Ab 25. Mai gelten in der EU die Regeln der Datenschutzgrundverordnung. Sie sehen deutlich mehr Rechte für Nutzer vor, müssen jedoch erst den Praxistest bestehen. Ein Überblick über die wichtigsten Prinzipien der DSGVO:

1. Die Auskunftspflicht

Der technologische Fortschritt eilt der Politik immer voraus. Doch im Fall des Datenschutzes ließ sich die EU besonders lange Zeit, um ihre Richtlinien zu aktualisieren. Zurzeit gelten im Prinzip noch immer Regeln, die in den späten 1990er-Jahren finalisiert wurden – also in einer Zeit, in der Facebook, Google und Konsorten noch gar nicht existierten. Seitdem sind die Sammlung von Daten und der Handel mit persönlichen Informationen explodiert. Daten gelten als neuer Rohstoff, der permanent geschürft wird.

Webseiten übertragen meist Informationen zu ihren Nutzern an dutzende andere Services, Apps holen eine Vielzahl von Berechtigungen ein, um ihre User auszuspionieren – von sozialen Medien wie Facebook und Instagram ganz zu schweigen. Dazu kommen klassische Unternehmen, die Daten über ihre Kunden sammeln oder zukaufen, beispielsweise über Kundenkarten.

Alle Firmen, die Daten verarbeiten, müssen künftig umfassend offenlegen, welche Infos sie über einzelne Bürger gespeichert haben. Nach einer Anfrage des Users müssen sie kostenlos binnen eines Monats darüber Auskunft geben, woher sie welche Daten bezogen haben, wie lange sie diese speichern und für welche Zwecke sie verwendet werden.

Unternehmen, die sehr viele Informationen speichern, können eine Präzisierung des Auskunftsbegehrens verlangen; das dürfte etwa auf Banken oder Versicherungen zutreffen. Zwar gab es auch schon bisher Auskunftsrechte, diese waren jedoch eingeschränkt.

So mussten Unternehmen nicht angeben, wie sie die Daten analysierten – also ob Nutzer beispielsweise in gewissen Gruppen zusammengefasst oder anderweitig bewertet wurden. Ab Ende Mai müssen nun auch diese Informationen transparent gemacht werden. Das gilt übrigens auch für den eigenen Arbeitgeber, der etwa Auskunft über interne Dokumente liefern muss.

2. Die Richtigstellung

Entdeckt ein Nutzer falsche Daten, kann er verlangen, dass Unternehmen diese so rasch wie möglich korrigieren. Oft kaufen Firmen bei Datenhändlern ein, um eine Vielzahl von Informationen über potenzielle Zielgruppen oder aktive Kunden zu erhalten. Darunter befinden sich jedoch immer wieder veraltete, unvollständige oder schlichtweg falsche Infos. Das ist besonders im Bereich der sogenannten Bonitätsprüfer von Bedeutung, die aufgrund von vielen zusammengekauften Informationen die Kreditwürdigkeit eines Nutzers beurteilen. Zum Einsatz kommt das etwa im Onlinehandel, wo Nutzer per Rechnung oder Ratenzahlung bezahlen können. Verkäufer schalten dann Bonitätsprüfer ein, die mittels Daten einen "Kreditscore" der Nutzer berechnen. Im schlechtesten Fall kann das dazu führen, dass Nutzern wegen falscher Daten Zahlungsvarianten verweigert werden.

3. Mit Daten umziehen

Die Datenschutzgrundverordnung räumt Nutzern das Recht ein, ihre von einem Dienst gesammelten Informationen an einen anderen Dienst zu übertragen. Wer beispielsweise bisher eine bestimmte Fitness-App nutzt, nun beim Joggen aber eine andere Anwendung mitlaufen lassen will, kann alte Daten theoretisch "mitnehmen". Problematisch dürfte hier der technische Aspekt der Datenkompatibilität sein – also die Frage, ob die neue Anwendung die Daten der alten App lesen und "verstehen" kann. Das ist oft noch nicht gegeben. In der Praxis wird sich zeigen, ob Firmen künftig auf standardisierte Datenformate setzen müssen. Die Grundidee ist, die Abhängigkeit zu Monopolen zu verringern.

4. Recht auf Vergessenwerden

Das Recht auf Vergessenwerden wird nun als Gesetz verankert. Dem geht ein Präzedenzfall voraus, der 2014 vor dem Europäischen Gerichtshof gelandet war. Damals verklagte ein Spanier den Suchmaschinenanbieter Google, weil bei der Suche nach seinem Namen ein Artikel aus dem Jahr 1988 auftauchte. Damals war ihm eine Immobilie gepfändet worden.

Da der Fall mehr als 20 Jahre zurücklag, sah der Spanier seinen Ruf beschädigt. Der Europäische Gerichtshof gab ihm recht, daraufhin begannen Google und andere Suchmaschinen, Nutzern Formulare für Anträge auf das Vergessenwerden bereitzustellen.

Durch die Datenschutzgrundverordnung gilt dieses Prinzip nun für alle personenbezogenen Informationen, die publiziert wurden. Ausnahmen gibt es etwa für Medien. Trotzdem befürchten Kritiker eine Zensur. Dazu kommt, dass die Ergebnisse nur innerhalb der EU ausgeblendet werden müssen, Nutzer sie also über technische Umwege oder aus dem Ausland ohnehin abrufen können.

Jimmy Wales, der Gründer der Online-Enzyklopädie Wikipedia, sprach nach dem EuGH-Urteil von einem "zutiefst unmoralischen" Vorgang, der die Informationsfreiheit gefährde.

5. Erklärungen und Nachfragen

Statt wie bisher Informationen über die Art und Weise, wie Daten verarbeitet werden, in seitenlange Geschäftsbedingungen zu verpacken, müssen wichtige Informationen nun "in verständlicher und leicht zugänglicher Form" sowie in einer "klaren und einfachen Sprache" bereitgestellt werden.

Ein Beispiel, warum dies nötig ist, lieferten die Skandale um Facebook: Nutzer hatten etwa zugestimmt, dass durch ihre Teilnahme an einem Quiz Daten ihrer Freunde abgesaugt werden, waren sich der weitreichenden folgen dieses Einverständnisses aber meist nicht bewusst.

Ein anderes Facebook-Beispiel: User erlaubten der Plattform, ihr Telefonbuch nach Kontakten zu durchsuchen, die ebenfalls auf Facebook aktiv waren; zeigten sich dann jedoch überrascht, dass Facebook ihre Telefonbuchdaten gespeichert hatte. Solche "Missverständnisse" sollen mit der neuen Datenschutzgrundverordnung vermieden werden.

Werden bereits gesammelte Daten neuen Verarbeitungszwecken zugeführt, muss das Unternehmen explizit bei den Betroffenen nachfragen, ob das für sie in Ordnung geht. So soll verhindert werden, dass beispielsweise für Werbezwecke gesammelte Daten dann für politische Kampagnen verwendet werden.

6. Der Mensch entscheidet

Die EU-Datenschutzgrundverordnung soll verhindern, dass Algorithmen Entscheidungen treffen, die das Leben von Kunden beeinflussen können. Das ist künftig nur erlaubt, wenn der Betroffene der maschinellen Entscheidungsfindung ausdrücklich zustimmt oder diese für das Erfüllen der vereinbarten Leistung unbedingt nötig ist.

Betroffene erhalten jedenfalls das Recht, das "Eingreifen einer Person" zu erzwingen. Dann muss transparent gemacht werden, nach welchen Kriterien ein Algorithmus entschieden hat; gegebenenfalls können Nutzer dann ihren eigenen Standpunkt vortragen und die Entscheidung anfechten.

Die EU-Datenschutzgrundverordnung will dem Trend hin zu künstlicher Intelligenz Einhalt gebieten. Firmen entscheiden immer öfter anhand von Algorithmen, welche Produkte sie ihren Kunden anbieten.

Gerade im Versicherungs- oder Kreditbereich kann das für Probleme sorgen. Da meist eine sehr große Masse an Daten analysiert wird, um Kunden einzustufen, bleibt keine Alternative zur maschinellen Bearbeitung der Daten. Die Datenschutzgrundverordnung will durch das Einspruchsrecht für eine Balance zwischen Mensch und Computer sorgen.

7. Das Prinzip des Minimalismus

Firmen sollen künftig so wenig Daten wie erforderlich speichern. Sie müssen begründen, warum sie gewisse Informationen aufbewahren, können also nicht so viele Daten wie möglich anhäufen. Entdeckt ein Nutzer oder die Datenschutzbehörde unnötig gespeicherte Daten, müssen diese so rasch wie möglich gelöscht werden.

Für Verstöße gegen diese Grundprinzipien drohen Unternehmen nun drastische Strafen in der Höhe von bis zu zwanzig Millionen Euro oder vier Prozent des globalen Umsatzes. Waren Geldbußen für Datenschutzverletzungen bisher eher "Peanuts", könnte das auch IT-Giganten wie Facebook oder Amazon schmerzen. Allerdings fürchten sich Klein- und Mittelunternehmen vor scharfer Sanktionierung. Deshalb hat die österreichische Regierung festgelegt, dass die Datenschutzbehörde bei erstmaligen Verstößen keine Geldstrafe aussprechen soll. Diese Gesetzespassage könnte allerdings der EU-DSGVO widersprechen.

Insgesamt gibt es in der DSGVO einige Stellen, die wohl ausjudiziert werden müssen. Datenschützer Max Schrems kritisierte im Gespräch mit dem STANDARD , dass die DSGVO "rechtlich schlecht geschrieben" sei. Dass Nutzer mehr Rechte erhalten, steht aber außer Frage. (Fabian Schmid, 8.5.2018)