(Brüssel, 6. Juni 2018) – Die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union stärkt die Privatsphäre und soll andere Länder dazu animieren, personenbezogene Daten besser zu schützen, so Human Rights Watch in einem „Fragen und Antworten“-Dokument. Darin werden die wichtigsten Themen der EU-Verordnung zusammengefasst und nächste Schritte diskutiert.

„Im digitalen Zeitalter generieren wir mit fast allem, was wir tun, Daten, aus denen sich intime Details über unser Leben, unsere Gedanken und Überzeugungen ablesen lassen“, so Cynthia Wong, Internetexpertin bei Human Rights Watch. „Die DSGVO ist alles andere als perfekt, aber sie stärkt die Privatsphäre in der EU und zeigt, dass starke Datenschutzmaßnahmen eingeführt werden können und gut für die Menschenrechte sind.“

Seit dem 25. Mai 2018 gelten die neuen Regeln in den 28 Mitgliedstaaten der EU. Die im Jahr 2016 verabschiedete Verordnung ist eine der weltweit stärksten und umfassendsten Versuche, die Sammlung und Nutzung personenbezogener Daten durch Regierungen und den Privatsektor zu regulieren. Wenn sie gründlich implementiert und durchgesetzt wird, kann sie das Recht auf Privatsphäre in der EU stärken und anderen Ländern wie den USA als Vorbild dienen, in denen der Schutz personenbezogener Daten vergleichsweise schwach ist. 

Die Verordnung verpflichtet Regierungsbehörden und Unternehmen wie Facebook und Google, vor dem Sammeln von Daten die ausdrückliche und informierte Einwilligung der betroffenen Person einzuholen und zu erläutern, wie sie die Daten nutzen, teilen und speichern. Internetznutzer haben das Recht, bei Unternehmen und andere Organisationen zu erfragen, welche personenbezogenen Daten ihnen vorliegen, diese korrigieren zu lassen und eine weitere Nutzung der Daten zu untersagen. Darüber hinaus kann bei den nationalen Datenschutzbeauftragten Beschwerde wegen Datenmissbrauchs eingereicht werden, die die Beauftragten untersuchen und bei Verstößen mit Bußgeldern ahnden.

Staatliche und private Einrichtungen müssen Datenschutzverletzungen unverzüglich melden und Maßnahmen zum Schutz der Privatsphäre in ihre Systeme einbauen, was als „eingebauter Datenschutz“ oder „Privacy by Design“ bezeichnet wird. Zudem müssen sie den Nutzern ermöglichen, ihre Daten herunterzuladen, um einfach zwischen verschiedenen Anbietern wechseln zu können. Außerdem sieht die Verordnung ein Widerspruchsrecht gegen Entscheidungen und erstellte Profile vor, denen Algorithmen oder automatisiere Prozesse zugrunde liegen – die Betroffenen können einfordern, dass ein Mensch den fraglichen Prozess überprüft. Eine solche Überprüfung kann zum Beispiel vor Diskriminierung schützen, wenn Algorithmen eingesetzt werden, um zu bestimmen, ob eine Person Anspruch auf Sozialleistungen hat, eine Versicherung abschließen darf, kreditwürdig ist oder für einen Arbeitsplatz in Frage kommt.

Die neuen EU-Regeln haben einige Schwachstellen und Grenzen. Viele Vorschriften enthalten vage oder undefinierte Begriffe oder Formulierungen, die es potenziell möglich machen, die Privatsphäre einzuschränken. Beispielsweise können Regierungen und Unternehmen Daten ohne Einwilligung sammeln und verarbeiten, wenn ihre „legitimen Interessen“ gegenüber der Rechte und Freiheiten der betroffenen Person überwiegen. Was „legitime Interessen“ sind, ist in der Verordnung nicht gut definiert bzw. sehr weit gefasst. Daraus können bedeutende Schlupflöcher entstehen.

Datenschutzbeauftragte und Gerichte werden sehr aufmerksam arbeiten müssen, um zu gewährleisten, dass Regierungen und Unternehmen mehrdeutige Formulierungen nicht ausnutzen und dabei gegen Rechte verstoßen. Außerdem wird die Verordnung breite, staatliche Überwachungsmaßnahmen nicht einhegen, da sie es Regierungen erlaubt, Daten ohne Einwilligung zu verarbeiten, wenn dies mit dem nicht definierten Schutz der „nationalen“ oder „öffentlichen Sicherheit“ begründet wird.

Datenschutzgesetze sind zentral für die Menschenrechte im digitalen Zeitalter. Viele Länder weltweit schützen personenbezogene Daten kaum oder gar nicht. Im Zuge der jüngsten Skandale um Facebook und Cambridge Analytica und der öffentliche Debatte um Datenschutzverletzungen, gezielte Werbung und undurchsichtige Profilerstellung durch den Privatsektor sind die Rufe danach lauter geworden, besser kontrollieren zu können, wie personenbezogene Daten gesammelt und genutzt werden.

„Regierungen und Unternehmen sammeln zunehmend gewaltige Mengen an Daten über unsere Privatleben und nutzen diese für wichtige Entscheidungen, die uns betreffen“, so Wong. „Die Staaten müssen regulieren, wie mit diesen Informationen umgegangen wird, so dass diese nicht mehr so leicht von Regierungen, Unternehmen und Kriminellen missbraucht werden können.“