Vor einem Jahr trat die EU-Datenschutz-Grundverordnung in Kraft. Sie brachte vor allem einen Bewusstseinswandel mit sich. Viele Fragen bleiben weiterhin offen.
Was dürfen andere über mich wissen, was mit den Informationen über meinen Lebenswandel, meine politische Einstellung oder auch nur mein Geburtsdatum anstellen? Kann ich mich wehren, wenn nicht nur Behörden, sondern auch Unternehmen besser über mich Bescheid wissen als meine engsten Freunde?
Ausgangspunkt eines hochkomplizierten Regelwerks mit dem sperrigen Titel Datenschutz-Grundverordnung (DSGVO) sind solche einfachen, aber hochbrisanten Fragen. Vor einem Jahr, am 25. Mai 2018, sind die neuen Spielregeln für den Umgang mit persönlichen Informationen in Kraft getreten. Was hat sich seither verändert?
Trotz allem ein Meilenstein
"Unsere damalige Einschätzung, dass es sich um einen Meilenstein handelt, hat sich bestätigt", sagt die Datenschutzexpertin und Leiterin der VKI Akademie, Petra Leupold. Dennoch sei die Aufregung vor einem Jahr überzogen gewesen: Die neue Regelung ziele besonders auf große Fische. Ängste vieler kleinerer und mittlerer Unternehmen vor einer Klagsflut hätten sich großteils als unbegründet erwiesen. Leupold: "Es gab in Österreich schon vorher ein strenges Datenschutzrecht."
Rechtsdurchsetzung gestärkt
Einen Unterschied gibt es allerdings: Früher blieben Verstöße gegen die Spielregeln oft ungeahndet. "Nun wurde die Rechtsdurchsetzung gestärkt und die Strafen wurden massiv erhöht." Prominentester Missetäter ist die Österreichische Post, die ihren Geschäftspartnern neben Zustelladressen auch höchst persönliche Details – wie die (mutmaßliche) politische Gesinnung – ohne Wissen der Betroffenen zum Verkauf anbot (siehe Post-Datenskandal: verlangen Sie Auskunft! - Mustertext für Datenauskunft). Ein glasklarer DSGVO-Verstoß, gegen den der VKI mit Musterprozessen vorgeht.
Was nicht erlaubt ist, bleibt untersagt
Denn die 99 Gesetze, aus denen sich die DSGVO zusammensetzt, lassen sich auf einen gemeinsamen Nenner bringen: Was nicht ausdrücklich erlaubt ist, bleibt untersagt. Kein Unternehmen hat das Recht, ohne Einwilligung der Betroffenen personenbezogene Daten zu speichern oder gar zu verkaufen.
Wer es dennoch tut, muss mit empfindlichen Strafen rechnen: Im Extremfall können diese bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens betragen. Damit hat die EU auch eine Handhabe gegen internationale Player wie Facebook, Google & Co geschaffen. "Die DSVGO gilt auch für Unternehmen, die keinen Sitz in der EU haben", sagt Leupold.
PDF-Download: Lesen Sie auch das KONSUMENT-Extra "Neue Spielregeln für den Datenschutz" (PDF, 8 Seiten). |