Vorschriften Neue Datenschutz-Regeln ab Freitag: Das sind die neuen Rechte und Pflichten
Unternehmen, Vereine, Vermieter, Verbraucher — es gibt niemanden, der nicht von den neuen Vorschriften betroffen wäre. Am Freitag treten sie in Kraft. Ein Überblick über die wichtigsten Aspekte.
Düsseldorf. Die Datenschutzgrundverordnung (DSGVO) ist eine rechtliche Vorgabe der EU, die ab dem 25. Mai unmittelbar in den EU-Staaten und damit auch in Deutschland gilt. Mit Blick auf die technische Weiterentwicklung des Internets wird ein einheitliches Datenschutzniveau festgeschrieben. Unternehmen können nicht mehr in das Land mit dem niedrigsten Datenschutz-Niveau ausweichen.
In der DSGVO geht es um den Schutz personenbezogener Daten — das sind alle Informationen, die sich auf eine natürliche Person beziehen: Name, Geburtsdatum oder IP-Adresse und damit verknüpfte Informationen. Wer sich bei Erhebung, Speicherung und Weiterverarbeitung nicht an die Regeln hält, dem drohen hohe Bußgelder.
Nach den Regeln der DSGVO ist grundsätzlich jegliche Verarbeitung personenbezogener Daten erst einmal grundsätzlich verboten. Es sei denn, es gibt für die Verarbeitung eine Erlaubnis. Eine solche Erlaubnis liegt etwa vor, wenn die betroffene Person ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten gegeben hat. Auch Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen erhoben werden.
In Zeiten des Internets gibt es kaum einen Bereich, der nicht von den Regeln der DSGVO betroffen ist. Unternehmen können sich etwa bei Industrie- und Handelskammern schlau machen. Und trotzdem herrscht auch in der Wirtschaft Verunsicherung.
Auch Vereine, selbst kleine Sportvereine mit ihren ehrenamtlichen Vorständen, müssen sich mit dem Thema befassen. Denn auch diese verarbeiten ja die Daten ihrer Mitglieder und weitere Informationen. Hier sagt NRW-Datenschutzbeauftragte Helga Block: „In einigen Vereinen haben sich über die Jahre vermutlich an verschiedenen Stellen eine Vielzahl personenbezogener Daten angesammelt. Ausgangspunkt sollte also zunächst eine Bestandsaufnahme sein.“ Im nächsten Schritt sei dann für jede einzelne Information zu prüfen, ob der Verein mit dieser überhaupt umgehen darf. Dabei gelte das Prinzip des „Verbots mit Erlaubnisvorbehalt“. Das bedeutet, dass Daten nur dann erhoben oder weitergegeben werden dürfen, wenn die betroffene Person entweder eingewilligt hat oder eine sonstige Rechtsgrundlage dies erlaubt.
Zur Frage, ob Informationen noch per E-Mail verschickt werden dürfen, sagt Block: „Eine E-Mail ist vergleichbar mit einer Postkarte. Die Möglichkeit, dass unbefugte Dritte mitlesen, kann nicht ganz ausgeschlossen werden.“ Vereine seien aber verpflichtet, die personenbezogenen Daten durch geeignete und angemessene Maßnahmen zu schützen. „Grundsätzlich empfehlen wir deshalb E-Mails mit personenbezogenen Daten nur verschlüsselt zu senden. Und bei der Nutzung von E-Mail-Verteilern sollte die BCC-Funktion, auch Blindkopie-Funktion genannt, verwendet werden.“
Informationen mit Checklisten und Mustervorlagen zum neuen Datenschutz im Vereinsrecht finden Sie auf der Seite des Landessportbunds: bit.ly/2L2QoS3
Auch der Vermieter erhält personenbezogene Daten vom Mieter. Haus und Grund Rheinland rät: „Um rechtlich auf der sicheren Seite zu sein, sollten Vermieter über die Erfassung und Speicherung von Daten Protokoll führen. Wann immer der Vermieter Daten abfragt, sollte er den Zweck und die Rechtsgrundlage dafür festhalten.“ Haus und Grund Rheinland hat einen Leitfaden für Vermieter erstellt, was diese mit Blick auf den Datenschutz zu berücksichtigen haben. Herunterzuladen unter bit.ly/2rH1fJc
Auskunftsrecht: Zu dem schon bisher bestehenden Auskunftsrecht etwa gegen Unternehmen über die Verarbeitung personenbezogener Daten hat der Verbraucher ein Recht auf eine Kopie der Daten. Die Verbraucherzentrale NRW fasst zusammen: „Sie können konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden (z.B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde) und erhalten diese in Form einer Kopie vom Unternehmen kostenlos zur Verfügung gestellt.“
Recht auf Löschung: Unter bestimmten Voraussetzungen müssen Unternehmen Daten löschen. Dies ist laut Verbraucherzentrale der Fall, wenn die Daten unrechtmäßig verarbeitet werden oder für den ursprünglichen Zweck, für den die Daten erhoben wurden, nicht mehr benötigt werden. Auch wenn der Verbraucher seine Einwilligung widerrufen oder Widerspruch gegen die Datenverarbeitung eingelegt hat, müssen die Daten gelöscht werden. Das Recht auf Löschung könne jedoch zum Beispiel durch das Recht auf Meinungsfreiheit und Information eingeschränkt sein (Beispiel Zeitungsarchiv).
Datenmitnahme: Mit dem neuen Recht auf Datenübertragbarkeit soll man einfacher zu einem neuen Anbieter wechseln. Ob in ein anderes soziales Netzwerk, einen anderen Messenger, zum anderen E-Mail-Anbieter oder Musikstreaming-Dienst: künftig sollen Freunde, Kontakte oder Playlists mit umziehen. Dafür kann der Nutzer des Dienstes von seinem Anbieter die Herausgabe der Daten verlangen, die er selbst bereitgestellt hat.