DSGVO: Ihre Daten, Ihre Rechte
Durch die Nutzung von Social-Media-Diensten, Fitnessarmbändern, Smartphones oder das Sammeln von Punkten mit Kundenkarten generieren Unternehmen riesige Datenmengen. Die Datenschutz-Grundverordnung erweitert die Rechte von Verbraucherinnen und Verbrauchern. Doch was genau regelt die DSGVO eigentlich?
Das Wichtigste in Kürze
- Seit 2018 gilt ein europaweit einheitliches Datenschutzrecht. Das bedeutet: Unternehmen können nicht mehr in das Land mit dem niedrigsten Datenschutzniveau ausweichen.
- Die Rechte von Verbraucherinnen und Verbrauchern auf Auskunft, Löschung und Berichtigung wurden erweitert und um weitere Verbraucherrechte ergänzt.
- Daten können mit dem Inkrafttreten der Verordnung komplett an einen anderen Anbieter übertragen werden.
Durch die Datenschutz-Grundverordnung (DSGVO) gelten seit 2018 europaweit einheitliche Datenschutzregeln. An diese müssen sich nicht nur Unternehmen, die in der Europäischen Union (EU) ansässig sind, halten, sondern auch internationale Konzerne, wenn sie ihre Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgerinnen und -Bürgern beobachten. Wir haben zusammengestellt, was Sie über die Verordnung wissen sollten.
Was sind eigentlich personenbezogene Daten?
Personenbezogene Daten sind alle persönlichen und sachlichen Informationen, die es ermöglichen, Sie als Person zu identifizieren. Sie sind vergleichbar mit einem Fingerabdruck, den Sie hinterlassen. Zu den personenbezogenen Daten gehören beispielsweise Ihr Name, Ihre Anschrift, Ihr Geburtsdatum, Ihre Herkunft und Ausbildung, Ihr Familienstand und genetische Daten. Aber auch sachliche Angaben wie Vermögen, Gehalt, Freundschaften, Konsum- und Kommunikationsverhalten und ebenso Geodaten, anhand derer sich Ihr Standort bzw. Ihr Bewegungsprofil ermitteln lassen, sowie IP-Adressen gehören dazu.
Wann dürfen meine Daten verarbeitet werden?
Die Verarbeitung Ihrer personenbezogenen Daten ist grundsätzlich verboten, es sei denn Sie haben in diese eingewilligt oder sie ist gesetzlich erlaubt. Das ist unter folgenden Umständen der Fall:
- Datenverarbeitung erlaubt, bei Erfüllung des Vertrages
Kaufen Sie beispielsweise eine Kamera im Internet, so darf der Verkäufer Ihre Adress- und Kontodaten auch ohne Ihre ausdrückliche Einwilligung verarbeiten. Denn: Diese Daten benötigt der Verkäufer, um Ihre Bestellung abzuwickeln, die Ware zu liefern und die Bezahlung zu koordinieren. Die Verarbeitung Ihrer Daten ist daher für die Erfüllung des Vertrages notwendig. Nach Vertragserfüllung muss der Unternehmer Ihre Daten übrigens wieder löschen, wenn die steuerliche Pflicht zur Aufbewahrung endet.
- Datenverarbeitung erlaubt, bei Einwilligung
Erlaubt ist die Datenverarbeitung auch dann, wenn Sie in diese eingewilligt haben. Das kann zum Beispiel im Rahmen von Online-Einkäufen durch das Anklicken eines Kästchens (Opt-in) auf der Website erfolgen. Ein voreingestelltes Häkchen, dass Sie, wenn Sie nicht in die Datenverarbeitung einwilligen möchten, entfernen müssen (Opt-out), ist hingegen nicht zulässig. Heutzutage gibt es kaum eine Webseite, auf der nicht zunächst viele Entscheidungen zum Einsatz von sogenannten Cookies gefällt werden müssen.
Zudem muss die Einwilligung freiwillig erteilt werden und darf nicht unter Druck oder Zwang erfolgen. Es besteht daher ein sogenanntes Kopplungsverbot. Das bedeutet: Ein Unternehmen darf beispielsweise den Abschluss eines Kaufvertrags via Internet nicht davon abhängig machen, dass Sie in die Nutzung Ihrer Daten für telefonische Werbeangebote einwilligen. Damit Sie als Verbraucherin bzw. Verbraucher eine freiwillige Entscheidung treffen können, ist es notwendig, dass Sie die wesentlichen Umstände und den Zweck der Datenverarbeitung kennen. Um dies zu gewährleisten, muss die Datenschutzerklärung in einfacher, verständlicher Sprache verfasst und von den übrigen Vertragsbestimmungen getrennt sein. - Datenverarbeitung erlaubt, bei berechtigtem Interesse des Unternehmers
Die Verarbeitung personenbezogener Daten ist auch dann rechtmäßig, wenn sie erforderlich ist, um ein berechtigtes Interesse des Unternehmers oder eines Dritten zu wahren und die Interessen der Verbraucherin bzw. des Verbrauchers nicht überwiegen. Was heißt das? Berechtigte Interessen des Unternehmers können Betrugsbekämpfung, aber – nach den Erwägungsgründen der DSGVO – auch das Direktmarketing sein.
Haben Sie sich zum Beispiel bei einem Online-Händler eine Waschmaschine gekauft und erhalten in der Folgezeit personalisierte und gezielte Werbung des Anbieters zu weiteren Elektroprodukten, so wird diese Werbung möglicherweise durch das berechtigte Interesse des Online-Händlers gedeckt sein.
Das gilt nicht für Telefonwerbung. Diese ist in diesem Fall nicht zulässig, es sei denn, Sie haben ausdrücklich eingewilligt. Zwar mag der Händler ein berechtigtes Interesse an der Werbung per Anruf haben, Ihr Interesse an der Ungestörtheit Ihrer Privatsphäre überwiegt jedoch. Auch die Zusendung von Werbemails an Nicht-Kunden bleibt nach unserem Verständnis unzulässig.
Gut zu wissen
Kinder sind durch die Datenschutz-Grundverordnung besser geschützt als in der Vergangenheit. Sie können erst mit Vollendung des 16. Lebensjahrs in die Datenverarbeitung, beispielsweise von sozialen Netzwerken, App-Stores oder Online-Spielen, einwilligen. Unternehmen, die ihr Angebot gezielt an Kinder richten, müssen die Informationen zum Datenschutz zudem in klarer und einfacher Sprache erteilen, damit sie von der Zielgruppe auch verstanden werden. Ist ein Kind noch nicht 16 Jahre alt, so muss die Einwilligung der Eltern eingeholt werden. Eine nachträgliche Genehmigung ist nicht ausreichend. Dabei müssen die Anbieter angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass die Eltern tatsächlich einverstanden sind.
Welche Rechte bringt die Verordnung?
Durch die Datenschutz-Grundverordnung hat sich für Sie als Verbraucherin oder Verbraucher jede Menge geändert. Sie erhalten sehr viel mehr Rechte hinsichtlich Ihrer personenbezogenen Daten. Schließlich gehören die Daten zunächst einmal Ihnen. Diese Rechte haben Sie:
- Recht auf Information
Unternehmen müssen Sie aktiv über die Verarbeitung von Daten informieren. Dies kann beispielsweise durch eine leicht erreichbare Datenschutzerklärung mit allen Einzelheiten zur Datenverarbeitung erfolgen.
- Recht auf Auskunft
Auf Verlangen müssen Unternehmen Sie in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache über die Datenverarbeitung informieren. Hierzu gehören beispielsweise die Nennung des Zwecks der Datenverarbeitung, die Speicherdauer, Informationen über die Herkunft der Daten und mögliche Empfänger. Diese Auskunft ermöglicht es Ihnen, weitere Rechte – wie das Recht auf Löschung oder Berichtigung – geltend zu machen. Die Auskunft muss grundsätzlich kostenfrei erteilt werden. Zudem haben Sie durch die DSGVO das Recht auf eine Kopie der Daten; die erste Kopie müssen Ihnen Unternehmen kostenfrei bereitstellen.
- Widerspruchsrecht
Sie können der Datenverarbeitung für Direktwerbung und Profilbildung jederzeit kostenfrei und ohne Begründung widersprechen. Zusätzlich können Sie die Sperrung Ihrer Daten verlangen.
Dient die Verarbeitung anderen Zwecken als der Direktwerbung müssen Sie für Ihren Widerspruch einen plausiblen Grund anführen. Es hängt dann vom Einzelfall ab, ob das Unternehmen Ihre Daten dennoch weiter verwenden darf, zum Beispiel um Rechtsansprüche geltend zu machen.
- Recht auf Berichtigung
Sind Ihre Daten falsch, müssen diese unverzüglich berichtigt oder vervollständigt werden.
- Recht auf Löschung / Recht auf Vergessen
Werden Ihre Daten unrechtmäßig verarbeitet oder nicht mehr für den Zweck benötigt, für den sie erhoben wurden, so steht Ihnen ein Recht auf Löschung zu. Auch nach einem Widerspruch gegen die Datenverarbeitung (wenn keine berechtigten Interessen des Unternehmers dagegen stehen) oder einem Widerruf der zuvor erteilten Einwilligung müssen Unternehmen Ihre Daten löschen.
Ist das Unternehmen zur Löschung verpflichtet, so muss es Ihre Daten oder Links zu diesen nicht nur auf der eigenen Internetseite löschen, sondern auch Dritte, die die Daten ebenfalls verarbeiten, über das Löschungsverlangen informieren.
- Recht auf Einschränkung der Verarbeitung / Sperre
Besteht Streit über die Richtigkeit der Daten oder haben Sie Widerspruch gegen die Verarbeitung Ihrer Daten eingelegt und ist noch nicht geklärt, ob diesem ein berechtigtes Interesse des Unternehmers entgegensteht, so können Sie zwar noch nicht die Löschung, zumindest aber die Sperre der Datenverarbeitung verlangen. Sind die Daten gesperrt, darf das Unternehmen diese nicht mehr wie gewohnt nutzen, Ihnen als Kunden beispielsweise keine Werbung per Mail mehr senden.
- Recht auf Datenmitnahme
Durch die Datenschutz-Grundverordnung sollen Sie zudem die Möglichkeit erhalten, einfacher zwischen den Anbietern sozialer Netzwerke, E-Mail und anderen Cloud-Diensten zu wechseln. Hierzu können sie von Ihrem bisherigen Anbieter verlangen, Ihre personenbezogenen Daten – Fotos, Videos, E-Mails, Playlists, Kontakte –, die sie selbst bereitgestellt haben, in einem strukturierten gängigen transportfähigen Format bereitzustellen, damit Sie diese auf den neuen Anbieter übertragen können bzw. die direkte Übertragung zum neuen Anbieter verlangen.
Wie komme ich zu meinen Rechten?
Wurden Ihre Daten nicht rechtmäßig verwendet, können Sie dagegen vorgehen, und zwar wie folgt: Machen Sie zunächst Ihren Anspruch auf Löschung gegenüber der verantwortlichen Stelle geltend. Erfolgt innerhalb der von Ihnen gesetzten Frist keine oder nur eine unzureichende Reaktion, können Sie Klage beim zuständigen Zivilgericht (Amts- oder Landgericht) erheben. Wollen Sie nicht selbst klagen, aber dennoch gegen das unrechtmäßige Verhalten vorgehen, können Sie die zuständige Aufsichtsbehörde informieren. Das ist in Hamburg „Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit“.
Bisher mussten sich deutsche Verbraucherinnen und Verbraucher beispielsweise mit Beschwerden gegen Facebook an die Aufsichtsbehörde in Irland wenden, weil das Unternehmen dort seine europäische Niederlassung hat. Nun können sie ihre Beschwerden bei der Aufsichtsbehörde im eigenen Land einreichen und diese setzt sich mit der Aufsichtsbehörde des Landes in Verbindung, in dem sich die Niederlassung der betroffenen Firma befindet.
Liegt ein datenrechtlicher Verstoß vor, können die Aufsichtsbehörden Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängen. Seit Inkrafttreten der DSGVO wurden von den europäischen Aufsichtsbehörden bei Datenschutzverstößen bereits einige Male Bußgelder in Millionenhöhe verhängt. Zudem ist in der Datenschutz-Grundverordnung für Verbraucherinnen und Verbraucher ein Anspruch auf Schmerzensgeld gesetzlich verankert. Dieser kann zum Beispiel dann bestehen, wenn ehrverletzende Daten wie Nacktfotos ohne die Einwilligung der Betroffenen veröffentlicht wurden.
Gut zu wissen
DSGVO, Geolokalisierung, Privacy by default, Smishing, Zählpixel... und noch viele Begriffe mehr sollte man heute kennen und verstehen, um in Sachen Datenschutz auf dem neuesten Stand zu sein. Die Verbraucherzentralen erklären die am häufigsten genutzten Begriffe im Datenschutzrecht kurz und knapp in einem übersichtlichen Glossar.