LUXEMBURG
LJ

Am kommenden 25. Mai ist es so weit: die neue EU-Datenschutzgrundverordnung („General Data Protection Regulation“) GDPR wird in Kraft treten. Damit erlässt die EU eine Generalüberholung dessen, was sie sich 1995 in den Anfangstagen des Internets selbst gegeben hatte: Eine gemeinsame Datenschutzrichtlinie. Nach zähen Verhandlungen war es 2015 schließlich so weit, eine etwas mehr als zweijährige Frist zur Anpassung an die neue Verordnung wird am 25. Mai ablaufen. Ab dann müssen alle Betreiber, die Daten speichern, mit der neuen Regelung konform sein. Für viele dürfte das eine lange Umstellung gewesen sein, die auch weitere Verwaltung mit sich gebracht hat.

Für die Mitgliedsstaaten und ihre Bürger heißt GDPR primär: Fortan wird es nicht mehr 28 einzelne Länderregelungen geben, sondern ein gemeinsames Regime. Transparenz, Regelmäßigkeit und Zweckmäßigkeit der Datenspeicherung werden dann groß geschrieben.

Durch das einheitliche Regime bedeutet das auch, dass Betroffene in Zukunft nicht mehr in dem Land Beschwerde einreichen müssen, in dem die Daten gespeichert und missbraucht wurden - stattdessen reicht es, sich an die lokale Datenschutzkommission (in unserem Fall die „Commission Nationale de la Protection des Données“ CNPD) zu wenden. Die wiederum haben künftig mehr Handhabe gegen Datenschutzverstöße, weil sie Datensammler häufiger kontrollieren und nicht einzeln freigeben müssen. Die CNPD sprach in der Vergangenheit zum Thema GDPR nicht umsonst von einem Paradigmenwechsel. o

Die wichtigsten Punkte

Durch GDPR werden personenbezogene, persönliche Daten weiter geschützt; die betroffene Person soll damit weitaus mehr Rechte zum Schutz seiner Daten haben, als bislang.

NACHWEISEN STATT PRÜFEN: Die Reform wird den Datenschutz in der Realität ansiedeln, statt eine große Administrationsaufgabe daraus zu machen. Unternehmen müssen jetzt nicht mehr im Voraus ihre Konformität bei den Datenschutzkommissionen prüfen lassen; stattdessen muss die Konformität jederzeit nachweisbar sein, die Datenschutzkommissionen können zu jedem Zeitpunkt eine Kontrolle abhalten.

ZUSTÄNDIGKEITSBEREICH: GDPR gilt auch für außereuropäische Unternehmen, die hier ihre Dienste und Waren anbieten. Beschwerden werden vor Ort in Europa bei den nationalen Datenschutzkommissionen hinterlegt, statt in dem Herkunftsland des Unternehmens.

KOMPLETTE EINWILLIGUNG; Ohne das Einverständnis der jeweils betroffenen Person geht künftig gar nichts mehr. Dieses Einverständnis muss jederzeit vom Verarbeiter der Daten nachgewiesen werden können und kann von der Person wieder entzogen werden.

RECHT AUF VERGESSEN: Fest verankert wird besonders das sogenannte Recht auf Vergessen, also die Möglichkeit, eine komplette Löschung aller personenbezogenen Daten bei einem Unternehmen anzufordern. Das gilt besonders, wenn die Gründe zur Speicherung oder die Einwilligung verfallen.

TRANSPARENZ UND ZWECKBINDUNG: Betriebe müssen wesentlich mehr Verantwortung bei der Bearbeitung der Daten übernehmen. Die Datensammlung muss nachweislich einen Zweck erfüllen - Werbezwecke gelten nicht als Grund. Zudem muss die betroffene Person zu jedem Zeitpunkt über alle sie betreffende Daten informiert werden können, wenn er sich über die Verarbeitung erkundigt.

RECHT AUF ÜBERTRAGBARKEIT: Daten müssen derart gespeichert werden, dass sie nach Wunsch der Person jederzeit von einem Dienst in einen anderen übernommen werden können. Gemeinsam mit dem Recht auf Vergessen soll es dafür sorgen, dass wirklich nur das absolut Nötigste abgespeichert wird.

BUSSGELDER UND STRAFZAHLUNGEN: Bei Missachtung der neuen Datenschutzregeln warten saftige Strafen; wer von den Datenschutzbehörden erwischt wird, kann bis zu vier Prozent seines weltweiten Jahresumsatzes zahlen, mindestens aber 20 Millionen Euro. Einzelne EU-Mitgliedsländer können aber in ihrer Anpassung der Regelung zusätzliche, höhere Strafen ansetzen.

28 ZU 1: Statt einer Datenschutzregelung pro Mitgliedsstaat gibt es künftig nur eine gemeinsame Regel; das heißt konkret auch, dass konforme Firmen künftig nicht in jedem Land einzeln eine Authorisation anfragen müssen. Das spart Verwaltungskosten und -Aufwand.

Den vollständigen Text der neuen Datenschutzregelung finden Sie unter: tinyurl.com/Text-GDPR