Die EU regelt den Datenschutz neu und das hat ziemlich viel mit deinem Leben zu tun
Du shoppst gern online? Nutzt WhatsApp? Postest Fotos? Hast Newsletter abonniert? Dann ist dieser Text für dich.
In wenigen Tagen wird beinahe alles, was im Internet passiert, neu geregelt. Denn dann, am 25. Mai, tritt die neue EU-Datenschutzgrundverordnung (kurz: DSGVO) in Kraft. Sie betrifft Menschen, die online shoppen, Newsletter bekommen, Fotos machen, WhatsApp benutzen, etwas ins Internet schreiben, dort etwas verkaufen oder Mitglied in einem Verein sind. Also: So ziemlich jeden von uns. Es macht also Sinn, sich einmal anzuschauen, was da eigentlich drin steht.
„Datenschutz ist mir jetzt nicht sooo wichtig. Ich bin einfach gern online.“
Wenn einer dieser 8 Punkte auf dich zutrifft, solltest du dich über die DSGVO informieren.
1. Falls du weiter Newsletter bekommen möchtest
Bisher konnte dir ein Unternehmen relativ einfach Newsletter schicken. So reichte es zum Beispiel bereits, wenn du dort in der Vergangenheit etwas gekauft hattest, und dabei die Datenschutzbestimmungen akzeptiert hast. Spätestens mit der DSGVO muss jeder Absender von Newslettern nicht nur nachweisen, dass du zwei Mal (!) zugestimmt hast, diesen Newsletter auch zu erhalten – er muss das auch protokollieren und belegen können.
2. Falls du weiter online bestellen möchtest
Online-Händler kennen deine Adresse, deinen Namen, deine Bankverbindung. In der Sprache der Juristen heißt das: sie verarbeiten personenbezogene Daten. Und das bedeutet: mit der DSGVO gibt's da erstmal einen ordentlichen Batzen Arbeit. Die Allgemeinen Geschäftsbedingungen müssen neu formuliert werden. Newsletter, Kontakt-Formulare, Kunden-Login-Bereiche, eingebundene soziale Netzwerke – für all das müssen Kunden jetzt ihr Einverständnis erklären. Dafür muss in den meisten Fällen eine komplett neue Datenschutzerklärung geschrieben werden. Diese muss nun leicht zu verstehen und leicht zu finden sein. Die allermeisten waren bislang eher das Gegenteil.
3. Falls du weiterhin gern Fotos machen oder veröffentlichen möchtest
Dann könnte es sein, dass du künftig erstmal alle Menschen um Erlaubnis fragen musst, vorab. Ja, alle. Wirklich alle. Ob sie zu erkennen sind, oder nicht. Davor warnt die Fotografenvereinigung Freelens e.V. Der Grund: Mit der DSGVO wird das Aufnehmen einer Person zu einer „personenbezogenen Datenerhebung“. Also: schon das Aufnehmen, nicht erst das Veröffentlichen. Bisher war es Konsens, dass das „Kunsturhebergesetz“ hier mehr wiegt als das alte Bundesdatenschutzgesetz. Die DSGVO könnte das nun ändern. Werden Bilder ausschließlich zu familiären Zwecken oder persönlichen Zwecken gemacht, gilt das nicht. Im Gegenzug aber könnte es sein, dass sogar analoge Bilder künftig unter die DSGVO fallen: und zwar denn, wenn in ihnen sogenannte „Metadaten“ (wie zum Beispiel ein Ort, eine Uhrzeit, ein Name oder eine Adresse) enthalten sind.
4. Falls du in der Familie weiter WhatsApp benutzen möchtest
Seit ein paar Tagen fragt WhatsApp alle Nutzer, ob sie deren neuen Bestimmungen akzeptieren wollen. Der Hintergrund ist auch hier: die DSGVO. Bislang liegt das Mindesalter, um WhatsApp nutzen zu dürfen, bei 13 Jahren. Das wird nun vermutlich auf 16 Jahre angehoben – wegen der DSGVO.
5. Falls du bloggst, eine Webseite hast oder anderweitig online veröffentlichst
Dann rollt eine beachtliche Menge Arbeit auf dich zu. Kommentarfelder. Login-Bereiche. Eine neue Datenschutzerklärung. Nutzt du Dienste von Google, muss es eine Möglichkeit für Besucher geben, dem zu widersprechen. Und du musst eine Übersicht schreiben, welche Daten von dir wo und wie verarbeitet werden. Und wo wir einmal bei Webseiten sind: auch die sogenannte „WhoIs“-Abfrage für Webseiten steht auf der Kippe, also die Möglichkeit, nachzuschauen, wer welche Webseite registriert hat. Weil die zuständige „Internet Corporation for Assigned Names and Numbers“ die Umstellung verschlafen hat, sieht es aktuell so aus, dass die Abfrage demnächst für europäische Nutzer erstmal nicht mehr möglich sein könnte.
6. Falls du – in welcher Weise auch immer – geschäftlich im Netz tätig bist
Dann kommen zusätzlich noch neue Informations- und Dokumentationspflichten auf dich zu. So musst du beispielsweise ein Verfahrensverzeichnis führen, in dem du alles notierst, was mit den personenbezogenen Daten deiner Kunden passiert. Was genau du noch zu hast, zeigt der Selbsttest des bayerischen Landesamts für Datenschutzaufsicht.
7. Falls du Mitglied in einem Verein bist
Egal ob Gartenverein, Sportverein oder was auch immer: Auch auf Vereine kommt mit der DSGVO eine Flut an Neuregelungen zu, die zwar oftmals für Unternehmen gedacht waren, aber auch Vereine trifft.
8. Falls du ein Smartphone oder Apps benutzt
Apps und Smartphones speichern eine große Menge Daten über dich – und viele davon sind personenbezogen. Sie haben unmittelbar mit dir zu tun. Wo du gerade bist, wen du angerufen hast, welches Passwort du bei Paypal benutzt und und und. Die DSGVO regelt jetzt, was die Hersteller der Apps oder Smartphones tun müssen, wenn sie solche Daten von dir speichern.
„Das war mir zu lang. Ich hab's jetzt nicht erst gelesen.“
Um es kurz zu machen: Wenn du irgendwann, irgendwie, irgendwo online bist, betrifft dich die DSGVO. Mal mehr, mal weniger. Im besten Fall musst du dich einfach nur für den einen oder anderen Newsletter neu anmelden. Im schlimmsten Fall hast du eines Tages einen Bußgeldbescheid im Briefkasten – und der kann es in sich haben: Bis zu 4 Prozent des weltweiten Jahresumsatzes sind bei Unternehmen als Bußgeld möglich. Wenn du Daten verarbeitest, aber kein Unternehmen bist, können es immer noch bis zu 20 Millionen Euro werden. Bislang lag die Obergrenze bei 300.000 Euro pro Verstoß.
„Ich denke irgendwie immer noch, das ist für mich nicht so wichtig.“
Dann lass uns dir hier drei kleine Geschichten erzählen, die alle mit Datenschutz zu tun haben:
Erstens: Der Grünenpolitiker Malte Spitz verklagte die Telekom, um an seine Vorratsdaten zu kommen. Vorratsdaten sind Daten, die die Anbieter „auf Vorrat“ speichern müssen, falls eine Behörde die mal abfragen will. Wo man ist, wen man angerufen hat, von wem man eine SMS bekommen hat – solche Informationen stehen da drin. Jede einzelne ist für sich genommen langweilig. In der Summe aber lassen sie ein Leben komplett nachvollziehen, wie die Daten von Malte Spitz zeigen. Genau so geschehen, schon im Jahr 2011.
Zweitens: Jemand soll einen Radfahrer überfahren haben. Der Beschuldigte sagt, er war zum fraglichen Zeitpunkt gar nicht in der Nähe. Unterwegs war er allerdings mit einem Carsharing-Auto. Das Gericht bekommt die Bewegungsdaten des Carsharing-Anbieters – und verurteilt den Fahrer daraufhin. So geschehen 2016.
Drittens: Ein Verdächtiger soll einen Polizisten ermordet haben, aber nachweisen kann man es ihm nicht. Da kommen die Ermittler auf eine Idee: Der Verdächtige hat einen Echo von Amazon zuhause (einen sogenannten Smart Home Lautsprecher, der auf Sprachbefehle hört und dessen Mikrofone dafür immer an sind). Sie wollen die Alexa-Daten bekommen und erhoffen sich Hinweise darauf, ob jemand zu Hause war – vielleicht sogar Tonaufnahmen. Amazon weigert sich. Doch mit dem vernetzten Wasserzähler haben sie Erfolg: Der zeigt, dass zwischen 1 und 3 Uhr nachts über 500 Liter Wasser verbraucht wurden. Der tote Polizist wurde im Whirlpool des Verdächtigen gefunden. Die Ermittler glauben, mit dem vielen Wasser seien Beweise weggespült worden. So geschehen 2017.
Der Punkt ist also: Wie viele Informationen über sich will man freiwillig herausgeben? Von wie viel Datensammelei weiß man überhaupt? Will man sich vielleicht irgendwann einmal umentscheiden? Und: weiß man dann, wo und wie man sich wehren kann? Wer darüber nachdenkt, sollte sich auch einmal kurz mit der DSGVO befassen.
„Aber warum fühlt sich Datenschutz dann soooo laaaaangweilig an?“
Zugegeben: Datenschutz ist wahnsinnig öde. Oder zumindest kommt es den meisten Menschen so vor. Das hat viele Gründe.
* Es gibt keine schockierenden Bilder, wenn etwas schlimmes passiert. Und ohne Bilder, so die Logik in der Mediengesellschaft, keine Nachrichten.
* Auch kommt es, bildlich gesprochen, nicht zum lauten Knall: Niemandem wird Besitz weggenommen, für den er bezahlt hat. Nichts Anfassbares wird zerstört. Daten sind – anders als Gold, Schmuck oder Autos – digital: Sie können an zwei oder mehr Orten gleichzeitig sein. Werden sie also jemandem gestohlen, sind sie deshalb nicht gleich weg.
* Daraus ergibt sich das nächste Problem, diesmal ein rechtliches. Daten können in zwei Rechtsräumen gleichzeitig liegen. Was bei uns verboten ist, muss es in einem anderen Land nicht sein. Dagegen effektiv klagen? Fast unmöglich.
* Wen all das noch nicht überzeugt, dem führen Datenschützer oft ein weiteres Argument vor Augen: Seine Privatsphäre kann man nur einmal hergeben. Es gibt keinen zweiten Versuch. Man kann nicht zurückspulen. Wenn Facebook, die eigene Versicherung oder das Kreditkartenunternehmen einmal wissen, dass man Diabetiker ist, schwul, reich, arm, schwanger oder was auch immer, dann wissen sie das für immer. Und handeln diese Unternehmen mit Daten, wissen es mittelfristig auch andere.
All diese Punkte hat auch die Datenschutzgrundverordnung im Blick – wenngleich sie nicht alle Probleme lösen kann. Es braucht den einzelnen Menschen, der sich informiert, und sich danach aktiv entscheidet.
„Warum hat das Ding so einen langen Namen und heißt nicht einfach Gesetz?“
Die EU hat lange mit sich gerungen, ob sie den Datenschutz härter regeln soll. Daten sind ein Geschäftsmodell, und eine gesunde Wirtschaft macht auch eine starke EU. Doch irgendwann war die Einsicht da: Die Politik muss hier handeln. Zu viele Menschen wissen nicht, was mit ihnen und ihren Daten passiert.
Die EU hat die härtere von zwei Möglichkeiten gewählt, die ihr zur Verfügung stehen. Sie heißen: Verordnung und Richtlinie.
Eine Verordnung ist mächtiger. Wenn in irgendeinem EU-Land ein Gesetz dieser neuen Verordnung widerspricht, ist dieses Gesetz in dem Moment ungültig, in dem die Verordnung verabschiedet wird. Eine Verordnung wird also automatisch Teil des nationalen Rechts. Sie muss nicht erst in den einzelnen Mitgliedsstaaten umgesetzt werden.
Eine Richtlinie hingegen ist eher so etwas wie eine verbindliche Frist. Die EU gibt den Mitgliedsstaaten vor, dass sie ein nationales Gesetz verabschieden müssen – und bis wann. Der Rahmen ist also festgelegt, den genauen Inhalt können die Mitgliedsstaaten ausgestalten.
Für den Datenschutz wurde jetzt eine Verordnung erlassen. Und weil es die erste ihrer Art ist und bislang nur Richtlinien dazu existierten, hat man ihr gleich einen besonders dicken Namen gegeben: Grundverordnung.
„Und wieso kümmert sich erst jetzt jemand drum?“
Es ist nicht so, dass Datenschutz bislang keinen Rahmen hatte. Doch die DSGVO harmonisiert nun all die in der EU bestehenden Regelungen. Überprüft und durchgesetzt werden muss sie von den nationalen Behörden.
Es gab auch bisher schon das Bundesdatenschutzgesetz (BDSG). Vieles von dem, was die DSGVO fordert, war auch darin schon vorgeschrieben. Nur hat es kaum jemand verstanden, oder zumindest: kaum jemand kontrolliert. In vielen Fällen geht die neue DSGVO aber auch weiter als das Bundesdatenschutzgesetz. Einen detaillierten Vergleich gibt es hier.
Es gab außerdem das sogenannte „Privacy Shield“-Abkommen zwischen der EU und den USA. Darin war geregelt, dass die Daten europäischer Nutzer auch dann einen gewissen Schutz genießen, wenn sie in die USA übertragen werden. Datenschützern allerdings kritisieren die dortigen Regelungen als bei Weitem nicht ausreichend.
Und vor dem Privacy Shield gab es das „Safe Harbour“-Abkommen mit den USA. Das allerdings war handwerklich so schlecht gemacht, dass es der Europäische Gerichtshof 2015 für ungültig erklärte.
Im Kern geht es bei beiden Abkommen darum, ob US-Unternehmen – die sich diesen Abkommen freiwillig unterwerfen – die Daten europäischer Nutzer an US-Sicherheitsbehörden weitergeben, oder nicht.
„Na gut. Und wo kann ich das alles nachlesen?“
Wer Zusammenfassungen oder das gesamte Gesetz lesen will, kann das hier tun.
Eine sehr gute Übersicht, welche Rechte Nutzer, Kunden und Anwender künftig haben, und welchen enormen Mehraufwand das für Unternehmen verursachen kann, gibt es hier.
Was sich für all jene ändert, die Fotos machen oder veröffentlichen, hat der Deutsche Journalisten-Verband hier aufgeschrieben.
Etliche Workshops, Zusammenfassungen und Vorträge gibt es außerdem frei auf YouTube.
Vom Bayerischen Landeszentrum für Datenschutzaufsicht gibt es kostenlose Kurzpapiere und Formulare zum freien Abruf, je nach Gebiet für verschiedene Themen und Gruppen.
Und wer in einem Verein ist und Rat braucht: beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg gibt es einen Ratgeber für Vereine.