Datenschutz-Grundverordnung: Was die DSGVO für Firmen und Privatpersonen bedeutet

Berlin. Die neuen EU-Vorgaben zum Datenschutz sollen die Privatsphäre der Verbraucher stärken. Allerdings überfordern die Vorschriften viele.

In wenigen Tagen treten in Europa die neuen Regeln zum Datenschutz in Kraft. Doch „viele Unternehmen fallen aus allen Wolken, wenn sie merken, was mit der EU-Datenschutz-Grundverordnung auf sie zukommt“, sagt Hans-Joachim Karp. Er arbeitet als Inhaber-Berater für Handwerksbetriebe. „Bisher war das Thema nicht zu ihnen durchgedrungen.“

So geht es nicht nur mancher Firma, sondern auch Vereinen, Schulen und selbst Privatpersonen, die beispielsweise über Internetblogs Informationen verbreiten.

Ab 25. Mai gilt die Datenschutz-Grundverordnung (DSGVO) endgültig, weil die jahrelange Übergangsfrist nun zu Ende ist. Das Regelwerk der Europäischen Union trifft prinzipiell für alle Fälle zu, in denen persönliche Daten und Informationen über einzelne Menschen verarbeitet werden. Das schließt die Sammlung solcher Daten, ihre Speicherung, Auswertung, Weitergabe und Veröffentlichung ein.

Jeder, der mit Daten anderer Personen umgeht, etwa auf einer eigenen Webseite Fotos zeigt, sollte sich der DSGVO gegenüber konform verhalten. Globale Konzerne wie Facebook und Amazon müssen das ebenso berücksichtigen wie der Malermeister von nebenan.

Informationen müssen Firmen aus Kundendateien löschen

Ein Beispiel: Fast jede Firma, egal ob klein oder groß, verfügt heute über eine digitalisierte Kundendatei. Dabei „dürfen Unternehmen nur Informationen über ihre Kunden verarbeiten, die sie benötigen, um ihr Geschäft abzuwickeln“, sagt der Wiesbadener Anwalt und Spezialist für Digital-Recht, Hajo Rauschhofer, „zum Beispiel den Namen, die Adresse und gegebenenfalls die Kontonummer.“

Viele der Dateien enthalten jedoch Angaben, die über das Nötige hinausgehen und den Firmen gezielte Werbung ermöglichen: „Der Geburtstag der Kunden gehört beispielsweise nicht zu den Daten, die ein Malerbetrieb für die Ausführung seiner Arbeiten braucht“, erklärt Berater Karp, der mit dem Bundesverband für kleine und mittlere Unternehmen kooperiert. Solche Informationen müssten die Firmen eigentlich aus ihren Kundendateien löschen oder die Verbraucher ausdrücklich um ihr Einverständnis für die Speicherung bitten.

Mehr Rechte für Bürger, um Auskunft von Datenverarbeitern zu erhalten

Das dürfte eine der wesentlichen Wirkungen der neuen Verordnung sein: Die Bürger bekommen mehr Rechte, um Auskunft von den Datenverarbeitern zu verlangen, welche persönlichen Angaben diese über sie speichern. Sind Privatleute mit der Nutzung ihrer Daten nicht einverstanden, müssen diese gelöscht werden.

Damit sollten sich auch andere Organisationen wie Vereine und Schulen auseinandersetzen. So betreibt der Vorstand einer Gartenkolonie wahrscheinlich eine elektronische Liste der Mitglieder, die mehr Informationen enthält, als er für die Verwaltung der Anlage braucht. Schulen veröffentlichen auf ihren Internetseiten oder in sozialen Netzwerken Fotos vom Sommerfest oder vom Abiturball. Blogger schreiben auf ihren Webseiten Artikel über die Geschehnisse in ihrer Nachbarschaft.

Firmen und Vereine müssen Überblick erhalten

Diese und andere Quellen enthalten möglicherweise persönliche Daten der Bürger, die dem Recht auf Auskunft, Einwilligung und Löschung unterliegen. Die Verbraucherzentrale Bremen hat bereits einen Musterbrief veröffentlicht, mit dem Konsumenten Auskunft verlangen können (siehe Kasten).

Eine große Herausforderung besteht darin, dass Firmen, Vereine und Institutionen sich überhaupt erst einmal darüber klar werden, über welche Daten sie verfügen, woher diese kommen, wo sie liegen und wer Zugriff darauf hat. „Eine zweite Hürde ist die Dokumentation dieser Prozesse, die die DSGVO vorschreibt“, so Anwalt Rauschhofer.

Kosten für Nutzer könnten schnell 1000 Euro betragen

Betriebe müssen beispielsweise ein Verfahrensverzeichnis und Vereinbarungen mit Auftragsverarbeitern nachweisen, die die personenbezogen Daten verwalten. Schriftliche Verträge mit diesen müssen Auskunft darüber geben, was mit den Daten passiert, wer sie einsehen kann und wie diese technisch sowie organisatorisch gesichert sind. Mit Löschkonzepten sollen die Firmen belegen, wie und wann sie die Informationen vernichten.

„Drittens ist all dies im Rahmen einer neuen Datenschutzerklärung auf der jeweiligen Internetseite darzustellen“, erklärt Rauschhofer. Ist diese Erklärung der Firma oder des Vereins fehlerhaft, kann es zu Abmahnungen durch spezialisierte Anwälte kommen. Die Kosten für die betroffenen Nutzer könnten schnell 1000 Euro oder mehr betragen, so der Anwalt.