EU-Datenschutz-Grundverordnung ist in Kraft getreten

„Meilenstein für starke europäische Bürger- und Verbraucherrechte“

Seit Freitag gilt europaweit die neue Datenschutz-Grundverordnung. „Der Datenschutz ist eine der größten und wichtigsten Fragen unseres Jahrhunderts. Diese Verordnung ist ein Meilenstein hin zu starken Bürger- und Verbraucherrechten im digitalen Leben von Morgen und löst den Flickenteppich vorheriger Regelungen in den 28 Mitgliedstaaten ab. Jan Philipp Albrecht hat dieses Datenschutz-Grundverordnung als Berichterstatter des Europäischen Parlaments maßgeblich verhandelt und einen großen grünen Erfolg erzielt: Die EU-Datenschutz-Grundverordnung ist künftig das einheitliche, starke Datenschutzgesetz für alle 500 Millionen Bürger der Europäischen Union. Sie schafft Transparenz, gibt den Verbraucher auf dem gesamten EU-Binnenmarkt durchsetzbare Rechte und sorgt für faire Wettbewerbsbedingungen sowie Rechtssicherheit auf Seiten der Unternehmen. Da die meisten Unternehmen schon heute in mehr als bloß einem EU-Land ihre Produkte anbieten, wird die EU-weit einheitliche Gesetzeslage einen immensen Abbau unnötiger Bürokratie bedeuten. Ein vertrauenswürdiger und geregelter Umgang mit persönlichen Daten ist ein Wettbewerbsvorteil der europäischen Wirtschaft gegenüber der Konkurrenz“, sagt Uli Sckerl, datenschutzpolitischer Sprecher der Fraktion.

Die Idee der informierten Einwilligung sei der Kern der Verordnung. „Nur wenn ich mich frei entscheiden kann, ob meine Daten erhoben werden dürfen oder eben nicht, ist die informationelle Selbstbestimmung überhaupt möglich.  Durch die Informationspflicht des Datenverarbeiters wird ein selbstbestimmter Umgang mit Daten europaweit zum Standard. Mit der Datenschutzgrundverordnung wird außerdem – als Weiterentwicklung des bereits existierenden Rechts auf Löschung – ein ,Recht auf Vergessenwerden‘ gesetzlich verankert. Wer möchte, dass seine persönlichen Daten gelöscht werden, kann sich dafür direkt an Google, Facebook und Co. wenden“, betont Sckerl.

Verständnis äußert Sckerl auch für die von Vereinen oder kleinen und mittleren Unternehmen geäußerten Sorgen. Doch für Panik gebe es keinen Anlass. „Uns ist bewusst, dass die Einführung der neuen Regeln an einigen Stellen eine Umstellung bedeutet. Doch wer heute beim Datenschutz schon aufmerksam ist, wird auch in Zukunft keine Probleme haben. Wir werden als Land alles tun, um für die Betroffenen Beratungs- und Unterstützungsangebote bereitzustellen. Generell setzt die DSGVO auf einen ,risiko-basierten Ansatz‘.  Das heißt, dass sich der Aufwand für den Datenschutz im Verhältnis zum bestehenden Risiko der Datenverarbeitung für die Betroffenen bewegen muss. Wer also viele und auch noch sensible Daten verarbeitet, hat natürlich höhere Pflichten etwa bei der IT-Sicherheit oder den Zugangskontrollen als der Bäcker um die Ecke, der nur auf einem iPad notiert, wer für nächsten Samstag wie viele Brötchen bestellt hat“, so Sckerl. Einen Datenschutzbeauftragten muss man nur bestellen, wenn mindestens zehn Mitarbeiter (nicht Ehrenamtliche) als Kerntätigkeit, also quasi in Vollzeit, persönliche Daten verarbeiten. Das wäre etwa der Fall bei einem Lohnsteuerverein mit 20 Beschäftigten, nicht aber bei einem Sportverein, der ein paar Leute im Büro hat und darüber hinaus Trainer und Platzwarte bezahlt.

Aber natürlich macht es auch im Verein oder kleinen Betrieb Sinn, dass nicht alle Mitarbeiter oder Ehrenamtliche auf die Kunden- oder Mitgliederdaten zugreifen können“, so Sckerl weiter. Um die personenbezogenen Daten bei der Verarbeitung zu schützen, seien Standardmaßnahmen im Regelfall ausreichend. Dazu gehörten unter anderem aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte.

Auch die Befürchtungen vor drohenden Bußgeldern seien unbegründet. „Die DSGVO sieht in der Tat hohe mögliche Bußgelder vor – bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 Prozent des Weltjahresumsatzes. Die Betonung liegt hier aber auf ,mögliche  Bußgelder‘. Denn mögliche Maßnahmen der Behörden müssen immer verhältnismäßig sein. In den meisten Fällen heißt das: Beratung statt Bestrafung. Artikel 83(2) gibt außerdem eine Liste von Kriterien für die Bußgelder, woraus klar wird, dass z.B. Wiederholungstäter, die mit Vorsatz und Gewinnerzielungsabsicht besonders viele Daten rechtswidrig verarbeiten, die hohen Strafen befürchten müssen – nicht aber der kleine Verein, der aus Unkenntnis gehandelt hat.“