DSGVO: Das sind die wichtigsten Neuerungen

Teil 3 unserer Blogserie fasst die entscheidenden Punkte der Datenschutz-Grundverordnung zusammen, die über die Regelungen des bisherigen Bundesdatenschutzgesetzes hinausgehen. Dazu zählen eine erweiterte Definition für „personenbezogene Daten“ und das „Recht auf Vergessenwerden“.

Icons by Smashicons, Freepik www.flaticon.com
bjoern

Björn GreifRedakteur

Blog

In Teil 1 unserer Blogserie zur Datenschutz-Grundverordnung (DSGVO) haben wir erläutert, auf welche Rechte du dich als Verbraucher künftig berufen kannst. Teil 2 beleuchtete die wichtigsten Grundsätze und Regelungen, die sich am deutschen Bundesdatenschutzgesetz (BDSG) orientieren. Im dritten und letzten Teil gehen wir nun auf die entscheidenden Neuerungen der DSGVO (oder auf Englisch GDPR für General Data Protection Regulation) ein, die über das BDSG hinausgehen.

Hier die wichtigsten Punkte im Überblick:

  • Erweiterte Definition für „personenbezogene Daten“ (Artikel 4)
    Galten bisher nur Informationen wie Name, Adresse und Telefonnummer als personenbezogene Daten, fallen in diese Kategorie künftig jegliche Daten, die direkt oder indirekt eine Identifizierung einer Person ermöglichen. Das schließt beispielsweise IP- und MAC-Adressen, Cookie- und Nutzer-IDs, digitale Fingerabdrücke sowie Standort- und Biometriedaten ein. Anonymisierte Daten, die keine Identifizierung einer Person erlauben, sind hingegen ausgeschlossen.
    Personenbezogene Daten dürfen nur „für festgelegte, eindeutige und rechtmäßige Zwecke erhoben“ und verarbeitet werden. Damit reichen oft verwendete Floskeln wie „zur Verbesserung des Nutzerelebnisses“ oder „zu Marketingzwecken“ ohne genauere Angabe als Erklärung für die Datenverarbeitung nicht mehr aus.
  • Neue Transparenz- und Informationspflichten (Artikel 12)
    Unternehmen sind künftig verpflichtet, Nutzern die Rechtsgrundlage zur Verarbeitung der Daten mitzuteilen. Gleiches gilt für die Dauer der Speicherung, die Kriterien für die Dauer der Speicherung oder die Weitergabe an externe Datenverarbeiter. Zudem müssen Unternehmen alle Informationen und Mitteilungen, „die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ an Betroffene übermitteln. Diese sollen dadurch einfacher nachvollziehen können, was mit ihren Daten geschieht.
  • „Recht auf Vergessenwerden“ gesetzlich verankert (Artikel 17)
    Ein Nutzer kann unter bestimmten Umständen von Seitenbetreibern verlangen, seine personenbezogenen Daten unverzüglich zu löschen. Das ist etwa der Fall, wenn er seine Einwilligung widerrufen hat, Daten unrechtmäßig verarbeitet wurden oder für die vorgesehenen Zwecke nicht mehr notwendig sind. Das Recht auf Vergessenwerden bzw. Löschung gilt jedoch nicht, wenn beispielsweise die freie Meinungsäußerung oder die Informationsfreiheit überwiegen. Wann dies zutrifft, werden letztlich wohl wieder Gerichte klären müssen.
  • Datenschutz ab Werk (Artikel 25)
    Unternehmen sollen geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass Daten von vornherein anonymisiert oder nur im erforderlichen Maß erhoben werden (Privacy by Design). Anwendungen und elektronische Geräte müssen zudem datenschutzfreundlich voreingestellt werden, so dass sie grundsätzlich nur solche Daten erheben, deren Verarbeitung für den jeweiligen Zweck erforderlich ist (Privacy by Default). Was jedoch als „erforderlich“ gilt, bestimmen letztlich die Unternehmen selbst.
  • Auch US-Konzerne müssen EU-Datenschutzgesetze einhalten (Artikel 3)
    Die DSGVO gilt für alle Unternehmen, die Daten von Personen verarbeiten, die sich in einem EU-Staat aufhalten. Bei juristischen Auseinandersetzungen finden nach dem Marktortprinzip künftig die Gesetze des Landes Anwendung, in dem die Daten erhoben werden. Bisher griffen die Gesetze des Landes, in dem das beteiligte Unternehmen seinen Hauptsitz hat (Standortprinzip). So konnte sich beispielsweise Facebook bei Datenschutzkonflikten in Deutschland bis dato immer auf das vergleichsweise laxe irische Datenschutzrecht berufen, weil es in Irland seine Europazentrale hat.
  • Höhere Bußgelder (Artikel 83)
    Während das BDSG lediglich Bußgelder in Höhe von maximal 300.000 Euro vorsieht, können Aufsichtsbehörden nach DSGVO künftig Strafen von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Jahresumsatzes gegen Unternehmen verhängen – je nachdem, welcher Betrag höher ist.

Die DSGVO ersetzt ab 25. Mai die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie 95/46/EG und das darauf basierende BDSG. Die EU-Mitgliedsstaaten können jedoch Ergänzungsgesetze beschließen, welche die DSGVO in Teilen modifizieren und konkretisieren. In Deutschland ist dies das Datenschutz-Anpassungs- und -Umsetzungsgesetz (DSAnpUG). Es enthält eine Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) und wird zeitgleich mit der DSGVO Ende Mai in Kraft treten.

Darüber hinaus wird die DSGVO durch die EU-ePrivacy-Verordnung ergänzt, die Internet- und Telemediendienste betrifft. Sie sieht striktere Regeln für die Verwertung von Kommunikationsdaten sowie einen besseren Schutz gegen Tracking vor und stärkt das Recht auf verschlüsselte Kommunikation. Ob die ePrivacy-Verordnung wie ursprünglich geplant zusammen mit der DSGVO Ende Mai in Kraft treten wird, ist derzeit ungewiss. Aktuell laufen noch Trilog-Verhandlungen zwischen EU-Parlament, EU-Kommission und Mitgliedsstaaten, in denen es um die konkrete Umsetzung geht. Wie schon bei der DSGVO versuchen Lobbygruppen, Einfluss auf den finalen Verordnungstext zu nehmen. Daher steht zu befürchten, dass die eigentlich nutzerfreundliche Position noch verwässert wird.

Letztlich müssen sich die Regelungen der neuen Verordnungen erst in der Praxis beweisen. Denn wie die meisten Gesetzestexte enthalten sie teils unklare Formulierungen, die einen gewissen Interpretationsspielraum lassen. Und wo es Schlupflöcher gibt, werden sie meist auch ausgenutzt, ehe Gerichte im konkreten Fall über die Auslegung entscheiden.

Daher solltest du dich als Nutzer niemals allein auf Gesetze und Verordnungen verlassen, um deine Privatsphäre zu schützen. Werde besser selbst aktiv und achte bewusst darauf, wem du welche Daten zur Verfügung stellst. Technische Lösungen in Form von Anti-Tracking-Tools wie Ghostery oder Cliqz können dir dabei helfen. Sie verhindern von vornherein, dass deine personenbezogenen Daten an Dritte übermittelt werden. Ghostery steht als Erweiterung für alle gängigen Browser zum Download bereit. Der ebenfalls kostenlose Cliqz Browser mit integriertem Tracking-Schutz liegt für Windows und macOS sowie für Android und iOS vor.

Alle Artikel unserer Blogserie zur Datenschutz-Grundverordnung im Überblick:

CLIQZ FÜR MOBILE
Cliqz for Android
Cliqz for iOS
Cliqz for Android