreffen und durch die DSGVO fortgeschrieben (Datenschutzkodex Nr. 196/2003) beziehungsweise neu geschaffen werden:
Grundsätze europäischen Datenschutzes
Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden! Ausnahmen sind zugelassen und zwar, wenn es für einen Vertrag notwendig ist beziehungsweise dieser ansonsten nicht erfüllt werden kann. Ein Telekommunikationsunternehmen oder ein Energieversorger brauchen nun einmal eine Adresse, an die eine Rechnung geschickt oder Strom geliefert werden kann. Eine weitere Ausnahme ist die Einwilligung, die Verbraucher geben können und mit der sie den Umfang der Verarbeitung festlegen. Außerdem käme als Erlaubnis für Datenverarbeitung ein Gesetz in Frage, das beispielsweise einer Behörde erlauben könnte, persönliche Daten auch ungefragt zu verarbeiten. Das kennt man zum Beispiel aus dem Bereich des Gesundheitsdienstes oder der Steuergesetze.
Wie sieht eine gültige Einwilligung aus?
Sie muss freiwillig und ausdrücklich erfolgen. Damit ist gemeint, dass man nicht unter Druck stehen darf. Dies wäre beispielsweise der Fall, wenn man den Handyvertrag nur heute so günstig bekommt, wenn man neben den für den Vertrag unbedingt notwendigen Daten wie Name, Adresse und Geburtsdatum darüber hinaus womöglich Hobbies oder Gesundheitszustand angeben soll. Ausdrücklich ist die Einwilligung nur, wenn auch andere diese problemlos als solche erkennen können. Ein Schweigen oder ein anzukreuzendes Kästchen sollen hierfür regelmäßig nicht ausreichen. Das Unternehmen darf die von angegebenen Daten nur für den festgelegten Zweck benutzen. Bei einer anderen Nutzung muss genau geprüft werden, inwieweit dies von der Einwilligung noch abgedeckt ist oder ob dafür eine neue Einwilligung notwendig ist.
Sparsamkeit und Transparenz
Ein weiterer Grundsatz, den alle Unternehmen beachten müssen, ist die Datensparsamkeit. Das bedeutet, dass Daten, die man nicht mehr benötigt, umgehend gelöscht werden müssen. Über allem steht der Grundsatz der Transparenz. Unternehmer sind angehalten, genau zu beschreiben, was sie mit den erhobenen Daten tun. Sollen Daten zu einem späteren Zeitpunkt an Dritte gegeben werden, muss das Unternehmen sowohl zum Zeitpunkt der Erhebung der Daten als auch zum Zeitpunkt der tatsächlichen Weitergabe der Daten an Dritte hierüber informieren. Dazu kommt auch die Verpflichtung der Firmen, diese geflossene Information zu dokumentieren.
Was ist neu?
Die Verordnung gilt nicht nur für Firmen mit Sitz in der EU. Es kommt künftig darauf an, wo ein Unternehmen mit seiner Ware oder Dienstleistung am Markt auftritt. Ein Unternehmen mit Sitz in China beispielsweise unterliegt auch den Regeln der DSGVO, sofern es innerhalb der EU an Kunden herantritt. Dies wird als Marktortprinzip bezeichnet und ist eine wesentliche und wichtige Neuerung.
In der neuen Verordnung werden Erklärungen zu bestimmten Begriffen gegeben. So wird zum Beispiel beschrieben, was überhaupt geschützt ist, nämlich rein personenbezogene Daten wie der Name und Vorname, Adress- und Geburtsdaten, aber auch Kennnummern, Standortdaten und Online-Kennungen. Es geht hier um alle Informationen, mit denen man Personen identifizieren könnte. Beschrieben wird auch das sogenannte Profiling. Hier nutzen Unternehmen Daten, um persönliche Lebensumstände kennenzulernen und voraussichtliches Verhalten und Interessen von Verbrauchern abschätzen zu können. Viele Firmen nutzen dieses Vorgehen für gezielte Werbemaßnahmen. Das ist künftig nur mit ausdrücklicher Einwilligung erlaubt.
Erleichtert werden soll auch die Mitnahme von Daten von einem Anbieter zum anderen (Datenportabilität). Das bedeutet, dass Verbraucher künftig das Recht haben, Daten in einem „gängigen Format“ zu erhalten, um sie an andere Unternehmen direkt übertragen zu können. Allerdings gibt es in vielen Bereichen bislang keine gängigen Standards, die einen Datenaustausch ohne weiteres ermöglichen. Neu ist auch, dass Unternehmer zeigen können müssen, wie sie mit den Daten der Kunden umgehen. Hierfür müssen sie umfassende Listen vorhalten, aus denen eine Behörde erkennen kann, dass eine Firma sich gesetzestreu verhält.
Welche Rechte haben Verbraucherinnen und Verbraucher?
Sie haben das Recht, kostenlos Auskunft zu verlangen, wenn Sie vermuten, dass ein Unternehmen Daten von Ihnen verarbeitet hat. Wenn Sie genau wissen wollen, welche dies sind oder Sie gar vermuten, ein Unternehmen habe unberechtigter Weise Daten von Ihnen gespeichert, dann lassen Sie sich den Datenschutzverantwortlichen des Unternehmens nennen, schreiben Sie diesen oder, falls nicht vorhanden, die Geschäftsleitung oder den Vorstand an, und verlangen Mitteilung über die dort gespeicherten personenbezogenen Daten. Unter Umständen müssen Sie sich legitimieren. Dies verhindert, dass Dritte unerlaubt Auskunft über Ihre Daten beim Unternehmen bekommen, was ein Datenschutzverstoß wäre.
Was ist neu?
– Die Regeln in Bezug auf das Datenschutzinformationsblatt und Zustimmung sind klarer definiert. Betriebe brauchen nicht nur die Zustimmung zur Nutzung der Daten einholen, sondern müssen den Gebrauch den sie machen, genau darlegen. Dabei muss zum Beispiel unterschieden werden, ob der Zweck der Datenverarbeitung das Marketing, die Profilierung, die Geolokalisierung oder anderes ist. Jeder Zweck der Datenverarbeitung impliziert daher eine eigene (schriftliche und informierte) Zustimmung. Eine Sammelzustimmung mit einer einzigen Unterschrift gehört daher der Vergangenheit an.
– einfache und klare Sprache: Wer unsere Daten verarbeitet und die entsprechende Zustimmung einholt, hat dies mit einer klaren und verständlichen Sprache zu tun, ohne technische und rechtliche Vokabeln. Zweck ist es, das Datenschutzinformationsblatt für jeden verständlich zu machen. Auch Kleinschrift ist ein „no go“.
– Das Recht, die eigenen Daten zu kennen: Das Recht auf Auskunft erlaubt allen Verbrauchern nunmehr, sich an das jeweilige Unternehmen zu wenden und die Details über die vorhandenen Daten (welche, woher, wie werden sie verarbeitet usw.) zu bekommen. Die Betriebe haben Auskunftspflicht und müssen innerhalb von 30 Tagen mit demselben Medium antworten, über welches sie kontaktiert wurden. Die Finanzwache hat eine eigene Einheit für Privacythemen eingerichtet.
– Recht auf Löschung („Recht auf Vergessenwerden“) und begrenzte Nutzung der Daten: Die Verbraucherinnen und Verbraucher können die Löschung oder die begrenzte Nutzung ihrer Daten verlangen. Auch das Recht auf Vergessenwerden wird ausgedehnt; so gibt es die Möglichkeit aus Nachrichten und Suchmaschinen entfernt zu werden, wenn die Nachricht nicht von öffentlichem Nutzen ist und der/die Betreffende zum Beispiel im Nachhinein von einer Anklage freigesprochen wurde.
– Die Daten bekommen ein Verfallsdatum: Jedes Datenschutzinformationsblatt muss (vor allem bei sensiblen Daten) die Höchstzeit der Datenverarbeitung festlegen. Nachher darf es zu keiner Verarbeitung mehr kommen.
– Mehr Schutz für Minderjährige: Spezifisch wird vor allem für unter 16-Jährige die Zustimmung der Eltern erforderlich, auch wenn es um Internet und Social Media geht.
– Bei Datendiebstahl oder -verlust gibt es rigorose Kriterien.
Was droht den Unternehmen?
Bei Verstößen gegen die Verordnung kann die zuständige Behörde ein Bußgeld aussprechen, das empfindlich hoch ausfallen kann. Dies bereitet vielen Unternehmen Kopfzerbrechen. Die Verbraucherzentrale kann Verstöße in den Bereichen der Werbung, Markt- und Meinungsforschung, Auskunfteien, Adresshandels, Persönlichkeits- und Nutzungsprofilen und in Bereichen des sonstigen Datenhandels prüfen und gegebenenfalls Schritte gegen das Unternehmen einleiten.
Müssen alle Einwilligungen neu ausgefüllt und unterschrieben werden?
Die bis zum Inkrafttreten der Verordnung erteilten Einwilligungen zur Verarbeitung der Daten behalten ihre Gültigkeit. Neue Verarbeitungen, oder solche die über das bisherige Ausmaß hinausgehen, erfordern jedoch eine Einwilligung gemäß den neuen Auflagen.
Kommentar der Verbraucherzentrale Südtirol
Der Geschäftsführer der Verbraucherzentrale Südtirol (VZS), Walther Andreaus, hält den Ausgleich von Verbraucherinteressen und den Interessen von Unternehmen in der Datenschutz-Grundverordnung für grundsätzlich gelungen. „Diese Regelungen helfen nicht nur den Verbraucherinnen und Verbrauchern bei der Durchsetzung ihrer Rechte, sondern bilden auch einen echten Mehrwert für europäische Unternehmen. Zum einen werden gleiche Bedingungen für alle geschaffen. Zum anderen zeigt schon die Vergangenheit, dass höhere Standards nicht zu geringerer Innovation und Wettbewerbsfähigkeit führen müssen. Höhe Standards können dazu führen, dass Vertrauen geschaffen wird. Gerade in der digitalen Welt stellt dies eine zentrale Ressource dar.“