Kurz & knapp: Die Grundsätze der DSGVO

"Datensparsamkeit" ist die Devise der DSGVO. Das heißt, Unternehmen dürfen nur jene Daten ihrer Kunden oder Nutzer abfragen, die für den betreffenden Zweck auch benötigt werden. Dementsprechend müssen auch die Standard-Einstellungen bei der Anmeldung neuer Nutzer oder Kunden gestaltet sein.

Anbieter von Dienstleistungen oder Waren müssen die Sicherheit der erhobenen Kundendaten gewährleisten. Das kann bedeuten, dass Unternehmen diese Informationen verschlüsseln müssen.

Persönliche Daten von Kunden oder Nutzern dürfen nur dann ins außereuropäische Ausland übermittelt werden, wenn die EU-Kommission den betreffenden Staaten ein "angemessenes Schutzniveau" bescheinigt hat. Ist das nicht der Fall, muss der Absender der Daten "geeignete Garantien" für deren Sicherheit abgeben.

Beim Wechsel zu einem anderen Anbieter haben Kunden und Nutzer ein Anrecht darauf, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.

Datenschutzbehörden haben das Recht, das Löschen bestimmter Daten anzuordnen.

Unternehmen drohen bei Verstößen gegen die neuen Regeln hohe Strafen - sie können sich auf bis zu vier Prozent des Jahresumsatzes belaufen. Verstöße gegen die DSGVO müssen Unternehmen innerhalb einer Frist von 72 Stunden den Behörden melden.

Die DSGVO gilt nicht nur für in der EU ansässige Unternehmen. Kriterium für die Anwendung ist das sogenannte Marktort-Prinzip. Das heißt: Anbieter, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzregeln, auch wenn der Konzern seinen Hauptsitz etwa in den USA hat.

Für außereuropäische Unternehmen sind die Datenschutzbehörden jenes EU-Landes zuständig, in dem die Unternehmen ihren Hauptsitz haben. So sind etwa die irischen Datenschützer für Facebook zuständig, weil der US-Konzern seine Europa-Zentrale in Dublin hat. Stellen deutsche Datenschützer also bei Facebook einen Verstoß gegen die DSGVO fest, dann kontaktieren sie nicht das Unternehmen direkt. Stattdessen schalten sie die irischen Kollegen ein, die den Fall prüfen und sich dann gegebenenfalls an Facebook wenden.

Bei Unstimmigkeiten zwischen nationalen Datenschutzbehörden wird der Europäische Datenschutz-Ausschuss eingeschaltet, der am 25. Mai seine Arbeit aufnimmt. In diesem Gremium hat jedes EU-Mitglied eine Stimme.