Waiblingen

Wer darf was mit meinen Daten?

956a9b95-3f19-467b-9561-b8467317144c.jpg_0
Datenschutzbeauftragter Dieter Behr mit Stapeln von Analysen und Zusammenfassungen des neuen Datenschutzgesetzes. © Benjamin Büttner / ZVW

Waiblingen. Am 25. Mai 2018 tritt die EU-Datenschutzverordnung in Kraft. Das alte Bundesdatenschutzgesetz ist damit Makulatur. Für Deutschland ändert sich nicht viel, sagt Datenschutz-Fachmann Dieter Behr. Doch die Sanktionen bei Verstößen werden saftig. Zeit für Unternehmen, ihren Datenschutz auf den Stand zu bringen.

Die gute Nachricht: Eigentlich ändert sich in Deutschland nicht viel, denn Deutschland ist seit Jahren gesetzlich gut aufgestellt. Die schlechte Nachricht: Wer gegen das Gesetz verstößt, wird in Zukunft viel, schmerzlich viel mehr Strafe zahlen müssen. Und es gibt einen quasi auf die Minute genau festgelegten Zeitpunkt, ab dem die Kontrolleure aus ihren Startlöchern sprinten: Ab dem 25. Mai 2018 gilt europaweit die EU-Datenschutzgrundverordnung.

Dieter Behr ist vom TÜV zertifizierter Datenschutzbeauftragter und für Firmen im Rems-Murr-Kreis als Externer zugange. Er sagt: Datenschutz ist ein weites Feld. Vor allem, weil er ja nicht nur, aber verflixt oft Hand in Hand mit Online-Aktionen und der damit verbundenen IT-Sicherheit daherkommt. Welche Firma kommt denn noch ohne das weltweite Netz mit allen seinen Möglichkeiten aus? Welche Firma hat alle Mitarbeiter-, Kunden-, Geschäftsvorgänge nur auf Papier und im verschlossenen Schrank? Und – sollte sich irgendwo im Remstal tatsächlich eine solche Firma finden – hat dieses Relikt dann all diese mit schützenswerten personenbezogenen Daten vollgeschriebenen Papiervorgänge nach wohlüberlegten, schriftlich festgehaltenen und stets durchgezogenen Handlungseinheiten im Arbeitskreislauf?

Datenschutz ist nicht firmenfreundlich

Die Unternehmen aber, die sich der Moderne ergeben haben und online arbeiten, die müssen noch viel, viel mehr im Auge behalten: zum Beispiel den kleinen Datenträger im Hosentaschenformat, genannt USB-Stick, der nahezu unsichtbar ins Haus geschmuggelt werden könnte. Kann er den wichtigen Daten gefährlich werden? Na? Was machen die Leute am Empfang, die Türen zu den wichtigen Fluren, die Passwörter, die entsorgten Drucker? So ein Drucker nämlich spuckt nicht nur aus, was man trotz Bildschirmarbeit lieber auf Papier lesen will. Sondern er speichert das auch noch. Auf so mancher Müllkippe fanden sich schon höchst interessante Infos über Geschäfte, Leute, Ideen.

Datenschutz, sagt Dieter Behr, ist nicht firmenfreundlich. Er macht die Arbeit kompliziert, er ist teuer, wird immer umfangreicher und ist in jedem Land und trotz demnächst gültiger EU-Verordnung ein bisschen anders. „Öffnungsklausel“ heißt das: Jedes EU-Land muss sich ans EU-Recht halten, kann aber ein bisschen umstricken, damit’s den Landesinteressen genehm ist. Das macht das grenzüberschreitende Arbeiten nicht leichter. Und außerdem streiten sich die Gelehrten – und auch die TÜV-Zertifizierten: Was genau heißt das Gesetz jetzt eigentlich? Darüber, sagt Behr, werden in ein paar Jahren dann mal die Gerichte entscheiden.

Datenschutz soll dem Schutz einzelner Personen dienen

Eines aber ist sicher: Datenschutz dient immer dem Schutz der einzelnen Person. „Persönlichkeitsrecht“ und „informationelle Selbstbestimmung“ sind die Stichworte: Jeder darf grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen. Jeder hat ein Recht auf Achtung der Ehre, das Namensrecht oder das Recht am eigenen Bild. Tatsächlich? Was ist dann mit jener jungen Frau, die, hübsche Sommerbilder mit brauner Haut ins Facebook gestellt, sich plötzlich in Spanien auf einer Werbung für Sonnencreme wiederfand? Tja, sagt Dieter Behr, das nennt sich dann „Verbot mit Erlaubnisvorbehalt“. In den Nutzungsbedingungen steht alles drin. Wer einwilligt, hat verloren. Und alle willigen ein, denn erstens liest kaum jemand die Nutzungsbedingungen, und zweitens, selbst wenn man’s täte und diese nicht gut fände: Nicht mitzumachen ist auch keine Lösung. Bleibt nur Zähneknirschen bei Google und Co. Bei allen Handy-Apps, die ja gerne Zugriff auf alles haben wollen. Oder beim Drucker, der seine Arbeit erst aufnimmt, wenn er via Datenleitung mit dem Hersteller verbunden ist. Das hat Vorteile: Zum Beispiel können dann Druckerprobleme ratzfatz und fachmännisch vom Hersteller-Programm gelöst werden. Hat aber auch Nachteile: Wenn der Hersteller meinen Drucker und die auf dem Rechner befindliche Software samt Fehlerprotokoll lesen kann, dann könnte er auch alles andere lesen, was da gespeichert ist. Muss das sein? Will ich das?

Datenschutz hat man auch selber in der Hand

Die meisten sagen, sagt Dieter Behr, dass sie ja nichts zu verbergen hätten. Es bleibt ihnen allerdings auch nichts anderes übrig. Der nämliche Drucker hätte sonst direkt zurück in den Fachmarkt getragen werden können. Also vertraut man: Die Firmen, angesehen, erfolgreich, groß und weltweit tätig, werden schon nichts Unrechtes tun. Oder verdrängt: Die WLAN-Netze sind unsicher? Das ist superärgerlich. Aber ich surfe weiter. Mir wird schon nichts passieren.

Jeder, sagt Dieter Behr, hat seinen Datenschutz selbst in der Hand. Wem nicht gefällt, wie die eigenen Daten verwendet werden, hat ein Recht auf Auskunft: Welche Daten hat ein Unternehmen, eine Behörde, von mir gespeichert? Es gibt das Recht auf Berichtigung und das Recht auf Löschung. Schließlich muss nicht ewig Werbung bekommen, wer einmal was bestellt hat.

Wenn es keinen Datenschutz gäbe, sagt Dieter Behr, „hätte ich keine Chance, mich zu wehren“. Und deshalb sagt er: „Wenn es keinen Datenschutz gäbe, wäre es spätestens jetzt an der Zeit, ihn zu erfinden.“

Die Geschichte

Das weltweit erste Datenschutzgesetz trat 1970 in Hessen in Kraft.

Das erste Bundesdatenschutzgesetz folgte 1977. Bis in die 80er Jahre folgten dann alle Bundesländer mit ihren Datenschutzgesetzen.

1995 wurde die erste europäische Datenschutzrichtlinie verabschiedet. Diese und alle folgenden mussten die EU-Staaten dann in nationales Recht umsetzen. Das hatte zur Folge, dass die verschiedenen Länder stark unterschiedliche Datenschutzgesetze haben.

Damit diese Variationen auf ein erträgliches Maß reduziert werden und europaweit gleiche Mindeststandards gelten, brauchte es die EU-Datenschutzgrundverordnung, die am 25. Mai 2016 in Kraft trat, allerdings mit einer Übergangsfrist bis 2018.

Diese Grundverordnung wurde erst in Angriff genommen, nachdem Edward Snowden im Sommer 2013 mit seinen Enthüllungen die Welt wachgerüttelt hatte.

 

Sanktionen:

Vergehen gegen geltendes Datenschutzrecht beliefen sich bislang auf Summen bis zu zwei Millionen Euro.

Zukünftig können Strafen bis zu 20 Millionen Euro oder zwei bis vier Prozent des Umsatzes ausgesprochen werden.

Hat ein Unternehmen beispielsweise keinen Datenschutzbeauftragten, musste nach altem Recht eine Strafe zwischen 3000 und 15 000 Euro gezahlt werden. Nach neuem Recht kostet das 50 000 Euro. Einen Datenschutzbeauftragten muss vorweisen können, wer mehr als zehn Personen beschäftigt und personenbezogene Daten verarbeitet.