Was ist die DSGVO?
Die Datenschutz-Grundverordnung der Europäischen Union reguliert die Erhebung, Verwendung und Speicherung personenbezogener Daten im Gebiet der EU. Sie tritt am 25. Mai 2018 in Kraft und löst damit die Datenschutz-Richtlinie 95/46/EG ab. Nach einem langwierigen Verfahren – die Arbeit am Gesetzestext begann 2012, verabschiedet wurde er am 27. April 2016 mit einer zweijährigen Übergangsfrist für die Anpassung nationaler Gesetzgebung – wird damit der Datenschutz innerhalb der EU erstmals auf eine einheitliche Grundlage gestellt. Zweck der Verordnung ist dabei nicht nur die Vereinheitlichung, sondern auch die Vereinfachung der Gesetzgebung zur Datenerhebung und -verwendung. Nicht zuletzt soll sie auch den Nutzern von Online-Services einen erhöhten Schutz ihrer Privatsphäre gewährleisten.
Wie erreicht die Datenschutz-Grundverordnung ihre Ziele?
In insgesamt 99 Artikeln bestimmt die Verordnung den Umgang mit erhobenen Personendaten. Unter anderem schreibt die DSGVO eine europaweit gleiche Umsetzung des vieldiskutierten Rechtes auf Vergessenwerden fest. Im Alltag von größerer Bedeutung sind aber andere Neuerungen. Insbesondere verfügt das Gebot der Datenminimierung – die Einschränkung der Datenerhebung auf höchstens die Informationen, die dem Zweck der angebotenen Dienstleistung angemessen sind – eine rechtlich bindende Datensparsamkeit. Darüber hinaus soll die verwendete Technologie so konzipiert sein, dass sie diese Sparsamkeit automatisch („by design“ bzw. „by default“) generiert.
Da es sich bei dem Erlass um eine Verordnung, keine Richtlinie handelt, muss sie nicht erst in nationales Recht umgesetzt werden: Während Richtlinien letztlich Anweisung an die Gesetzgeber der EU-Mitgliedsstaaten sind, ihre nationalen Gesetze auf eine bestimmte Art abzuändern, sind Verordnungen der Europäischen Union durch ihre Verabschiedung bindendes Gesetz, sie besitzen eine sogenannte Durchgriffswirkung. Dies bedeutet auch, dass die EU-Mitgliedsstaaten im Normalfall keine Veränderungen an einer EU-Verordnung vornehmen können. Bei der Datenschutzgrundverordnung gibt es aber Öffnungsklauseln, die es beispielsweise Deutschland ermöglichen, einige Aspekte der Datenerhebung und -verwendung im Netz individuell zu regeln. Im Allgemeinen gilt aber, dass die Verordnung keiner Einbettung in deutsches Recht bedarf, vielmehr ist sie ab Mai geltendes Recht für jeden, der innerhalb und außerhalb der EU Daten von EU-Bürgern erhebt und verarbeitet.
Was bedeutet das für Webseitenbertreiber?
Zwar soll die Verordnung generell den Datenaustausch und den Datenverkehr innerhalb der EU vereinheitlichen, sie regelt also beispielsweise den Informationstransfer zwischen Institutionen und Behörden. Die DSGVO betrifft aber ebenso private Webseitenbetreiber, und dies mit weitreichenden Folgen.
Auf jeder öffentlich verwendeten Webseite, egal ob es sich dabei um einen Online-Shop oder nur um einen Blog handelt, müssen ihre Betreiber eine möglichst unkomplizierte Datenschutzerklärung anzeigen, die den Nutzer ohne Aufwand über das Maß der Datenerhebung ebenso wie den Zweck ihrer Verwendung informiert. Diese Erklärung muss auch auf verwendete Dienste von Drittanbietern hinweisen. Grundsätzlich sind alle Webseitenbetreiber dazu angehalten, ihre Datenerhebung so gering wie möglich zu halten und dies im Idealfall nachzuweisen, also ihre Einhaltung der Datenschutzgrundverordnung zu dokumentieren. Für die Verwendung der Angebote von Drittanbietern, beispielsweise Plugins von Anbietern Sozialer Medien oder Google Analytics, muss eine Widerrufsmöglichkeit geschaffen werden. Nicht zuletzt sollten Betreiber von Online-Shops sich informieren, ob sie unter der neuen Verordnung nicht einen Datenschutzbeauftragten bestellen müssen.
Auf die Einhaltung der Datenschutz-Grundverordnung sollten Webseitenbetreiber großen Wert legen: Bei einem Verstoß drohen Strafen von bis zu 4 % des Jahresumsatzes, was für Online-Shops zu empfindlichen Einbußen führen kann, oder bis zu 20 Millionen Euro. Um als Betreiber eines Unternehmens oder eines Blogs hohe Strafen oder Abmahngebühren zu vermeiden, empfiehlt es sich daher, die Anforderungen der Datenschutzgrundverordnung der EU ernst zu nehmen und zügig umzusetzen.