Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Wie ist es zwei Jahre später um den Schutz der digitalen Privatsphäre in Deutschland, der EU und dem Rest der Welt bestellt? Prof. Dr. Thomas Hoeren, Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht der WWU, zieht im Interview mit Sina Tegeler Bilanz.
Wie steht es in Deutschland um den Schutz der Privatsphäre in der digitalen Welt, besonders im Vergleich mit anderen Ländern innerhalb und außerhalb Europas?
Seit dem Inkrafttreten der Datenschutz-Grundverordnung unterliegt die Privatsphäre in der EU einem hohen Schutzniveau. Auch im Vergleich mit außereuropäischen Ländern gilt sie als richtungsweisend, so diente die DSGVO beispielsweise als Vorbild für das brasilianische Datenschutzgesetz. Die Angleichung des Datenschutzniveaus zwischen Europa und Brasilien ermöglicht nun einen rechtssicheren Datentransfer.
In den USA wird der Datenschutz durch bereichsspezifische Regelungen organisiert, welche gerade im kommerziellen Bereich zum Großteil auf der Selbstverpflichtung von Unternehmen basieren. Die Sonderregelungen „Safe Harbor“ und „Privacy Shield“ gewährleisten ein noch tolerables Datenschutzniveau für die Sicherheit von personenbezogenen Daten von Europäern, welche an amerikanische Unternehmen weitergeleitet werden.
In Großbritannien gilt im Rahmen des Brexit eine Übergangsperiode bis Ende 2020. Auch Japan verfügt über ein sehr hohes Datenschutzniveau, weshalb es seitens der EU-Kommission 2019 zum sicheren Drittstaat im Sinne der DSGVO erklärt wurde. Dort ist die Nutzung personenbezogener Daten lediglich erlaubt, wenn diese durch eine Anonymisierung den Vorlagen der japanischen Datenschutzbehörde PPC entsprechen.
Ganz selbstverständlich nutzen viele Menschen digitale Anwendungen: zum Navigieren, Buchen, Recherchieren, Kaufen und Kommunizieren – es entstehen Millionen von digitalen Daten. Wie kann ich sichergehen, dass meine Daten geschützt werden?
Grundsätzlich sind personenbezogene Daten durch die DSGVO geschützt. Die Verordnung findet Anwendung in Bezug auf die Verarbeitung von personenbezogenen Daten durch eine elektronische Datenverarbeitung (Computer, Scanner, Digitalkameras, Smartphones etc.) oder sortierter analoger Datensammlungen. Sofern das Unternehmen seinen Sitz in der Europäischen Union hat, es die Daten dort sammelt oder die Daten von Europäern sammelt und verarbeitet, gilt die DSGVO. Daten dürfen nur zweckgebunden erhoben, rechtmäßig und fair verarbeitet, vertraulich behandelt sowie nicht unbegrenzt gespeichert werden.
Es muss darüber hinaus ein Rechtfertigungsgrund zur Datenverarbeitung vorliegen, der markanteste ist die Einwilligung selbst. Darüber hinaus garantiert die DSGVO Privatpersonen weitere Rechte: Sie müssen über die Erhebung von personenbezogenen Daten informiert werden und verfügen über Auskunftsansprüche. In der Verordnung ist zudem geregelt, in welchen Fällen das Löschen personenbezogener Daten möglich ist, also das „Recht auf Vergessenwerden“. Besondere Anforderungen gelten für die Verarbeitung von Daten aus der Intimsphäre, also gerade Gesundheit, Sexualität, Herkunft, Weltanschauung oder politische Meinungen.
Hat die DSGVO aus Ihrer Sicht bislang ein Mehr an Schutz der Privatsphäre geleistet? Sind weitere rechtliche Regularien zum Schutz der digitalen Privatsphäre für Deutschland und die EU geplant?
Die Änderungen durch die DSGVO sind im Grunde zunächst unscheinbar, aber wirkungsvoll. Denn insbesondere die Landesdatenschutzbehörden verfügen nun über Sanktionsinstrumente mit denen sie das Datenschutzniveau absichern können. Heutzutage dürfen Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Langfrist soll die DSGVO um die ePrivacy-Verordnung ergänzt werden. Ziel dieser Verordnung ist es, insbesondere Datensammlungen im Internet zu beschränken und Datenschutzregeln, die für klassische Telefonanbieter schon gelten, auf Internetdienste wie Skype, WhatsApp und Facebook auszuweiten.
Was empfehlen Sie Menschen, wenn es um die Veröffentlichung von Informationen wie persönlichen Daten oder Fotos im Netz geht?
Zunächst sollten alle Nutzer vor allem ihre technischen Einstellungen zum Datenschutz bei sozialen Medien und ähnlichen Plattformen sehr genau kontrollieren. Eine Einschränkung der Zugriffsbefugnis von „öffentlich“ auf „privat“ kann zumindest bei sozialen Medien wie Facebook oder Instagram eine Weiterverarbeitung von Daten beschränken.
Empfehlenswert ist die Nutzung eines falschen Namens, um die personenbezogene Datenverarbeitung zu einem gewissen Grad zu anonymisieren. Auch Werbeblocker und die Software Ghostery, die Nutzerinnen und Nutzer beim Surfen auf versteckte Dienste hinweist, können den Schutz der Privatsphäre unterstützen.
Letztendlich sollten sich die Anwender bewusst sein, dass die personenbezogenen Daten bei jeder Eingabe übermittelt werden. Deshalb ist ein überlegter Umgang bei der Veröffentlichung von Informationen essentiell. Insbesondere in sozialen Medien werden Daten nicht nur durch Unternehmen verarbeitet, sondern auch von anderen Nutzern gesehen. So besteht kaum eine Chance auf das „Recht auf Vergessenwerden“, da Informationen oft für immer vorliegen.
Autorin: Sina Tegeler
Foto: © WWU - Peter Grewer "Unscheinbar, aber wirkungsvoll" Zwei Jahre Datenschutz-Grundverordnung: Rechtswissenschaftler Thomas Hoeren zieht Bilanz