Sie will uns ja nur Gutes. Nicht den schönen neuen Webshop unterbinden, nicht die ausgelagerte Lohnverrechnung – nur den Umgang mit den dabei anfallenden Daten will die europäische Datenschutz-Grundverordnung (DSGVO) sicher machen.

Hinter dem Wortungetüm steht eine hehre Absicht: Die DSGVO steckt den Rahmen ab, innerhalb dessen Daten erfragt, gesammelt, verarbeitet, gespeichert und weitergegeben werden dürfen. Sie soll das Bewusstsein schärfen, dass Daten, das „Gold des 21. Jahrhunderts“, ein heikles Gut sind, mit dem sorgsam umgegangen werden muss.

Wer es noch nicht getan hat (dem Vernehmen nach sind das viele), sollte sich schleunigst mit ihr auseinandersetzen. Nicht nur, weil sie am 25. Mai EU-weit in Kraft tritt. Nicht nur, weil Sorglosigkeit teuer werden kann. Gedroht wird mit Strafen bis zu utopischen 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes (was ein Schuss vor den Bug für die europäischen Niederlassungen von Google, Amazon, Facebook & Co. sein soll).

Die internationale Anwaltskanzlei CMS warnt auch vor der zunehmenden Klagsfreudigkeit der Konsumenten. Und: Die hausinternen „Schuldigen“ können haftbar gemacht werden.

Um welche Daten es geht

Die DSGVO betrifft nur personenbezogene Daten natürlicher Personen und weitet deren Rechte aus. Sie betrifft alle, die Daten verarbeiten, nunmehr auch kleine und Kleinstunternehmen (z. B. für Kunden- oder Mitarbeiterdaten). Auch sie müssen künftig auf Anfrage ein Verarbeitungsverzeichnis (mehr dazu nächste Woche) vorlegen, sofern sie die Daten „nicht nur gelegentlich“ verarbeiten. Umfang und Detailgrad hängen vom Risiko für die Betroffenen ab.

Gesundheitsdaten etwa fallen unter „besondere Datenkategorien“, so wie auch Daten zur rassischen und ethnischen Herkunft, politischen Meinung, religiösen und weltanschaulichen Überzeugung, Gewerkschaftszugehörigkeit, Sexualleben und sexueller Orientierung, genetische oder biometrische Daten.

► Einwilligung

Damit personenbezogene Daten verarbeitet werden dürfen, bedarf es dann der Einwilligung, wenn die Verarbeitung nicht zur Vertragserfüllung notwendig, durch berechtigte Interessen gerechtfertigt, gesetzlich erlaubt oder im öffentlichen Interesse geboten ist. Die Einwilligung muss laut Gesetz freiwillig, spezifisch und eindeutig durch eine bestätigende Handlung erfolgen.

Sprich: Man setzt etwa sein Häkchen in eine Checkbox. Vor-angeklickte Checkboxen und passives Nichtwidersprechen gelten nicht als Einwilligung, das Opt-in muss aktiv erfolgen. Koppelung ist verboten, etwa den eigentlichen Vertragsabschluss von der Einwilligung zur Zusendung von Werbung abhängig zu machen.

Wichtig: Die Beweislast für die korrekte Einwilligung trifft das Unternehmen bzw. dessen internen Verantwortlichen.

Praxistipp: Auch frühere Einwilligungserklärungen und Cookie-Zustimmungserklärungen auf DSGVO-Tauglichkeit prüfen!

► Recht auf Auskunft

Was geschieht mit meinen Daten? Gehen sie ins Ausland? Wie lang werden sie gespeichert? Solche Fragen darf nun jeder Betroffene stellen, auch telefonisch und elektronisch. Seine Identität muss er nur in Zweifelsfällen nachweisen. Dem Begehr ist unverzüglich, spätestens innerhalb eines Monats nachzukommen – kostenfrei bis auf wenige Ausnahmen (etwa Exzessivität).

AUF EINEN BLICK Mit 25. Mai tritt EU-weit die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie bezieht sich auf personenbezogene Daten und droht bei Verstößen mit empfindlich hohen Strafen. Der erste Teil dieser Serie beleuchtet die DSGVO allgemein, die weiteren jeweils die Sicht eines Unternehmensbereichs.

► Recht auf Löschung

(Vergessenwerden). Wie oben, aber mit Pferdefuß: Wie informiert man einen Betroffenen, wenn man alle seine Daten gelöscht hat? Verweigern kann man die Löschung nur in Ausnahmefällen, wenn das Speichern zum Erfüllen einer rechtlichen Verpflichtung oder eines berechtigten Interesses nötig ist.

► Erweiterte Rechte gelten künftig auch für Datenberichtigung, Einschränkung, Übertragung und Widerspruch.

("Die Presse", Print-Ausgabe, 03.02.2018)