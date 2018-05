Brüssel

Jan Albrecht gerät ins Schwärmen, wenn von der neuen Datenschutz-Grundverordnung der EU die Rede ist: „Wir setzen einen Standard, an dem kein Land der Welt mehr vorbeikommt.“

Und dann zählt der Grünen-Experte im Europäischen Parlament, der als Berichterstatter die vielleicht ehrgeizigste Reform der Union vorangetrieben hat, auf: „In Japan, Korea, Australien, Neuseeland – überall schreiben Firmen und Staaten ihre Datenschutz-Regeln um. Sogar im US-Kongress wird darüber diskutiert, ob man nicht nachziehen muss.“

Schluss mit dem Absaugen von User-Daten

Ein Beispiel zeigt, welche Strahlkraft die Verordnung haben wird: Bisher speichert Microsoft in seiner europäischen Zentrale in Irland die Informationen der Nutzer. Durch ein amerikanisches Gesetz ist der Konzern gleichzeitig gezwungen, diese Daten auch den Sicherheitsbehörden in den USA zur Verfügung zu stellen.

Ab dem 25. Mai ist Schluss damit. Europas Datenschutz-Revolution untersagt das Absaugen von User-Daten in Drittstaaten ohne Zustimmung der Betroffenen und vor allem ohne gleichen Schutzniveau der Informationen.

„Das Internet wird erwachsen“, sagen Beobachter. Vorbei seien die Flegeljahre, weil die Nutzer nicht mehr länger hinnehmen müssen, dass ihre Einkäufe bei Amazon oder anderen im Hintergrund aufgezeichnet und weiterverkauft werden, um dann beim nächsten Besuch eines sozialen Netzwerkes individualisierte Werbung angeboten zu bekommen.

So lassen Sie Ihre Daten löschen Persönliche Daten können künftig gelöscht werden. Dieses „Recht auf Vergessen“ gehört zu den Kernpunkten des neuen europäischen Datenschutz-Paketes. Doch wie geht das? Zunächst sollte der Nutzer sich einen Überblick über die gespeicherten Informationen verschaffen. Dies ist durch einen formlosen Antrag an ein Unternehmen möglich. Unter genau festgelegten Bedingungen kann der Verbraucher dann die vollständige Löschung oder Sperrung seiner Informationen verlangen. Dazu müssen die Anbieter eine Anlaufstelle schaffen, die auch im Internet genannt wird. Der User kann diesen Antrag aber auch über den für ihn zuständigen Datenschutzbeauftragten seines Bundeslandes einreichen. Für die Unternehmen hat das weitreichende Konsequenzen. Denn sie müssen jederzeit wissen, wo die Daten liegen oder wem sie weitergegeben wurden. Der Grund: Der Antrag des Nutzers hat weitreichend erfüllt zu werden. Ein Unternehmen ist somit gezwungen, den Antrag auf Löschung an alle jene Sub-Betriebe weiterzureichen, denen persönliche Informationen weitergegeben wurden oder mit denen ein eigener Auftritt im Netz verlinkt wurde.

Jederzeit dürfen die Verbraucher nachfragen, welche Informationen bei den Unternehmen gespeichert wurden – das betrifft die Deutsche Bahn mit ihren Online-Tickets ebenso wie Facebook oder die Bonuskarte des örtlichen Supermarktes. Der User darf das vollständige Löschen aller vorgehaltenen Informationen über sich verlangen. Und er kann einen „Datenrucksack“ beantragen.

Das heißt: Der Anbieter muss ihm alle seine Informationen in einem gängigen Format und innerhalb einer gesetzten Frist von einem Monat zur Verfügung stellen, um zu einem anderen Online-Unternehmen „umzuziehen“. Dabei sind bestehende Rechte zu beachten.

Strafen ab dem ersten Tag

Baden-Württembergs Datenschutzbeauftragter Stefan Brink warnt vor Nachlässigkeit: „Die Regelungen sind nicht vom Himmel gefallen. Alle hatten lange Zeit“, um sie umzusetzen. Das stimmt. Kaum jemand weiß, dass die Neuregelungen eigentlich schon seit 2016 gelten, am 25. Mai endet lediglich die Frist zur Umsetzung.

Wer noch nicht angefangen hat, sollte sich beeilen. Denn nicht nur im „Ländle“ haben die Aufsichtsbehörden ihre Bußgeldvollzugsstellen aufgerüstet: Ab dem ersten Tag würden Strafen verteilt, heißt es in Stuttgart ebenso wie in Düsseldorf und München. Die können – bei Großkonzernen – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Die EU ist fest entschlossen, das umzusetzen, weil genau diese Sanktionierung von Datenschutzverstößen bislang praktisch nicht stattfand. Brink: „Wer nicht fast darum gebeten hat und uneinsichtig war, hat kein Bußgeld bekommen – und rechnerisch dauert es 218 Jahre bis zu einer Prüfung ohne Anlass.“ Kein Wunder, dass Facebook zu den ersten gehörte, die die Übernahme der neuen Regeln versprachen.

Auch „die Kleinen“ sind betroffen

Dabei wäre es völlig falsch, nur die Großen im Visier zu haben. Auch kleinere Betriebe und Webseiten-Betreiber sollten sich umstellen. Kirchen oder Sportvereine müssen klären, ob sie Fotos von Festen oder Turnieren ins Internet stellen dürfen, erklärt der Datenschutzbeauftragte der bayerischen Bistümer, Jupp Joachimski. Die Erlaubnis aller abgebildeten Personen ist nötig – sonst kann es Ärger geben.

Außerdem dürfen alle persönlichen Informationen von Nutzern nur so gespeichert werden, dass Hacker oder Unbefugte keine Chance haben und ein versehentlicher Verlust technisch unmöglich ist. Nicht benötigte Daten sollten sofort gelöscht werden.

Noch fehlt ein Baustein zum Rundumschutz

Dennoch bleibt auch nach dem Inkrafttreten der Datenschutz-Grundverordnung noch einiges zu tun. Erst durch die für 2019 erwartete Verordnung zur elektronischen Privatsphäre (e-privacy) wird der Schutz vollständig.

Dann sollen die bereits seit Jahren gültigen strengen Auflagen zum Schutz des gesprochenen Wortes via Telefon auch auf Messenger-Dienste wie WhatsApp oder Skype übertragen und Cookies zum Verfolgen der besuchten Webseiten ohne Zustimmung verboten werden.

Dabei gibt es allerdings noch einen Stolperstein: Bisher ist nicht klar, wie den Sicherheitsbehörden Zugriff auf diese Angebote zugesichert werden kann. Die EU stellt nämlich den Schutz der eigenen Daten über alles andere.

Von Detlef Drewes/RND