Ihre Daten, Ihre Rechte

Ob die Nutzung von Social-Media-Diensten, Fitnessarmbändern, Smartphones oder das Sammeln von Punkten mit Kundenkarten – all dies bedeutet, dass Unternehmen riesige Datenmengen verarbeiten. Durch die am 25. Mai in Kraft getretene Datenschutz-Grundverordnung (DSGVO) sollen Verbraucher besser als bisher verstehen können, was mit ihren Daten geschieht, und leichter zu ihrem Recht kommen.

Frau tippt auf Tastatur eines Laptops

Das Wichtigste in Kürze

  1. Seit dem 25. Mai 2018 gilt ein europaweit einheitliches Datenschutzrecht. Das bedeutet: Unternehmen können nicht mehr in das Land mit dem niedrigsten Datenschutzniveau ausweichen.
  2. Die Rechte von Verbrauchern auf Auskunft, Löschung und Berichtigung werden erweitert und um weitere Verbraucherrechte ergänzt.
  3. Daten können mit dem Inkrafttreten der Verordnung komplett an einen anderen Anbieter übertragen werden.  
Stand: 27.05.2018

Durch die Datenschutz-Grundverordnung (DSGVO) gelten seit dem 25. Mai 2018 europaweit einheitliche Datenschutzregeln. An diese müssen sich nicht nur Unternehmen, die in der Europäischen Union (EU) ansässig sind, halten, sondern auch internationale Konzerne, wenn sie ihre Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Verbrauchern in der EU beobachten. Wir haben zusammengestellt, was Sie über die Verordnung wissen sollten.

Was sind eigentlich personenbezogene Daten?

Personenbezogene Daten sind alle persönlichen und sachlichen Informationen, die es ermöglichen, Sie als Person zu identifizieren. Sie sind vergleichbar mit einem Fingerabdruck, den Sie hinterlassen. Zu den personenbezogenen Daten gehören beispielsweise Ihr Name, Ihre Anschrift, Ihr Geburtsdatum, Ihre Herkunft und Ausbildung, Ihr Familienstand und genetische Daten. Aber auch sachliche Angaben wie Vermögen, Gehalt, Freundschaften, Konsum- und Kommunikationsverhalten und ebenso Geodaten, anhand derer sich Ihr Standort bzw. Ihr Bewegungsprofil ermitteln lassen, sowie IP-Adressen und Cookies.

Wann dürfen meine Daten verarbeitet werden?

Die Verarbeitung Ihrer personenbezogenen Daten ist grundsätzlich verboten, es sei denn Sie haben in diese eingewilligt oder sie ist gesetzlich erlaubt. Das ist unter folgenden Umständen der Fall:

  • Datenverarbeitung erlaubt, bei Erfüllung des Vertrages
    Kaufen Sie beispielsweise eine Kamera im Internet, so darf der Verkäufer Ihre Adress- und Kontodaten auch ohne Ihre ausdrückliche Einwilligung verarbeiten. Denn: Diese Daten benötigt der Verkäufer schließlich, um Ihre Bestellung abzuwickeln, die Ware zu liefern und die Bezahlung zu koordinieren. Die Verarbeitung Ihrer Daten ist daher für die Erfüllung des Vertrages notwendig.
    Nach Vertragserfüllung muss der Unternehmer Ihre Daten übrigens wieder löschen, wenn die steuerliche Pflicht zur Aufbewahrung endet.
     
  • Datenverarbeitung erlaubt, bei Einwilligung
    Erlaubt ist die Datenverarbeitung auch dann, wenn Sie in diese eingewilligt haben. Das kann zum Beispiel im Rahmen von Online-Einkäufen durch das Einklicken eines Kästchens (Opt-in) auf der Website erfolgen. Ein voreingestelltes Häkchen, dass Sie, wenn Sie nicht in die Datenverarbeitung einwilligen möchten, entfernen müssen (Opt-out), ist hingegen nicht zulässig.
    Zudem muss die Einwilligung freiwillig erteilt werden und darf nicht unter Druck oder Zwang erfolgen. Es besteht daher ein sogenanntes Kopplungsverbot. Das bedeutet: Ein Unternehmen darf beispielsweise den Abschluss eines Kaufvertrags via Internet nicht davon abhängig machen, dass Sie in die Nutzung Ihrer Daten für telefonische Werbeangebote einwilligen. 
    Damit Sie als Verbraucher eine freiwillige Entscheidung treffen können, ist es notwendig, dass Sie die wesentlichen Umstände und den Zweck der Datenverarbeitung kennen. Um dies zu gewährleisten, muss die Datenschutzerklärung in einfacher, verständlicher Sprache verfasst und von den übrigen Vertragsbestimmungen getrennt sein.
     
  • Datenverarbeitung erlaubt, bei berechtigtem Interesse des Unternehmers
    Die Verarbeitung personenbezogener Daten ist auch dann rechtmäßig, wenn sie erforderlich ist, um ein berechtigtes Interesse des Unternehmers oder eines Dritten zu wahren und die Interessen des Verbrauchers nicht überwiegen. Was heißt das? Berechtigte Interessen des Unternehmers können Betrugsbekämpfung, aber – nach den Erwägungsgründen der DSGVO – auch das Direktmarketing sein.
    Haben Sie sich zum Beispiel bei einem Online-Händler eine Waschmaschine gekauft und erhalten in der Folgezeit personalisierte und gezielte Werbung des Anbieters zu weiteren Elektroprodukten, so wird diese Werbung durch das berechtigte Interesse des Online-Händlers gedeckt sein.
    Das gilt nicht für Telefonwerbung. Diese ist unseres Erachtens in diesem Fall nicht zulässig, es sei denn, Sie haben ausdrücklich eingewilligt. Zwar mag der Händler ein berechtigtes Interesse an der Werbung per Anruf haben, Ihr Interesse an der Ungestörtheit Ihrer Privatsphäre überwiegt jedoch. Auch die Zusendung von Werbemails an Nicht-Kunden bleibt nach unserem Verständnis unzulässig.

Gut zu wissen

Kinder werden durch die Datenschutz-Grundverordnung zukünftig besser geschützt. Sie können erst mit Vollendung des 16. Lebensjahrs in die Datenverarbeitung, beispielsweise von sozialen Netzwerken, App-Stores oder Online-Spielen, einwilligen. Unternehmen, die ihr Angebot gezielt an Kinder richten, müssen die Informationen zum Datenschutz zudem in klarer und einfacher Sprache erteilen, damit sie von der Zielgruppe auch verstanden werden. Ist ein Kind noch nicht 16 Jahre alt, so muss die Einwilligung der Eltern eingeholt werden. Eine nachträgliche Genehmigung ist nicht ausreichend. Dabei müssen die Anbieter angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass die Eltern tatsächlich einverstanden sind.   

Welche Rechte bringt die Verordnung?

Durch die Datenschutz-Grundverordnung ändert sich für Sie als Verbraucher jede Menge. Sie erhalten sehr viel mehr Rechte hinsichtlich Ihrer personenbezogenen Daten. Schließlich gehören die Daten zunächst einmal Ihnen. Diese Rechte haben Sie.

  • Recht auf Information
    Unternehmen müssen Sie aktiv über die Verarbeitung von Daten informieren. Dies kann beispielsweise durch eine leicht erreichbare Datenschutzerklärung mit allen Einzelheiten zur Datenverarbeitung erfolgen.
     
  • Recht auf Auskunft
    Auf Verlangen müssen Unternehmen Sie in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache über die Datenverarbeitung informieren. Hierzu gehören beispielsweise die Nennung des Zwecks der Datenverarbeitung, die Speicherdauer, Informationen über die Herkunft der Daten und mögliche Empfänger. Diese Auskunft ermöglicht es Ihnen, weitere Rechte – wie das Recht auf Löschung oder Berichtigung –geltend zu machen. Die Auskunft muss grundsätzlich kostenfrei erteilt werden. Zudem haben Sie durch die DSGVO das Recht auf eine Kopie der Daten; die erste Kopie müssen Ihnen Unternehmen kostenfrei bereitstellen.
        
  • Widerspruchsrecht
    Sie können der Datenverarbeitung für Direktwerbung und Profilbildung jederzeit kostenfrei und ohne Begründung widersprechen. Zusätzlich können Sie die Sperrung Ihrer Daten verlangen.
    Dient die Verarbeitung anderen Zwecken als der Direktwerbung müssen Sie für Ihren Widerspruch einen plausiblen Grund anführen. Es hängt dann vom Einzelfall ab, ob das Unternehmen Ihre Daten dennoch weiter verwenden darf, zum Beispiel um Rechtsansprüche geltend zu machen.
     
  • Recht auf Berichtigung
    Sind Ihre Daten falsch, müssen diese unverzüglich berichtigt oder vervollständigt werden.
     
  • Recht auf Löschung / Recht auf Vergessen
    Werden Ihre Daten unrechtmäßig verarbeitet oder nicht mehr für den Zweck benötigt, für den sie erhoben wurden, so steht Ihnen ein Recht auf Löschung zu. Auch nach einem Widerspruch gegen die Datenverarbeitung (wenn keine berechtigten Interessen des Unternehmers dagegen stehen) oder einem Widerruf der zuvor erteilten Einwilligung müssen Unternehmen Ihre Daten löschen.
    Ist das Unternehmen zur Löschung verpflichtet, so muss es Ihre Daten oder Links zu diesen nicht nur auf der eigenen Internetseite löschen, sondern auch Dritte, die die Daten ebenfalls verarbeiten, über das Löschungsverlangen informieren.
     
  • Recht auf Einschränkung der Verarbeitung / Sperre
    Besteht Streit über die Richtigkeit der Daten oder haben Sie Widerspruch gegen die Verarbeitung Ihrer Daten eingelegt und ist noch nicht geklärt, ob diesem ein berechtigtes Interesse des Unternehmers entgegensteht, so können Sie zwar noch nicht die Löschung, zumindest aber die Sperre der Datenverarbeitung verlangen. Sind die Daten gesperrt, darf das Unternehmen diese nicht mehr wie gewohnt nutzen, Ihnen als Kunden beispielsweise keine Werbung per Mail mehr senden.
     
  • Recht auf Datenmitnahme
    Durch die Datenschutz-Grundverordnung sollen Sie zudem die Möglichkeit erhalten, einfacher zwischen den Anbietern sozialer Netzwerke, E-Mail und anderen Cloud-Diensten zu wechseln. Hierzu können sie von Ihrem bisherigen Anbieter verlangen, Ihre personenbezogenen Daten – Fotos, Videos, E-Mails, Playlists, Kontakte –, die sie selbst bereitgestellt haben, in einem strukturierten gängigen transportfähigen Format bereitzustellen, damit Sie diese auf den neuen Anbieter übertragen können bzw. die direkte Übertragung zum neuen Anbieter verlangen.
    Wie gut die Datenübernahme klappt, muss sich in der Praxis allerdings erst zeigen. 

Wie komme ich zu meinen Rechten?

Wurden Ihre Daten nicht rechtmäßig verwendet, können Sie dagegen vorgehen, und zwar wie folgt: Machen Sie zunächst Ihren Anspruch auf Löschung gegenüber der verantwortlichen Stelle geltend. Erfolgt innerhalb der von Ihnen gesetzten Frist keine oder nur eine unzureichende Reaktion, können Sie Klage beim zuständigen Zivilgericht (Amts- oder Landgericht) erheben. Wollen Sie nicht selbst klagen, aber dennoch gegen das unrechtmäßige Verhalten vorgehen, können Sie die zuständige Aufsichtsbehörde informieren. Das ist in Hamburg Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Gut zu wissen

Bisher mussten sich deutsche Verbraucher beispielsweise mit Beschwerden gegen Facebook an die Aufsichtsbehörde in Irland wenden, weil das Unternehmen dort seine europäische Niederlassung hat. Nun können sie ihre Beschwerden bei der Aufsichtsbehörde im eigenen Land einreichen und diese setzt sich mit der Aufsichtsbehörde des Landes in Verbindung, in dem sich die Niederlassung der betroffenen Firma befindet.

Liegt ein datenrechtlicher Verstoß vor, können die Aufsichtsbehörden Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängen. Zudem ist in der Datenschutz-Grundverordnung für Verbraucher ein Anspruch auf Schmerzensgeld gesetzlich verankert. Dieser kann zum Beispiel dann bestehen, wenn ehrverletzende Daten wie Nacktfotos ohne die Einwilligung der Betroffenen veröffentlicht wurden.

Ratgeber