Daten­schutz-Grund­ver­ordnung Regeln für persönliche Daten

3
Daten­schutz-Grund­ver­ordnung - Regeln für persönliche Daten
Personenbezogene Daten. Sie sind ein wichtiges Gut. Ihr Schutz ist europaweit einheitlich geregelt. © Shutterstock

Der Umgang mit Daten ist in der Europäische Daten­schutz-Grund­ver­ordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.

Was ändert sich für Verbraucher?

Seit 2018 gilt die Europäische Daten­schutz-Grund­ver­ordnung und damit ein europaweit einheitliches Daten­schutz­recht. Die Rege­lungen stärken unter anderem das Recht des Einzelnen gegen­über Unternehmen auf Auskunft, Berichtigung und Löschung hinterlegter personenbezogener Daten. Zudem ist die Beweislast umge­kehrt: Wer Daten erhebt und verarbeitet, muss im Streitfall beweisen, dass er gesetzes­konform mit den Daten umgeht.

Wie gut klappt es mit dem Auskunfts­anspruch?

Eine Finanztest­redak­teurin hatte 2018 einen Selbst­versuch gemacht und zahlreiche Unternehmen um Auskunft und Löschung gebeten. Ihren Bericht lesen Sie in unserem Special Datenschutz: So gut klappt es mit dem Auskunftsanspruch.

Zunächst mal gilt: „Verboten!“

Grund­sätzlich formuliert die Daten­schutz-Grund­ver­ordnung ein Verbot. Danach ist jede Verarbeitung von personenbezogenen Daten erst einmal untersagt. Personenbezogene Daten – das sind alle Angaben, die sich auf eine „identifizierte oder identifizier­bare natürliche Person beziehen“, etwa Name, Adresse, Geburts­datum, Schuhgröße, Beruf, medizi­nische Befunde, Bank­daten aber auch Daten, die Verbraucher im Netz hinterlassen. Das heißt, auch pseudonymisierte Daten sind personenbezogen. Nur anonymisierte Daten unterliegen nicht daten­schutz­recht­lichen Vorgaben.

Einwilligung. Um nicht mit dem Verbot der neuen Verordnung in Konflikt zu geraten, müssen sich Unternehmen und Dienst­leister im besten Fall von Verbrauchern eine Einwilligung holen, sobald deren Daten erfasst und verarbeitet werden. Diese Einwilligung muss widerruf­bar sein. Und: Der Widerruf der Einwilligung muss für den Verbraucher genau so leicht sein, wie die Zustimmung zur Daten­ver­arbeitung.

Vertrags­erfüllung. Aber nicht immer braucht das Unternehmen eine Einwilligung zur Daten­erfassung und - speicherung. Beim Einkauf in einem Onlineshop darf der Händler etwa Adress- und Konto­daten auch ohne ausdrück­liche Einwilligung verarbeiten. Diese Daten benötigt der Verkäufer, um die Bestellung zu bearbeiten, die Ware zu liefern und die Bezahlung abzu­wickeln. Die Daten werden demnach benötigt, um den Kauf­vertrag zu erfüllen. Die Daten müssen spätestens gelöscht werden, wenn gesetzliche Aufbewahrungs­fristen, etwa aus dem Steuer- oder Handels­recht, enden.

Berechtigtes Interesse. Die DSGVO sieht eine weitere recht­lich zulässige Grund­lage für die Verarbeitung personenbezogener Daten: das sogenannte berechtigte Interesse. Ist die Daten­ver­arbeitung erforderlich, um wichtige Interessen des Unter­nehmens oder eines Dritten zu wahren und über­wiegen nicht die Interessen der Verbraucher, ist sie recht­mäßig. Berechtigte Interessen von Unternehmen können etwa Betrugs­bekämpfung, aber auch Direktmarketing sein. Ein Beispiel: Nach dem Onlinekauf von Turn­schuhen schickt der Verkäufer regel­mäßig personalisierte und gezielte Angebote für weitere Sport­bekleidung per E-Mail.

So weit reicht das Recht auf Auskunft

Jeder Verbraucher kann von einem Unternehmen formlos – etwa per E-Mail – Auskunft darüber verlangen, welche Daten es über ihn besitzt und verarbeitet und zu welchem Zweck das geschieht. Verbraucher können dann fordern, diese Daten zu berichtigen oder zu löschen. Unternehmen müssen Verbrauchern beispiels­weise folgende Zusammenhänge offenlegen und erläutern:

Speicherung. Wie lange werden die Daten gespeichert? Nach welchen Kriterien wird die Speicherdauer fest­gelegt?

Herkunft. Woher stammen die Daten, wenn das Unternehmen sie nicht selbst erhoben hat?

Scoring. Nach welchen grund­legenden Algorithmen verknüpft das Unternehmen Daten zur Profilbildung – etwa bei der Entscheidung über eine Kredit­vergabe und den Zins­satz von Darlehen?

Nutzung. Wer hat die personenbezogenen Daten des Verbrauchers bisher erhalten oder soll sie noch bekommen?

Sämtliche Informationen müssen dem Verbraucher kostenfrei zur Verfügung gestellt werden. Allerdings: Hat ein Unternehmen eine große Menge von gespeicherten Informationen über eine Person, beispiels­weise eine Versicherung oder eine Bank, bei der viele unterschiedliche Verträge abge­schlossen wurden, kann es vom Verbraucher eine Präzisierung verlangen. Er muss dann genauer ausführen, über welche Informationen oder Verarbeitungs­vorgänge er informiert werden möchte.

Tipp: Was Unternehmen alles über Verbraucher an Daten sammeln, zeigt unser Special Was weiß Google über mich?

Anspruch auf „Daten-Umzug“

Nach der DSGVO können Verbraucher verlangen, dass Dienste ihre gespeicherten personenbezogenen Daten in maschinenles­barer Form heraus­geben und auf Wunsch sogar direkt an einen anderen Anbieter über­tragen. Das erleichtert den Wechsel zum Beispiel bei intelligenten Stromzäh­lern, Fitness-Trackern oder Musik-Streaming­diensten. Gespeicherte Sport-Aktivitäten oder Musik-Playlisten können dann leicht von einem Dienst zum anderen wandern. Auch bei einem Bank­wechsel können Informationen über einge­richtete Dauer­aufträge dann direkt an das neue Bank­institut über­tragen werden. Mehr erfahren Sie in unserem Test Girokonto wechseln.

Das Recht auf Löschung und „Vergessenwerden“

Mit der Daten­schutz-Grund­ver­ordnung wurde das „Recht auf Vergessenwerden“ erst­mals ausdrück­lich gesetzlich geregelt. Hier geht es um das Löschen der Spuren von personenbezogenen Daten, die durch Veröffent­lichungen – vor allem im Internet – einer breiten Öffent­lich­keit zugäng­lich sind. Das verantwort­liche Unternehmen, das die personenbezogenen Daten öffent­lich gemacht hat und zur Löschung verpflichtet ist, muss zukünftig dafür sorgen, dass alle Stellen, die die Daten ebenfalls benutzt oder verbreitet haben, diese ebenfalls unver­züglich löschen. Dazu gehört auch das Löschen aller Links zu diesen Daten und aller Kopien. Das verantwort­liche Unternehmen darf keine tech­nischen Mühen scheuen, um das Löschen umzu­setzen.

Sehr hohe Bußgelder drohen

Wer fest­stellt, dass Unternehmen in unzu­lässiger Weise, etwa ohne recht­mäßig einge­holte Einwilligung, Daten erfassen oder ihrer Informations­pflicht nicht nach­kommen, kann die Daten­schutz­behörden einschalten, zum Beispiel den Daten­schutz­beauftragten des jeweiligen Bundes­landes. Diese Behörden können die Verarbeitung oder Weiterleitung von Daten verbieten und Verstöße gegen die Daten­schutz-Grund­ver­ordnung mit Geldbußen ahnden. Fällig werden können dann bis zu 10 000 000 Euro oder 2 Prozent des gesamten welt­weiten Jahres­umsatzes, den ein Unternehmen im Vorjahr erwirt­schaftet hat – je nachdem, welche Strafe höher ist. Bei besonders schwerwiegenden Verstößen können die Strafen sogar doppelt so hoch ausfallen.

Ist jemandem durch unrecht­mäßige Daten­ver­arbeitung ein Schaden entstanden, kann unter Umständen zusätzlich Schadens­ersatz vom Unternehmen verlangt werden.

An wen wende ich mich?

Betroffene können sich bei dem Verdacht, dass ihre personenbezogenen Daten unrecht­mäßig verarbeitet werden oder wurden – oder dass ihre Daten gar nicht oder nicht voll­ständig gelöscht wurden – an die zuständige Daten­schutz­aufsichts­behörde wenden.

Zuständig ist immer die Aufsichts­behörde des Bundes­landes, in der das Unternehmen seinen Sitz hat. Sitzt das Unternehmen im Ausland, gilt das sogenannte Markt­ortprinzip. Danach können sich deutsche Bürgerinnen und Bürger auch an ihre regionale Aufsichts­behörde wenden, wenn sie Probleme mit Unternehmen in- und außer­halb der EU haben. Die Landes­daten­schutz­behörde wird dann gemein­sam mit der zuständigen anderen europäischen Aufsichts­behörde den Fall bearbeiten.

Geht es um die Daten­ver­arbeitung öffent­licher Stellen des Bundes oder Einrichtungen wie Tele­kommunikations- und Post­dienst­unternehmen, ist die Bundes­beauftragte für den Daten­schutz zuständig.

Verbraucher­schutz­verbände dürfen klagen

Wichtige Entscheidung.
Mit einem Grund­satz­urteil hat der Europäische Gerichts­hof (EuGh) jüngst fest­gestellt, dass Verbraucher­verbände wie der Verbraucherzentrale Bundes­verband (vzbv) klagen dürfen, wenn Unternehmen Verstöße gegen die DSGVO begangen haben und es nationale Gesetze vorsieht. Dafür benötigen Verbände weder einen konkreten Auftrag noch konkrete Rechts­verletzungen von Verbrauchern.

Hintergrund. Der vzbv hatte gegen den Mutter­konzern von Facebook, meta, geklagt. Er warf dem Unternehmen vor, dass es bei der Bereit­stellung kostenloser Spiele von Dritt­anbietern in seinem „App-Zentrum“ unter anderem gegen Daten­schutz­bestimmungen verstoßen hat. Nach dem Land­gericht und dem Kammerge­richt Berlin geht auch der Bundes­gerichts­hof geht von einem Verstoß gegen die DSGVO aus, hatte aber Fragen zur Klagebefugnis des vzbv dem EuGH vorgelegt. Der EuGH musste klären, ob ein Verband wie der vzbv über­haupt Rechte nach der DSGVO auf dem Klageweg geltend machen darf.

3

Mehr zum Thema

  • Facebook und Daten­schutz Bundes­gerichts­hof gibt Kartell­amt Recht

    - Der Bundes­gerichts­hof hat das soziale Netz­werk Facebook in seine Schranken verwiesen: Es darf in Deutsch­land vor­erst nicht weiter uneinge­schränkt Nutzer­daten...

  • Facebooks „Gefällt-mir“-Button EuGH-Urteil könnte weitreichende Folgen haben

    - Wer den “Gefällt-mir“-Button mit der von Facebook gelieferten Technik unver­ändert auf seiner Website platziert, muss Nutzer darüber informieren, dass schon beim Besuch...

  • Privacy Shield EuGH kippt Daten­schutz­abkommen mit USA

    - Der Europäische Gerichts­hof (EuGH) hat das Daten­schutz­abkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung,...

3 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

GuessWhat am 10.08.2018 um 19:36 Uhr
@halsbandschnaepper

Die DSGV schreibt allen Webseiten vor was sie wann, wie und vor allem nicht speichern dürfen. Dabei verursacht sie Millionen Euro an Kosten, die letztlich die Verbraucher bezahlen. Angebliches Ziel, soll die Sicherstellung sein, dass Unternehmen auch wirklich nur das speichern, was der Kunde will und er dieses auch beeinflussen und steuern kann.
Der Staat gibt sich aber selbst das Recht, unsere gesamte Kommunikation (wer hat wen wie lange angerufen, wer hat wem wann eine Email geachickt, wer hat sich wann wo mit seinem Handy aufgehalten) ohne jeden Anlass und ohne, dass ich Bürger etwas dagegen tun kann, zu speichern.
Das hat die DSGV mit der Vorratsdatenspeicherung zu tun.

halsbandschnaepper am 29.05.2018 um 18:53 Uhr
Troll^3

Was hat die DSGV mit Vorratsdatenspeicherung zu tun? Genau, gar nichts. Aber @GuessWhat wollte mal wieder trollen.

GuessWhat am 01.04.2018 um 15:26 Uhr
Heuchelei^2

Nur der Staat darf natürlich alles und zu jeder Zeit anlasslos speichern (Vorratsdatenspeicherung). Schließlich wollen Politiker ja nur unser Bestes.
Sorry, bei derart viel Heuchelei seitens der EU und der Bundesregierung kommt mir echt das Mittagessen wieder hoch.