Die Aufregung ist gross. Am 25. Mai kommt das neue EU-Gesetz zum Datenschutz. Die elf wichtigsten Fragen zur neuen Datenschutzgrundverordnung (DSGVO):
Es muss. Die alte EU-Regelung stammen aus dem Jahr 1995, das Internet war damals noch neu, an Facebook und Instagram oder Airbnb nicht einmal zu denken. Nun macht sich Europa auf den Weg ins Digitalzeitalter. Und schafft neue Fakten. Im Gegensatz zur alten Richtlinie ist die neue Datenschutzregelung eine Verordnung, das heisst: Sie gilt unmittelbar als nationales Gesetz; in allen 28 Mitgliedstaaten der EU. Und darüber hinaus.
Alle, die in der EU mit personenbezogenen Daten umgehen (das gilt auch für die Schweiz). Von Vereinen, die Adresslisten pflegen, über Verbände, die einen Newsletter verschicken, bis hin zu grossen Unternehmen mit ihren gewaltigen Datenbergen. (Firmen mit mehr als 250 Mitarbeitern brauchen künftig sogar einen eigenen Datenschutzbeauftragten.)
Doch, was nützen die besten Regeln, wenn sich Unternehmen nicht daran halten müssen, weil sie zwar Daten in der EU sammeln, aber ausserhalb Europas sitzen wie zum Beispiel Airbnb? Die neuen Regeln legen auch das fest: Wer auf dem Markt in der EU Geschäfte macht, muss sich auch an Europas Datenschutzstandards halten. Juristen sprechen vom Marktortprinzip.
Um personenbezogene Daten. Das sind alle Daten, die dich eindeutig indentifizierbar machen. Neben Name, Adresse und Geburtsort sind das auch IT-Adressen oder Mailadresse.
Die Auskunftspflicht wird strenger geregelt. Welche Daten hat Facebook über mich gesammelt? Was weiss meine Bank? Was die Fluglinie? Künftig kann jeder bei Unternehmen nachfragen, welche Daten
dort über ihn erfasst sind. Die Firmen sollen binnen vier Wochen antworten.
Generell gilt: Daten sollen
so kurz wie möglich gespeichert werden.
die Speicheraktion muss angemessen sein
wird der Server eines Unternehmens gehackt, müssen die Kunden binnen 72 Stunden
über den Datenklau informiert werden.
Allgemeine Geschäftsbedingungen (AGBs) zählen zu den am wenigsten gelesenen Texten. Das wird sich auch künftig wohl nicht ändern. Die neue Regelung schreibt nun eine aktive Einwilligung vor. Wichtig etwa für Datentracking via Cookies. Auch muss der User künftig zustimmen. Und zwar aktiv. Neu ist also die eindeutige Einwilligung.
Playlist? Adressdatei? Fitnessband? Cloud Daten? Künftig gilt: Meine Daten gehören mir. Und ich kann sie mitnehmen, wenn
ich einen Anbieter wechsle. Und zwar in einem gängigen Datenformat. Juristen reden in ihrer unnachahmlichen Sprache von Übertragbarkeit oder Daten-Portabilität.
Juristisch knifflig. Sind auch Bilder personenbezogene Daten? Darüber streiten Datenschützer und Juristen. Generell gilt:
Früher war das alles sehr einfach. Es gab einen Rechner und eine Festplatte und noch kein Internet. Daher genügte ein einziger Befehl: Delete *.* lautete der Befehl, der einst aus Bits und Bytes ein digitales Nichts machte. Im Zeitalter von Google, Bing und Facebook ist das anders. Im Netz verschwindet nix.
Vor vier Jahren hatte der Europäische Gerichtshof (EuGH) in Luxemburg bereits ein Recht auf Vergessen festgeschrieben. Geklagt hatte der Spanier Mario Costeja Gonzalez. Eine Annonce, dass sein Haus einst zwangsversteigert wurde, fand sich auch mehr als ein Jahrzehnt später noch in der Liste der Google-Treffer. Damit ist nun Schluss. Das Netz lernt vergessen. Und die EU lernt dazu. In der neuen Regelung ist festgeschrieben, dass andere Anbieter über den Löschwunsch informiert werden müssen, wenn die Daten weitergereicht wurden. Juristen sprechen dabei vom Recht auf Vergessen.
Personenbezogene Daten dürfen laut neuem Gesetz erst verarbeitet werden, wenn der User 16 ist. WhatsApp setzte das Mindestalter gleich auf 16 Jahre fest, Facebook testet einen Link zur Seite der Eltern. Da wird also in der Praxis noch experimentiert.
Der Österreicher Max Schrems musste in Irland vor Gericht ziehen, um an seine Facebookdaten zu kommen. Der Grund: Die Europazentrale von Facebook sitzt in der irischen Hauptstadt Dublin. Mit der neuen EU-Regelung wird das anders. In Datenschutzfragen kann sich künftig jeder EU-Bürger an die Datenschutzbehörden in seinem Land wenden, die klären den Fall, egal, wo das Unternehmen in der EU seine Europazentrale hat. Von One-Stop-Shop reden die Experten, heisst nix anderes als: ein einziger Ansprechpartner für dich in der gesamten EU. Und hier geht's zu den Datenschutzbehörden.
Datenschutzregeln gab es bisher schon. Nur hatte es kaum Folgen, wenn Facebook mit Cambridge Analytica kumpanierte. Ausser moralischer Empörung mit vielen Ausrufezeichen!!!
Künftig wird es teuer!!! Es droht ein hohes Bussgeld. Bis zu vier Prozent des weltweiten jährlichen Umsatzes muss ein Unternehmen zahlen, wenn es gegen die neuen Regeln verstösst. Bei Facebook mit einem jährlichen Umsatz (2017) von rund 34 Milliarden Euro wären das 1.3 Mrd. Euro.