Die Europäische Union will sich wehren und setzt am 25. Mai 2018 die neue Datenschutzgrundverordnung (kurz: DSGVO) in Kraft, wobei die Nutzer weitreichende Klagemöglichkeiten gegenüber Unternehmen haben und diese ihren Umgang mit persönlichen Daten generell transparenter machen müssen.

Jede Firma muss in einem Register beweisen können, dass sie mit personenbezogenen Daten sorgsam umgeht, dass sie keine E-Mail-Adressen, Kfz-Kennzeichen oder Kundennummern speichert, ohne dass die Person das ausdrücklich gestattet hat. So ist eine IP-Adresse, obwohl diese ja theoretisch zu einem Rechner führt, zu personenbezogenen Daten zu zählen.

Eine Zuwiderhandlung gegen die neue DSGVO birgt hohe Bußgelder. Während vorher die Datenschutzbehörde mal 6000 oder 25.000 Euro bis höchstens 300.000 Euro Strafzahlungen verhängte, sind zukünftig bei schweren Verstößen bis zu vier Prozent des Jahresumsatzes fällig, das heißt bis zu 20 Millionen Euro. Tatsächlich wird dies ein Problem für den Mittelstand. Denn die Anwaltskanzleien der Großunternehmen, wie Google oder Facebook, wissen wie Sie ein potentielles Bußgeld mindern können. Dennoch  erschaudern diverse Unternehmen aktuell, da mit der DSGVO eine Beweislastumkehr eintritt: Also muss nicht etwa die betroffene Person, deren Daten vielleicht missbraucht wurden, den sorglosen Datenumgang beweisen, sondern das Unternehmen muss zeigen, dass es mit personenbezogenen Daten korrekt umgegangen ist.

Ist dann die Übergabe einer Visitenkarte schon die Einwilligung, dass die Daten verwendet werden? 

Jemand der sich von Werbepostings gestört fühlt, wie sie so oft bei Facebook oder per Email aufploppen, hat nun umfangreiche Rechte. So darf man die Auskunft über sämtliche gespeicherten und verwendeten Daten verlangen, und das jeweilige Unternehmen muss diese in einem gängigen Datenformat kostenfrei innerhalb von 30 Tagen liefern. Daher bauen Unternehmen schon jetzt ein Register (Verarbeitungsverzeichnis) auf, um sofort abrufen zu können, welche Daten seit wann und warum gespeichert werden, welches Lösch-Konzept es für die Daten gibt und welches Sicherheitskonzept vorliegt.

Fraglich ist zumindest nicht mehr, ob die Daten in Europa bleiben. Alle Unternehmen, in und außerhalb der EU, die mit Daten von Unternehmen, Einwohnern oder Bürgern der EU arbeiten bzw. das Verhalten der Personen in der EU überwachen, müssen die DSGVO einhalten. Selbst wenn eine Firma keine europäische Präsenz hat, muss sie die Auswirkungen der DSGVO verstehen, sofern sie personenbezogene Daten eines EU-Bürgers in Verbindung mit Waren und Diensten verarbeitet. So gilt die DSGVO auch für Datenverarbeiter außerhalb der EU. Dazu gehören Cloud-Serviceanbieter, die personenbezogene Daten von EU-Datensubjekten speichern oder hosten. Vielmehr ist die Weitergabe von Daten an Dritte, also ob Daten außerhalb der EU und außerhalb des Unternehmens gelangen, sei es an den Logistiker oder an einen Buchführungsdienstleister, ein heikler Punkt. Unternehmen wie Google und Facebook gehen schon jetzt sicher und setzen einen umfassenden Auftragsverarbeitungsvertrag (AVV) auf.

Außer Acht lässt die nationale Gesetzgebung BDSG und die supranationale DSGVO allerdings neueste Entwicklungen, wie die Digitalisierung oder Robotik. So bleiben Cloud- und Big-Data Analysen weiterhin möglich, wenn diese Daten offen zugrunde liegen, rechtmäßig verarbeitet wurden und die Analyse keine automatisierte Einzelentscheidung oder sonstige erhebliche Beeinträchtigung zur direkten Folge haben. Besondere Sorgfalt wird dort verlangt, wo es um Daten mit "sehr hohem Risiko" geht, das heißt die Existenz betroffener Personen in Gefahr oder ein hoher Imageschaden möglich ist. Das gilt etwa im Bereich Gesundheit, aber auch für biometrische Daten oder in Fällen bei denen verschiedene Daten zu einem Profiling verknüpft werden, wie das mit Hilfe von Big Data immer häufiger geschieht, um Kundenwünsche vorab erahnen zu können. In diesem Fall verlangt die DSGVO eine Datenschutzfolgeabschätzung. Alle Gefahrenquellen, vom Hackerangriff bis zu menschlichem Versagen, müssen dann durch technisch-organisatorische Maßnahmen minimiert werden.

Fraglich bleibt, ob durch die DSGVO unsere aller Privatdaten tatsächlich besser geschützt werden.  Hacker, Geheimdienste und Großkonzerne sind nicht bekannt dafür, dass sie die Privatsphäre der Nutzer nach Gesetzesänderungen besser achten. Vielmehr ist die DSGVO ein erster Schritt für Unternehmen in die richtige Richtung. Eine ähnliche Gesetzgebung sollte aber trotz Lobbyisten auf Informationstechnik-, Privat-, Sicherheits- und Staatsbereiche ausgeweitet und international politisch umgesetzt werden.