Datenschutz-Grundverordnung

Ohne explizite Einwilligung geht nichts mehr

Kehl (gro). Am 25. Mai ist die Datenschutz-Grundverordnung (DSGVO), die gerade Verbrauchern neue Instrumente an die Hand gibt, ihre Daten besser zu kontrollieren, in Kraft getreten. Der größte Vorteil für Verbraucher liege laut Bernhard Borsche vom Zentrum für europäischen Datenschutz (ZEV) in Kehl darin, dass nun in allen Mitgliedsstaaten der Europäischen Union (EU) ein einheitlicher Datenschutz gelte. Personenbezogene Daten dürften nur noch mit der Einwilligung des Betroffenen erhoben und verarbeitet werden. Außerdem habe dieser das Recht, zu erfahren, welche Daten gespeichert würden. Weiterhin müssten ihm die Daten, die er selbst weitergegeben habe, auf Anfrage wieder zur Verfügung gestellt werden. 

Auf die Unternehmen komme eine Menge Arbeit zu: Denn die Einwilligungserklärungen müssten von nun an dokumentiert werden. "Sie müssen nachweisen, dass sie das Einverständnis erhalten haben", erklärt Borsche den Unterschied zur bisherigen Handhabung. "Das schafft Transparenz für die Verbraucher. Sie sollten die Datenschutzerklärungen unbedingt lesen." Es gebe nur wenige Ausnahmen: "Wenn Sie bespielsweise im Internet einkaufen, dürfen nur die Daten ohne Einwilligung verarbeitet werden, die zur Abwicklung des Vertrags erforderlich sind", erklärt Borsche. Alles weitere sei einwilligungspflichtig. "Speichern Internetversender mehr Daten, gibt es für sie sonst nur die Möglichkeit, sich auf das kommerzielle Interesse des Unternehmens zu berufen", sagt Borsche. Dies würde allerdings mit dem Schutz des Verbrauchers abgewogen werden. "Es handelt sich um eine Auslegungsfrage", so Borsche, der davon ausgeht, dass die meisten Unternehmen deshalb den sicheren Weg wählten. 

"Bislang galten diese Regeln nur im Internet, seit Freitag greifen diese nun auch bei allen anderen Anlässen, bei denen Daten weitergeben werden", stellt Bernhard Borsche fest. "Ob beim Arzt oder dem Arbeitgeber, sie müssen aufgeklärt werden, wie mit ihren Daten umgegangen wird." Eine weitere Neuerung: Produkte, die nach dem 25. Mai gekauft würden, die Daten sammeln wie Apps oder Smart-TV, müssten eine Standardeinstellung haben, die die Privatsphäre erhalte (Privacy by Design). Das bedeute laut Borsche, dass möglichst wenig Daten gespeichert werden dürften. 

"Bislang wurden Datenschutzverstöße nur mit geringen Strafen belegt, wenn sie in den Mitgliedsstaaten überhaupt verfolgt wurden", berichtet Borsche. Das sei nun anders: Es könnten Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Unternehmens bei Nichteinhaltung verhängt werden. Gleichgültig, ob internationale Unternehmen einen Sitz in Europa hätten oder hier lediglich ihre Geschäfte abwickeln würden, die Datenschutzverordnung gelte für alle. Würden sie sich nicht daran halten, könnten Betroffene bei den zuständigen Behörden ihres Landes – in Deutschland seien dies die Datenschutzbehörden – Beschwerde einreichen. Diese müssten dann tätig werden. Werde kein Ergebnis erzielt, stehe dem Betroffenen der Rechtsweg offen. Und der führe nicht mehr wie bisher ins Ausland, Klage könne bei dem Gericht am Wohnsitzes eingereicht werden. "Damit entfallen Sprachbarrieren als Hemmnis in der Rechtsdurchsetzung", so Borsche.

Die Weitergabe von Daten über die Grenzen der EU hinaus sei nicht mehr einfach möglich. Auch darüber müssten Betroffene aufgeklärt werden und eine Einwilligung geben. "US-amerikanische Konzerne etwa müssen ab jetzt die Daten ihrer europäischen Kunden getrennt von denen der anderen speichern", macht Borsche deutlich.