Was die neue Datenschutzverordnung für Bürger bedeutet

Datenschutz

Was die neue Datenschutzverordnung für Bürger bedeutet

Als Bürger hat man nun das Recht, persönliche Daten löschen oder eine Korrektur vornehmen zu lassen. Wer das ignoriert, riskiert saftige Strafen.

Foto: Monika Skolimowska

Gelsenkirchen. Am 25. Mai läuft die Frist zur Umsetzung der neuen Datenschutz-Ordnung in Europa ab. Was auch Gelsenkirchener dann beachten müssen.

Die Uhr tickt. Am 25. Mai läuft die Frist zur Umsetzung der neuen Datenschutz-Ordnung in Europa ab. Und die hat es in sich, wie Professor Norbert Pohlmann, Experte für Internetsicherheit der Westfälischen Hochschule, erklärt: „Verbraucher können über ihre Daten Auskunft verlangen, sie ändern und löschen lassen. Außerdem haben sie das Recht, ihre Daten zu einem anderen Anbieter mitzunehmen. Wer gegen die neue Verordnung verstößt, kann mit hohen Strafen belegt werden.“ Hier sind Obergrenzen, Summen von vier Prozent des weltweiten Umsatzes und bis zu 20 Millionen Euro, vorgesehen. Gültig ist die Strafe, die höher ist.

Und, das ist das Besondere: Das Gesetz gilt für alle europäischen Bürger, also auch für Firmen, die im Ausland sitzen. Für Datenkraken wie Google und Facebook bedeutet das im Falle eines Falles Strafen in Milliardenhöhe.

Einverständnis der Verbraucher nötig

Wer personenbezogene Daten verarbeitet, benötigt also jetzt dafür das Einverständnis der Verbraucher (siehe auch Box). Dieses Einverständnis muss außerdem erneut eingeholt werden, wenn die Daten für einen veränderten Zweck eingesetzt werden sollen. Das heißt: Allgemeine Formulierungen in den Allgemeinen Geschäftsbedingungen (AGB) wie „Ihre Daten werden zur Verbesserung unserer Dienstleistungen verwendet“, sind dann nicht mehr möglich. Und hat ein Kunde etwa seine Email-Adresse nur für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür verwendet werden und nicht für andere Zwecke.

Für Unternehmen und Betriebe bedeutet die neue Datenschutzverordnung eine wesentlich umfassendere Informationspflicht, sie müssen zukünftig ein „Verzeichnis der Verarbeitungstätigkeiten“ führen und haben bei hohen Risiken der Datenverarbeitung die Pflicht zu einer Datenschutz-Folgenabschätzung mit umfassendem Dokumentationsaufwand.

Bedarf an Informationsangeboten ist riesig

Das Thema ist nicht neu, immerhin läuft seit zwei Jahren die Übergangsfrist. Aktuelle Medienberichte, dass zwei Drittel der Firmen die Anforderungen noch nicht erfüllen, hält Jochen Grütters, Hauptgeschäftsführer der IHK Nord Westfalen, „aber für zu hoch gegriffen.“ Sehr viel weniger scheinen es aber auch nicht zu sein: Ende April veranstaltete die IHK in Buer ein Informationsseminar mit einem Juristen sowie einem Datenschutzbeauftragten als Experten zu dem Thema. Mit 100 Anmeldungen „war es blitzschnell ausgebucht“. Ebenso die Schulung im März in Münster, da musste nach 350 Anmeldungen „sogar ein Aufnahme-Stopp verhängt werden“.

Der Bedarf ist also da, was Fluch und Segen zugleich bedeutet. Dazu Professor Pohlmann: „Wer beispielsweise für seinen Warenkorb eine Rewe-Kundenkarte benutzt, der hat durch das Recht auf Übertragbarkeit die Möglichkeit, diese Daten auch einer anderen Lebensmittel-Kette zukommen zu lassen, etwa Lidl.“ Das kann zum einen die Firmen-Kundenbindung stärken, beispielsweise dadurch, dass nur noch die Dinge beworben werden, die den Verbraucher tatsächlich interessieren.

Im Gegenzug sorgt die digitale Inventur für mehr Konkurrenz- bzw. Preisdruck. Den Kunden freut’s, der Fliesenleger oder Malerbetrieb von nebenan muss dagegen im Schadensfall den Beweis antreten, dass seine Kundendatei oder Personaldatei sicher verschlüsselt war.

Die meisten Bestandssysteme werden irgendeine Art von Datenexport bieten. Das Problem ist jedoch häufig, dass die relevanten Daten über mehrere Systeme verteilt sind. Ein Arzt muss so beispielsweise den Personenstammsatz, die Behandlungsprotokolle, gegebenenfalls Kopien von Röntgenbildern und sämtliche Rechnungen zur Verfügung stellen. Ein Verein seinen Mail-Verteiler durchforsten, welche Daten an Mitglieder und Dritte herausgehen. Und ändern – denn auch da gelten die neuen Regeln.

Dem IT-Experten Nobert Pohlmann zu Folge liegt gerade bei Vereinen, Kleinbetrieben aber auch bei Ärzten und Behörden oft „noch der Hund begraben“. Zugleich können sich „Kanzleien und Fachanwälte derzeit kaum vor Aufträgen retten, den Datenschutz von Kunden und Klienten zu überprüfen.“

Die Auswirkungen für das Unternehmen

Was sind eigentlich personenbezogene Daten?

Die juristische Definition ist recht kompliziert. Praktisch zählen dazu der Name, das Geburtsdatum oder die E-Mail-Adresse. Auch Angaben wie die IP-Adresse von PC, Tablet und Co., die Steuernummer, das Autokennzeichen oder die Kontoverbindung gelten als personenbezogene Daten.
Was bedeutet die neue Verordnung für ein Unternehmen?

Für die meisten Firmen und Betriebe gilt: Haben mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung von Daten zu tun, muss ein Datenschutzbeauftragter an die Landesbehörde gemeldet werden. Viele kleine Betriebe sind hier also nicht in der Pflicht.

Es ist leicht, ins Visier genommen zu werden

Wobei an dieser Stelle gesagt werden muss, dass sich daraus auch neue Betätigungsfelder entwickeln können, um der Konkurrenz per Anwalt eins auszuwischen. Denn es ist leicht, ins Visier genommen zu werden. Eine kurze E-Mail an den Landesdatenschutzbeauftragten oder an die Verbraucherschutzverbände genügt, und diese müssen tätig werden. Den Verbraucherschutzverbänden ist es ausdrücklich erlaubt, den Betroffenen zu helfen und stellvertretend deren Rechte geltend zu machen.

Es ist demnach nichts einfacher, als Betroffener beispielsweise bei einem Versäumnis bezüglich der Beantwortung einer Anfrage – die Frist beträgt vier Wochen – , bei Nichtmitteilung oder Herausgabe der Daten sich an einen Verbraucherschutzverband zu wenden, damit dieser für einen den „Kampf“ mit dem Unternehmen führt.

Kommentare