Beim Datenschutz geht es um das Recht einer Person auf informationelle Selbstbestimmung, d. h. den Schutz der Person vor unberechtigter Nutzung von Informationen über sich selbst, z. B. durch gewollte oder ungewollte Verarbeitung von personenbezogen Daten. Der Begriff der Verarbeitung umfasst im Wesentlichen das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Verstöße gegen den Datenschutz sind Grundrechtsverletzungen – in Deutschland sind dies u. a. der Schutz der Würde des Menschen und das Recht auf freie Entfaltung der Persönlichkeit gemäß Artikel 1 und 2 des Grundgesetzes. Artikel 1 der EU-DSGVO nimmt ausdrücklich Bezug auf den Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen laut Artikel 8 der EU-Grundrechtscharta. Verstöße gegen diese Grundrechte können hohe Bußgelder nach sich ziehen.

Der Schutz der Privatsphäre der Bürger und des geistigen Eigentums von Unternehmen sollte uns daher sehr wichtig sein. Das überzeugendste Argument für den Schutz der Privatsphäre stammt von Edward Snowden – Zitat: „Zu sagen, dass Ihnen das Recht auf Privatsphäre egal ist, weil Sie nichts zu verbergen haben, ist ungefähr so, als wenn Sie sagen würden, dass Ihnen die Meinungsfreiheit egal ist, weil Sie nichts zu sagen haben“ (siehe: http://www.businessinsider.de/edward-snowden-privacy-argument-2016-9).

Leider werden Privatsphäre und geistiges Eigentum durch verschiedene Angreifer aus unterschiedlichen Motiven  bedroht, z. B. durch Kriminelle, Aktivisten, religiöse Eiferer, Idealisten mit Sendungsbewusstsein, Plattformunternehmen, Nachrichtendienste. Die Angriffspunkte sind vielfältig – neben dem „Faktor Mensch“ sind dies z. B. Smartphones mit ihrer Vielzahl an Sensoren (Mikrofone, Kameras, GPS, Lagesensoren, Fingerabdruck- und Gesichtserkennung etc. pp.), Computer, Schnittstellen, Prozessoren, Betriebssysteme, BIOS, Rechenzentren, Netzwerke und andere Komponenten. Zu Ausspionieren können die Daten verwendet werden, die Sie auf dem Smartphone, Computer oder Server gespeichert haben (einschließlich der Kontaktdaten in ihrem Smartphone), aber auch Daten, die Sie beim Surfen im Internet oder bei der Kommunikation per E-Mail, SMS oder Messenger-Apps preisgeben. Sie sollten verstehen, dass unverschlüsselte E-Mails oder WhatsApp-Nachrichten von Fremden genauso einfach gelesen werden können, wie eine Postkarte, die Sie über die gute alte Post versenden. Manche Apps besitzen die unangenehme Eigenschaft, dass sie bei der Installation ungefragt Daten vom Smartphone des Benutzers herunterladen und auf einem zentraler Server speichern (WhatsApp ist ein prominentes Beispiel dafür).

Folgendes (vergleichsweise harmloses) Beispiel zur Verletzung der Privatsphäre aus meinem persönlichen Erfahrungsschatz möchte ich Ihnen nicht vorenthalten:

Ich habe zwischen Dezember 2017 und Mai 2018 über 100 Anrufe von einer Tradingfirma aus dem Ausland erhalten, auf deren Website ich mich Ende vergangenen Jahres unvorsichtigerweise registriert hatte, ohne ein Konto bei dieser Firma zu eröffnen oder Newsletter oder andere Dienste zu abonnieren.

Die Anrufe kamen von stetig wechselnden Rufnummern aus allen möglichen Ländern in der EU oder der Schweiz und wurden teilweise früh am Morgen oder spät am Abend getätigt. Da ich als freiberuflicher IT-Berater und Interim Manager auch Kunden im Ausland habe, konnte ich es mir nicht erlauben, die Anrufe einfach ins Leere laufen zu lassen.

Die Anrufer versuchten, mir überwiegend mit Drückermethoden irgendwelche Services aufzuschwatzen, die mich nicht interessieren. Ich habe jeden Anrufer abgewürgt und ihm gesagt, dass er mich aus der Anrufliste der Firma löschen soll – bislang stets erfolglos.

Vom ersten Anrufer nach Inkrafttreten der DSGVO am 25.05.2018 habe ich mir die Webseite seines Arbeitgebers nennen lassen und ihm unmissverständlich klargemacht, dass ich seinen Arbeitgeber auf Grundlage der DSGVO verklagen werde, wenn ich noch einen einzigen Anruf erhalte. Es wurde zum ersten Mal bei über 100 Anrufen still am anderen Ende der Leitung und ich bin gespannt, ob meine Ankündigung nachhaltige Wirkung zeigt.

Das Beispiel zeigt jedoch, warum die DSGVO – trotz aller Kritik (Stichwort: „Bürokratiemonster“) – aus Sicht der Verbraucher wichtige und richtige Verbesserungen bringt. Stellen Sie sich folgende Fragen: Was ist falsch daran, dass Bürger darüber informiert werden müssen, wenn Firmen ihre Daten nutzen wollen? Was ist falsch daran, dass die Bürger dieser Nutzung zustimmen müssen? Was ist falsch daran, dass ich als Bürger das Recht habe, Auskünfte darüber einzufordern, welche Daten eine Firma über mich gespeichert hat und was sie damit macht? Und was ist falsch daran, dass ich die Löschung meiner Daten verlangen kann, wenn sie für den ursprünglichen Zweck nicht mehr benötigt werden?

All dies regelt die DSGVO. Dass Firmen dafür klare Verantwortlichkeiten schaffen müssen einschließlich Prozesse, Methoden und Tools, ist eigentlich logisch. Das mussten sie allerdings auch schon unter dem Bundesdatenschutzgesetz. Wer also in der Vergangenheit als Firma die Gesetze eingehalten hat, sollte in der Lage sein, die zusätzlichen Anforderungen der DSGVO relativ leicht umzusetzen.

Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar hat am 25.05.2018 auf Heise.de einen sehr lesenswerten Kommentar veröffentlicht (siehe: https://www.heise.de/newsticker/meldung/Analyse-zur-DSGVO-von-Peter-Schaar-Die-notwendige-Zumutung-Datenschutz-4057260.html) unter der Überschrift „Analyse zur DSGVO von Peter Schaar: Die notwendige Zumutung Datenschutz“, in dem er einige falsche Behauptungen korrigiert, wie z. B. „Ähnliche Fehlinterpretationen bestehen auch bei der Pflicht einen Datenschutzbeauftragten zu benennen. So berichten Arztpraxen und Handwerksbetriebe über eine Flut von Angeboten von Firmen, die sich als externe Datenschutzbeauftragte anbieten. Tatsächlich benötigen aber nur diejenigen Unternehmen einen Datenschutzbeauftragen, die regelmäßig mehr als zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder deren Kerntätigkeit in der Verarbeitung umfangreichen regelmäßigen Überwachung natürlicher Personen besteht. Dies dürfte für die wenigsten kleineren Unternehmen, Vereine oder Praxen zutreffen.“

Es wird also alles bei Weitem nicht so heiß gegessen, wie es gekocht wurde (wie meistens im Leben).

Ausführlichere Informationen zu den eingangs erwähnten schwerwiegenden Bedrohungen für die Privatsphäre finden Sie in meinen folgenden Blogs:

Die nachfolgende Grafik der Enterprivacy Consulting Group klassifiziert wesentliche Bedrohungen der Privatsphäre in vier Kategorien:

  1. Verarbeitung von Informationen (z. B. Datenverdichtung, Verunsicherung, Identifizierung, Zweitnutzung, Ausschluss)
  2. Sammlung von Informationen (z. B. Überwachung, Abfrage/Verhör)
  3. Verbreitung von Informationen (z. B. Verletzung der Vertraulichkeit, Weitergabe/Offenlegung, Enthüllung/Zurschaustellung, erhöhte Zugänglichkeit, Erpressung, Vereinnahmung/Verwendung, Verzerrung/Entstellung)
  4. Verletzung der Privatsphäre (Eindringen, Einflussnahme auf Entscheidungen)

A Taxonomy of Privacy (high resolution with frame)

 

Am 04.05.2018 hat das Nachrichtenmagazin DER SPIEGEL eine recht gute Zusammenfassung der wesentlichen DSGVO-Neuerungen unter der Überschrift „DSGVO: Endlich verständlich – was die neuen EU-Regeln für die Bürger bedeuten“ herausgebracht: http://www.spiegel.de/netzwelt/web/dsgvo-das-sollten-sie-zur-datenschutz-grundverordnung-der-eu-wissen-a-1205985.html.

Diese Zusammenfassung wurde als Slideshow konzipiert, bei der man sich durch 11 Seiten klicken muss. Nachfolgend finden Sie den Inhalt der Zusammenfassung auf einen Blick. Das Copyright liegt beim SPIEGEL. Am Ende dieses Blogs finden Sie einen Mustertext, mit dem Sie der Erhebung, Speicherung und Verarbeitung Ihrer personenbezogenen Daten unter Bezugnahme auf Artikel 17 der DSGVO („Recht auf Löschung“) widersprechen können.

<ZITAT ANFANG>

„Ab dem 25. Mai 2018 kommen die neuen Datenschutzregeln der EU zur Anwendung. Hier erfahren Sie, was das für Ihre Rechte als Bürger bedeutet – und warum Experten mit Abmahnwellen rechnen.

1. Was ist die Datenschutz-Grundverordnung?

Die Verordnung soll den Datenschutz in der EU vereinheitlichen und ins Internetzeitalter befördern. Sie ersetzt eine EU-Richtlinie, die noch aus der Frühzeit des World Wide Web stammt, nämlich aus dem Jahr 1995. Der offizielle Name der Datenschutz-Grundverordnung lautet deshalb auch „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“. Die neue Verordnung gilt nun für alle gleich, während die Richtlinie den Mitgliedstaaten mehr Spielraum ließ.

In 99 Artikeln regelt die neue Verordnung, wie Unternehmen und Behörden, aber zum Beispiel auch Vereine mit personenbezogenen Daten umgehen sollten. Im deutschsprachigen Netz wird über die Verordnung vor allem unter der Abkürzung DSGVO diskutiert, auf Englisch ist der Name General Data Protection Regulation, kurz GDPR, geläufig.

Inhaltlich ist die Verordnung kein kompletter Neuanfang. Vielmehr baut sie auf der bisherigen Richtlinie und den nationalen Gesetzen auf, etwa dem deutschen Bundesdatenschutzgesetz. Auch in der EU-Grundrechtecharta sind Datenschutzrechte verankert, die die Verordnung aufgreift.

2. Was passiert am 25. Mai 2018?

Die DSGVO kommt am 25. Mai 2018 EU-weit zur Anwendung, ihre Vorgaben müssen also fortan komplett umgesetzt werden, sonst drohen Strafen. Bis hierhin war es ein weiter Weg, mit vielen Abstimmungen zwischen den Ländern und regelrechten Lobbyschlachten: Der erste Entwurf der EU-Kommission ist datiert auf den Januar 2012, vorausgegangen waren zwei Konsultationsphasen. Beschlossen wurde die Verordnung vom EU-Ministerrat und dem Europäischen Parlament aber erst im April 2016. In Kraft getreten ist sie bereits im Mai 2016.

3. Was will die EU mit der Datenschutz-Grundverordnung erreichen?

Die DSGVO lässt sich ganz allgemein aus drei Perspektiven betrachten: Wirtschaft, Technik, Verbraucher.

Anders als eine Richtlinie, die erst in nationale Gesetze überführt und dabei durchaus unterschiedlich interpretiert wird, gilt eine Verordnung unmittelbar in allen Mitgliedstaaten. Zwar ermöglichen sogenannte Öffnungsklauseln den Mitgliedstaaten auch eigene Regelungen, aber nur in begrenztem Umfang.

Die technische Perspektive: Ein grundsätzliches Ziel der DSGVO ist es, die veraltete bisherige EU-Richtlinie durch moderne, technikneutrale Regelungen zu ersetzen. 1995 gab es noch keine so großen sozialen Netzwerke wie Facebook, kein Videostreaming und keine Big-Data-Anwendungen.

Der Grünen-Politiker Jan Philipp Albrecht, der eine wichtige Rolle beim Zustandekommen der Verordnung gespielt hat, ist „sehr zuversichtlich“, dass die Verordnung Datenschutzfragen rund um aktuelle Themen wie Deep Learning oder zukünftige Techniken beantworten kann. Die nächste grundlegende Reform werde sich die EU „wahrscheinlich erst in 15 oder 20 Jahren vornehmen müssen“, sagt er dem SPIEGEL.

Die Verbraucher-Perspektive: Die DSGVO reflektiert, wie viele Daten über jeden einzelnen Verbraucher erhoben, verarbeitet, weiterverbreitet und kommerzialisiert werden. Sie bringt den Nutzern verschiedene neue Auskunfts-, Lösch- und Widerspruchsrechte, die die Position der Verbraucher stärken.

Das Recht auf Vergessenwerden etwa bedeutet, dass EU-Bürger unter gewissen Umständen die Löschung ihrer personenbezogenen Daten verlangen können, zum Beispiel, wenn die Speicherung nicht länger notwendig ist oder wenn sie unrechtmäßig verarbeitet wurden.

Neu ist zudem das Recht auf Datenportabilität. Es besagt, dass Nutzer eines Onlinedienstes die Herausgabe ihrer personenbezogenen Daten in strukturierter, maschinenlesbarer Form verlangen können, um sie zu einem anderen Anbieter übertragen zu können. Im Auge hatte der Gesetzgeber vor allem soziale Netzwerke. Verschärft wird auch die Auskunftspflicht von Firmen nach einer Datenpanne oder einem Hack.

Kerngedanken der Verordnung sind die Prinzipien „Privacy by Design“ und „Privacy by Default“ – also Privatsphäre, die schon bei der Entwicklung eines Dienstes oder Produkts berücksichtigt wird und privatsphärefreundliche Voreinstellungen.

4. Wen betreffen die neuen Regeln?

Die DSGVO hat Folgen für jeden, der personenbezogene Daten verarbeitet, also auch für viele Blogger und Betreiber kleiner Websites (siehe Frage 6). Was „personenbezogene Daten“ sind und was mit deren „Verarbeitung“ gemeint ist, wird definiert: Personenbezogen sind Daten, wenn sie sich direkt oder indirekt auf einen identifizierbaren Menschen beziehen lassen. Namen sind also immer personenbezogene Daten. Physische Merkmale wie Geschlecht, Hautfarbe oder Kleidergröße sind personenbezogen, wenn sie einem Menschen zugeordnet werden können. Das gilt auch für Autokennzeichen und IP-Adressen, soweit es rechtlich zulässige Wege gibt, die zu ihnen gehörenden Personen zu ermitteln.

Verarbeitet werden Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, transferiert, verknüpft, abgeglichen oder gelöscht werden. Besonders strenge Vorgaben gelten für die Verarbeitung von Daten, aus denen „rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen“ hervorgehen sowie für Gesundheitsdaten.

Folglich müssen sich viele Institutionen und Firmen – darunter natürlich auch SPIEGEL ONLINE – sowie Einzelpersonen auf die DSGVO einstellen. Das ist eine große Herausforderung, weil die Regelungen der DSGVO sehr allgemein gehalten sind und auch die Experten oft nicht sicher sind, was zukünftig wie erlaubt ist.

Ein Beispiel: Manche, aber nicht alle Rechtsexperten gehen davon aus, dass die DSGVO das Verhältnis zwischen Kunstfreiheit beziehungsweise Kunsturhebergesetz und Datenschutz verändert – zum Nachteil von Fotografen. Ihr Szenario: Wer nicht fest angestellt für ein Medium arbeite, sondern zum Beispiel als freier Sport-, Konzert- oder Hochzeitsfotograf, braucht ab dem 25. Mai 2018 die Einwilligung jeder Person, die er fotografiert.

WICHTIGE ANMERKUNG MEINERSEITS: Laut dem ehemaligen Bundesdatenschutzbeauftragten Peter Schaar handelt es sich bei der ungeprüft verbreiteten Behauptung, digitale Fotografien oder deren Veröffentlichung seien zukünftig generell nur noch mit ausdrücklicher, informierter Einwilligung der abgebildeten Personen zulässig um Panikmache, da Vertreter des Bundesinnenministerium und der Datenschutzbehörden klargestellt haben, dass die Vorgaben des Kunst-Urheber-Gesetzes (KUG) auch weiterhin gelten. ENDE DER ANMERKUNG

Jedes digitale Foto einer Person ist nach Definition der DSGVO eine Datenverarbeitung. Im Prinzip sind Ausnahmen vorgesehen, doch wie weit die gehen, werden zunächst die Behörden in den Mitgliedstaaten, dann die nationalen und zu guter Letzt die europäischen Gerichte festlegen müssen.

Website-Betreiber müssen, sofern ihre Seite nicht ausschließlich persönlichen oder familiären Zwecken dient, jeden Besucher darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange speichern. Vermieter haben durch die DSGVO ebenfalls neue Schutz-, Dokumentations-, Auskunfts- und Löschpflichten, wie sowohl der Deutsche Mieterbund als auch der Eigentümerverband Haus & Grund Deutschland sagen.

Auch Blogger, Onlineshop-Betreiber, niedergelassene Ärzte und Krankenhäuser, Schulen und Sportvereine müssen bestimmte Anforderungen erfüllen und Maßnahmen ergreifen – und natürlich auch US-Unternehmen wie Google und Facebook, die in der EU tätig sind und deren Geschäftsmodelle auf der Verwertung von Nutzerdaten beruhen. Besonders schwierig wird es künftig für Firmen, deren Dienste sich explizit oder in großem Maße an Minderjährige richten – sie müssen bei Nutzern unter 16 Jahren künftig Einwilligungen der Eltern einholen – oder aufs Speichern von Daten verzichten, so wie es zum Beispiel Snapchat tun will.

Ausgenommen von den Regeln der DSGVO sind übrigens die Daten von Strafverfolgungs- und Justizbehörden, wenn es um die Aufdeckung, Verfolgung oder Verhinderung von Straftaten geht. Für diese Daten gilt die ebenfalls neue, zeitgleich verabschiedete EU-Richtlinie für den Datenschutz bei Polizei und Justiz.

5. Was ändert sich durch die Verordnung für normale Internetnutzer?

Grundsätzlich anders wird das Web nach dem 25. Mai wohl nicht sein, zumindest nicht auf deutschen Internetseiten: Einerseits, weil viele Vorgaben des DSGVO in ähnlicher Form schon im bisherigen deutschen Bundesdatenschutzgesetz auftauchen. Andererseits, weil vor allem große Firmen ihre Angebote bereits in den vergangenen Wochen oder Monaten an die Vorgaben angepasst haben – teils abgestimmt innerhalb der Branche. Vom Berliner Versandhändler Zalando, der viel mit personenbezogenen Daten arbeitet, heißt es beispielsweise: „Wir stehen in regem Austausch mit anderen Digital-Unternehmen, um sicherzustellen, dass die Datenschutz-Grundverordnung einheitlich interpretiert wird.“

Eine der offensichtlichsten Veränderungen, die Nutzern auf fast jeder Website begegnen könnten, dürften überarbeitete Datenschutzerklärungen und Allgemeine Geschäftsbedingungen (AGB) sein. Viele Dienste haben ihre Kunden darauf auch längst aktiv hingewiesen: mit E-Mails oder Pop-up-Hinweisen in ihren Apps. Von Daimler, die über ihren Carsharing-Anbieter Car2go Leihautos vermitteln, etwa heißt es, die „datenschutzrechtlichen Änderungen in den AGB“ seien Car2go-Kunden bereits Anfang April angekündigt worden. Und weiter: „Vor Inkrafttreten der Änderungen werden wir alle unsere Kunden zu den Anpassungen unserer Datenschutz- und Einwilligungserklärungen nochmals per E-Mail und über unsere App informieren.“

Grundsätzlich sollen Online-Datenschutzerklärungen künftig detaillierter und allgemeinverständlicher sein. Das hat jedoch auch einen unschönen Nebeneffekt: Die Texte werden in vielen Fällen um einiges länger – und damit für den Nutzer unterm Strich vielleicht noch unattraktiver, als sie es bisher schon waren. Möglich scheint es auch, dass viele Firmen die Informationspflichten der DSGVO anfangs zur Sicherheit wohl eher übererfüllen werden.

Auf die neuen oder gestärkten Rechte, die die DSGVO für Internetnutzer mit sich bringt, werden hingegen wohl wenige Anbieter offensiv hinweisen – denn sie bedeuten für sie zusätzliche Arbeit. So können Bürger bei Unternehmen nun etwa mit einer Standard-Antwortfrist von einem Monat nicht nur anfragen, ob und, wenn ja, welche Informationen über sie dort gespeichert sind, sondern auch, für welchen Zweck und wie lange solche Daten gespeichert werden.

Erhalten Bürger die entsprechende Auskunft nicht oder nicht rechtzeitig – eine Fristverlängerung auf maximal drei Monate ist jedoch möglich -, kann man sich bei der Datenschutzbehörde über das Unternehmen beschweren. Eine Vorlage zur „datenschutzrechtlichen Selbstauskunft“ findet sich beim Tech-Magazin „c’t“ als Word- und Open-Document-Datei.

6. Worauf sollten Blogger und Betreiber kleiner Websites jetzt achten?

Viele Website-Betreiber und Blogger müssen sich mit der DSGVO auseinandersetzen – ansonsten drohen womöglich Abmahnungen. „Wenn ich auf meinem Blog zum Beispiel privat meine Katzen zeige, dann ist das okay, dann gilt die DSGVO für mich nicht“, erklärt der Fachanwalt für IT-Recht Joerg Heidrich auf SPIEGEL-Anfrage. „Wenn ich das Gleiche aber als Züchter mache, wenn ich so auch nur indirekt mein Geschäft fördere, verlasse ich schon den rein privaten Bereich und muss auf die DSGVO-Vorgaben achten. Das gilt auch, wenn ich auf meiner Seite irgendwo Werbung oder Affiliate-Links schalte.“

Generell gilt: Wer mit seinem Online-Angebot in irgendeiner Form Nutzerdaten verarbeitet (siehe Frage 4) – und sei es, weil etwa WordPress-Plug-ins Nutzerdaten erfassen oder Nutzer in Kommentaren ihren Namen hinterlassen -, der sollte davon ausgehen, von der DSGVO betroffen zu sein. Im Zweifel kann man seine Datenschutzbehörde fragen, ob und welche Vorkehrungen man bis zum 25. Mai treffen muss.

Personen mit Handlungsbedarf rät Anwalt Heidrich, als Erstes die Website selbst DSGVO-fit zu machen – vor allem als Absicherung gegen etwaige Abmahnungen von Mitbewerbern oder Abmahnvereinen. So sollte man sich zum Beispiel einen Überblick verschaffen, welche Plug-ins von Drittanbietern im Hintergrund laufen.

„Nicht dringend gebrauchte Plug-ins oder Social-Media-Buttons (in ihrer Standardform) würde ich jetzt rausschmeißen“, sagt Heidrich, „insbesondere dann, wenn offensichtlich ist, dass sie persönliche Daten erheben – und seien es nur IP-Adressen, denn auch die sind persönliche Daten.“

Ebenso wichtig sei es, zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website zu haben, die sich von jeder Unterseite aus erreichen lässt. Bei ihrem Aufsetzen könnten Online-Generatoren helfen, sagt Heidrich. Ein Beispiel für einen solchen Generator, der die DSGVO bereits berücksichtigt, finden Sie hier.

Bei nicht selbstgehosteten Angeboten muss zudem eine gesonderte Auftragsverarbeitungs-Vereinbarung mit dem Host-Provider abgeschlossen werden, also jenem Anbieter, bei dem das eigene Blog oder die eigene Website liegt. Ein solches Papier – eine Vorlage findet sich zum Beispiel hier – müsse einem der Anbieter auf Aufforderung übersenden, sagt Joerg Heidrich. Liegt die eigene Seite bei einem US-Hoster, ist es wichtig, dass die Firma am Datenschutzabkommen Privacy Shield (siehe Frage 10) teilnimmt, wie es zum Beispiel Google und Automattic – letzteres Unternehmen steht hinter WordPress.com – tun.

Nicht vergessen sollte man auch, dass möglicherweise noch ein Verzeichnis der Verarbeitungstätigkeiten rund um die eigene Website erstellt werden muss, etwa nach diesem Muster.

Sollte trotz aller Anpassungen des eigenen Internetangebots dennoch eine Abmahnung mit Bezug auf die DSGVO ankommen, rät Heidrich Betroffenen, sich an einen Anwalt zu wenden: „Sonst kann das unter Umständen richtig teuer werden.“

7. Wer kontrolliert, ob die Regeln eingehalten werden?

In jedem EU-Land sollen unabhängige Aufsichtsbehörden über die Umsetzung der Verordnung wachen. In Deutschland sind das die Datenschutzbehörden der 16 Bundesländer und die Bundesdatenschutzbeauftragte, Andrea Voßhoff (CDU), deren Amtszeit im Februar 2019 endet.

Die Aufsichtsbehörden haben durch die DSGVO das Recht, zum Beispiel von Firmen Informationen einzufordern, die die Kontrolleure für ihre Arbeit benötigen. Dazu dürfen sie auch Ortsbesuche in den Geschäftsräumen machen. Außerdem führen die Behörden Datenschutzüberprüfungen durch und erteilen Zertifizierungen.

Weil viele internationale Konzerne länderübergreifend mit Daten arbeiten, war bislang nicht immer eindeutig, welche Aufsichtsbehörde zuständig ist. Das versucht die DSGVO durch das Prinzip des „One Stop Shop zu ändern: Jede Firma soll eine federführende Aufsichtsbehörde haben, die für sie zuständig ist. Festgelegt wird das anhand der Hauptniederlassung des Unternehmens.

8. Welche Sanktionen drohen bei Verstößen?

Die DSGVO-Kontrolleure können bei wenig gravierenden Verstößen eine Verwarnung aussprechen und fordern, dass der Missstand innerhalb einer Frist behoben wird. Außerdem kann die Datenschutzbehörde dafür sorgen, dass personenbezogene Daten eines Nutzers berichtigt, gelöscht oder in ihrer Verarbeitung eingeschränkt werden – oder dafür, dass eine zuvor erteilte Zertifizierung wieder entzogen wird.

Darüber hinaus kann die DSGVO-Aufsicht Bußgelder verhängen, die deutlich höher sind als bei Verstößen gegen das bisherige Bundesdatenschutzgesetz, bei denen maximal 300.000 Euro Bußgeld drohte. Jetzt können – je nach Schwere des Verstoßes – bis zu 20 Millionen Euro fällig werden (Art. 83).

Weil großen Tech-Konzernen auch solche Summen eventuell klein erscheinen, gilt eine Extra-Regel: Sie sieht vor, dass das Bußgeld bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen kann. Es soll immer diejenige Berechnung angewandt werden, die den höheren Bußgeld-Betrag für eine Firma nach sich zieht. Unter Umständen haften Verantwortliche sogar mit ihrem Privatvermögen.

An diese neuen Kompetenzen müssen auch die deutschen Aufseher ihre Arbeit erst noch anpassen. „Die DSGVO verlangt eine veränderte Arbeitsweise der Aufsichtsbehörden, da Entscheidungen der Aufsichtsbehörden in zusätzlichen Bereichen künftig auch justiziabel sein werden“, sagt ein Sprecher der Bundesdatenschutzbeauftragten.

9. Welche Kritik gibt es an den neuen Regeln?

Während viele Verbraucherschützer die DSGVO insgesamt positiv sehen, gibt es auch Widerspruch: Firmen, deren Geschäftsmodell auf personenbezogenen Daten fußt, fürchten um ihre Zukunft. Sie haben – genauso wie Betreiber kleiner Internetseiten – Angst vor der Umstellungszeit und der damit verbundenen Rechtsunsicherheit.

Die DSGVO ist zwar jahrelang vorbereitet worden, doch an vielen Stellen ist selbst Juristen nicht klar, was die neue Verordnung fordert und wie manche Passagen im Alltag auszulegen sind. Beobachter rechnen damit, dass sich Gerichte bald mit etlichen Streitfällen befassen müssen. Da die Verordnung EU-weit gilt, könnten Streitfälle letztlich beim Europäischen Gerichtshof (EuGH) landen, der die finale Entscheidung trifft. Bis zum ersten EuGH-Urteil rund um die DSGVO dürften Jahre vergehen.

Ein Beispiel: In Artikel 6 der DSGVO wird Firmen die Verarbeitung von personenbezogenen Daten erlaubt, wenn dies „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist“. Doch welche Interessen von Firmen aber sind berechtigt und welche nicht mehr?

Noch zeigen wird sich, ob nach dem 25. Mai, wie Experten befürchten, neue Abmahnwellen drohen. Niko Härting vom Deutschen Anwaltverein hält es für denkbar, dass die Auskunftsansprüche der Bürger für massenhafte Abfragen missbraucht werden.

Unklar ist bislang auch, wie gut die Vereinheitlichung der unterschiedlichen Datenschutz-Standards der EU-Mitglieder letztlich funktionieren wird. Österreich etwa hat bereits ein „Datenschutz-Deregulierungsgesetz“ verabschiedet.

Mit Blick auf Deutschland sorgen sich einige Datenschützer, dass die DSGVO gar keine Verbesserung ist, sondern das Land im Vergleich zum Bundesdatenschutzgesetz vielmehr auf ein EU-weites niedrigeres Datenschutzniveau herunterzieht.

10. In welchem Zusammenhang steht die Verordnung mit Regelungen wie dem Privacy Shield und ePrivacy?

Die DSGVO löst auf EU-Ebene die Datenschutzrichtlinie von 1995 ab. Im Unterschied zu ihr gilt die DSGVO unmittelbar in der gesamten EU. Flankiert werden soll die Neuordnung des EU-Datenschutzes durch die Einführung der sogenannten ePrivacy-Verordnung.

Diese Verordnung soll gewissermaßen den Datenschutz für Endgeräte sichern, ohne dass es zwingend um personenbezogene Daten gehen muss. Konkret geht es zum Beispiel um das Nutzer-Tracking auf Websites. Die ePrivacy-Verordnung wird derzeit noch verhandelt. Wann und in welcher Form sie in Kraft tritt, ist daher schwer abzusehen.

Neben der DSGVO und der ePrivacy-Verordnung ist der sogenannte Privacy Shield ein weiteres wichtiges internationales Regelwerk in Sachen Datenschutz. Den Privacy Shield gibt es bereits seit 2016. Er ist ein umstrittenes Konstrukt, das auf das gekippte Safe-Harbor-Abkommen folgte. Der „Datenschutzschild“ weist geografisch über die EU hinaus und regelt den transatlantischen Datenaustausch zwischen der EU und den USA. Er wird neben der DSGVO weiterexistieren.

WICHTIGE ANMERKUNG MEINERSEITS: Das „EU-US Privacy Shield“-Abkommen, das von der US-amerikanischen Fachpresse als „Deal“ bezeichnet wurde, wurde von Anfang an heftig kritisiert. Maximilian Schrems, dessen Klage vor dem EuGH das „Safe Harbor“-Abkommen zu Fall brachte, kritisierte, dass sich aus seiner Sicht die Rechtslage nach Inkrafttreten des „EU-US Privacy Shield“-Abkommens nicht wesentlich von der Rechtslage des „Safe Harbor“-Abkommens unterscheidet. Schrems sagte: „Im EU-US Privacy Shield Agreement ist die Vormachtstellung des US-Rechts ebenso formuliert, wie im Safe Harbor-Abkommen und wenn das US-Recht bestimmt, dass das Abfangen von Daten erlaubt ist, dann werden Daten abgefangen“. Nach intensiver Prüfung der Dokumentation wurde der „EU-US Privacy Shield“ auch von 27 zivilrechtlichen Gruppen und Datenschutzexperten abgelehnt. Sie kritisierten die fehlende rechtliche Verbindlichkeit des Abkommens, da es sich nur um eine Sammlung von Briefen handele. Die von der US-Regierung initiierten Maßnahmen zur Massenüberwachung sind nach wie vor zulässig und die betroffenen Personen und Unternehmen sind noch immer nicht in der Lage, ihre Rechte wirksam durchzusetzen, z. B. weil sie nicht über die Überwachungsmaßnahmen informiert werden. ENDE DER ANMERKUNG

Auch in Deutschland muss nationales Recht angepasst werden. Kernstück ist ein auf die Verordnung abgestimmtes neues Bundesdatenschutzgesetz.

11. Welche Bedeutung hat die Verordnung außerhalb Europas?

Die DSGVO gilt in allen 28 Staaten der EU. Aber die Verordnung dürfte zum Beispiel auch viele amerikanische Tech-Unternehmen beschäftigen: Dafür sorgt das sogenannte Marktortprinzip. „Unternehmen außerhalb der EU unterliegen der Verordnung, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten“, sagt eine Sprecherin des Wirtschaftsministeriums dazu.

Dass internationale Firmen die neuen EU-Regeln einfach für ihr weltweites Geschäft übernehmen, zeichnet sich derzeit nicht ab. Im Gegenteil: Facebook etwa wird seine interne Nutzer-Zuordnung aufwendig umschichten, um zu verhindern, dass rund 1,5 Milliarden Facebook-Nutzer aus Afrika, Asien, Australien oder Lateinamerika die Rechte und Klagemöglichkeiten der EU-Bürger gemäß DSGVO bekommen. Andere Tech-Konzerne planen offenbar ähnliche Maßnahmen.“

<ZITAT ENDE>

Nachfolgend finden Sie eine Zusammenfassung der wichtigsten Änderungen, die aus dem Inkrafttreten der DSGVO am 25.05.2018 resultieren (Quelle: https://www.lamapoll.de/Datenschutz-Sicherheit/Die-EU-Datenschutzgrundverordnung):

Die wichtigsten Änderungen der DSGVO auf einen Blick

 

Ihr E-Mail-Posteingang wurde im Mai 2018 vermutlich mit E-Mails geflutet, in denen Unternehmen unter Bezugnahme auf die am 25.05.2018 in Kraft getretene DSGVO Ihre Zustimmung zur Erhebung, Speicherung und Verarbeitung Ihrer personenbezogenen Daten einholen wollen.

Falls Sie damit nicht einverstanden sind, finden Sie hier einen Mustertext, mit dem Sie die Löschung Ihrer personenbezogenen Daten beantragen können. Hinweis: Viele Unternehmen haben die entsprechenden E-Mails von einer „no-reply“ E-Mail-Adresse versendet. In diesen Fällen finden Sie im Impressum auf der Homepage des Unternehmens eine E-Mail-Adresse, an die Sie sich wenden können.

 

Hier ist der gleiche Text nochmal zum Kopieren und Einfügen:

Sehr geehrte Damen und Herren,

unter Bezugnahme auf Artikel 17 EU-DSGVO „Recht auf Löschung“ (siehe: https://dsgvo-gesetz.de/art-17-dsgvo/) widerrufe ich hiermit meine eventuell gegebene Zustimmung zur Erhebung, Speicherung und Verarbeitung meiner personenbezogenen Daten durch Ihr Unternehmen gemäß Artikel 17, Absatz 1b, bzw. lege Widerspruch gegen die Erhebung, Speicherung und Verarbeitung meiner personenbezogenen Daten durch Ihr Unternehmen gemäß Artikel 17, Absatz 1c, ein. Bitte löschen Sie meine personenbezogenen Daten unverzüglich, spätestens jedoch bis 15.06.2018, und bestätigen mir die Löschung formlos.

Danke und Gruß

Absender

 

Ladies and Gentlemen,

With reference to article 17 EU-GDPR „right of deletion“ (see: https://gdpr-info.eu/art-17-gdpr/) I hereby revoke my possibly given consent to the collection, storage and processing of my personal data by your company according to article 17, paragraph 1b, or I object to the collection, storage and processing of my personal data by your company according to article 17, paragraph 1c. Please delete my personal data immediately, but no later than June 15, 2018, and confirm the deletion informally.

Thanks&Regards,

Consignor

 

Fazit: Datenschutz ist nicht nur ein Grundrecht, sondern es kann auch ein Wettbewerbsvorteil sein – insbesondere im globalen Wettbewerb von Unternehmen aus der EU mit Plattformunternehmen aus den USA (z. B. Google, Apple, Facebook, Amazon und Microsoft) bzw. aus China (z. B. Alibaba, Tencent, Baidu, Weibo) angesichts von deren zwielichtigen Praktiken im Umgang mit personenbezogenen Daten. Hinzu kommt die Bedrohung der Privatsphäre durch Geheimdienste aus den USA und China, die nicht nur über die vorgenannten Plattformunternehmen Daten sammeln, sondern auch über Hardware-Hersteller wie Cisco, Hewlett Packard, Dell und IBM in den USA bzw. Huawei und Lenovo in China. Unternehmen aus der EU können die DSGVO nutzen, um sich als Anbieter zu positionieren, die (im Gegensatz zu ihren Wettbewerbern aus den USA und China) respektvoll und angemessen mit der Privatsphäre und dem geistige Eigentum ihrer Kunden umgehen.

Im Vorfeld der (sehr intensiv und kontrovers geführten) Diskussion in Großbritannien um den so genannten BREXIT, hatte ich im Mai 2016 aus verschiedenen öffentlich zugänglichen Quellen ein paar informative Fakten zur Europäischen Union zusammengestellt, die man als mündiger EU-Bürger kennen sollte. Die aktualisierte Fassung vom 07.12.2017 finden Sie hier: https://kubraconsult.blog/2017/12/07/daten-und-fakten-zur-europaeischen-union-update-12-2017/.

Ferner habe ich die Diskussion über die Einrichtung eines „Digitalministeriums“ im Vorfeld der Bundestagswahl 2017 zum Anlass genommen, ein High-Level-Konzept zu entwickeln, das veranschaulicht, wie die digitale Transformation eines Landes in der Ära der Digitalisierung und Globalisierung, wo Geschwindigkeit und Agilität entscheidend sind, effektiv organisiert werden kann und welche wesentlichen Inhalte in der Digitalisierungsstrategie eines Landes berücksichtigt werden sollten: https://kubraconsult.blog/2018/02/17/digitalisierungsstrategie-fuer-deutschland/.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s