Vergiss mich, Internet!
von Kersten Schüßler
|
Am 25. Mai tritt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft. Die Neuregelung verpflichtet Unternehmen, transparent mit Nutzerdaten umzugehen. Sie betrifft auch soziale Netzwerke wie Facebook.
Mit ganzseitigen Anzeigen in überregionalen Tageszeitungen wirbt überraschend auch das Online-Netzwerk für die neue EU-Gesetzgebung. Das Gesetz bedeute "mehr Datenschutz für dich", schreibt Facebook.
Darüber staunt der EU-Politiker Jan Philipp Albrecht, der die neue Datenschutz-Gesetzgebung maßgeblich mit aus der Taufe gehoben hat. "Die hatten eigentlich geträumt, dass wir Europäer den Datenschutz über Bord werfen", so der digital-, innen- und justizpolitische Sprecher der Grünen Fraktion im Europäischen Parlament. Nun habe ausgerechnet die oft als schwach und langsam verhöhnte Europäische Union das Gegenteil getan. "Das Geschäftsmodell von Facebook wird jetzt deutlich eingeschränkt", zumal der Konzern jetzt kurz vor dem Stichtag die Datenschutz-Einstellungen für seine Nutzer immer noch nicht auf einem angemessen Stand habe. "Es ist ziemlich sicher, dass so wie Facebook es jetzt macht, Klagen sofort zu erwarten sind."
Aber auch für klassische IT-Konzerne wie Microsoft oder IBM, die versuchen, Arbeitnehmer und Firmen immer stärker über ihre Software zu kontrollieren, zu analysieren und zu beurteilen, gelten nun die strengeren EU-Datenschutzregeln. Erstmals drohen den Datenkraken nun in ganz Europa ungewohnte Widerstände.
Darüber staunt der EU-Politiker Jan Philipp Albrecht, der die neue Datenschutz-Gesetzgebung maßgeblich mit aus der Taufe gehoben hat. "Die hatten eigentlich geträumt, dass wir Europäer den Datenschutz über Bord werfen", so der digital-, innen- und justizpolitische Sprecher der Grünen Fraktion im Europäischen Parlament. Nun habe ausgerechnet die oft als schwach und langsam verhöhnte Europäische Union das Gegenteil getan. "Das Geschäftsmodell von Facebook wird jetzt deutlich eingeschränkt", zumal der Konzern jetzt kurz vor dem Stichtag die Datenschutz-Einstellungen für seine Nutzer immer noch nicht auf einem angemessen Stand habe. "Es ist ziemlich sicher, dass so wie Facebook es jetzt macht, Klagen sofort zu erwarten sind."
Aber auch für klassische IT-Konzerne wie Microsoft oder IBM, die versuchen, Arbeitnehmer und Firmen immer stärker über ihre Software zu kontrollieren, zu analysieren und zu beurteilen, gelten nun die strengeren EU-Datenschutzregeln. Erstmals drohen den Datenkraken nun in ganz Europa ungewohnte Widerstände.
Ab dem 25. Mai gelten in der Europäischen Union neue Regeln für den Datenschutz. Vor allem soll der Verbraucherschutz und der transparente Umgang mit Daten gestärkt werden. Für die Verbraucher bedeutet das mehr Rechte, für die Unternehmen mehr Aufwand. Die gesetzlichen Bestimmungen reichen von der technischen Absicherung der IT-Anlagen über Notfallpläne bei Cyberangriffen bis hin zu Anzeigepflichten der Unternehmen, was die konkrete Verarbeitung von Daten angeht. Viele Regeln der EU-Verordnung gibt es im deutschen Datenschutzrecht schon. Neu sind aber etwa die Rechte auf Vergessenwerden oder zur Datenmitnahme. Unter welchen Bedingungen auf Websites zum Beispiel Cookies gesetzt und Nutzer-Analysen gemacht werden können, ist jedoch selbst nach Einschätzung von Rechtsexperten noch unklar. Ein Überblick:
Wenn noch Jugendsünden im Netz zu finden sind, die Betroffene gerne loswerden möchten, haben sie nun das sogenannte Recht auf Vergessenwerden: Firmen oder Behörden müssen die Daten über einen Menschen löschen, wenn dieser das fordert - und es keine rechtlichen Gründe gibt, sie weiter zu speichern. Informationsfreiheit kann ein Hindernis für die Löschung sein, etwa wenn ein Politiker frühere Fehltritte vertuschen möchte.
Verbraucher haben künftig das Recht, ihre personenbezogenen Daten zu einem anderen Dienst mitzunehmen, etwa von einem sozialen Netzwerk zu einem anderen. Die Firmen müssen die Daten entweder dem Verbraucher maschinenlesbar aushändigen oder direkt an die neue Firma schicken.
Wenn die eigenen Daten von einer Panne oder einem Hackerangriff betroffen waren, müssen die Firmen das den Verbrauchern binnen 72 Stunden melden - außer der Vorfall führte "voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten" der Betroffenen.
Grundsätzlich brauchen Unternehmen eine Einwilligung, damit sie personenbezogene Daten verarbeiten dürfen. Mit der neuen Verordnung wird erstmals geregelt, dass es für Kinder einer vorherigen Zustimmung der Eltern bedarf. In Deutschland liegt die Altersgrenze bei 16 Jahren. Wie die Firmen nun bei Jüngeren überprüfen wollen, ob die Eltern einer Nutzung des Diensts zustimmen, ist aber bislang offen.
Für Angaben zum religiösen Bekenntnis gelten besondere Regeln. Sie dürfen nur in Ausnahmefällen gespeichert und verarbeitet werden, vorausgesetzt der Betreffende hat dazu seine Einwilligung erteilt. Zu dieser besonderen Kategorie gehören auch Angaben zu politischen Meinungen, ethnischer Herkunft, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Mit der DSGVO fallen erstmals auch genetische und biometrische Daten zu dieser Kategorie.
Unternehmen und Behörden müssen bei ihren Anwendungen von Anfang an den Datenschutz mitdenken und die Grundeinstellungen der Dienste datenschutzfreundlich gestalten. Wenn sich bei neuen Anwendungen Risiken für die Datensicherheit abzeichnen, müssen die Firmen den zuständigen Datenschutzbeauftragten informieren. Der kann die Datenverarbeitung sogar komplett untersagen. Außerdem müssen sie den regelkonformen Umgang mit den Daten dokumentieren und im Zweifelsfall vor Gericht nachweisen können. Bedeutsam vor allem für US-Konzerne wie Facebook und Google ist, dass künftig die nationale Auslegung der Datenschutz-Verordnung in jedem Land für sie gilt - nicht wie früher nur die am Unternehmenssitz.
Verstoßen sie gegen Datenschutzvorschriften, kann es künftig teuer werden: Die Geldbußen können bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweiten Jahresumsatzes betragen. Vor allem kleine Unternehmen und Startups stellt die Umsetzung der Datenschutz-Grundverordnung aber vor Probleme. So geht etwa der Branchenverband Bitkom davon aus, dass bis zum Stichtag in drei Wochen zahlreiche IT-Startups wegen des hohen Aufwandes die Umsetzung noch nicht vollständig abgeschlossen haben werden. Der Verband appelliert deshalb an die Behörden, mit Augenmaß vorzugehen.
Die EU-Verordnung lässt in mehr als 60 Fällen Raum für nationale Gesetzgebung. Das ist etwa bei Umgang mit Sicherheitslücken der Fall. Die Bundesregierung hat die Chance nicht ergriffen, über die Datenschutzgrundverordnung hinausreichende zusätzliche Sicherheitsbestimmungen zu verabschieden. Insbesondere die Möglichkeiten, das Aufspüren und Schließen von Sicherheitslücken national zu regeln, bleiben in Deutschland ungenutzt. Allerdings sind auch Sicherheitsbehörden und Militärs daran interessiert, derartige Sicherheitslücken möglichst nicht zu schließen. Denn sie brauchen diese Sicherheitslücken, weil sonst ihre Spionagesoftware und ihre digitale Waffen nicht funktionieren würden.