Und wie soll das durchgesetzt werden?
Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Von Ende Mai an drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes - je nach dem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden.
Was müssen Unternehmen und andere Organisationen beachten?
Grundsätzlich sollen so wenige Information wie möglich gesammelt werden - es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese Daten müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist.
Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten oder eine bestimmte Größe überschreiten, müssen zudem einen Datenschutzbeauftragten ernennen.
Wie fallen die Reaktionen aus?
Verbraucher- und Datenschützer jubeln. Für sie sind die neuen Regeln ein Meilenstein: besserer Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten, mehr Macht für Strafverfolgungsbehörden bei Rechtsverstößen. «Das ist der letzte Schritt der bahnbrechenden Reform des EU-Datenschutzes», sagte der Grünen-Abgeordnete und Verhandlungsführer des Europaparlaments Jan Philipp Albrecht nach der Einigung mit den EU-Staaten. Zwei Jahre später sagt die Vize-Generaldirektorin des europäischen Verbraucherschutzverbands Beuc, Ursula Pachl: «Konsumenten profitieren natürlich von vielen neuen Diensten, die auf der Verarbeitung von Nutzerdaten basieren. In vielen Fällen war die Einhaltung dieser Regeln jedoch das schwache Element dieser Dienste.»
Die Kritik aus der Wirtschaft ist zuletzt wieder etwas lauter geworden. Der Deutsche Industrie- und Handelskammertag warnt, vor allem kleine und mittelständische Unternehmen könnten Probleme bekommen, weil die neuen Regeln zu unpräzise seien. Der Bundesverband der Deutschen Industrie kritisiert vor allem das Prinzip der Datensparsamkeit. Dies sei ein großer Fehler, sagte Präsident Dieter Kempf. «In Zeiten der Datenvielfalt ist Datensparsamkeit einfach das falsche Bauprinzip.» Es müsse intensiv darum gerungen werden, die «Version zwei» der Verordnung zu diskutieren. Allerdings begrüßt die Wirtschaft in großen Teilen, dass die Regeln in der EU bald einheitlich sind.
Während der Gesetzgebung haben jedoch besonders große Tech-Firmen versucht, den Datenschutz aufzuweichen. Kleinere und mittlere Unternehmen und Vereine fürchten vor allem den bürokratischen Aufwand - und hohe Strafen, falls sie gegen die neuen Regeln verstoßen.
Wie geht es weiter mit dem Datenschutz in der EU?
Die EU-Kommission hat im vergangenen Jahr weitere Reformvorschläge für die elektronische Kommunikation über WhatsApp, Facebook oder Skype vorgelegt. Diese sehen in vielen Fällen die ausdrückliche Einwilligung der Nutzer zur weiteren Verwendung von Informationen wie Inhalt und Metadaten vor.