Die Datenschutzgrundverordnung (DSGVO) trat schon vor zwei Jahren in Kraft, aber erst von diesem Freitag an greifen ihre Regeln wirklich. Man kann das eine glückliche Fügung nennen. Denn in dieser Übergangszeit passierte etwas Entscheidendes. Bisher hatte es die meisten Menschen kaum gekümmert, dass sie intimste Informationen über sich preisgeben müssen, um all die praktischen und vor allem kostenlosen digitalen Dienste in Anspruch nehmen zu können.
Skandale wie jener um Facebook/Cambridge Analytica und andere Datenlecks haben jedoch gravierende Zweifel an diesem Tauschgeschäft geweckt. Sie haben gezeigt, dass mithilfe der privaten Daten nicht nur Milliarden verdient, sondern auch Menschen und Wahlen manipuliert werden können, auf völlig undurchsichtigen Wegen. Vielen wurde bewusst, wie essenziell es ist, persönliche Daten zu schützen. Insofern ist Europa erst jetzt reif für diese Verordnung.
Die DSGVO soll den Bürgern die Kontrolle über ihre Daten verleihen. Sie sollen wissen, wem sie warum ihr Einverständnis zur Verarbeitung der Daten gegeben haben und sie dürfen dieses Einverständnis jederzeit zurückziehen. Das ist die Grundidee. Unternehmen und Organisationen wiederum dürfen nur noch jene Informationen abfragen, die für den jeweiligen Zweck unbedingt nötig sind, und müssen die Nutzer - in klarer, verständlicher Sprache - informieren, warum sie die Daten erheben und ob sie diese weitergeben wollen. Eben dies geschieht gerade in den Mails, die in vielen Postfächern landen.
Das Prinzip Datensparsamkeit muss sich nun in allen Diensten widerspiegeln
Manchem mag das lästig sein, andererseits werden nun Datenlieferer wie -sammler gezwungen, sich mit dem Thema zu beschäftigen. "Es ist gut, dass jetzt an vielen Orten ein Datenschutz-Frühjahrsputz stattfindet und auch kleine Unternehmen, Vereine oder Blogger sich endlich mal Gedanken machen, welche Daten sie eigentlich erheben, warum, und ob das wirklich so nötig ist", sagt der grüne EU-Abgeordnete Jan Philipp Albrecht, einer der Mitautoren der DSGVO. Datenschutz sei auch ein Gebot der Höflichkeit. "Bevor ich jemanden in eine Datenbank kippe oder überwache, sollte ich vielleicht mal vorher fragen."
Das Prinzip der Datensparsamkeit, nach dem Motto "so wenig wie nötig", muss sich nun auch in den Grundeinstellungen aller Dienste widerspiegeln. Außerdem können Verbraucher ihre Mails, Fotos oder Kontakte künftig mitnehmen, wenn sie von einem Anbieter zum anderen wechseln. Das Unternehmen muss die Daten dann übertragen. Wird ein Missbrauch von Daten entdeckt, müssen die Verantwortlichen innerhalb von 72 Stunden die zuständigen Behörden informieren. In Deutschland sind das die Datenschutzbeauftragten von Bund und Ländern. Ausgebaut wird zudem das "Recht auf Vergessenwerden". Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr nötig sind, müssen gelöscht werden.
Die Geschichte der DSGVO begann 2012 mit einem Vorschlag der damaligen EU-Justizkommissarin Viviane Reding. Schon damals ging es darum, die großen Internet-firmen einzuhegen, indem man dem Datenschutz endlich Kraft verleiht. Denn die meisten Rechte der DSGVO bot schon eine Richtlinie der EU aus dem Jahr 1995. Datenschutz stellt sogar längst ein Grundrecht dar, detailliert festgehalten in Artikel 8 der Grundrechte-Charta der EU. Nur konnte das nie wirksam durchgesetzt werden.
SZ.de nimmt Datenschutz ernst. Lesen Sie hier, welche Daten wir von Ihnen wie speichern und wie wir diese Daten nutzen.
Die EU könne "ziemlich stolz sein auf ihr Werk"
Zum einen waren die Strafen für Verstöße zu gering. Statt maximal 300 000 Euro drohen deshalb nun deutlich höhere Strafen, die sich auch am weltweiten Umsatz orientieren können. Apple etwa müsste für Verstöße bis zu acht Milliarden Euro zahlen. Zum anderen waren die Regeln bisher europaweit unterschiedlich streng. Das nutzten Facebook und Google, indem sie dorthin zogen, wo die Regulierung besonders lax ist. Etwa nach Irland.
Dieses Schlupfloch wird geschlossen; 28 nationalen Regelwerke, die die alte Richtlinie unterschiedlich umsetzten, werden durch eine unmittelbar geltende Verordnung ersetzt. Das gleicht die Wettbewerbschancen an und senkt den Verwaltungsaufwand. Laut EU-Kommission werden dadurch jährlich 2,3 Milliarden Euro eingespart. Für europaweit tätige Unternehmen, die sich bisher an die Datenschutzbehörden mehrerer Länder wenden mussten, gibt es nur noch eine einzige Anlaufstelle, im Staat ihrer Hauptniederlassung.
Die EU könne "ziemlich stolz sein auf ihr Werk", sagt Albrecht. Die Verordnung schütze nicht nur die Daten der Europäer, viele sähen sie als "Grundpfeiler" eines sich entwickelnden "globalen Datenschutz-standards". Auch in den USA, wo man Datenschutz bisher eher als Innovationsbremse empfunden hat, werde die Verordnung nun als "Inspiration" betrachtet, sagt EU-Justizkommissarin Věra Jourová.
Wie weit die Strahlkraft der DSGVO reichen wird, ist noch offen
"Die Neue Welt muss von der Alten Welt lernen", schrieb der ehemalige Chef der Aufsichtsbehörde FCC, Tom Wheeler, in der New York Times. "Warum bekommen Amerikaner nicht wirksame Instrumente in die Hand, um ihre Privatsphäre zu schützen?" Die FCC habe 2016 ähnlich strenge Regeln erlassen, die von der Lobby der großen Tech-Firmen dann aber erfolgreich verhindert worden seien. Wheeler erhofft sich "positive globale Auswirkungen" durch die EU-Regelung, schließlich kenne der digitale Code weder geografische noch nationale Grenzen.
Wie weit die Strahlkraft der DSGVO tatsächlich reichen wird, ist noch offen. Nicht-europäische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich jedenfalls künftig an die EU-Regeln halten. Facebook hat angekündigt, sie auch weltweit anzuwenden, allerdings mit individuellen Unterschieden. Man wird sehen, ob das stimmt und mit welchen Tricks das Unternehmen versucht, die Regeln zu umgehen und die Grenzen auszuweiten.
Vielen US-Unternehmen bleibe keine andere Wahl, als den EU-Standard zu übernehmen, sagte Sam Pfeifle von der US-Organisation International Association of Privacy der Nachrichtenagentur AFP. "Für manche ist es zu schwierig, die Daten ihrer Kunden gemäß ihrer Herkunft zu sortieren." Den zusätzlichen Datenschutz könnten sie dann als Qualität verkaufen. Andere wie die Online-Gaming-Plattform Ragnarok wollen EU-Kunden hingegen künftig abweisen.
