In ein paar Tagen ist es soweit: Sie tritt in Kraft am 25.05.2018. Die Datenschutz-Grundverordnung.
Was kommt auf uns zu?
Von einer „Zeitenwende“ ist wiederholt die Rede, gar von einer „Zäsur“. Es steht ein radikaler Einschnitt bevor. Gemeint ist damit das Regelwerk, das sich hinter dem schlichten Kürzel 2016/679 verbirgt. Manche Experten halten es für „eines der schlechtesten Gesetze des 21. Jahrhunderts“. Schlicht ist nur die Registriernummer dieser EU-Norm. Die Datenschutz-Grundverordnung umfasst 88 Seiten im Amtsblatt der Europäischen Union mit 173 Vorbemerkungen und 99 Artikeln. Das umfängliche Werk stiftet in der Wirtschaft erheblichen Verdruss, auch Datenschützer sind unzufrieden.
Die Datenschutz-Grundverordnung gilt unmittelbar in der gesamten Europäischen Union. Es gibt jedoch in Details Öffnungsklauseln, die es den Mitgliedstaaten ermöglichen, die Vorschriften der nationalen Rechtslage anzupassen. Die Verarbeitung von Daten ist nach der neuen EU-Norm nur zulässig, wenn eine Einwilligung vorliegt. Laut Datenschützer gibt es für Deutschland die größten Änderungen „nicht beim materiellen Datenrecht“, sondern durch die Vereinheitlichung innerhalb Europas und wegen der „Bußgelder in abschreckender Höhe“. In der EU-Norm sind die bisherigen Standards des Bundesdatenschutzgesetzes weitgehend umgesetzt.
Im Fokus stehen Verbraucher und Internetnutzer. Deren Daten dürfen nur gespeichert und verwendet werden, wenn sie zuvor ausdrücklich zugestimmt haben. Bevor auch nur ein Bit von ihnen gespeichert wird, müssen Betroffene „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ informiert werden, so heißt es unter anderem in einem Ratgeber der Industrie- und Handelskammer. Unternehmen, die personenbezogene Daten speichern, müssen auf Anfrage Auskunft über diese Daten erteilen, über deren Herkunft, Verarbeitungszwecke und die Dauer der Speicherung. Betroffene dürfen einer Nutzung widersprechen und verlangen, dass ihre Daten gelöscht werden. Die Erfinder der EU-Norm nennen das „Recht auf Vergessen“. Kunden haben andererseits den Anspruch, eine Kopie ihrer Daten in computerlesbarer Form mitzunehmen, wenn sie etwa den Stromanbieter oder die Telefonfirma wechseln. Jugendliche dürfen sich erst ab 16 ohne Zustimmung der Eltern bei sozialen Netzwerken wie Facebook anmelden.
Unternehmen sind verpflichtet, genau zu dokumentieren, welche Daten sie gespeichert haben und wie sie diese nutzen. Im Falle von Rechtsverstößen drohen hohe Bußgelder: bis zu vier Prozent des Jahresumsatzes, maximal 20 Millionen Euro. Datenpannen müssen unverzüglich an die zuständige Aufsichtsbehörde gemeldet werden. Sobald in einem Unternehmen mehr als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, muss es einen geben, der sich um den Datenschutz kümmert. Markt- und Meinungsforschungsinstitute sowie Adresshändler brauchen in jedem Fall eine solche Kontrollstelle. Die Richtlinie gilt auch für Firmen, die keinen Sitz in der Europäischen Union haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder Marktforschung hier betreiben.
Das Bundesdatenschutzgesetz wurde bereits an die Vorgaben aus Brüssel angepasst. Laut Bundesinnenministerium müssen insgesamt 154 Gesetze umgeschrieben werden. Der Korrekturbedarf reicht von der Abgabenordnung bis zum Waffengesetz. Mit der Anpassung der einschlägigen Paragrafen wollen sich Kanzlerin Angela Merkel und ihre neue Ministerriege „in einer gesonderten Kabinettssitzungen der neuen Bundesregierung“ befassen.
Rechtsexperten bezeichnen das Regelwerk zuweilen auch als „größte Katastrophe des 21. Jahrhunderts“. Die Regeln zur Datenmitnahme seien „das Sinnloseste des Sinnlosesten“. Dutzende neuer Informationspflichten würden künftig nicht nur für Unternehmen, sondern auch für Vereine und jeden Betreiber einer Website gelten. Für eine effektive Umsetzung der Datenschutzvorgaben müssten die Aufsichtsbehörden „zwingend“ mehr Personal erhalten.
Das Branchenmagazin „Horizont“ wertete das Werk vor Monaten schon als „schwarzen Tag für die Werbeindustrie“. Nicht zuletzt wird man, in puncto Datenan- und -verkauf, gerade in Zusammenarbeit mit sozialen Netzwerken, das Handling mit den Verbraucherdaten auf völlig neue Füße stellen müssen.