Die Datenschutzgrundverordnung (DSGVO) feiert am 25. Mai ihren fünften Geburtstag. Sie veränderte die Einstellung aller dazu, wie Unternehmen weltweit die personenbezogenen Daten von EU-Bürgern erfassen und nutzen dürfen.
Es war der 25. Mai 2018 und in vielen der damals 28 Mitgliedstaaten der Europäischen Union schien die Sonne. In den Büros vieler Unternehmen innerhalb (und oft auch außerhalb) der EU herrschte an diesem Tag jedoch blankes Chaos. „Schuld“ daran war die Datenschutzverordnung (DSGVO), die dann in Kraft trat. Sie veränderte grundlegend die Einstellung aller Beteiligten zur Verwendung personenbezogener Daten in der EU. Nun war klar geregelt, welche Daten von EU-Bürgern erfasst, verarbeitet und gespeichert werden dürfen. Und dies galt und gilt nicht nur für Unternehmen in der Europäischen Union, sondern auch für alle anderen Unternehmen weltweit, die Informationen von EU-Bewohnern erheben und nutzen.
Das besagte Chaos war eigentlich unnötig, denn die Vorlaufzeit betrug viele Jahre, die Rahmenbedingungen waren frühzeitig definiert. Je näher das Startdatum rückte, desto mehr herrschte rege Betriebsamkeit allerorten. Viele Unternehmen hatten bislang die Daten ihrer Kunden zumeist unstrukturiert in diversen Datenbanken und anderen Orten abgelegt. Bis zum Stichtag am 25.5.2018 mussten sie schleunigst zusehen, die gespeicherte Informationen zu finden, klassifizieren, organisieren und definieren, welche Informationen nach DSGVO schützenswert sind.
Viele Interessenten und Käufer erinnern sich ungern an die E-Mail-Flut, die in dieser Zeit auf sie einprasselte. Dabei handelte es sich nicht um Spam, sondern um Nachrichten von Unternehmen, mit denen sie irgendwie in Kontakt standen. Viele Firmen baten nun ihre Kunden um die Zustimmung, beispielsweise zum Erhalt von Newslettern. All die Jahre zuvor war es Usus, Nachrichten einfach ungefragt an Interessenten oder Käufer zu senden.
Fünf Jahre später erwarten die Verbraucher in Europa von Unternehmen, diese Verordnung ohne Wenn und Aber einzuhalten, wenn sie in den Allgemeinen Geschäftsbedingungen der Webseiten auf die Schaltfläche „Akzeptieren“ oder „Einverstanden“ klicken. Sie gehen davon aus, dass die Regulierungsbehörden die Anwendung der DSGVO überwachen und schwarze Schafe bestrafen.
Was waren die wichtigsten Änderungen?
Vor Einführung der Datenschutzgrundverordnung konnte niemand wirklich wissen, welche Art von Kundendaten die Unternehmen aufbewahrten. Hat Facebook nur unseren Namen, unsere Telefonnummer oder unsere E-Mail-Adresse gespeichert? Hat Google unsere Suchanfragen aufgezeichnet? Was weiß Netflix über uns aufgrund der Inhalte, die wir ansehen? Und wie nutzten diese Unternehmen dieses Wissen?
Vieles hat sich seit dem Start der Verordnung in puncto Datenschutz verbessert. Die nach unserer Meinung fünf Meilensteine wollen wir zum fünften Geburtstag noch einmal hervorheben.
1. Die DSGVO gilt für sehr viele erhobenen Daten:
- Grundlegende Informationen zur Identität wie Name, Adresse und Ausweisnummer, religiöse Überzeugungen, politische Zugehörigkeit, Rasse oder ethnische Herkunft, sexuelle Orientierung.
- Gesundheitsdaten und -zustand, Bluttests, COVID-19-Impfstoffe usw.
- Kommunikationsinformationen wie Geo-Lokalisierung, IP-Adressen, Internetverlauf, Telefonate und SMS.
- Bankdaten, Einkaufsdaten und App-Nutzung.
2. Unternehmen müssen die acht Rechte der Bürger respektieren:
- Das Recht, darüber informiert zu werden, dass ihre Daten gesammelt, verwendet und wie lange und wie sie weitergegeben werden. Die Informationen müssen in einfacher und verständlicher Sprache verfasst sein.
- Das Recht auf Auskunft über alle von einem Unternehmen verarbeiteten Daten sowie über den Grund der Datenerhebung oder die Quelle, aus der diese stammen.
- Das Recht auf Berichtigung, wenn Daten unvollständig oder falsch sind.
- Das Recht auf das „Vergessenwerden“ kann beantragt werden, wenn jemand zu irgendeinem Zeitpunkt die einem Unternehmen erteilte Zustimmung zur Speicherung dieser Daten widerruft. Dies kann auftreten, wenn Informationen nicht mehr erforderlich sind oder wenn sie unrechtmäßig verarbeitet wurden.
- Das Recht auf Einschränkung der Verarbeitung als Alternative zur Löschung von Daten. Die Nutzer können verlangen, dass Informationen über sie für bestimmte Zwecke nicht verwendet werden. So kann man beispielsweise der Nutzung von Daten für die Personalisierung von Inhalten innerhalb einer Streaming-Plattform zustimmen, nicht aber für Marketingkampagnen.
- Das Recht auf Widerspruch gegen die Verarbeitung weiterer Daten.
- Das Recht auf Datenübertragbarkeit. Wenn der Nutzer auf seine, von einem Unternehmen gesammelte, Daten zugreifen und sie an eine andere Firma weitergeben möchte, heißt das im Endeffekt: Ihre Daten gehören Ihnen. Sie können sie mitnehmen, wohin Sie wollen.
- Das Recht, nicht einem sogenannten Profiling unterzogen zu werden. Unter diesem Begriff versteht man das automatisierte Sammeln und Verarbeiten personenbezogener Daten eines Menschen. Das Ziel dahinter ist, mehr über eine Person herauszufinden und so seine Interessen, sein Verhalten und andere Eigenschaften zu analysieren oder sie vorherzusagen.
3. Die DSGVO hat globale Auswirkungen
Man könnte annehmen, dass die Datenschutzgrundverordnung nur für in der EU ansässige Unternehmen eine drastische Veränderung darstellt. Aber ihre Auswirkungen gehen viel weiter. Die DSGVO gilt für alle Unternehmen, die Waren oder Dienstleistungen in der EU anbieten oder die Daten von Bürgern in der EU verarbeiten. Umgekehrt können die Daten von EU-Bürgern nur in Länder mit ähnlichen Datenschutzbestimmungen exportiert (und von diesen verwendet) werden.
Als eine der drei größten Volkswirtschaften der Welt treibt die EU Investitionen aus allen Ecken der Welt an. Auch dafür hat sie die Datenschutzgrundverordnung als Mindestanforderung für die Tätigkeit in und mit einem der 27 Mitgliedstaaten festgelegt. Es ist nicht verwunderlich, dass überall auf der Welt die Datenschutzbehörden nationale Rechtsvorschriften erlassen haben, um die Regeln zu harmonisieren, die Unternehmen einhalten müssen.
Dies ist beispielsweise in Kanada, Argentinien, Brasilien, Uruguay, Japan, Neuseeland und seit kurzem auch in Südkorea der Fall. Das kanadische PIPEDA-Gesetz ist seit 2001 in Kraft und lehnt sich in weiten Teilen an das EU-Gesetz an. Es legte die Rechenschaftspflicht als grundlegendes, gesetzgeberisches Prinzip fest, allerdings mit einem wesentlichen Unterschied: Im Gegensatz zum kanadischen Gesetz gilt die DSGVO nicht nur für kommerzielle Akteure, sondern auch für staatliche Stellen.
In den USA sind die Datenschutzbestimmungen deutlich vielfältiger. Auf Bundesebene regeln verschiedene Gesetze bestimmte Bereiche, z.B. HIPAA für den Gesundheitsbereich, FCRA für Kreditwürdigkeitsprüfungen oder COPPA, das die Verarbeitung von Daten von Kindern unter 13 Jahren einschränkt. Nur die drei Bundesstaaten Kalifornien, Virginia und Colorado haben umfassende Datenschutzgesetze verabschiedet.
4. Eine Datenschutzverletzung muss spätestens 72 Stunden nach ihrer Entdeckung gemeldet werden.
Eine der größten Neuerungen der DSGVO ist die Verpflichtung für Unternehmen, eine Datenschutzverletzung innerhalb von nur drei Tagen zu melden, nachdem sie davon erfahren haben. Im Vergleich dazu betrug die strengste Frist für die Meldung von Datenschutzverletzungen in den USA bisher 30 Tage.
Diese Vorschrift veranlasste Firmen dazu, proaktive Pläne zur Bewältigung von Datenschutzverletzungen zu erstellen. Sie wollten nicht der Versuchung erliegen, sich zu viel Zeit zu lassen und eine PR-Krise hervorzurufen. In einer Zeit, in der solche Vorfälle an der Tagesordnung sind, müssen die Bürger wissen, dass ihre Daten gefährdet sein könnten, damit sie Maßnahmen ergreifen können.
5. Bei Nichteinhaltung der DSGVO drohen Geldstrafen
Die DSGVO ist kein zahnloser Tiger, wie man an den ausgesprochenen Strafen unschwer erkennen kann. Bis zum 23. Mai 2022 haben 1.093 Verstöße gegen die DSGVO zu Geldbußen im Gesamtwert von 1,63 Milliarden Euro geführt. Vor großen Namen schreckt die Verordnung nicht zurück: Als prominentes „Opfer“ wurde in 2021 der Internetriese Amazon wegen gezielter Werbung ohne ausreichende Zustimmung zu einer Geldstrafe in Höhe von 746 Millionen Euro verurteilt.
Ebenfalls im Jahr 2021 wurde Google mit einer Geldstrafe von 90 Millionen Euro verurteilt, weil es den Einwohnern Frankreichs keine einfache Möglichkeit bot, die Verwendung von Cookies abzulehnen. Andere bekannte Unternehmen wie die Bekleidungsmarke H&M, die Fluggesellschaft British Airways und sogar die niederländische Steuer- und Zollverwaltung wurden mit Geldstrafen belegt und mussten ihre Datenschutzmechanismen anpassen.
Quo vadis, Datenschutz
Die Datenschutzgrundverordnung war sicherlich ein wichtiger erster Schritt, um die Sicherheit unserer Daten zu gewährleisten. Trotz der Existenz dieser Verordnung sollte uns wir uns fragen, ob die inflationäre Sammelwut vieler Unternehmen wirklich notwendig ist. Warum müssen Unternehmen so viel darüber wissen, was wir tun, wohin wir gehen oder wie wir uns kleiden? Und welche Alternativen gibt es, wenn wir mit der Verwendung eines bestimmten Teils unserer Daten nicht einverstanden sind? Können wir alternative Dienste finden?
Und wenn so viele Dienste und Apps uns im Tausch gegen unsere Daten kostenlos Zugang zu ihnen gewähren, wie hoch ist dann der tatsächliche Wert unserer Daten, der die Einnahmen aus den Abonnementgebühren übersteigen kann?
Dies ist sicherlich ein Thema, das wir alle eher früher als später führen müssen.
