Facebook tut es. eBay tut es. Onlineshops, App-Entwickler und Banken tun es: Sie begrüßen in diesen Tagen ihre Kunden und Kundinnen mit dem Hinweis, die neuen Geschäftsbedingungen zu akzeptieren, der Verarbeitung ihrer Daten explizit zuzustimmen oder E-Mailabos nochmals zu bestätigen. Der Grund ist die Europäische Datenschutz-Grundverordnung, kurz DSGVO. Sie steht schon seit 2016 in den Gesetzbüchern, aber erst am 25. Mai soll sie nach einer zweijährigen Übergangsfrist durchgesetzt werden.

Nun versuchen viele Unternehmen, noch rechtzeitig ihre Geschäftsbedingungen an die neue Gesetzlage anzupassen. Gleichzeitig gibt es Verunsicherung über die kommenden Veränderungen. Denn während viele Politiker und Politikerinnen das neue, mutmaßlich höhere Datenschutzniveau loben, klagen Unternehmer über undurchsichtige Formulierungen und schlechte Kommunikation. Einige Firmen stellten ihre Onlinedienste in der EU sogar bereits ganz ein.

Worum geht es bei der DSGVO?

Zunächst zur Frage, was das Gesetz überhaupt erreichen möchte. Das Ziel der DSGVO ist es, die Mitgliedsstaaten der Europäischen Union auf ein einheitliches Datenschutzniveau zu heben. Mit der 99 Artikel umfassenden Grundverordnung soll eine technikneutrale Regelung für den Datenschutz gefunden werden, die auch für das Internetzeitalter gilt. Die Vorgängerregelung stammt aus dem Jahr 1995. Damals gab es noch keine Smartphones, soziale Netzwerke und Onlinewerbung standen noch am Anfang. Um mit der technischen Entwicklung mitzuhalten, hatten die Mitgliedsstaaten jeweils ihre eigenen Regeln geschaffen – und verwandelten Europa so in einen datenschutzrechtlichen Flickenteppich.

Das neue Gesetzwerk soll aber nicht nur den aktuellen und im besten Fall kommenden Stand der Technik abdecken, sondern gilt für alle Mitgliedsländer unmittelbar. Die Nationalstaaten können zwar weiterhin in begrenztem Umfang über die Umsetzung bestimmen, zentrale Richtlinien der DSGVO aber nicht ignorieren oder einfach aushebeln.

Bislang war es sowohl für Firmen als auch für Bürgerinnen hinderlich, dass für jedes Land unterschiedliche Datenschutzgesetze galten. Gerade Start-ups fanden es schwierig, ihre Dienste auch über Landesgrenzen hinaus anzubieten. Großkonzerne wie Microsoft und Facebook wiederum siedelten ihre Zentralen in Ländern wie Irland an, wo die Datenschutzrechte lange sehr wirtschaftsfreundlich ausgelegt wurden und Kundenrechte eingeschränkt sind. Mit der Datenschutz-Grundverordnung unterliegen auch sie künftig den gleichen EU-Gesetzen.

Die DSGVO enthält aber nicht bloß neue Pflichten für Unternehmen, sondern auch neue Rechte für Verbraucher. Prinzipiell gilt sie für alle, die personenbezogene Daten verarbeiten. Personenbezogene Daten beziehen sich in diesem Fall auf alles, was Menschen identifizieren könnte: Name, Geschlecht, biometrische Merkmale, aber auch IP-Adressen und Autokennzeichen. Verarbeitung kann alles von der Erhebung, Speicherung, Veränderung bis hin zur Auswertung der Daten sein.