In der Europäischen Union gelten ab dem 25. Mai strengere und vor allem einheitliche Datenschutzregeln. Verbraucherschützer versprechen sich von der Datenschutz-Grundverordnung (DSGVO) ein Druckmittel gegen internationale Konzerne wie Facebook, Google oder Amazon, die besonders viele Nutzerdaten speichern.

Bisher waren die Möglichkeiten nationaler Behörden begrenzt, gerade solche Internet-Giganten zu einer Änderung ihrer Nutzungsbedingungen zu bewegen.

Die wichtigsten Neuerungen im Überblick

- "Datensparsamkeit" ist die Devise der DSGVO. Das heißt, Unternehmen dürfen nur jene Daten ihrer Kunden oder Nutzer abfragen, die für den betreffenden Zweck auch benötigt werden. Dementsprechend müssen auch die Standard-Einstellungen bei der Anmeldung neuer Nutzer oder Kunden gestaltet sein.

- Anbieter von Dienstleistungen oder Waren müssen die Sicherheit der erhobenen Kundendaten gewährleisten. Das kann bedeuten, dass Unternehmen diese Informationen verschlüsseln müssen.

- Persönliche Daten von Kunden oder Nutzern dürfen nur dann ins außereuropäische Ausland übermittelt werden, wenn die EU-Kommission den betreffenden Staaten ein "angemessenes Schutzniveau" bescheinigt hat. Ist das nicht der Fall, muss der Absender der Daten "geeignete Garantien" für deren Sicherheit abgeben.

- Kunden oder Nutzer von im Internet aktiven Firmen haben ein Auskunftsrecht über die eigenen Daten. Insbesondere haben sie künftig ein "Recht auf Vergessen". Das heißt, die Unternehmen müssen auf Antrag alle personenbezogenen Daten löschen.

Datenübertragung, Löschanordnung und mehr

- Beim Wechsel zu einem anderen Anbieter haben Kunden und Nutzer ein Anrecht darauf, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.

- Datenschutzbehörden haben das Recht, das Löschen bestimmter Daten anzuordnen.

- Unternehmen drohen bei Verstößen gegen die neuen Regeln hohe Strafen – sie können sich auf bis zu vier Prozent des Jahresumsatzes belaufen. Verstöße gegen die DSGVO müssen Unternehmen innerhalb einer Frist von 72 Stunden den Behörden melden.

- Die DSGVO gilt nicht nur für in der EU ansässige Unternehmen. Kriterium für die Anwendung ist das sogenannte Marktort-Prinzip. Das heißt: Anbieter, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzregeln, auch wenn der Konzern seinen Hauptsitz etwa in den USA hat.

- Für außereuropäische Unternehmen sind die Datenschutzbehörden jenes EU-Landes zuständig, in dem die Unternehmen ihren Hauptsitz haben. So sind etwa die irischen Datenschützer für Facebook zuständig, weil der US-Konzern seine Europa-Zentrale in Dublin hat. Stellen deutsche Datenschützer also bei Facebook einen Verstoß gegen die DSGVO fest, dann kontaktieren sie nicht das Unternehmen direkt. Stattdessen schalten sie die irischen Kollegen ein, die den Fall prüfen und sich dann gegebenenfalls an Facebook wenden.

- Bei Unstimmigkeiten zwischen nationalen Datenschutzbehörden wird der Europäische Datenschutz-Ausschuss eingeschaltet, der am 25. Mai seine Arbeit aufnimmt. In diesem Gremium hat jedes EU-Mitglied eine Stimme. (APA, Reuters, 17.5.2018)