Der 25. Mai ist der erste Tag der Durchsetzung der europäischen Datenschutzverordnung, auch bekannt als GDPR, ein Regelwerk, das die Beziehung zwischen massiven Technologieunternehmen, die Daten sammeln, und den Nutzern, von denen sie diese sammeln, grundlegend verändern könnte.
Nicht jeder ist bereit für GDPR, aber Unternehmen von Google bis Slack haben in aller Stille ihre Bedingungen aktualisiert, Verträge umgeschrieben und neue Tools für persönliche Daten eingeführt, um sich auf den massiven Wandel in der Rechtslandschaft vorzubereiten. Bisher war es vor allem ein Problem für die Rechtsabteilungen, aber da Richtlinienänderungen und Vertragskämpfe an die Öffentlichkeit gehen, hat es auch den durchschnittlichen Webnutzer getroffen.
Dennoch bleibt GDPR für viele im Internet eine Blackbox juristischer und obskurer Politik. Hier ist, was Sie darüber wissen müssen.
Was ist DGPR?
Die Allgemeine Datenschutzverordnung ist eine von der Europäischen Union im Jahr 2016 verabschiedete Vorschrift, die neue Regeln für die Verwaltung und Weitergabe personenbezogener Daten durch Unternehmen festlegt. Theoretisch gilt die GDPR nur für die Daten der EU-Bürger, aber der globale Charakter des Internets bedeutet, dass fast alle Online-Dienste betroffen sind, und die Verordnung hat bereits zu erheblichen Änderungen für die US-Nutzer geführt, da sich die Unternehmen um eine Anpassung bemühen.
Ein großer Teil der GDPR baut auf Regeln auf, die durch frühere EU-Datenschutzmaßnahmen wie die Datenschutzrichtlinie festgelegt wurden, aber sie erweitert diese Maßnahmen in zweierlei Hinsicht. Erstens setzt die GDPR eine höhere Messlatte für den Erhalt persönlicher Daten, als wir sie bisher im Internet gesehen haben. Jedes Mal, wenn ein Unternehmen personenbezogene Daten über einen EU-Bürger sammelt, benötigt es die ausdrückliche und informierte Zustimmung dieser Person. Benutzer benötigen auch eine Möglichkeit, diese Einwilligung zu widerrufen, und sie können alle Daten, die ein Unternehmen hat, von ihnen anfordern, um diese Einwilligung zu überprüfen. Es ist viel stärker als die bestehenden Anforderungen und erstreckt sich explizit auf Unternehmen mit Sitz außerhalb der EU. Für eine Branche, die es gewohnt ist, Daten ohne oder mit nur geringen Einschränkungen zu sammeln und auszutauschen, bedeutet das, die Regeln für die Ausrichtung von Anzeigen im Internet neu zu schreiben.
Zweitens sind die Strafen der GDPR streng genug, um die Aufmerksamkeit der gesamten Branche auf sich zu ziehen. Die Höchststrafe pro Verstoß beträgt 4 Prozent des weltweiten Umsatzes eines Unternehmens (oder 20 Millionen Dollar, je nachdem, welcher Betrag höher ist). Das ist viel mehr als die von der Datenschutzrichtlinie zugelassenen Geldbußen und zeigt, wie ernst die EU den Datenschutz nimmt. Google und Facebook könnten einer solchen Geldbuße standhalten (das haben sie vorher schon), aber es würde ausreichen, eine kleinere Firma zu versenken. Wenn die neuen Zustimmungsregeln die Unternehmen auffordern, ihre Datenpolitik umzugestalten, geben die vorgeschlagenen Geldbußen ihnen die Motivation, dies zu erreichen.
Am wichtigsten ist, dass die GDPR den Unternehmen eine harte Frist gibt: Die neuen Regeln treten am 25. Mai 2018 in Kraft – wer sich also nicht an die Regeln hält, ist in Schwierigkeiten. Das Ergebnis war ein verrückter Versuch, die derzeitigen Praktiken an die neuen Regeln anzupassen und eine solche Geldbuße zu vermeiden.
Was wird sich ändern?
Die sichtbarsten und unmittelbarsten Änderungen kommen in den Nutzungsbedingungen und anderen Warnungen. Die Einwilligungsidee des GDPR erfordert viel mehr als die bisherigen Regelungen, was bedeutet, dass Unternehmen viel häufiger um Erlaubnis bitten werden, Ihre Daten zu sammeln. Konkret bedeutet das viel mehr „click to proceed“-Boxen, obwohl die Transparenzanforderungen bedeuten, dass der Text im Inneren etwas klarer sein kann, als Sie es gewohnt sind.
Es wird auch mehr Möglichkeiten geben, alle Daten, die ein Unternehmen über Sie hat, herunterzuladen. Dienste wie Google Takeout gibt es schon seit einiger Zeit, und kleinere Dienste wie Slack beginnen, ähnliche Optionen einzuführen, um die Anforderungen der GDPR an die Datenübertragbarkeit zu erfüllen. Das hilft in zweierlei Hinsicht: Sie können überprüfen, was Unternehmen sammeln, und es könnte Ihnen helfen, die Dominanz der Plattform abzuwickeln, indem Sie Daten zwischen Netzwerken übertragen. Wenn du deine Facebook-Nachrichten an Ello exportieren möchtest, stellen die neuen Portabilitätsanforderungen sicher, dass es einen Weg gibt, dies zu tun.
Die wichtigsten Veränderungen finden hinter den Kulissen statt. Die GDPR legt auch Regeln fest, wie Unternehmen Daten nach der Datenerhebung austauschen, was bedeutet, dass Unternehmen ihre Vorgehensweise bei der Analyse, der Anmeldung und vor allem bei der Werbung überdenken müssen. Ein einziger Standort könnte leicht 20 Werbepartner haben, die für die Person, deren Daten gemeinsam genutzt werden, oft unsichtbar sind. Aber die GDPR fügt komplexe neue Anforderungen für jedes Unternehmen hinzu, das Benutzerdaten aus zweiter Hand erhält, was viel mehr Transparenz darüber erfordert, was ein Unternehmen mit Ihren Daten macht. Dies hat zur Folge, dass alle diese Partner an die Öffentlichkeit gebracht werden müssen und ihre Verträge neu geschrieben werden müssen, um dem GDPR zu entsprechen. Das bedeutet, ein notorisch unordentliches System ausfindig zu machen, das auf der Idee basiert, dass es keine Kosten für die gemeinsame Nutzung von Daten gibt.