DSGVO: Diese Abkürzung für die neue EU-Datenschutzgrundverordnung hält gerade jede und jeden in Atem, der eine Website betreibt – vom Blogger über den Online-Verkäufer bis zum Medienkonzern. Und auch, wer nur im Netz surft, kommt um die neuen Regeln aus Brüssel nicht herum. Am Freitag (25.05.) tritt die neue Verordnung in Kraft. Was es zu beachten gilt – und wann es richtig teuer werden kann – erklärt die Rechtsanwältin Sabrina Keese-Haufs.

Es waren goldene Zeiten für die großen Internetkonzerne: Wenn sie nach Europa expandieren wollten, schauten sie sich einfach an, welches Land die niedrigsten Datenschutzrichtlinien hatte – und stellten ihre Server dort auf. Und so galt auf einmal irisches Recht, obwohl das Unternehmen eigentlich aus den USA stammt. So kann es nicht weitergehen, sagten sich europäische Datenschützer – ein einheitlicher Standard muss her.

"Es geht auch darum, die Rechte von uns, die wir täglich im Netz unterwegs sind, besser zu schützen."
Sabrina Keese-Haufs, Rechtsanwältin

Wer im Netz unterwegs ist, soll besser geschützt werden. Zum Beispiel, wenn sie oder er eine Auskunft haben will oder zu einem anderen Anbieter wechseln möchte. Die große Veränderung: Die sogenannten Betroffenenrechte werden gestärkt. Das heißt: Jeder von uns kann jederzeit zu einem Internetunternehmen gehen und erfahren, wo die eigenen Daten überall gespeichert sind. Und wir können eben auch sagen: "Ich möchte nicht mehr, dass meine Daten vorgehalten werden – bitte löschen Sie sie." 

Eine weitere Neuerung: Künftig gilt das Datenschutzrecht des Landes, an das wir uns wenden, erklärt Sabrina Keese-Haufs. Das gilt zum Beispiel auch für digitale Nomaden, die im Ausland leben, aber eine Website auf Deutsch anbieten, die sich an deutsche Unternehmen wendet. Auch sie müssen sich mit den neuen DSGVO-Richtlinien beschäftigen. "Marktortprinzip" nennen das Juristen. Das Gleiche gilt natürlich auch für US-Internetgiganten: Wenn Facebook oder Google ihre Dienste in der Europäischen Union anbieten, müssen sie auch das europäische Datenschutzniveau einhalten.

Mehr Checkboxen

Wer einfach nur im Netz surft, für den ändert sich erst einmal nicht viel, sagt Sabrina Keese-Haufs. Allerdings werden wir merken, dass viel mehr erklärt wird. Wer künftig einen Newsletter abonniert, muss also jedem Detail zustimmen. Oder andersherum: Wer einen Newsletter anbietet, braucht für alle personenbezogenen Daten wie Name oder E-Mail-Adresse unsere Einwilligung. Ein angenehmer Nebeneffekt: Es dürfte künftig weniger Werbung in unseren Inboxen landen. 

Weil Europa ein großer Markt ist, haben sich auch Facebook und Google bewegt und stellen ihre Systeme um. Und darum haben wir schon seit einiger Zeit mehr Wahlmöglichkeiten oder werden aufgefordert, unsere Privatsphäreinstellungen zu überprüfen. Privacy by design, heißt hier das Stichwort: Facebook oder Google müssen ihre Dienste also so einstellen, dass sie maximal datenschutzfreundlich sind, erklärt Sabrina Keese-Haufs.  

Selbst wenn wir mittlerweile genervt sind, weil wir ständig auf Datenschutzrichtlinien hingewiesen werden –  Sabrina Keese-Haufs rät, sich die Hinweise wirklich einmal durchzulesen. Selbst, wenn im Grundsatz gilt: Unternehmen dürfen zunächst nur notwendige Daten erheben, und wenn es mehr werden sollen, müssen wir dem ausdrücklich zustimmen. Gerade bei den US-amerikanischen Unternehmen bleibt abzuwarten, ob wirklich alles umgesetzt wird, was die EU fordert, sagt die Anwältin.

Nur das abfragen, was wir unbedingt brauchen

Während Userinnen und User dank DSGVO mehr Rechte im Netz bekommen, muss jeder, der eine Seite ins Netz stellt, mehr Pflichten erfüllen – das gilt schon für jedes Blog, dass wir sporadisch befüllen. Ganz wichtig: Die Website muss SSL-verschlüsselt sein. Und dann sollten wir uns unsere Seite genau anschauen: Wer ein Kontaktformular hat, einen Newsletter anbietet oder Kommentare unter seinem Podcast zulässt, muss den Grundsatz der Datenminimierbarkeit zulassen. Das heißt: Wir dürfen nur das abfragen, was wir unbedingt brauchen. Ein Beispiel: Für ein Kontaktformular ist natürlich eine E-Mail-Adresse notwendig – aber nicht unbedingt der Klarnamen. 

Wer Hilfe bei der Umstellung braucht, ist spät dran. Es gibt aber Infomaterial des Branchenverbandes Bitkom oder diverse Facebook-Gruppen, die zum Thema informieren. Und natürlich diverse Rechtsanwälte, die auf IT-Recht spezialisiert sind, deren Dienste aber Geld kosten. Vorsicht ist bei kostenlosen Datenschutzgeneratoren geboten, die gerade die Runde machen. Sie stammen zwar häufig von Anwälten, aber natürlich übernimmt niemand für ein kostenloses Angebot die Haftung, warnt Sabrina Keese-Haufs. Und auch bei kostenpflichtigen Angeboten sollten wir genau überprüfen, ob das der Fall ist. 

"Gerade jetzt sind sehr viele Goldgräber unterwegs, die keine Anwälte sind und keine Haftung übernehmen."
Sabrina Keese-Haufs, Rechtsanwältin

Eines ist klar: Wer seine Website gar nicht nachrüstet, dem drohen Bußgelder. Zwischen 2 und 4 Prozent des Jahresumsatzes vom Vorjahr können hier fällig werden. Und es gibt noch ein größeres Problem: Ein Verstoß gegen die DSGVO kann auch ein wettbewerbsrechtlicher Verstoß sein und dann droht ein außergerichtliches Bußgeld zwischen 2500 und 5000 Euro. Ein Betrag, der sich noch einmal verdoppeln könnte, wenn der Fall vor Gericht geht. Ein Business, das auch viele der berüchtigten Abmahnanwälte für sich entdeckt haben. 

"Abmahnanwälte haben sicher in den letzten Wochen schon einige Champagnerkorken knallen lassen – auch, weil Datenschutzbehörden, die sich nicht so gut auskennen, Äußerungen treffen, die den Abmahnanwälten total in die Karten spielen."
Sabrina Keese-Haufs, Rechtsanwältin

Sabrina Keese-Haufs Tipp: Wer auf seiner Seite Analysetools installiert hat und sie nicht unbedingt für sein Geschäftsmodell braucht, sollte sie im Zweifel erst einmal deinstallieren. Zumindest so lange, bis die ersten Gerichte Klagen von Abmahnanwälten abgewiesen haben und sich die Lage beruhigt hat. 

Mehr zum Thema: