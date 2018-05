Brüssel, Wien — In knapp einem Monat tritt in Österreich die Datenschutzgrundverordnung (DSGVO) in Kraft. Für Bürger soll es damit einfacher werden, zu ihren Datenschutzrechten zu kommen. Für Unternehmen bedeutet das zum Teil erheblichen Mehraufwand.

Was ändert sich für Bürger? EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen. Das bedeutet zum Beispiel, dass ihnen ein „Recht auf Vergessenwerden" zugestanden wird. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes: Kunden könnten etwa erfahren, wie oft sie die Karte verwendet haben, bei welchen Supermärkten sie eingekauft haben und ob der Supermarkt die Daten an eine Tochter weitergeben hat.

Außerdem bekommen Internetnutzer durch den so genannten Datenrucksack mehr Kontrolle über ihre persönlichen Daten. Wechseln sie von einem Anbieter zum anderen, können sie E-Mails, Fotos oder Kontakte mitnehmen. Zudem müssen Konsumenten über Datenschutz-Verstöße — Datenlecks oder Hackerangriffe — informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden.

Wie soll das durchgesetzt werden? Ab Ende Mai drohen bei Verstößen Strafen von bis zu 20 Mio. Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes — je nachdem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden. Jedoch wurde erst kürzlich bei der österreichischen Umsetzung durch die Regierungsparteien ÖVP und FPÖ beschlossen, dass erst bei mehrmaligen Verstößen geahndet werden soll, was von Datenschützern massiv kritisiert wird. Auch öffentliche Einrichtungen, Spione und ausländische Geheimdienste sollen straffrei davonkommen. Außerdem dürfen gemeinnützigen Organisationen von den Tätern keinen Schadenersatz verlangen. Damit bekommen sie kein Geld von Prozessfinanzierern. Dass einzelne Betroffene ihre Schadenersatzansprüche geltend machen, rechnet sich nur selten.

Was müssen Unternehmen und andere Organisationen beachten? Grundsätzlich sollen so wenige Information wie möglich gesammelt werden — es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese Daten müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist.

Zudem dürfen Daten nicht länger gespeichert werden, als sie gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten, müssen zudem einen Datenschutzbeauftragten ernennen. (APA, ecke)