Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Sie soll sicherstellen, dass personenbezogene Daten innerhalb der Europäischen Union geschützt sind, gleichzeitig aber den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.

Die DSGVO gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union. Bis dahin müssen Firmen und Behörden sicherstellen, dass sie persönliche Daten den Regeln entsprechend behandeln. Andernfalls drohen empfindliche Bußgelder. Viele einschneidende Veränderungen kommen mit dem neuen EU-Datenschutz auf uns zu. Entsprechend groß ist die Verunsicherung über die EU-Datenschutz-Grundverordnung.

Eigentlich schon seit 2016 in Kraft, war die Übergangsfrist am 25. Mail 2018 endgültig zu Ende. Sicher ist damit auf jeden Fall, dass die Nutzer mehr Rechte bekommen und mehr Pflichten auf Netz-Anbieter sowie Unternehmen zukommen, die Mitarbeiter- und Kundendaten speichern und verarbeiten. Befürchtet wird allerdings auch, dass nach dem Stichtag eine Abmahnwelle auf Firmen zurollt, die die Datenschutz-Grundverordnung nicht bestimmungsgerecht umgesetzt haben.

DSGVO: die User-Sicht

Für die Anwender gilt, dass ihnen mit der neuen EU-Verordnung erweiterte Rechte zu ihren persönlichen Daten zustehen. Die Verbraucher sind die großen Gewinner des neuen europäischen Datenschutzes. Er stärkt ihre Rechte – auch durch neue Regelungen – und vereinheitlicht die Gesetzgebung im europäischen Binnenmarkt. Verbraucher sollen einfacher verstehen können als bisher, was mit ihren Daten geschieht. Unter anderem soll sich kein Unternehmen soll mehr hinter juristischen Formeln verstecken, welchen Schmu es mit den Daten seiner Nutzer betreibt. Dies gilt insbesondere für komplizierte Sachverhalte, "wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik" es den Kunden schwer machen zu erkennen, was mit ihren persönlichen Daten passiert.

Bürger stehen dank der Datenschutz-Grundverodnung mehr Mittel als bisher zur Verfügung, um zu erfahren, welche Daten Unternehmen über sie speichern, und um diese löschen zu lassen. Alle bisherigen Rechte der Verbraucher und Pflichten der Unternehmen bleiben dabei erhalten. Unternehmen müssen also wie bisher über gespeicherte Daten informieren und auf Nachfrage über deren Weitergabe berichten.

DSGVO: die Unternehmens-Sicht

Auf Unternehmen und Website-Betreiber kommen einige neue Pflichten zu, deren Nichteinhaltung strafbewehrt ist. Ob Kundenprofilbildung oder Online-Werbung: Mit Nutzerdaten können Unternehmen eine Menge anstellen, um den Profit zu erhöhen. Die neuen Regeln der EU setzen dafür aber engere Grenzen als bisher. Für Unternehmen erhöht sich mit den neuen Datenschutzregeln der Aufwand gewaltig, den Datenschutz umzusetzen.

Die Zweckbindung wurde sogar erweitert: Personenbezogene Daten darf man nur für einen zuvor festgelegten Zweck erheben und schon gar nicht weiterveräußern. Generell gilt in der DSGVO wie auch im alten Bundesdatenschutzgesetz das Gebot der Datenminimierung, nach dem so wenige Daten wie möglich und nur so viele wie unbedingt für den Zweck nötig erhoben werden dürfen.

Die neuen Datenschutz-Regeln soll Betreiber dazu zwingen, die Verarbeitung personenbezogener Daten transparenter und sicherer zu gestalten. Von der Datenerhebung Betroffene sollen jederzeit gut informiert sein. Deshalb gelten nun erweiterte Auskunftspflichten und das Gebot zu klaren, verständlichen Erklärungen, beispielsweise für die Datenschutzerklärung und Einwilligungstexte.

Um diese Prinzipien durchzusetzen, etabliert die DSGVO eine erweiterte Rechenschaftspflicht: Betreiber müssen einzelne Vorgänge in Verzeichnissen dokumentieren, von größeren Unternehmen fordert das EU-Recht eine fortlaufende Risikoabschätzung aller Datenverarbeitungsprozesse.

Und jetzt? So setzen Sie die DSGVO um ...

Um sich nicht in den Untiefen der Datenschutz-Grundverordnung zu verlieren, haben wir einige Anleitungen als Webinare zusammengestellt, die auch nach dem 25. Mai noch helfen können, die DSGVO umzusetzen. Sie helfen bei den ersten Schritten und bei im Einzelfall auftretenden Problemen im laufenden Betrieb. Sich selbst intensiver mit der DSGVO zu beschäftigen und eventuell Beistand bei einem Datenschutzexperten oder -anwalt zu holen, kann trotz allen Informationen eine gute Idee sein.

Die Auswirkungen der DSGVO

Mittlerweile haben auch die ersten Abmahnungen wegen Verstößen gegen die neuen EU-weiten Richtlinien ihre Empfänger erreicht - teilweise mit absurden Inhalten, etwa wegen fehlender SSL/TSL-Verschlüsselung. Hier zeigt sich aber auch, welche Fallstricke für unbedarfte Website-Betreiber existieren: Die Frage etw,a ob die DSGVO die Anwendung von SSL/TLS-Verschlüsselung für Websites und insbesondere für Formulare erfordert, wird von von Juristen ebenso wie von Technikern bejaht. SSL/TLS ist eindeutig Stand der Technik und sollte auf jeden Fall verwendet werden. Für den Transport von schützenswerten Daten, wie zum Beispiel Webformulare mit personenbezogenen Daten, ist die Nutzung aus technischer Sicht unverzichtbar. Wer allerdings hofft, es allein durch die Nutzung einer Website, die diesen Vorgaben nicht genügt, zu Wohlstand zu bringen, dürfte dabei kaum mit der Unterstützung der Gerichte rechnen dürfen.

Insgesamt ist die befürchtete riesige Abmahnwelle wegen tatsächlicher oder vermeintlicher Verstöße gegen die Datenschutz-Grundverordnung bislang allerdings ausgeblieben. Einzelne Beispiele für DSGVO-Abmhanungen deuten aber an, dass diese Gefahr lange nicht gebannt ist. Bis zum 1. September soll daher ein Gesetzentwurf vorliegen, der Abmahnmissbrauch bei den neuen Datenschutz-Regeln verhindern soll.

Bislang sind zudem einige Befürchtungen, dass massenhaft Webseiten, Diskussionsforen und Blogs dicht machen, nicht Realität geworden. Die Erfahrungen mit der DSGVO sind allerdings vor allem aus User-Sicht oft eher nervend, was zu unerwarteten Gegenreaktionen und einer allgemeinen Datenschutz-Unlust führen könnte.