Am 25. Mai tritt europaweit ein neues Datenschutzgesetz in Kraft – die Europäische Datenschutz-Grundverordnung (DSGVO). Bislang war der Umgang mit personenbezogenen Daten national geregelt. Das ändert sich nun. Verbraucher bekommen mehr Rechte und Handlungsmöglichkeiten, etwa für den Fall, dass ihre Daten missbraucht werden. test.de klärt auf.
Was ändert sich für Verbraucher?
Nun ist es soweit – nach einer Übergangsphase von zwei Jahren tritt die Europäische Datenschutz-Grundverordnung in Kraft. Durch die Verordnung wird es für Verbraucher leichter, ihre Rechte auch grenzüberschreitend einzufordern und durchzusetzen. Die neuen Regelungen stärken das Recht der Verbraucher auf Auskunft, Berichtigung und auf Löschung von Daten. Zudem wird die Beweislast umgekehrt: Wer Daten erhebt und verarbeitet muss im Streitfall künftig beweisen, dass er gesetzeskonform mit den Daten umgeht.
Wie gut klappt es mit dem Auskunftsanspruch?
Update 17. Juli 2018. Eine Finanztestredakteurin hat den Selbstversuch gemacht und zahlreiche Unternehmen um Auskunft und Löschung gebeten. Ihren Bericht lesen Sie in unserem Special Datenschutz: So gut klappt es mit dem Auskunftsanspruch.
Zunächst mal gilt: „Verboten!“
Grundsätzlich formuliert die Datenschutz-Grundverordnung ein Verbot. Danach ist jede Verarbeitung von personenbezogenen Daten erst einmal untersagt. Personenbezogene Daten – das sind alle Angaben, die sich auf eine „identifizierte oder identifizierbare natürliche Person beziehen“, etwa Name, Adresse, Geburtstagdatum, Schuhgröße, Beruf, medizinische Befunde, Bankdaten aber auch Daten, die Verbraucher im Netz hinterlassen. Das heißt, auch pseudonymisierte Daten sind personenbezogen. Nur anonymisierte Daten unterliegen nicht datenschutzrechtlichen Vorgaben.
Um nicht mit dem Verbot der neuen Verordnung in Konflikt zu geraten, müssen sich Unternehmen und Dienstleister künftig von Verbrauchern eine Einwilligung holen, sobald deren Daten erfasst und verarbeitet werden. Diese Einwilligung muss widerrufbar sein. Und: Der Widerruf der Einwilligung muss für den Verbraucher genau so leicht sein, wie die Zustimmung zur Datenverarbeitung.
Tipp: Sie müssen nicht auf die neuen Regelungen warten. Wir haben Ihnen aufgeschrieben, wie Sie schon jetzt Datensammlern im Netz einen Strich durch die Rechnung machen: Test Wie Sie Datenverfolger abschütteln, test 3/2018.
Was sind Ihre Erfahrungen?
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung in Kraft. Unternehmen müssen auf Anfrage zum Beispiel offenlegen, welche personenbezogenen Daten sie von Ihnen speichern, zu welchem Zweck sie das tun und wie lange sie diese Daten speichern. Als Verbraucher können Sie kostenlos und formlos diese Informationen abfragen, zum Beispiel per Brief oder E-Mail. Dienstleister und Unternehmen müssen innerhalb eines Monats antworten. Außerdem können Sie kostenfrei eine Kopie der von Ihnen gespeicherten Daten einfordern. Machen Sie davon Gebrauch und berichten Sie uns, welche Erfahrungen Sie machen! dsgvo@stiftung-warentest.de
So weit reicht das Recht auf Auskunft
Jeder Verbraucher kann künftig von einem Unternehmen formlos – etwa per E-Mail – Auskunft darüber verlangen, welche Daten es über ihn besitzt und verarbeitet und zu welchem Zweck das geschieht. Verbraucher können dann fordern, diese Daten zu berichtigen oder zu löschen. Unternehmen müssen Verbrauchern beispielsweise folgende Zusammenhänge offenlegen und erläutern:
Speicherung. Wie lange werden die Daten gespeichert? Nach welchen Kriterien wird die Speicherdauer festegelegt?
Herkunft. Woher stammen die Daten, wenn das Unternehmen sie nicht selbst erhoben hat?
Scoring. Nach welchen grundlegenden Algorithmen verknüpft das Unternehmen Daten zur Profilbildung – etwa bei der Entscheidung über eine Kreditvergabe und den Zinssatz von Darlehen?
Nutzung. Wer hat die personenbezogenen Daten des Verbrauchers bisher erhalten oder soll sie noch bekommen?
Sämtliche Informationen müssen dem Verbraucher kostenfrei zur Verfügung gestellt werden. Allerdings: Hat ein Unternehmen eine große Menge von gespeicherten Informationen über eine Person, beispielsweise eine Versicherung oder eine Bank, bei der viele unterschiedliche Verträge abgeschlossen wurden, kann es vom Verbraucher eine Präzisierung verlangen. Er muss dann genauer ausführen, über welche Informationen oder Verarbeitungsvorgänge er informiert werden möchte.
Tipp: Was Unternehmen alles über Verbraucher an Daten sammeln, zeigt unser Special Was weiß Google über mich?
Mehr Service – Anspruch auf „Daten-Umzug“
Bislang hatten Verbraucher keinen Anspruch darauf, dass Unternehmen ihnen die gespeicherten Daten so zur Verfügung stellen, dass sie leicht zu einem anderen Dienstanbieter übertragen werden können. Mit Inkrafttreten der Datenschutz-Grundverordnung ändert sich das nun. Verbraucher können ab sofort verlangen, dass Dienste ihre gespeicherten personenbezogenen Daten in maschinenlesbarer Form herausgeben und auf Wunsch sogar direkt an einen anderen Anbieter übertragen. Das erleichtert den Wechsel zum Beispiel bei intelligenten Stromzählern, Fitness-Trackern oder Musik-Streamingdiensten. Gespeicherte Sport-Aktivitäten oder Musik-Playlisten können dann leicht von einem Dienst zum anderen wandern. Auch bei einem Bankwechsel können Informationen über eingerichtete Daueraufträge dann direkt an das neue Bankinstitut übertragen werden. Mehr erfahren Sie in unserem Test Girokonto wechseln.
Das Recht auf Löschung und „Vergessenwerden“
Mit der neuen Datenschutz-Grundverordnung wird das „Recht auf Vergessenwerden“ erstmals ausdrücklich gesetzlich geregelt. Hier geht es um das Löschen der Spuren von personenbezogenen Daten, die durch Veröffentlichungen – vor allem im Internet – einer breiten Öffentlichkeit zugänglich sind. Das verantwortliche Unternehmen, das die personenbezogenen Daten öffentlich gemacht hat und zur Löschung verpflichtet ist, muss zukünftig dafür sorgen, dass alle Stellen, die die Daten ebenfalls benutzt oder verbreitet haben, diese ebenfalls unverzüglich löschen. Dazu gehört auch das Löschen aller Links zu diesen Daten und aller Kopien. Das verantwortliche Unternehmen darf keine technischen Mühen scheuen, um das Löschen umzusetzen. Das Argument „angesichts der fortlaufenden technischen Entwicklung ist das ein unzumutbarer Aufwand“ wird künftig nicht mehr gelten.
Konzerne reagieren
Das setzt vor allem große IT-Konzerne unter Druck. Auf Anfrage der Stiftung Warentest verwiesen Microsoft und Google auf laufende Datenschutzbemühungen, Amazon teilte mit, man werde sich an Gesetze halten. Apple will es Nutzern erleichtern, persönliche Daten herunterzuladen. Facebook hat das bereits getan – auch als Reaktion auf den Missbrauch von Daten zugunsten des Wahlkampfs von US-Präsident Donald Trump.
Facebook passt sich an
Auch das soziale Netzwerk Facebook muss sich an die neuen Regelungen der DSGVO halten. Anderenfalls drohen empfindliche Bußgelder – bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes eines Unternehmens. Facebook hat seine Datenschutzbestimmungen nun aktualisiert. Die neuen Nutzungsbedingungen müssen Nutzer akzeptieren. Wer das nicht möchte, dem bleibt nur die Möglichkeit, sein Konto bei Facebook zu löschen.
Mithilfe eingeblendeter Fenster fragt Facebook seine Nutzer etwa, ob sie auch in Zukunft personalisierte Werbung sehen möchten und ob die wieder eingeführte Gesichtserkennung aktiviert werden soll. Diese Funktion gab es im Jahr 2011 schon einmal auf der Plattform, sie stieß aber auf Protest von Datenschützern. Werden Fotos in Facebook eingestellt, kann das Netzwerk bei aktivierter Funktion ermitteln, ob ein Nutzer auf einem Foto oder Video zu sehen ist. Die Gesichtserkennung kann in den Dateneinstellungen deaktiviert werden. Darüber hinaus bietet Facebook Einstellungsmöglichkeiten zu Werbeanzeigen und Privatsphäre.
Sehr hohe Bußgelder drohen
Stellen Verbraucher fest, dass Unternehmen ohne rechtmäßig eingeholte Einwilligung Daten erfassen oder ihrer Informationspflicht nicht nachkommen, können sie die Datenschutzbehörden einschalten. Diese Behörden können die Verarbeitung oder Weiterleitung von Daten verbieten und Verstöße gegen die Datenschutz-Grundverordnung mit Geldbußen ahnden. Fällig werden können dann bis zu 10 000 000 Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes, den ein Unternehmen im Vorjahr erwirtschaftet hat – je nachdem, welche Strafe höher ist. Bei besonders schwerwiegenden Verstößen können die Strafen sogar doppelt so hoch ausfallen.
Ist Verbrauchern durch unrechtmäßige Datenverarbeitung ein Schaden entstanden, können sie künftig unter Umständen zusätzlich Schadensersatz vom Unternehmen verlangen.
An wen wende ich mich?
Verbraucher können sich bei dem Verdacht, dass ihre personenbezogenen Daten unrechtmäßig verarbeitet werden oder wurden – oder dass ihre Daten gar nicht oder nicht vollständig gelöscht wurden – an die zuständige Datenschutzaufsichtsbehörde wenden.
Zuständig ist immer die Aufsichtsbehörde des Bundeslandes, in der das Unternehmen seinen Sitz hat. Sitzt das Unternehmen im Ausland, gilt zukünftig das sogenannte Marktortprinzip. Danach können sich deutsche Bürgerinnen und Bürger auch an ihre regionale Aufsichtsbehörde wenden, wenn sie Probleme mit Unternehmen in- und außerhalb der EU haben. Die Landesdatenschutzbehörde wird dann gemeinsam mit der zuständigen anderen europäischen Aufsichtsbehörde den Fall bearbeiten.
Geht es um die Datenverarbeitung öffentlicher Stellen des Bundes oder Einrichtungen wie Telekommunikations- und Postdienstunternehmen, ist die Bundesbeauftragte für den Datenschutz zuständig.
Datenschutz auf test.de
Auch die Stiftung Warentest hat ihre Datenschutzbestimmungen zum 25. Mai 2018 überarbeitet. Alle Änderungen finden Sie unter Datenschutz auf test.de.
Newsletter: Bleiben Sie auf dem Laufenden
Mit den Newslettern der Stiftung Warentest haben Sie die neuesten Nachrichten für Verbraucher immer im Blick. Sie haben die Möglichkeit, Newsletter aus verschiedenen Themengebieten auszuwählen.
Diese Meldung ist erstmals am 1. April 2018 auf test.de erschienen. Sie wurde seitdem mehrfach aktualisiert, zuletzt am 25. Mai 2018.
