(Bild: europarl.europa.eu)

Knapp 100 Tage vor Geltungsbeginn der neuen Datenschutzregeln hat die EU-Kommission einen Leitfaden dazu herausgegeben. Er soll Bürger über ihre Rechte, Unternehmen und Behörden über ihre Pflichten aufklären.

Vom 25. Mai an gilt die neue Datenschutzgrundverordnung in der EU. Noch hätten sich aber nicht alle Betroffenen mit den Details des umfangreichen Regelwerks auseinandergesetzt, konstatierte EU-Justizkommissarin Věra Jourová am Mittwoch. Die Kommission habe daher für die "finale Phase der Vorbereitung" eine Webseite mit praktischen Hinweisen für Bürger, Unternehmen und Verwaltungen veröffentlicht, damit die Bestimmungen reibungslos angewendet werden können.

Auf dem englischsprachigen Portal können interessierte Bürger zum Beispiel nachlesen, dass sie künftig eine Art "Recht, vergessen zu werden" sowie Ansprüche haben, mehr Auskünfte von datenverarbeitenden Stellen zu beziehen. Diese beschränken sich nicht nur auf genutzte personenbezogene Informationen, sondern betreffen auch Algorithmen. Ein Recht auf Datenportabilität enthält die Verordnung ebenfalls. Die Regeln könnten zudem bald "mit Zähnen" durchgesetzt werden, betonte Jourová: Aufsichtsbehörden werden befugt, Geldbußen von bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des weltweit erzielten Jahresumsatzes zu verhängen.

"Keine Panik" für KMU

Vor allem müsse der Mittelstand stärker über die Kernelemente der Verordnung aufgeklärt und dabei unterstützt werden, die Vorschriften einzuhalten. Zugleich unterstrich die Kommissarin aber, dass es einige Ausnahmen für kleine und mittlere Firmen (KMU) mit weniger als 250 Mitarbeitern gebe, diese also nicht "in Panik verfallen" sollten. So müssten KMU keinen eigenen Datenschutzbeauftragten einstellen, nicht sämtliche Prozesse mit Datenverarbeitung protokollieren und nicht alle Pannen melden, solange kein allzu großes Risiko für die Grundrechte der Betroffenen bestehe.

Siehe dazu in iX 1/2018: EU-Datenschutz kommt

Die Verordnung gilt prinzipiell mit dem Stichtag unmittelbar in allen Mitgliedstaaten. Allerdings müssen die nationalen Regierungen und Parlamente bestehende Gesetze ändern und die Kontrollgremien einen gemeinsamen Datenschutzausschuss einrichten. Bisher hätten mit Deutschland und Österreich aber erst zwei Mitgliedstaaten die am dringendsten notwendigen nationalen Bestimmungen verabschiedet, kritisierte Jourová. Die anderen 26 müssten nun rasch in die Gänge kommen. Länder, die hier deutlich zurückliegen, wollte sie nicht nennen. Sie erwähnte auch nicht, dass das hiesige Anpassungsgesetz Kontrollrechte aushebelt und bei Datenschützern nicht gut ankommt.

Mehr Geld für die Aufsicht

Die Kommissarin erinnerte die EU-Staaten an die Pflicht, ihre nationalen Aufsichtsbehörden mit den notwendigen finanziellen und personellen Mitteln auszustatten, um deren Unabhängigkeit und Effizienz zu gewährleisten. Die Kommission stelle selbst 1,7 Millionen Euro für die Finanzierung von Kontrollgremien und die Fachkräfteschulung bereit. Mit weiteren 2 Millionen Euro unterstützte sie die nationalen Behörden bei ihrer auf die Wirtschaft zugeschnittene Öffentlichkeitsarbeit.

Die Verordnung setzte "global den höchsten Standard im Datenschutz", meinte Jourová. Es sei daher auch nötig, bisherige Entscheidungen zur "Angemessenheit" der Bestimmungen anderer Länder wie den USA oder der Schweiz zu überprüfen, auf deren Basis ein Datenaustausch gestattet wird. Die Kommission kündigte zudem an, im Frühling 2019 eine Veranstaltung organisieren zu wollen, um die Erfahrungen unterschiedlicher Akteure mit der Anwendung der Verordnung zu bilanzieren. (Stefan Krempl) / (anw)