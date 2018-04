Derzeit aktualisieren viele Internet-Dienste ihre Nutzungsbedingungen. Hintergrund sind neue Datenschutzbestimmungen.

von A. Sokolow, dpa und T. Fligge, shz.de

25. April 2018, 20:45 Uhr

Wer in diesen Tagen seine Profile in den Sozialen Netzwerken wie Facebook, Whatsapp, Twitter oder Instagram öffnet, muss neuen Nutzungsbedingungen zustimmen. Auch per Mail weisen einige Dienste ihre Nutzer auf Änderungen der Nutzungsbedingungen hin. Was nur Sekunden dauert, ist Konsequenz einer jahrelagen Lobbyschlacht. Denn in einem Monat, am 25. Mai, wird die neue Datenschutz-Grundverordnung der EU in Kraft treten und ist bindend für alle, die Daten von EU-Bürgern verarbeiten, nutzen und speichern. Was ändert sich?

Die EU-Datenschutz-Grundverordnung – das sollten Sie wissen:

Warum kommen die neuen Regeln jetzt? Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 – und noch ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor zwei Jahren haben sich EU-Staaten und das Europaparlament auf die sogenannte Datenschutz-Grundverordnung geeinigt. Vom 25. Mai an muss sich jedes EU-Land daran halten. Ein Argument für die neue Verordnung hat Facebook zuletzt selbst geliefert: Bis zu 87 Millionen Nutzer waren Unternehmensangaben zufolge vom aktuellen Datenskandal betroffen, darunter vermutlich rund 310.000 Nutzer aus Deutschland. Facebook-Chef Mark Zuckerberg zeigte Reue und wurde während der vergangenen Wochen fast zum Botschafter der EU-Verordnung: Er kündigte an, die Regeln künftig weltweit anwenden zu wollen.

Was regelt die neue Verordnung? Im Kern soll die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden geregelt werden. Dazu gehören etwa Name, Adresse, Email-Adresse, Ausweisnummer oder IP-Adresse. Wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme – ist egal. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Die neuen Regeln gelten auch für Unternehmen, die außerhalb der EU sitzen, ihre Dienste aber hier anbieten. Deshalb sind Internetriesen mit US-Sitz wie Facebook oder Google davon betroffen.

Was ändert sich für Verbraucher? EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, ist das Versprechen. Das bedeutet zum Beispiel, dass ihnen ein „Recht auf Vergessenwerden“ zugestanden wird. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes: Kunden könnten etwa erfahren, wie oft sie die Karte verwendet haben, bei welchen Supermärkten sie eingekauft haben, und ob der Supermarkt die Daten an eine Tochter weitergeben hat. Außerdem bekommen Internetnutzer durch den sogenannten Datenrucksack mehr Kontrolle über ihre persönlichen Daten. Wechseln sie von einem Anbieter zum anderen, können sie E-Mails, Fotos oder Kontakte mitnehmen. Zudem müssen Verbraucher über Datenschutz-Verstöße – etwa durch Datenlecks oder Hackerangriffe – informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden.

Und wie soll das durchgesetzt werden? Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Von Ende Mai an drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nach dem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden.

Was müssen Unternehmen und andere Organisationen beachten? Grundsätzlich sollen so wenige Information wie möglich gesammelt werden – es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese Daten müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist. Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten, müssen zudem einen Datenschutzbeauftragten ernennen.

Wie fallen die Reaktionen aus? Verbraucher- und Datenschützer jubeln. Für sie sind die neuen Regeln ein Meilenstein: besserer Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten, mehr Macht für Strafverfolgungsbehörden bei Rechtsverstößen. „Das ist der letzte Schritt der bahnbrechenden Reform des EU-Datenschutzes“, sagte etwa der Grünen-Abgeordnete und Verhandlungsführer des Europaparlaments Jan Philipp Albrecht nach der Einigung mit den EU-Staaten. Zwei Jahre später sagt die Vize-Generaldirektorin des europäischen Verbraucherschutzverbands Beuc, Ursula Pachl: „Konsumenten profitieren natürlich von vielen neuen Diensten, die auf der Verarbeitung von Nutzerdaten basieren. In vielen Fällen war die Einhaltung dieser Regeln jedoch das schwache Element dieser Dienste.“ Offene Kritik kommt auch aus der Wirtschaft kaum noch. Der europäische Unternehmerverband Business Europe begrüßt etwa, dass die Regeln in der EU bald einheitlich sind. Während der Gesetzgebung haben jedoch besonders große Tech-Firmen versucht, den Datenschutz aufzuweichen. Heute fürchten vor allem kleinere und mittlere Unternehmen sowie Vereine den bürokratischen Aufwand – und hohe Strafen, falls sie gegen die neuen Regeln verstoßen.

Wie tief gehen die neuen Regeln in den Alltag? Sie reichen in viele Bereiche hinein. Zum Beispiel auch Freiberufler müssen sich um die Informationspflicht kümmern und den Kunden Auskunft zu über sie gespeicherten Daten geben. Genauso betroffen sind etwa auch Vermieter, denn auch sie erheben und verarbeiten Daten ihrer Mieter, wie Namen, Bankverbindungen oder Telefonnummern. Zu den Pflichten gehört dann nicht nur, die Daten sicher abzuspeichern, sondern auch zu dokumentieren, wer Zugriff darauf hat.

Wie geht es weiter mit dem Datenschutz in der EU? Die EU-Kommission hat im vergangenen Jahr weitere Reformvorschläge für die elektronische Kommunikation via WhatsApp, Facebook oder Skype vorgelegt. Diese sehen in vielen Fällen die ausdrückliche Einwilligung der Nutzer zur weiteren Verwendung von Informationen wie Inhalt und Metadaten vor.

Die Verbraucherzentrale Nordrhein-Westfahlen rät prinzipiell dazu, die Nutzungsbedingungen nach Änderungen gut durchzulesen. Auch Verträge lese man vor dem Unterschreiben durch, sagte eine Sprecherin. Sinnvoll ist außerdem, die Einstellungen zum Datenschutz in den einzelnen Apps erneut zu überprüfen. Nach der Zustimmung zu neuen Nutzungsbedingungen werden in manchen Anwendungen bereits ausgestellte Optionen teilweise wieder aktiviert.

Vor allem Gerüchte über Änderungen beim Messenger-Dienst Whatsapp sorgten vergangene Woche für Aufsehen. Mittlerweile ist es offiziell: Whatsapp erhöht das Mindestalter für die Nutzung von 13 auf 16 Jahre. Hintergrund: Die ab 25. Mai greifenden EU-Regeln erfordern bis zu diesem Alter die Zustimmung der Eltern zur Datenverarbeitung. Neue und bestehende Nutzer sollen demnächst in der App gefragt werden, ob sie älter als 16 Jahre alt sind.

Der WhatsApp-Eigentümer Facebook entwickelte ein Verfahren, um diese Freigabe einzuholen, der weitgehend eigenständig agierende Chat-Dienst verzichtet dagegen darauf. Außerhalb der EU bleibt das Mindestalter bei 13 Jahren.

Nutzer sollen gesammelte Daten über sich herunterladen können

WhatsApp richtete für die Verarbeitung der Daten europäischer Nutzer zudem eine neue Tochterfirma in Irland ein, wie das Unternehmen in einem Blogeintrag am Dienstag bekanntgab. Das bedeutet zugleich nicht, dass die Daten auch ausschließlich innerhalb der EU lagern werden. WhatsApp betont, dass Inhalte der Kommunikation bei dem Dienst durch sogenannte Ende-zu-Ende-Verschlüsselung nur für Absender und Adressat sichtbar sind, aber nicht für den Dienst selbst.

Facebooks Datenleck: So erkennt man, wer betroffen ist

Entsprechend überschaubar werden daher auch die gesammelten Daten ausfallen, die man gemäß der Datenschutz-Verordnung als Nutzer herunterladen kann. Diese Funktion solle in den kommenden Wochen umgesetzt werden, kündigte WhatsApp an.

Es bleibe vorerst dabei, dass Account-Informationen nicht mit der Mutter Facebook zur Personalisierung der Werbung beim Online-Netzwerk verwendet werden. Facebook stelle zugleich die Infrastruktur und es würden Telefonnummern ausgetauscht, die Spam-Nachrichten verbreiteten. Allerdings betonte WhatsApp auch: „Wie wir bereits in der Vergangenheit angekündigt haben, möchten wir zukünftig enger mit anderen Facebook-Unternehmen zusammenarbeiten und werden dich über neue Entwicklungen auf dem Laufenden halten.“

Auch beim seit 2012 zu Facebook gehörenden Fotonetzwerk Instagram gibt es schon jetzt Änderungen. Nutzer haben haben per Mail einen Hinweis auf die Änderungen in den Nutzungsbedingungen erhalten. Darin heißt es, Instagram habe den Zugriff der Nutzer auf ihre Daten erleichtert. Und weiter: „Die Instagram-App und die Art, wie wir Daten verarbeiten, ändert sich dabei nicht.“

Parallel zu Whatsapp ist es nun auch auf Instagram für Nutzer möglich, ihre persönlichen Daten herunterzuladen. Dazu zählen alle Fotos, Videos, archivierte Storys, Kommentare und Profilfotos, berichtet „Techcrunch“. Auch hochgeladene Kontakte, Nutzernamen der Follower, Direktnachrichten und Einstellungen sind enthalten.

Foto: Screenshot/Instagram

Aktuell ist die Funktion erst im Web-Zugang des Fotonetzwerks verfügbar, soll aber in den kommenden Tagen auch über die Smartphone-Apps für Android und iOS funktionieren. Die Zusammenstellung kann laut Instagram bis zu 48 Stunden dauern.

Die Export-Funktion ist eine Forderung der Datenschutzgrundverordnung (DSGVO), die am 25. Mai in Kraft tritt. Bisher konnten Instagram-Nutzer ihre Fotos und Daten nur auf Umwegen exportieren.

Eltern von Facebook-Nutzern unter 16 werden zu Einstellungen gefragt

In den vergangenen Wochen hatte Facebook in Umsetzung der Datenschutzverordnung bereits unter anderem die Verwaltung und das Herunterladen von Daten vereinfacht. Jetzt wurde in einem Blog-Eintrag unter anderem angekündigt, dass die Nutzer ausdrücklich gefragt werden, ob für sie Werbung auch auf Basis von Daten anderer Firmen personalisiert werden soll und ob sie in ihrem Facebook-Profil weiterhin Angaben zu politischen Ansichten, Religionszugehörigkeit oder Beziehungsstatus machen wollen.

Facebook wird Eltern von Nutzern im Alter unter 16 Jahren mitentscheiden lassen, ob die Teenager in dem Netzwerk Informationen wie Religionszugehörigkeit oder politische Ansichten preisgeben. Die Neuerung wird zusammen mit anderen Maßnahmen zur Umsetzung der ab Ende Mai greifenden EU-Datenschutzverordnung eingeführt. Die Eltern werden auch absegnen können, ob die Jugendlichen personalisierte Werbung auf Basis von Daten anderer Unternehmen angezeigt bekommen und ob sie angeben, an Personen welchen Geschlechts sie interessiert sind. Das Mindestalter für die Nutzung von Facebook bleibt bei 13 Jahren.

Facebook betont zugleich, dass die EU-Grundverordnung nicht vorschreibe, das Alter der Nutzer zu überprüfen. Das Online-Netzwerk werde aber wie gefordert „angemessene“ Anstrengungen unternehmen, um die nötige Zustimmung der Eltern zu verifizieren. Die Teenager können dafür nach ihren Eltern bei Facebook suchen, damit das Online-Netzwerk ihnen eine Anfrage zur Bestätigung der Profil-Einstellungen schicken kann. Alternativ können die Jugendlichen auch eine E-Mail-Adresse der Eltern angeben. Facebook sehe damit seine Verpflichtungen ausreichend erfüllt, heißt es.

Facebook schaltet Funktion zur Gesichtserkennung wieder frei

Zugleich können auch nach bisheriger Praxis Nutzer aufgefordert werden, ihr Alter nachzuweisen, wenn Facebook Hinweise bekommt, dass sie jünger als 13 Jahre sind. Im Jahresverlauf will das Online-Netzwerk zudem weltweit eine speziell an Teenager gerichtete Seite mit Datenschutz-Informationen verfügbar machen.

Mit dem endgültigen Greifen der Datenschutzverordnung am 25. Mai wird Facebook auch in Europa nach Jahren die Gesichtserkennungs-Funktion zurückbringen, bei der Nutzer in Fotos automatisch markiert werden können. Facebook hatte die Gesichtserkennung in Europa zunächst im Sommer 2011 freigeschaltet, stieß dabei aber auf den Widerstand europäischer Datenschützer. Deshalb stoppte der Konzern die Funktion und verpflichtete sich im Herbst 2012, die dabei erzeugten Daten wieder zu löschen.

Jetzt soll die Gesichtserkennung erst nach ausdrücklicher Zustimmung der Nutzer eingeschaltet werden. Dass sie zurückkommen soll, hatte Facebook bereits im März angekündigt. Als Vorteil für die Nutzer führt Facebook auch an, dass sie benachrichtigt werden können, wenn jemand ohne ihr Wissen ein Foto von ihnen bei Facebook hochlädt. Die Gesichtserkennung wurde in Europa zunächst nur für die Facebook-Plattform verfügbar gemacht, nicht für den ebenfalls zum Konzern gehörenden Fotodienst Instagram und den Messenger WhatsApp. Für Nutzer im Alter unter 18 Jahren bleibt die Gesichtserkennung grundsätzlich ausgeschaltet.

Foto: dpa