Die neuen Datenschutz-Grundverordnung (kurz DSGVO) trat am 25. Mai 2018 in Kraft. Seitdem ist sie umstritten. Besonders von Seiten er Datenschutzbehörden und von Seiten der Unternehmen machen sich Proteste laut.
Warum gibt es eine neue Datenschutz-Verordnung?
Im Grunde soll die neue Datenschutz-Grundverordnung die bisherigen Richtlinien bezüglich Datenverarbeitung und Datenschutz EU-weit vereinheitlichen. Die „Datenschutzrichtlinie 95/46/EG“ aus dem Jahr 1995 lässt den einzelnen Mitgliedsstaaten nicht nur sehr viel Interpretationsspielraum, was die Rechtslage betrifft, sie ist aufgrund der technischen Entwicklungen der letzten Jahrzehnte veraltet. Besonders die Sozialen Medien (die 1995 noch in den Kinderschuhen steckten) verlangen neue Regelungen was den Schutz der Daten anbelangt. Dies wurde zuletzt insbesondere durch die Skandale rund um Facebook evident.
Welche Neuerungen bringt die DSGVO?
Ein bedeutender Unterschied zur alten Datenschutzverordnung aus dem Jahr 1995 ist die allgemein strengere Regulierung, die in allen EU-Staaten gleich umgesetzt werden muss. Bisher konnten einzelne Mitgliedsstaaten die Regulierungen unterschiedlich eng auslegen.
Besonderen Fokus legt die DSGVO auf den Schutz der Daten von Privatpersonen. Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten, solange die jeweilige Person nicht ihr Einverständnis gibt. Umstritten ist hierbei, dass die Altersgrenze, ab der man sein Einverständnis geben kann, von bisher 16 Jahren auf 14 Jahre herabgesetzt wurde.
Ein weiteres großes Schlagwort ist Transparenz. Ein Unternehmen ist künftig verpflichtet, seine Kunden über die Dokumentation und Verwendung derer Daten zu informieren. Die Daten dürfen ausschließlich für den Zweck verwendet werden, für den sie erhoben werden – Daten, die ein Unternehmen beispielsweise für eine mögliche Vertragserfüllung erhebt, dürfen nicht für Werbezwecke missbraucht werden. Außerdem gilt, dass nicht mehr Daten erhoben werden dürfen, als unbedingt notwendig. Die Daten sind in jedem Falle vertraulich zu behandeln und vor Missbrauch (auch durch dritte) zu schützen. In den neuen Richtlinien wird zudem ausdrücklich auf das sogenannte „Recht auf Vergessen“ hingewiesen. Demnach sind Unternehmen verpflichtet, die Daten ihrer Kunden zu löschen, sollte dies von ihnen gefordert werden.
Eine umstrittene Neuerung ist, dass die Datenschutzbehörde jederzeit und ohne Angabe von Gründen Einsicht auf die Datenverarbeitung von Unternehmen verlangen kann.
Bei Verstößen gegen die Verordnung drohen nun noch höhere Strafen als bisher. Von bis zu 20 Millionen Euro ist hier die Rede. Allerdings sind Einrichtungen, die „in Vollziehung der Gesetze“ tätig sind (sowohl öffentlich als auch privat) von diesen Strafen ausgeschlossen – ein nicht unbedeutender Zusatz, der das Gesetz nicht so allgemeingültig erscheinen lässt, wie es vorgibt zu sein.
Viele Proteste
Die DSGVO hat sowohl von Seiten der Unternehmen, als auch von Seiten der nationalen Datenschutzbehörden zu Protesten geführt. Unternehmen sind angesichts der teils undurchsichtigen Vorschriften verunsichert. Sie fürchten, durch die geforderte Transparenz mehr Dokumentationsarbeit leisten zu müssen, was nicht nur zusätzlichen Arbeitsaufwand bedeutet, sondern auch die Aktenberge wachsen lassen wird. Umfragen zufolge fühlen sich die Datenschutzbehörden selbst nicht umfassend auf die neuen Aufgaben vorbereitet, die durch die neue Verordnung auf sie zukommen. Behörden in mehreren EU-Mitgliedsstaaten forderten ihre Regierungen bereits dazu auf, mehr Personal und Ressourcen zur Verfügung zu stellen. Ansonsten könnten die Datenschutzbehörden den Mehraufwand, der durch die neue Verordnung entsteht, nicht leisten.
