Durch die neue Datenschutz-Grundverordnung der EU werden die Rechte der Kunden und Verbraucher massiv gestärkt. Die wichtigsten Fragen und Antworten im Überblick.
Mit den Daten der Verbraucher soll künftig sparsamer umgegangen werden. Was heißt das genau?
Die Auswirkungen dieser nebulös wirkenden Bestimmung im neuen Regelwerk sind enorm. Manche Anbieter verlangten vor der Nutzung ihrer Inhalte die Zustimmung zur Übermittlung und Speicherung aller möglichen Daten. Das ist künftig verboten.
Was heißt das genau?
Wer beispielsweise bei Facebook ein Spiel nutzen möchte, wird derzeit noch aufgefordert, der Verwendung der persönlichen Informationen zuzustimmen. Das ist vorbei. Die für eine Rechnung notwendigen Angaben dürfen natürlich weiter erhoben werden. Aber auch nicht mehr. In Deutschland gilt dies bereits für Händler wie Amazon. Diese dürfen nicht sowohl die Handynummer als auch die Mail-Adresse verlangen, um über den Versand des Pakets zu informieren. Neu ist: Wer die Weitergabe der Daten ablehnt, muss trotzdem das Angebot nutzen können.
Stimmt es, dass es neue Altersgrenzen – zum Beispiel bei WhatsApp – gibt?
Nicht nur bei WhatsApp, sondern auch bei Facebook, Instagram und vielen anderen. Ohne Zustimmung der Eltern können diese Angebote erst ab 16 Jahren wahrgenommen werden. Der Grund: Kinder und Jugendliche, die jünger sind als 16 Jahre, können keine rechtskräftige Erlaubnis zur Weiterverwendung ihrer persönlichen Informationen aussprechen – auch nicht per Mausklick.
Ich habe der Nutzung meiner Daten zugestimmt, möchte das aber rückgängig machen. Was kann ich tun?
Für die Verwendung meiner persönlichen Daten gibt es künftig umfassende Widerspruchs- und Löschrechte. Dazu muss ich mich direkt an den Anbieter wenden. Es gibt allerdings auch Ausnahmen von dieser Regel. Die Löschpflicht gilt etwa dann nicht, wenn ihr eine gesetzliche Aufbewahrungsfrist gegenübersteht. Das können zum Beispiel steuer- oder handelsrechtliche Aufbewahrungspflichten sein. In diesen Fällen müssen Daten sechs beziehungsweise zehn Jahre aufgehoben werden.
Ich möchte mich bei einem Anbieter oder Unternehmen beschweren oder meine Daten abfragen. Die Firma sitzt aber in einem anderen EU-Land. Kann ich mit einer verständlichen Antwort rechnen?
Das Bundesinnenministerium beschreibt die Prozedur unmissverständlich. In Artikel 12 der Datenschutz-Grundverordnung ist geregelt, dass solche Anträge innerhalb von einem Monat in einer klaren und einfachen Sprache beantwortet werden müssen. Dazu gehört auch, dass sie in der Muttersprache des Kunden zu erfolgen hat. Dies gilt auch dann, wenn ein deutscher Nutzer beispielsweise eine Anfrage an Apple mit Sitz in Irland richtet.
Was die neue EU-Verordnung für Verbraucher bedeutet
Warum kommen die neuen Regeln jetzt?
Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 – und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor zwei Jahren haben sich EU-Staaten und das Europaparlament auf die sogenannte Datenschutz-Grundverordnung geeinigt. Von Freitag an muss sich jedes EU-Land daran halten. Ein Argument für die neue Verordnung hat Facebook zuletzt selbst geliefert: Bis zu 87 Millionen Nutzer waren Unternehmensangaben zufolge vom aktuellen Datenskandal betroffen. Facebook-Chef Mark Zuckerberg zeigte Reue und wurde zuletzt fast zum Botschafter der EU-Verordnung: Er kündigte an, die Regeln künftig weltweit anwenden zu wollen.
Was regelt die neue Verordnung?
Im Kern soll die Verarbeitung personenbezogener Daten etwa durch Unternehmen oder Vereine geregelt werden. Dazu gehören Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse. Wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme –, ist egal. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Die Regeln gelten auch für Unternehmen, die außerhalb der EU sitzen, ihre Dienste aber hier anbieten. Deshalb sind Internetriesen mit US-Sitz wie Facebook oder Google davon betroffen.
Was ändert sich für Verbraucher?
EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, ist das Versprechen. Das bedeutet zum Beispiel, dass ihnen ein „Recht auf Vergessenwerden“ zugestanden wird. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes. Kunden könnten etwa erfahren, wie oft sie die Karte verwendet, bei welchen Supermärkten sie eingekauft haben, und ob der Supermarkt die Daten an eine Tochterfirma weitergegeben hat. Außerdem bekommen Internetnutzer durch den sogenannten Datenrucksack mehr Kontrolle über ihre persönlichen Daten. Wechseln sie von einem Anbieter zum anderen, können sie E-Mails, Fotos oder Kontakte mitnehmen. Zudem müssen Verbraucher über Datenschutzverstöße – etwa durch Datenlecks oder Hackerangriffe – informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden.
Und wie soll das durchgesetzt werden?
Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Von Ende Mai an drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden.
Was müssen Unternehmen und andere Organisationen beachten?
Grundsätzlich sollen so wenige Informationen wie möglich gesammelt werden. Es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist. Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten oder eine bestimmte Größe überschreiten, müssen zudem einen Datenschutzbeauftragten ernennen.
Wer ist denn überhaupt für Beschwerden zuständig?
Die Unternehmen. Aber vor allem die Datenschutzbeauftragten des Bundeslands. Das vereinfacht für den Verbraucher vieles. Denn auch wenn es beispielsweise um Fragen eines deutschen Nutzers zu einem Anbieter in Frankreich geht, bleibt der Beauftragte des Bundeslandes zuständig.
Und wer ist verantwortlich, wenn es sich um eine Firma oder einen Anbieter außerhalb der EU handelt?
In dieser Frage betritt die Union tatsächlich Neuland. Denn es wird künftig ohne Bedeutung sein, ob ein Anbieter seine europäischen Kunden von den Cayman-Inseln oder aus der Bundesrepublik heraus bedient. Auch für ihn gelten die EU-Regeln. Das bedeutet: US-Konzerne sind auch ohne europäischen Sitz verpflichtet, die für hiesige Kunden geltende Datenschutz-Verordnung einzuhalten.
Wer überwacht so etwas?
Zuständig sind und bleiben die Datenschutzbeauftragten der Bundesländer. Kommen sie nicht weiter oder haben sie den Eindruck, dass in einem anderen EU-Land zu nachlässig gearbeitet wird, können sie über den neuen Europäischen Datenschutzausschuss darauf einwirken. Er setzt sich aus den Präsidenten der europäischen Aufsichtsbehörden zusammen. (mit AZ)