Die DSGVO ist in Kraft. Was steckt dahinter – welche Vor- und Nachteile sind damit verbunden, was bedeutet das alles für uns?
Daten sind der Rohstoff des 21. Jahrhunderts. Besonders wertvoll sind persönliche Daten über uns, etwa wie alt wir sind und wo wir arbeiten. Längst fallen Daten an (und werden verarbeitet), von denen wir nicht mal wissen, dass sie anfallen, geschweige, dass sie gespeichert und verarbeitet werden.
Zum Beispiel, was wir gerne essen, wie lange wir im Fitnessstudio sind – und wo wir, wie lange Mittagspause machen – und mit wem. Welche Produkte wir einkaufen, wie wir zur Arbeit fahren, wann wir aufstehen, wie fit wir sind und vieles andere mehr. Mehr oder wenige Soziale Netzwerke wie Facebook, Alles-Finder Google, Alles-Verkäufer Amazon, Smartphones, Smartwatches – sie alle sammeln Daten von uns Bislang immer mehr davon – und nahezu unkontrolliert.
TheDigitalArtist / Pixabay
Jetzt ist sie in Kraft: die Datenschutzgrundverordnung. DSGVO – was für ein Wortungetüm. In ganz Europa gelten ab heute einheitliche Datenschutzregeln, an die sich alle halten müssen. Alle Unternehmen, alle Onlinedienste, alle Onlineshops und sozialen Netzwerke.
Aber auch Vereine, Blogger, Schulen. Ist die DSGVO der lang ersehnte Befreiungsschlag, der uns Nutzern mit Werkzeugen ausstattet, die uns weiterhelfen – oder schneiden wir uns damit ins eigene Fleisch? Was steckt genau hinter der DSGVO und was wird sich für uns ändern? Darüber spreche ich jetzt mit Jörg Schieb – It-Journalist, Netzkenner, Autor beim WDR-Blog Digitalistan und von Angeklickt im WDR-Fernsehen und gerne spreche ich auch mit Ihnen.
Alles über die DSGVO in meinem neuen eBook:
Top oder Flop?
Der generelle Zweck ist, die Datenschutzbestimmungen in Europa zu vereinheitlichen. In allen EU-Ländern gelten ab heute dieselben Spielregeln, das ist sehr wichtig. Und alle Unternehmen, die in Europa tätig sind und personenbezogene Daten von EU-Bürgern erheben, speichern und auswerten, müssen sich daran halten. Es spielt keine Rolle mehr, ob die Server in den USA stehen oder nicht.
Es gilt die DSGVO. Es geht im Wesentlichen darum, die personenbezogenen Daten der EU-Bürger besser zu schützen. Es gibt strengere Regeln, welche Daten erhoben werden dürfen, wie die Betroffenen informiert werden müssen und welche Rechte jeder einzelne hat. Ganz klar ist: EU-Bürger haben jetzt deutlich mehr Rechte als vorher, was mit Ihren Daten passiert.
Gehen Facebook und Co. jetzt offline?
Gehen Unternehmen wie Facebook oder Google dann jetzt in Kürze Offline? Die Leben doch von der Verarbeitung unserer persönlichen Daten? Nein, natürlich nicht. Es ist ja nicht plötzlich verboten, Daten zu erheben und zu speichern, es ist nur etwas aufwändiger geworden – und die Benutzer müssen informiert und gefragt werden.
Was mit den Daten passiert, ist praktisch nicht eingeschränkt worden. Und weil es das Geschäftsmodell von Facebook und Co. ist: Daten gegen Service, liefern die meisten immer noch gerne ihre Daten ab. Im Grunde ist es für die Onlineriesen besser denn je: Sie haben jetzt Rechtssicherheit, wenn sie sich innerhalb der vorgegebenen Regeln bewegen.
Rechte der Nutzer
Jeder von uns hat das Recht, erst aufgeklärt zu werden, bevor etwas passiert. Die Aufklärung muss in verständlicher Sprache erfolgen, nicht in Juristendeutsch. Dann darf nur gespeichert werden, wenn ich ausdrücklich zustimme. Ich habe ein Auskunftsrecht: Jeder muss mir auf Nachfrage sagen, welche personenbezogenen Daten gespeichert sind – innerhalb von 30 Tagen. Und ich habe ein Recht, dass Daten gelöscht werden. Außerdem darf ich auch Daten mitnehmen, zu einem anderen Anbieter, etwa, wenn ich den Foto-Dienst wechseln möchte – oder den Mail-Anbieter und meine Fotos oder Kontakte mitnehmen will.
Mögliche Strafen
Datenschutzbehörden können nun hart durchgreifen und sanktionieren. Es drohen bis zu 20 Mio. Euro Strafe – oder 4% des weltweiten Gesamtumsatzes, je nachdem, was höher ist. Bedeutet für ein Unternehmen wie Facebook zum Beispiel bis zu 1,6 Milliarden Dollar Strafe. Potenziell. Diese Strafen hängen aber über allen wie ein Damoklesschwert selbst über kleine Unternehmen und Vereine.
DSGVO unterscheidet nicht zwischen groß und klein. Auch kleine Firmen, Handwerksbetriebe, Arztpraxen, Klassenverbände, wenn sie zum Beispiel mehr als nur E-Mail-Adresse und Name abfragen und speichern.
Selbst kleine Blogbetreiber müssen darauf achten, dass die User hinreichend informiert werden, etwa über gesetzte Cookies, die bekanntlich das Surfverhalten tracken können oder ob Tracking-und-Auswertungstools wie Google Analytics zum Einsatz kommen. Oder beim Erfassen der E-Mail-Adresse, was damit passiert. Deswegen machen sich viele Sorgen und Gedanken.
Prettysleepy2 / Pixabay
Fast schlimmer könnten teure Rechtsbehelfsbelehrungen sein, also Abmahnungen von „Schlaumeiern“, die kostenpflichtig sind. Es drohen Rechtsunsicherheit und juristische Auseinandersetzungen. Und gerade kleinere Unternehmen oder Freiberufler werden nicht begeistert sein, wenn sie Anfragen beantworten müssen, wenn jemand von seinem Auskunftsrecht Gebrauch macht – und wissen will, welche Daten über ihn oder sie gespeichert sind. Das macht einen enormen Aufwand. Außerdem gibt es Rechtsunsicherheit.
Das Thema Fotografie
Man hört von Vereinen, die verzweifeln, weil sie nicht wissen, was sie alles beachten müssen – weil es möglicherweise nicht mehr erlaubt ist, die Namen von Torschützen zu veröffentlichen. Und Fotografen, die nicht mehr wissen, wen sie eigentlich wann wie fotografieren dürfen.
Es stimmt: Die Rechtsunsicherheit ist leider recht hoch. Viele Formulierungen in der Datenschutzgrundverordnung sind sehr strikt – aber nicht besonders klar. Der Gesetzgeber wollte Schlupflöcher für die Großen vermeiden, doch nun haben die Kleinen Angst. In dem konkreten Fall mit dem Fußballverein wäre die beste Lösung wohl, mit allen Spielerinnen und Spielern eine Vereinbarung zu treffen oder die Zustimmung tatsächlich einzuholen. Es gibt aber zum Glück auch Juristen, die der Ansicht sind, dass Kunsturhebergesetz nach wie vor gilt, solche Aufnahmen also unproblematisch sind.
Besondere Schwierigkeiten ergeben sich auch in einem Bereich, in dem man damit eigentlich gar nicht gerechnet hätte: Fotografie und Videodreh. Freie Fotografen, Blogger, Vlogger, Influencer und Privatleute fürchten, sie dürften nicht mehr ohne Einwilligung fotografieren.
dzako83 / Pixabay
Digitale Fotografie ist laut DSGVO eine „Datenerhebung“ und bedarf der Zustimmung jeder einzelnen Person, die abgebildet ist. Ohne Wenn und Aber. Es herrscht aber keine Klarheit darüber, welches Gesetz Vorrang hat, das bislang geltende Kunsturhebergesetz – oder die neue DSGVO. Demnach müsste man vorher fragen, wen man fotografieren darf: Die Familie, die Einzelperson, das Modell sowieso. Ausgenommen sind lediglich Profis aus den Medien, also festangestellte Fotografen und Kameraleute.
Schon für Freiberufler gilt das Medienprivileg nicht – erst recht nicht für alle anderen. Die Folge: Ein mögliches Chaos, etwa auf einer Hochzeit. Theoretisch müsste man jeden einzelnen fragen, ob er einverstanden ist. Wenn nicht, müssen Fotos mit dieser Person vermieden werden – eine Veröffentlichung erst recht. Dabei wäre diese Rechtsunsicherheit eigentlich nicht nötig, der deutsche Gesetzgeber hätte schlicht von einer Öffnungsklausel Gebrauch machen müssen – so wie es Schweden gemacht hat.
Viele machen sich Sorgen
Wie ist es bei Handwerksbetrieben, Arztpraxen und Schulklassen, warum machen die sich Sorgen um das neue Gesetz? Weil die Verordnung streng formuliert ist und keinen Unterschied macht, ob man 100 Adressen in der Kartei hat oder 2,2 Milliarden wie Facebook, sorgen sich viele, sie könnten nun mit voller Macht von den drakonischen Strafen erwischt werden. Deshalb bereiten sich viele akribisch vor. Es ist zwar unwahrscheinlich, aber doch möglich, dass solche Strafen kommen. Was aber definitiv auf jeden zukommt, der im Netz etwas anbietet, sind Anfragen der Nutzer: Was weißt Du über mich?
Wir haben das Recht zu erfahren, auch bei Behörden, Vereinen, Banken oder Onlineshops, welche personenbezogenen Daten über einen gespeichert sind. Jeder, der Daten verarbeitet, muss solche Anfragen beantworten – innerhalb von 30 Tagen. Das kann Blogger oder kleiner Unternehmen in Schwierigkeiten stürzen.
geralt / Pixabay
Jede Institution und jedes Unternehmen, das besonders geschützte Daten verarbeitet oder wo mindestens zehn Personen mit der Datenverarbeitung beschäftigt sind, muss einen Datenschutzbeauftragten vorweisen können, der solche Anfragen beantwortet – und intern für die Einhaltung des Datenschutzes verantwortlich ist.
Er muss beraten, den Datenschutz überwachen und als Bindeglied zu den Behörden fungieren. Bei kleinen Betrieben muss das dann der Chef machen – oder die Person, die sowieso den Kundenkontakt abwickelt Gut möglich aber, dass Webhoster in Zukunft auch den Service mit anbieten, DSGVO-konforme Antworten zu liefern. Wichtig ist aber für alle, egal ob groß oder kleiner, darauf zu achten, dass grundsätzlich eine Einwilligung vorliegt – für jede Form der Datenverarbeitung.
Ohne Einwilligung geht nichts – und dann bitte sicher
Bislang hat es ausgereicht, sich mehr oder weniger pauschal eine Genehmigung zu holen, Daten zu verarbeiten – etwa durch AGBs, die abgenickt wurden. Jetzt ist es erforderlich, für jeden einzelnen Zweck separat eine Genehmigung einzuholen. Facebook muss zum Beispiel fragen, ob einer App von Dritten Daten übergeben werden dürfen – und auch welche. Außerdem dürfen generell nur Daten abgerufen und abgefragt werden, die für eine bestimmte Aufgabe auch wirklich erforderlich sind (Datenminimierung). Bei Newsletter-Anmeldungen ist es überflüssig, Postadresse oder Geburtsdatum abzufragen.
Die DSGVO schreibt den „Grundsatz zur Integrität und Vertraulichkeit“ vor. Daraus kann man ableiten, dass Daten in Formularen grundsätzlich nur noch per SSL-Verschlüsselung übertragen werden dürfen, also abhörsicher im Netz. Auch müssen E-Mails mit einer sicheren Datenverbindung (TLS) übertragen werden. All das ist allerdings heute ohnehin mehr oder weniger Standard. Wer diese Standards heute nicht mehr einhält, riskiert aber nun Bußgelder.
Gelungen oder nicht? Jein!
Gelungen würde ich es nicht bezeichnen: Die DSGVO geht eindeutig in die richtige Richtung, wenn es darum geht, die Onlineriesen, aber auch Banken oder datenverarbeitende Unternehmen, die zum Beispiel Scoreing betreiben, das ist…(erklärender Halbsatz) in ihrer Macht einzuschränken. Bei Facebook zum Beispiel kann man die Veränderungen ja jetzt schon sehen: Einheitliches besser deutsch erklären und Dashboard nachstellen, um Privatsphäreeinstellungen vornehmen zu können.
Wir können plötzlich sehr viel detaillierter sehen und einstellen, wer welche Daten bekommt. Wird ein Account geschlossen, werden auch die Daten tatsächlich gelöscht und vieles andere mehr. Auch bekommen User heute viel einfacher Auskunft über gespeicherte Daten – wenn auch noch nicht umfassend genug.
Es ist gut, dass wir in Zukunft nicht mehr einfach pauschal die kompletten AGBs abnicken, sondern im jedem konkreten Fall der Datenergebung gefragt werden müssen. Es ist gut, dass wir die Möglichkeit haben nachzufragen und Daten zu kontrollieren – oder auch Daten mitzunehmen, von einem Onlinedienst zum anderen. Allerdings wäre es sicher sinnvoll gewesen, noch präziser zu formulieren, um all die Verunsicherungen zu vermeiden, die nun Realität sind, bei Fotografen, kleinen Unternehmen, Bloggern etc.
mohamed_hassan / Pixabay
Mindestalter 16 Jahre
Die DSGVO sieht ein Mindestalter von 16 Jahren vor, wenn personenbezogene Daten erfasst und verarbeitet werden sollen. In den USA gilt ein Mindestalter von 13 Jahren.
Facebook erwartet, dass die Kids/Jugendlichen sich mit ihren Eltern verbinden. Die Eltern können dann bestimmen, ob Daten wie Religionszugehörigkeit oder politische Interessen freigegeben werden oder nicht. Die Eltern haben also die Kontrolle.
Bei WhatsApp wollte man sich diese Mühe nicht machen: Hier wurden nun alle User gefragt, ob sie 16 Jahre alt sind. Wenn nicht, dürfen sie WhatsApp nicht mehr nutzen. Klar, dass hier alle behaupten, mindestens 16 Jahre zu sein. Eine Altersverifikation findet erfolgt nicht, sie ist auch nicht vorgeschrieben.
