Die Zeit drängt: Am 25. Mai tritt in der Europäischen Union (EU) erstmals eine einheitliche Datenschutzgrundverordnung (DSGVO) in Kraft. Sie enthält „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“, heißt es in Artikel 1. Die Regeln gelten für alle Menschen, die Angaben von EU-Bürgern verarbeiten, speichern, nutzen und sichern. Von der neuen Bestimmung sind längst nicht nur große Unternehmen betroffen, auch kleine und mittelständische Betriebe sollten ihren Umgang mit den Daten überprüfen.
„Das Wichtigste ist, nicht in Panik zu verfallen“, sagt die Bremer Datenschutzbeauftragte Imke Sommer. Unternehmen müssten keine teuren Kontrollen für Webseiten oder Allgemeine Geschäftsbedingungen (AGB) anfordern. „Neu ist vor allem, dass Datenschutzgrundlagen auf europäischer Ebene gebündelt werden.“
Bekannte Datenschutzprinzipien blieben dabei bestehen. Die Angaben müssen weiterhin richtig sein sowie transparent und sicher gesammelt werden. Außerdem dürfen Datenverarbeiter nur solche Auskünfte erfragen, die für das jeweilige Vorhaben relevant sind. Es ist nur gestattet, Informationen zu erheben, wenn eine rechtliche Grundlage oder die Einwilligung des Betroffenen vorliegt.
Ursprünglich sollte die Verordnung Internetgiganten wie Google, Facebook und Amazon zu mehr Sorgfalt im Umgang mit den Daten bringen. Sommer glaubt, dass das auch eintreten wird. „Die großen Konzerne müssen bis Mai ihre AGB überarbeiten“, sagt sie. Diese müssen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden, schreibt die Verordnung vor.
Bei Verstößen drohen Strafen: bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die Daten der Nutzer sollen nur für „festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“. Weiter steht in der Verordnung, dass die Angaben dem Zweck angemessen und auf das notwendige Maß beschränkt sein müssen – nichts Neues also.
Es bedeutet jedoch, dass die Unternehmen möglichst wenige Angaben sammeln sollen. Ohnehin wird es für die Konzerne schwieriger, große Datenmengen zu speichern, weil diese nur noch auf Servern innerhalb der EU gelagert werden dürfen. Außerhalb der EU ist das nur noch in begründeten Fällen erlaubt. Bisher konnten die Informationen fast überall gesichert werden: auf Servern im Ausland, an virtuellen Speicherplätzen, den sogenannten Clouds. Insgesamt soll die Verordnung dazu dienen, Verbrauchern das Vertrauen in die Anbieter zurückzugeben, sagt Sommer.
Daten von Mietern und Wohnungsinteressenten
Auch Vermieter sind von der Regelung betroffen, sie arbeiten mit den Daten von Mietern und Wohnungsinteressenten. Namen, Bankverbindungen, E-Mail-Adressen und Telefonnummern gehören genauso dazu wie Gehaltsnachweise oder Angaben zum Familienstand. Auch Werte von Strom-, Gas- und Wasserzählern und somit potenzielle Erkenntnisse über das Verhalten der Mieter gehören dazu. Vermieter dürfen diese Daten weiterhin erheben, sollen aber der neuen Richtlinie entsprechend handeln.
Das heißt im Klartext: Die Daten müssen sicher gespeichert und vor Diebstählen geschützt werden. Außerdem sind Vermieter angehalten zu dokumentieren, was mit den Angaben geschieht und wer Zugriff darauf hat. Das kann zum Beispiel die Hausverwaltung sein, nicht selten sind es auch Ablesedienste, die vom Vermieter oder der Verwaltung beauftragt wurden.
In solchen Fällen ist in der Verordnung klar geregelt, dass Vermieter darauf achten sollen, dass die Dienstleister die Regeln einhalten. Die Dokumentation dient dazu, Mieter über die Verarbeitung und den Umgang mit den Daten zu unterrichten. Die Mieter haben das Recht zu erfahren, was Vermieter in Bezug auf sie verarbeiten und aufbewahren.
Die Berliner Mietrechtsanwältin Beate Heilmann geht davon aus, dass Vermieter die ihnen entstehenden Mehrkosten auf die Miete aufschlagen. Den mit der Verordnung verbundenen Aufwand bezeichnet Heilmann als „Wahnsinn“. Sommer geht nicht davon aus, dass Eigentümer die Wohnkosten anheben müssen. Sie hätten keinen Mehraufwand durch die neue Verordnung, so die Datenschutzbeauftragte.
Vermieter dürfen weiterhin solche Daten erheben, die für Anfang, Beginn und Dauer eines Mietverhältnisses wichtig sind. „Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, ist untersagt“, steht in der Verordnung.
Angaben von Interessierten, mit denen kein Mietverhältnis zustande kommt, dürfen nicht gespeichert oder gesammelt werden. Ausnahme: Die Menschen sind damit einverstanden – möglicherweise, um auch in Zukunft Angebote zu erhalten. In solchen Fällen sollten sich Vermieter jedoch absichern und das Einverständnis schriftlich einholen.
Anonymisierte Daten fallen nicht unter Datenschutzgrundverordnung
Auch Blogger oder Betreiber von Internetseiten sind von der neuen Regelung betroffen. In einer Datenschutzerklärung sollten sie genau erklären, welche Daten, zu welchem Zweck erhoben werden, sagt Sommer. Und auch in diesen Fällen greifen die bekannten Prinzipien des Datenschutzes. Es geht dabei ausdrücklich um personenbezogene Daten. Darunter fallen auch sogenannte personenbeziehbare Angaben. Also solche, die Rückschlüsse zulassen, aber die Person nicht direkt identifizieren – zum Beispiel über Pseudonyme wie IP-Adressen.
Anonymisierte Daten fallen nicht unter die Datenschutzgrundverordnung. Hierbei ist wichtig, dass Daten ab einer gewissen Menge nicht mehr anonym sind, weil die Kombination nur noch auf einen Menschen zutrifft. Ebenfalls nicht mehr anonym sind Angaben, wenn Dritte über Zusatzwissen verfügen, das eine Identifikation erlaubt. Sommer rät Betrieben, einen Datenschutzbeauftragten zu ernennen.
