taz-Serie Datenschutz in der EU: Vergiss mich, Internet!

Firmen müssen künftig Daten löschen, wenn Kunden das möchten. Aber ob und wie das umgesetzt wird, entscheiden wohl Gerichte.

Jugendsünde im Netz? Die Datenschutzgrundverordnung regelt das „Recht auf Vergessenwerden“ neu Foto: BENJAKON

Die Daten von rund 500 Millionen Europäer*innen stehen ab 25. Mai 2018 unter besonderem Schutz. Dann gilt die EU-Datenschutzgrundverordnung – kurz DSGVO. Sie gilt als Meilenstein und Zeitenwende im europäischen Datenschutzrecht. Während Verbraucherschützer*innen jubeln, ärgern sich Blogger*innen, Vereinsleute oder Kleinunternehmer*innen über das bürokratische Ungetüm. Die taz beleuchtet in einer Serie die verschiedenen Aspekte der DSGVO.

BERLIN taz | Was einmal im Netz ist, das bleibt auch dort – so war das jedenfalls bislang. Pass auf, was du im Internet teilst, wem du Bilder schickst, was du von dir preisgibst. Einmal ins Formular oder Textfeld getippt, sind die Daten aus der Hand gegeben – und damit der eigenen Kontrolle entzogen. Aber: Das soll jetzt alles anders werden, dank der Datenschutzgrundverordnung. Das „Recht auf Vergessenwerden“ ist eines der zentralen Elemente der neuen Vorschriften, geregelt in Artikel 17. Der heißt eigentlich „Recht auf Löschung“ – der griffigere andere Titel steht in Klammern dahinter.

Hier ist geregelt, dass Menschen das Recht haben, das Löschen aller sie betreffenden personenbezogenen Daten von einem Verarbeiter zu fordern, und zwar „ohne schuldhaftes Zögern“ – konkret haben Firmen dafür vier Wochen Zeit. Dieser Wunsch kann berechtigt sein, wenn es keinen Grund für eine weitere Speicherung dieser Daten gibt, aber auch, wenn die Person einfach ihre Einwilligung widerruft. Der Verarbeiter muss sogar von sich aus Daten löschen, zu deren Speicherung und Verarbeitung es keinen Grund (mehr) gibt.

Falls zu löschende Daten weiterverbreitet wurden, müssen Dritte, die die Daten ebenfalls verarbeiten, darüber informiert werden. All das passt zum ebenfalls in der ­DSGVO festgeschriebenen Grundsatz der Datenminimierung: Danach soll nur noch das Nötigste gespeichert, der Rest muss gelöscht werden. Auch die Informationspflichten für Firmen werden erweitert. Künftig haben also alle Europäer auch das Recht, zu erfragen, welche Daten überhaupt über sie gespeichert sind.

Die Regelungen sollen es Menschen ermöglichen, weiträumig die Kontrolle über ihre Daten zu behalten – sei es nun bei Plattformen wie Facebook, Online-Marktplätzen wie Amazon oder auch bei der kleinen Buchhandlung von nebenan, der ich vor einem halben Jahr eine Mail mit einer Frage zum neuen Roman meiner Lieblingsautorin geschrieben habe. Ausnahmen gibt es zum Beispiel bei öffentlichem Interesse, gesetzlich vorgeschriebenen Speicherfristen oder zur Ausübung des Rechts auf Meinungsfreiheit.

Das Recht auf Löschen und Vergessenwerden gab es bereits – begrenzt – vor der DSGVO. 2014 etwa verpflichtete der Europäische Gerichtshof Google dazu, bestimmte Links aus seinen Such­ergebnissen zu entfernen, da diese „nicht mehr erheblich“ seien. Geklagt hatte ein Spanier, dessen Name im Zusammenhang mit einer Zwangsversteigerung in Zeitungsartikeln aufgetaucht war. Er hatte seine Schulden jedoch längst abgezahlt – doch wer seinen Namen googelte, landete bei diesen Artikeln. Viele Unternehmen setzen die bestehenden Regeln bisher kaum um. Da mit der ­DSGVO für Verstöße nun enorm hohe Bußgelder drohen, gibt es jede Menge Ratgeber, Handbücher und teure Kurse im Angebot, die erklären, wie man den Datenschutz den Vorgaben entsprechend umsetzen kann.

So sind etliche Unternehmen selten darauf ausgerichtet, bestimmte Daten zu bestimmten Zeiten zu löschen. „Die DSGVO betrifft große Konzerne genau so wie kleine Unternehmen“, sagt Ingo Dachwitz vom Blog Netzpolitik.org. Gerade für die kleinen Datenverarbeiter sei die Herausforderung, sich umzustellen, größer. „Aber dass man geltende Regeln bisher nicht umgesetzt hat und damit durchkam, kann ja kein Argument sein, es auch weiterhin nicht zu tun“, sagt Dachwitz.

Wer in Zukunft tatsächlich welche Daten löschen muss, das wird sich noch zeigen. Kann ich von der Schufa verlangen, Daten über eine vor drei Jahren nicht bezahlte Handyrechnung zu löschen, wenn ich seither immer brav gezahlt habe? Oder hat die Auskunftei ein berechtigtes Geschäftsinteresse an der Speicherung dieser Daten? „Ich persönlich bin der Meinung, dass auch die Schufa löschen muss“, sagt Dachwitz. „Aber diese Fragen werden wohl die Gerichte klären müssen.“ Dachwitz glaubt, dass in den kommenden Jahren viele Prozesse rund um die DSGVO geführt werden. „Darin zeigt sich durchaus ein Versäumnis“, sagt er. „Die DSGVO regelt Dinge sehr grundsätzlich. Die EU und die Bundesregierung hätten bestimmte Bereiche noch ausformulieren oder konkretisieren sollen.“

***

Anmerkung der Redaktion: Im ursprünglichen Text wurde von zu langen Speicherungszeiträumen von Daten bei der Schufa ausgegangen. Die Schufa hat uns darauf hingewiesen, dass Informationen über unerledigte Sachverhalte in der Regel vier volle Kalenderjahre gespeichert werden. Davon gibt es Ausnahmen; in den FAQ der Schufa heißt es dazu: „ Eine länger währende Speicherung ist insbesondere dann möglich, wenn beispielsweise eine titulierte Forderung längere Zeit nicht ausgeglichen wurde.“

***

Teil 1 unserer Datenschutz-Serie: Interview mit der Bundesdatenschutzbeauftragten Andrea Voßhoff

Teil 2 unserer Datenschutz-Serie: Was steht drin im DSGVO?

Teil 3 unserer Datenschutz-Serie: Auch kleine Firmen beklagen die Rechtsunsicherheit des neuen Gesetzes

Teil 4 unserer Datenschutz-Serie: Interview mit dem Verbraucherschützer Christian Gollner

Teil 5 unserer Datenschutz-Serie: Porträt des grünen Vordenkers der neuen Datenschutzgesetze Jan Philipp Albrecht

Teil 6 unserer Datenschutz-Serie: Das Recht auf Vergessenwerden

Teil 7 unserer Datenschutz-Serie: Ein Vereinsvorsitzender und eine Bloggerin sprechen über Nachteile des EU-Datenschutzgesetzes

Teil 8 unserer Datenschutz-Serie: Kommentar zur digitalen Zeitenwende