Eine Abkürzung ist derzeit in aller Munde: DSGVO, oder EU-DSGVO. Die sogenannte „DatenSchutz-GrundVerOrdnung“, um die Abkürzung aufzulösen. Auf englisch „General Data Protection Regulation“ (GDPR). Sie gilt ab dem 25. Mai 2018, das ist in knapp zwei Wochen. Und außerdem bekommen wir alle zur Zeit reichlich eMails wo davon die Rede ist. Was, wie, wer? Wieso, weshalb, warum?

Datenschutz

Wieso eigentlich eine neue Verordnung? Wir hatten doch schon einen Datenschutz. Richtig, das stimmt, und nicht den schlechtesten. Den deutschen Datenschutz und deutsche Datenschutzbeauftragte auf Bundes- und Länderebene. Die hatten allerdings nur für Deutschland und seine Länder Befugnisse. Das Problem im Internet ist aber das wir selten nur im deutschen Staatsgebiet unterwegs sind. Die Server der Webseiten können überall stehen, und den Firmensitz haben viele Unternehmen aus steuerlichen Gründen gerne mal in anderen Ländern (Facebook, Google, Double-Irish lässt grüßen). Dank der EU können Unternehmen innerhalb Europas Handel treiben und Geschäfte machen, aber der deutsche Datenschützer kann dem Unternehmen schwer was anhaben. Die deutsche Regelung war gewissermaßen ein Tiger ohne Zähne. Also macht es Sinn das die EU eine gemeinsame Verordnung ins Leben ruft. So hat sie sich entschlossen das zu tun und nach zähen Verhandlungen trat am 24. Mai 2016 die Verordnung in Kraft, die ab dem 25. Mai 2018 angewendet wird.

Verordnung vs. Richtlinie vs. Gesetz

Warum ist es eine Verordnung? Nun, es könnte auch eine Richtlinie sein. So eine Richtlinie hat aber keine unmittelbare Wirkung, sondern muss erst von den Mitgliedsstaaten in jeweiligen Gesetzen umgesetzt werden. Das kann eine Weile dauern und erfordert viel Aufwand. Vielleicht kann man sich in manchen Ländern nicht einigen, oder will einfach nicht, und dann passiert lange Zeit nichts. Eine Verordnung hingegen gilt unmittelbar. Sie tritt in Kraft, dann haben alle ein paar Jahre Zeit sich damit auseinander zu setzen und die Bedingungen zu erfüllen, und dann wird sie angewendet. Eine Schonfrist sozusagen. Wer bis zum Stichtag geschlafen hat, hat danach Pech gehabt.

Ist das nun gut oder schlecht?

Das ist gut, auch wenn es Aufwand bedeutet. Das beste für den deutschen Raum: da die deutschen Datenschutz-Regelungen als Vorbild dienten, müssen wir gar nicht so viel ändern. Prinzipiell dient die Verordnung aber vor allem dem Schutz der Person, und das im Sinne der Menschenrechte im Rahmen der Charta der Europäischen Union. Das klingt doch gut. Hinzu kommt das nun empfindliche Strafen möglich sind, womit die Handhabe geschaffen wurde Verstöße zu ahnden. Damit hat man die Möglichkeit EU-weit gegen Unternehmen vorzugehen die den Datenschutz nicht beachten, und damit sind wir wieder bei dem Tiger der nun Zähne bekommen hat. So gesehen eine Verbesserung.

Und das bedeutet für mich?

Für den normalen Benutzer erst ein mal gar nichts. Für die Betreiber von Internet-Seiten schon. Die müssen in Zukunft sehr darauf achten das sie zwei Prinzipien folgen:

So wenig Daten wir möglich sammeln
Nur so viele Daten wie unbedingt nötig sammeln

Generell muss jeder erhobene Datensatz einem ganz bestimmten Zweck dienen, und nur diesem. Er darf auch nicht weiter veräußert werden. Zusätzlich muss jeder Benutzer seine Einwilligung geben, und genau dafür muss sehr deutlich und leicht verständlich klar gemacht werden was da vor sich geht. Das bedeutet:

Welche Daten werden erhoben?
Zu welchem Zweck?
Was geschieht mit den Daten?

Und das ist genau der Grund warum Ihr alle derzeit jede Menge eMails von den Betreibern Eurer Plattformen bekommt. Praktisch jede Social-Media-Plattform, Streaming-Dienst, Online-Marketplace und wer weiß was, wird dieser Tage eine Nachricht über seine neue Datenschutzregelung verschicken. Da wird man oft Sätze lesen wie „Wir wollen Dich über unsere neue …“ und da trifft man auch ganz oft die Abkürzung „DSGVO“. Vielleicht bekommt man sogar Post von Plattformen bei denen man völlig vergessen hat das dort noch ein Account schlummert. Eine gute Gelegenheit aufzuräumen!