DSGVO: Zehn Antworten zum neuen Datenschutz

Ein eMail-Tsunami kündigt den „ D-Day“ seit Tagen an. Tausende unverlangte eMails begehren vom Empfänger nur eines: Stimmen Sie den neuen Datenschutz-Bestimmungen zu. Am 25. Mai tritt EU-weit die neue Datenschutz-Grundverordnung (DSGVO) in Kraft und sie bringt weit mehr als nur Zustimmungs-Begehren. Alle Datensammler – vom Internet-Giganten über Banken, Versicherungen bis zum Kleinstbetrieb und Sportverein – werden stärker in die Pflicht genommen. Privatpersonen haben es ab sofort leichter, ihr Recht auf Datenschutz durchzusetzen. Der KURIER fasst die wichtigsten zehn Fragen zusammen.

Was genau ändert sich überhaupt am 25. Mai?

Alle Datensammler müssen ab Freitag darüber Auskunft geben können, welche personenbezogenen Daten wann, wo, wie, warum und von wem verarbeitet werden. Darüber hinaus müssen sie deren sichere Verarbeitung gewährleisten.

Welche Daten unterliegen besonderem Schutz?

Zu unterscheiden sind sensible und nicht sensible Daten wie Name und eMail-Adresse. Strenge Regeln gelten vor allem für sensible Daten wie Gesundheits- oder biometrische Daten (Fingerabdruck, Irisscan) sowie die automatisierte Verarbeitung zur Profilbildung.

Viele Firmen begehren derzeit Zustimmung für den Versand von Newsletter, weitere Datennutzung etc. Müssen sie das überhaupt?

Grundsätzlich benötigen Firmen eine Einwilligung der Person, deren Daten sie speichern und verarbeiten, dies gilt insbesondere für unverlangte Werbung z.B. als Newsletter. In vielen Fällen liegt diese Einwilligung aber bereits vor, etwa wenn eine Geschäftsbeziehung besteht. Weiters muss informiert werden, wie mit den Daten umgegangen wird, wohin sie übermittelt werden und welche Rechte die Betroffenen haben. Das holen viele Firmen jetzt per eMail nach. Die ARGE Daten rät Firmen vor solchen Zustimmungs-eMails eher ab. Die Rücklaufquote sei kleiner als fünf Prozent. Wenn sich jemand vom Newsletter abmeldet oder die Zustimmung verweigert, darf er auch keine Zusendung mehr erhalten.

Wie soll man auf ein Zustimmungs-Begehren reagieren?

Nicht vorschnell klicken. Die Empfänger sollten genau prüfen, ob eine bestehende Vereinbarung bestätigt werden soll oder neue Einverständnisse abgefragt werden. Bei aufrechten Vertragsverhältnissen und Zufriedenheit mit dem bisherigen Dienst ist eine Zustimmung sinnvoll. Diese kann jederzeit widerrufen werden.

Was ist ein Datenschutzbeauftragter und wer braucht diesen überhaupt?

Zwingend vorgeschrieben ist ein Datenschutzbeauftragter für Behörden, öffentliche Stellen sowie Unternehmen, die regelmäßig und systematisch umfangreiche und sensible Datenmengen verarbeiten, z.B. Banken, Versicherungen oder Krankenanstalten. Auf Klein- und Mittelbetriebe trifft dies nur in Ausnahmefällen zu, sie können aber freiwillig einen Beauftragten ernennen. Seine Aufgabe ist es, die Einhaltung der DSGVO zu überwachen, Mitarbeiter zu schulen und mit Behörden zu kooperieren.

Was ist das Recht auf Löschung bzw. das Recht auf Vergessenwerden?

Grundsätzlich dürfen Daten nur so lange gespeichert werden, wie es für den Speicherzweck (z.B. laufende Verträge, gesetzliche Aufbewahrungspflicht) erforderlich ist. Das Recht auf Vergessenwerden schließt auch Suchmaschinen-Einträge mit ein. Wenn die Suchergebnisse zu personenbezogenen Daten verlinken, die unwahr oder veraltet sind, haben Betroffene Anspruch auf Löschung der Suchergebnisse, sofern kein öffentliches Interesse besteht.

Worauf müssen speziell Vereine achten?

Auch sie unterliegen strengeren Dokumentationspflichten. Datenschutz-Experte und Buchautor Rainer empfiehlt, nur jene Daten zu erheben, die für den berechtigten Zweck (z.B. Bewerb) nötig sind und sie sobald wie möglich wieder zu löschen, wenn dieser Zweck nicht mehr besteht. Sollten Ergebnislisten im Internet veröffentlicht werden, ist eine Zustimmung nötig. Kein Problem bezüglich Löschungspflicht sieht er bei Vereinsarchiven, hier sei ein historischer Grund für das Aufbewahren vorhanden.

Wie hoch sind die Strafen und wie streng wird gestraft?

Die Höchststrafe von bis zu 20 Mio. Euro bzw. vier Prozent des Umsatzes drohen nur bei schwerwiegenden Verstößen. In Österreich sieht das Gesetz ausdrücklich das Prinzip „Beraten statt Strafen“ vor, die Datenschutzbehörde spricht zunächst eine Verwarnung aus, erst im Wiederholungsfall gibt es Geldbußen. Behörden bleiben de facto straffrei.

Müssen sich Betriebe vor Abmahnwellen von Anwälten fürchten?

Experte Knyrim rechnet damit, dass sich kleine Betriebe nicht fürchten müssen, eher große Datensammler wie Telekomfirmen, Banken oder Web-Portale.

Kann Schadenersatz geltend gemacht werden?

Ja. Jede Person, der aufgrund einer Datenschutzverletzung ein materieller oder immaterieller (z.B. Rufschädigung) Schaden entstanden ist, hat Anspruch auf Schadenersatz.