DSGVO: Was sich ab 25.Mai für Nutzer ändert

08.05.2018

Die Datenschutzgrundverordnung – kurz DSGVO – ist am 24.Mai 2016 in Kraft getreten und wird ab dem 25.Mai 2018 im gesamten EU-Gebiet gültig.

Die Datenschutzgrundverordnung vereinheitlicht die nationalen Gesetze zum Schutz personenbezogener Daten und ersetzt eine bis dahin geltende EU-Regelung aus dem Jahr 1995. Wir haben uns in unserem Blogbeitrag angeschaut, was sich für Unternehmen, Nutzer und Kunden ändert und welche Auswirkungen die DSGVO auf Privatanwender haben wird. Die europäische Union ist angetreten, ein echtes politisches Schwergewicht zuvereinheitlichen: Den Schutz personenbezogener Daten und deren Verarbeitung. Die DSGVO will Rechte und Pflichten vollharmonisieren, auch wenn Staaten Öffnungsklauseln für einzelne Bereiche des Datenschutzes nutzen können. Damit ergibt sich ein europarechtlich seltenes Stück Zeitgeschichte. Die DSGVO ist demnach nämlich ein Hybrid aus Verordnung und Richtlinie. Die gute Nachricht vorab: Der Vorgänger der DSGVO in der Bundesrepublik, das Bundesdatenschutzgesetz (BDSG), erfüllte bereits viele Vorgaben aus der alten EU-Richtlinie von 1995. So gilt zum Beispiel weiterhin, dass die Verarbeitung personenbezogener Daten erlaubt ist, wenn  
  • eine Einwilligung der betroffenen Person vorliegt
  • die Daten für die Vertragsabwicklung und -anbahnung notwendig sind,
  • die Verarbeitung notwendig ist, um lebenswichtige Interessen zu schützen,
  • die Daten für die Erfüllung rechtlicher Vorgaben notwendig ist,
  • mit den Daten eine Aufgabe erledigt werden soll, die im öffentlichen Interesse liegt
  • die Daten zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten dienen.
Andererseits ergeben sich aus der DSGVO auch viele Neuregelungen für Unternehmen. Eine der wichtigsten Neuregelungen ist die Beweislast. War es bisher die Datenschutzbehörde, die betroffenen Unternehmen einen Verstoß gegen nationales Recht nachweisen musste, so muss nun der Unternehmer bei einer Prüfung nachweisen, dass er alle Vorgaben eingehalten hat. Kann ein Unternehmer diesen Nachweis nicht erbringen, sind bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes als Strafe fällig – je nach dem, was höher ist. Bisher haben Datenschutzebehörden einen Spielraum von bis zu 300.000EUR gehabt – und diesen selten ganz ausgereizt. Gerade im Hinblick auf die enormen Geldbußen, die die DSGVO vorsieht, sind Unternehmen also gut beraten, sich auf die DSGVO vorzubereiten. Dazu gehört auch die DSGVO-konforme Behandlung von Cookies auf der Website.

Was sind Cookies eigentlich?

Cookies sind im IT-Umfeld nicht mit Schokolade gefüllt, sondern mit Daten zur Identifizierung Ihres Computers. Webseiten können diese wenigen Byte großen Dateien auf Ihrem PC ablegen (dafür hält jeder Browser einen eigenen temporären Ordner bereit) und Sie so bei einem weiteren Besuch wieder erkennen.

Wozu dienen Cookies?

Webseiten (und Apps) nutzen Cookies also zur Wiedererkennung eines einzelnen Nutzers und zur Speicherung bestimmter Informationen. Ein klassisches Beispiel sind Session-Cookies bei Ihrer Hausbank. Sobald Sie den Login durchgeführt haben, wird im Cookie die Uhrzeit des Login gespeichert. Nach Ablauf einer bestimmten Frist – meist zwischen 15 und 20 Minuten – werden Sie durch den Session-Cookie automatisch ausgeloggt. So möchte Ihre Bank verhindern, dass sich Unbefugte Zugriff zu Ihrem Konto verschaffen. Eine weitere klassische Anwendung für Cookies sind Suchverläufe. Haben Sie sich schon einmal gewundert, weshalb nur eine einzige Anfrage bei Amazon nach “Sommerhut” reicht, um wochenlang alle möglichen Hüte in Anzeigen auf verschiedenen Webseiten zu sehen? Hintergrund ist auch hier ein Cookie – in diesem Fall wahrscheinlich der Cookie von Amazon.

“Gute Cookies” und “böse Cookies”?

Cookies sind nicht generell schlecht. Sie erleichtern es Unternehmen, komfortable Services anzubieten, die möglichst einfach bedient werden können. So könnten Sie “Session-Cookies”, wie oben beschrieben, als eher “Guten Cookie” bezeichnen. Es gibt aber auch Cookies, die ungehemmt Daten sammeln, und das auch noch über verschiedene Webseiten hinweg. Diese so genannten “Tracking-Cookies” (auch Third-Party-Cookies) erstellen umfassende Benutzerprofile aus unzähligen Daten, die sie von verschiedenen Webseiten beziehen. Surfen Sie also von einer Website zu einer anderen, die beide den Tracking-Cookie eines bestimmten werbenden Unternehmen enthalten, so wird das in Ihrem Profil (bzw. Ihrem Tracking-Cookie) abgespeichert.

DSGVO: Was ändert sich für mich als Kunde?

Ob die DSGVO für Kunden und Nutzer nur Vorteile bringt – darum wird auch in Fachkreisen noch teilweise heftig diskutiert. So kritisieren einige, dass die Schriftform für eine wirksame Einwilligung in die Verarbeitung von personenbezogenen Daten nicht mehr zwingend erforderlich ist. Das alte BDSG sah vor, dass die individuelle Einwilligung der betroffenen Person einzuholen ist – die neue DSGVO nennt auch stillschweigende Einwilligungserklärungen als konform (nicht aber für besonders schutzwürdige Informationen). Aus Beweisgründen dürften Anbieter aber weiterhin auf eine protokollierte Opt-In-Variante setzen. Die drei wohl wichtigsten Änderungen für Kunden und Nutzer finden sich unter den Stichworten “Privacy by default”, Marktortprinzip sowie Transparenz:  
  • Privacy by default besagt, dass Voreinstellungen in Anwendungen datenschutzfreundlich ausgerichtet sein müssen. Werkseitige Voreinstellungen, die die Übertragung von Daten an andere Dienstleister ermöglichen, sind also nicht mehr zulässig.
  •  Marktortprinzip besagt, dass die Regeln für die Verarbeitung personenbezogener Daten in der EU auch für Firmen gelten, die Ihren Sitz nicht innerhalb der EU haben, aber dort Dienstleistungen anbieten.
  • Transparenz besagt, dass Datenschutzbestimmungen in “präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache” zu verfassen sind.
Mit diesen Regeln soll das so genannte “Privacy Paradox” aufgelöst werden. Demnach ist der überwiegende Teil der Nutzer zwar an starkem Datenschutz interessiert, nimmt aber entsprechende Einstellungen nicht selber vor. Ob das erklärte Ziel – die Harmonisierung der Datenschutzregeln in der EU und damit auch die Schaffung eines zukunftsfähigen Gesetzesrahmens – auch wirklich erreicht wird, bleibt abzuwarten. Dem Vernehmen nach haben sich bereits jetzt Abmahnanwälte in Stellung gebracht, um pünktlich zum 25.Mai 2018 starten zu können. Allerdings werden sich die Auftraggeber ändern. Denn mit der DSGVO können Unternehmen Wettbewerber nicht mehr abmahnen – wohl aber Verbände, denn diese sind klageberechtigt. Wie schnell sich diese in Position bringen werden, ist derzeit nur sehr schwer abzuschätzen.