Ab dem 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (DSGVO). Mit ihrer Hilfe sollen die persönlichen Daten von EU-Bürgern künftig besser geschützt werden. Roland-Partneranwalt und Datenschutzexperte Frank W. Stroot von der Kanzlei bpl Rechtsanwälte Stroot & Kollegen in Osnabrück verrät, welche Folgen die neue Verordnung mit sich bringt.
„Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und mit personenbezogenen Daten arbeiten – sowohl online als auch offline. Aber auch Unternehmen im Ausland, die ihre Dienste EU-Bürgern anbieten – beispielsweise Facebook oder Google –, müssen sich an die Verordnung halten“, sagt Stroot. Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind zum Beispiel der Name, die Anschrift, das Geburtsdatum und die E-Mail-Adresse, aber auch die IP-Adresse oder Cookies.
Die neue Datenschutzerklärung: besser zugänglich, leichter verständlich
Der Schutz personenbezogener Daten ist eines der Ziele der DSGVO. Ein anderes ist es, eine größere Transparenz für Verbraucher zu schaffen. Darum gibt es auch neue Vorschriften für die Datenschutzerklärung: Künftig muss diese präzise, transparent, leicht zugänglich sowie klar und einfach formuliert sein. Verbraucher sollen direkt verstehen können, was das Unternehmen unternimmt, um ihre Daten zu schützen. Richtet sich die Webseite an Kinder, muss die Datenschutzerklärung so einfach formuliert sein, dass ein Kind sie verstehen kann.
Neu ist zudem, dass die Verantwortlichen nicht nur angeben müssen, zu welchem Zweck sie die Daten verarbeiten, sondern auch, auf welcher Rechtsgrundlage sie das tun. Weiterhin muss das Unternehmen Nutzer darüber informieren, wie lange es ihre Daten speichert beziehungsweise welche Kriterien es für die Speicherfrist gibt. „Auch wenn der Anbieter Ihre Daten von Dritten bekommen hat, muss er Sie darüber informieren“, erläutert Stroot.
Auskunftsrecht, Recht auf Datenübertragung und Recht auf Löschung
Neben der einfacheren und transparenteren Datenschutzerklärung räumt die Datenschutzgrundverordnung Verbrauchern grundsätzlich erweiterte Rechte ein:
1. Auskunftsrecht: Dieses besagt, dass EU-Bürger Informationen darüber verlangen können, ob und vor allem welche persönlichen Daten von ihnen zu welchem Zweck wie lange gespeichert werden. „Das verantwortliche Unternehmen muss solche Gesuche unverzüglich, spätestens aber einen Monat nach Erhalt beantworten“, weiß Frank W. Stroot. In Einzelfällen kann die Frist um zwei Monate verlängert werden. Betroffene können diese Auskunft schriftlich per Brief oder E-Mail anfordern.
2. Recht auf Datenübertragung: Dieses besagt, dass Unternehmen die Daten eines Nutzers einem anderen Anbieter übermitteln müssen, wenn der Nutzer zu diesem wechselt. „Das ist beispielsweise der Fall, wenn ich meine Bank, meinen Internetanbieter oder meinen Arbeitgeber wechsele“, erklärt der ROLAND-Partneranwalt. Dann müssen alle Daten, die der Nutzer selbst zur Verfügung gestellt hat, ohne Verluste übertragen werden.
3. Recht auf Löschung, auch Recht auf Vergessenwerden genannt: Danach muss der Verantwortliche personenbezogene Daten löschen, wenn diese entweder nicht mehr benötigt werden, sie unrechtmäßig verarbeitet wurden oder die betroffene Person dies verlangt. „Außerdem können Sie als Betroffener fordern, dass falsche Daten korrigiert werden“, fügt der Rechtsexperte hinzu.
Hohe Strafen bei Verstößen, neues Recht auf Schadenersatz
Sollte ein Unternehmen gegen die neuen Regeln und Standards der DSGVO verstoßen, kann das teuer werden: „Die neue Verordnung sieht Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes vor. Mit diesen empfindlichen Strafen hat die Europäische Union ein wirksames Mittel zur Herstellung eines angemessenen Datenschutzniveaus geschaffen, das auch große, international tätige Konzerne ernst nehmen müssen“, erklärt Stroot.
Und: Nicht nur Behörden, auch Verbraucher können künftig gegen Datenschutzverstöße vorgehen. Nach Art. 82 Abs. 1 DSGVO kann jede Person Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter verlangen, wenn sie durch einen Verstoß gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet. „Das ist ein absolutes Novum, das sieht das Bundesdatenschutzgesetz bislang nicht vor“, kommentiert der Datenschutzexperte. „Zusätzlich gilt in solchen Fällen die Umkehr der Beweislast. Das heißt, es wird davon ausgegangen, dass das Unternehmen den Schaden verschuldet hat – es sei denn, es kann einen rechtmäßigen Datenschutz belegen.“ Verbraucher können zukünftig also sogar Schadenersatz verlangen, ohne einen materiellen Schaden beweisen zu müssen, denn durch die (vermutete) rechtswidrige Nutzung der personenbezogenen Daten liegt ein Eingriff in das allgemeine Persönlichkeitsrecht vor. Allerdings wird die Zukunft zeigen, in welcher Höhe den Betroffenen tatsächlich Schmerzensgelder zugesprochen werden. „Hier wird es noch eine Abstimmung auf EU-Ebene geben“, so Stroot. (fm)
Foto: Shutterstock