Am 25. Mai tritt europaweit ein neues Daten­schutz­gesetz in Kraft – die Europäische Daten­schutz-Grund­ver­ordnung (DSGVO). Bislang war der Umgang mit personenbezogenen Daten national geregelt. Das ändert sich nun. Verbraucher bekommen mehr Rechte und Hand­lungs­möglich­keiten, etwa für den Fall, dass ihre Daten miss­braucht werden. test.de klärt auf.

Was ändert sich für Verbraucher?

Nun ist es soweit – nach einer Über­gangs­phase von zwei Jahren tritt die Europäische Daten­schutz-Grund­ver­ordnung in Kraft. Durch die Verordnung wird es für Verbraucher leichter, ihre Rechte auch grenz­über­schreitend einzufordern und durch­zusetzen. Die neuen Rege­lungen stärken das Recht der Verbraucher auf Auskunft, Berichtigung und auf Löschung von Daten. Zudem wird die Beweislast umge­kehrt: Wer Daten erhebt und verarbeitet muss im Streitfall künftig beweisen, dass er gesetzes­konform mit den Daten umgeht.

[17. Juli 2018]: Der Auskunfts­anspruch im Selbst­versuch

Eine Finanztest­redak­teurin hat mitt­lerweile den Selbst­versuch gemacht und zahlreiche Unternehmen um Auskunft und Löschung gebeten. Hier lesen Sie den Bericht So gut klappt es mit dem Auskunftsanspruch.

Zunächst mal gilt: „Verboten!“

Grund­sätzlich formuliert die Daten­schutz-Grund­ver­ordnung ein Verbot. Danach ist jede Verarbeitung von personenbezogenen Daten erst einmal untersagt. Personenbezogene Daten – das sind alle Angaben, die sich auf eine „identifizierte oder identifizier­bare natürliche Person beziehen“, etwa Name, Adresse, Geburts­tagdatum, Schuhgröße, Beruf, medizi­nische Befunde, Bank­daten aber auch Daten, die Verbraucher im Netz hinterlassen. Das heißt, auch pseudonymisierte Daten sind personenbezogen. Nur anonymisierte Daten unterliegen nicht daten­schutz­recht­lichen Vorgaben.

Um nicht mit dem Verbot der neuen Verordnung in Konflikt zu geraten, müssen sich Unternehmen und Dienst­leister künftig von Verbrauchern eine Einwilligung holen, sobald deren Daten erfasst und verarbeitet werden. Diese Einwilligung muss widerruf­bar sein. Und: Der Widerruf der Einwilligung muss für den Verbraucher genau so leicht sein, wie die Zustimmung zur Daten­ver­arbeitung.

Tipp: Sie müssen nicht auf die neuen Rege­lungen warten. Wir haben Ihnen aufgeschrieben, wie Sie schon jetzt Daten­samm­lern im Netz einen Strich durch die Rechnung machen: Test Wie Sie Datenverfolger abschütteln, test 3/2018.

Was sind Ihre Erfahrungen?

Seit dem 25. Mai 2018 ist die Daten­schutz-Grund­ver­ordnung in Kraft. Unternehmen müssen auf Anfrage zum Beispiel offenlegen, welche personenbezogenen Daten sie von Ihnen speichern, zu welchem Zweck sie das tun und wie lange sie diese Daten speichern. Als Verbraucher können Sie kostenlos und formlos diese Informationen abfragen, zum Beispiel per Brief oder E-Mail. Dienst­leister und Unternehmen müssen inner­halb eines Monats antworten. ­Außerdem können Sie kostenfrei eine Kopie der von Ihnen gespeicherten ­Daten einfordern. Machen Sie davon ­Gebrauch und berichten Sie uns, welche Erfahrungen Sie machen! dsgvo@stiftung-warentest.de

So weit reicht das Recht auf Auskunft

Jeder Verbraucher kann künftig von einem Unternehmen formlos – etwa per E-Mail – Auskunft darüber verlangen, welche Daten es über ihn besitzt und verarbeitet und zu welchem Zweck das geschieht. Verbraucher können dann fordern, diese Daten zu berichtigen oder zu löschen. Unternehmen müssen Verbrauchern beispiels­weise folgende Zusammenhänge offenlegen und erläutern:

Speicherung. Wie lange werden die Daten gespeichert? Nach welchen Kriterien wird die Speicherdauer festegelegt?

Herkunft. Woher stammen die Daten, wenn das Unternehmen sie nicht selbst erhoben hat?

Scoring. Nach welchen grund­legenden Algorithmen verknüpft das Unternehmen Daten zur Profilbildung – etwa bei der Entscheidung über eine Kredit­vergabe und den Zins­satz von Darlehen?

Nutzung. Wer hat die personenbezogenen Daten des Verbrauchers bisher erhalten oder soll sie noch bekommen?

Sämtliche Informationen müssen dem Verbraucher kostenfrei zur Verfügung gestellt werden. Allerdings: Hat ein Unternehmen eine große Menge von gespeicherten Informationen über eine Person, beispiels­weise eine Versicherung oder eine Bank, bei der viele unterschiedliche Verträge abge­schlossen wurden, kann es vom Verbraucher eine Präzisierung verlangen. Er muss dann genauer ausführen, über welche Informationen oder Verarbeitungs­vorgänge er informiert werden möchte.

Tipp: Was Unternehmen alles über Verbraucher an Daten sammeln, zeigt unser Special Was weiß Google über mich?

Mehr Service – Anspruch auf „Daten-Umzug“

Bislang hatten Verbraucher keinen Anspruch darauf, dass Unternehmen ihnen die gespeicherten Daten so zur Verfügung stellen, dass sie leicht zu einem anderen Dienst­anbieter über­tragen werden können. Mit Inkraft­treten der Daten­schutz-Grund­ver­ordnung ändert sich das nun. Verbraucher können ab sofort verlangen, dass Dienste ihre gespeicherten personenbezogenen Daten in maschinenles­barer Form heraus­geben und auf Wunsch sogar direkt an einen anderen Anbieter über­tragen. Das erleichtert den Wechsel zum Beispiel bei intelligenten Stromzäh­lern, Fitness-Trackern oder Musik-Streaming­diensten. Gespeicherte Sport-Aktivitäten oder Musik-Playlisten können dann leicht von einem Dienst zum anderen wandern. Auch bei einem Bank­wechsel können Informationen über einge­richtete Dauer­aufträge dann direkt an das neue Bank­institut über­tragen werden. Mehr erfahren Sie in unserem Test Girokonto wechseln.

Das Recht auf Löschung und „Vergessenwerden“

Mit der neuen Daten­schutz-Grund­ver­ordnung wird das „Recht auf Vergessenwerden“ erst­mals ausdrück­lich gesetzlich geregelt. Hier geht es um das Löschen der Spuren von personenbezogenen Daten, die durch Veröffent­lichungen – vor allem im Internet – einer breiten Öffent­lich­keit zugäng­lich sind. Das verantwort­liche Unternehmen, das die personenbezogenen Daten öffent­lich gemacht hat und zur Löschung verpflichtet ist, muss zukünftig dafür sorgen, dass alle Stellen, die die Daten ebenfalls benutzt oder verbreitet haben, diese ebenfalls unver­züglich löschen. Dazu gehört auch das Löschen aller Links zu diesen Daten und aller Kopien. Das verantwort­liche Unternehmen darf keine tech­nischen Mühen scheuen, um das Löschen umzu­setzen. Das Argument „angesichts der fort­laufenden tech­nischen Entwick­lung ist das ein unzu­mutbarer Aufwand“ wird künftig nicht mehr gelten.

Konzerne reagieren

Das setzt vor allem große IT-Konzerne unter Druck. Auf Anfrage der Stiftung Warentest verwiesen Microsoft und Google auf laufende Daten­schutz­bemühungen, Amazon teilte mit, man werde sich an Gesetze halten. Apple will es Nutzern erleichtern, persönliche Daten herunter­zuladen. Facebook hat das bereits getan – auch als Reaktion auf den Miss­brauch von Daten zugunsten des Wahl­kampfs von US-Präsident Donald Trump.

Facebook passt sich an

Auch das soziale Netz­werk Facebook muss sich an die neuen Rege­lungen der DSGVO halten. Anderenfalls drohen empfindliche Bußgelder – bis zu 20 Millionen Euro oder 4 Prozent des Jahres­umsatzes eines Unter­nehmens. Facebook hat seine Daten­schutz­bestimmungen nun aktualisiert. Die neuen Nutzungs­bedingungen müssen Nutzer akzeptieren. Wer das nicht möchte, dem bleibt nur die Möglich­keit, sein Konto bei Facebook zu löschen.

Mithilfe einge­blendeter Fenster fragt ­Facebook seine Nutzer etwa, ob sie auch in Zukunft personalisierte Werbung sehen möchten und ob die wieder einge­führte Gesichts­erkennung akti­viert werden soll. Diese Funk­tion gab es im Jahr 2011 schon einmal auf der Platt­form, sie stieß aber auf Protest von ­Daten­schützern. Werden Fotos in Facebook einge­stellt, kann das Netz­werk bei akti­vierter Funk­tion ermitteln, ob ein Nutzer auf einem Foto oder Video zu ­sehen ist. Die Gesichts­erkennung kann in den Daten­einstel­lungen deaktiviert werden. Darüber hinaus bietet Facebook Einstellungs­möglich­keiten zu Werbeanzeigen und Privatsphäre.

Sehr hohe Bußgelder drohen

Stellen Verbraucher fest, dass Unternehmen ohne recht­mäßig einge­holte Einwilligung Daten erfassen oder ihrer Informations­pflicht nicht nach­kommen, können sie die Daten­schutz­behörden einschalten. Diese Behörden können die Verarbeitung oder Weiterleitung von Daten verbieten und Verstöße gegen die Daten­schutz-Grund­ver­ordnung mit Geldbußen ahnden. Fällig werden können dann bis zu 10 000 000 Euro oder 2 Prozent des gesamten welt­weiten Jahres­umsatzes, den ein Unternehmen im Vorjahr erwirt­schaftet hat – je nachdem, welche Strafe höher ist. Bei besonders schwerwiegenden Verstößen können die Strafen sogar doppelt so hoch ausfallen.

Ist Verbrauchern durch unrecht­mäßige Daten­ver­arbeitung ein Schaden entstanden, können sie künftig unter Umständen zusätzlich Schadens­ersatz vom Unternehmen verlangen.

An wen wende ich mich?

Verbraucher können sich bei dem Verdacht, dass ihre personenbezogenen Daten unrecht­mäßig verarbeitet werden oder wurden – oder dass ihre Daten gar nicht oder nicht voll­ständig gelöscht wurden – an die zuständige Daten­schutz­aufsichts­behörde wenden.

Zuständig ist immer die Aufsichts­behörde des Bundes­landes, in der das Unternehmen seinen Sitz hat. Sitzt das Unternehmen im Ausland, gilt zukünftig das sogenannte Markt­ortprinzip. Danach können sich deutsche Bürgerinnen und Bürger auch an ihre regionale Aufsichts­behörde wenden, wenn sie Probleme mit Unternehmen in- und außer­halb der EU haben. Die Landes­daten­schutz­behörde wird dann gemein­sam mit der zuständigen anderen europäischen Aufsichts­behörde den Fall bearbeiten.

Geht es um die Daten­ver­arbeitung öffent­licher Stellen des Bundes oder Einrichtungen wie Tele­kommunikations- und Post­dienst­unternehmen, ist die Bundes­beauftragte für den Daten­schutz zuständig.

Daten­schutz auf test.de

Auch die Stiftung Warentest hat ihre Daten­schutz­bestimmungen zum 25. Mai 2018 über­arbeitet. Alle Änderungen finden Sie unter Datenschutz auf test.de.

Newsletter: Bleiben Sie auf dem Laufenden

Mit den Newslettern der Stiftung Warentest haben Sie die neuesten Nach­richten für Verbraucher immer im Blick. Sie haben die Möglich­keit, Newsletter aus verschiedenen Themen­gebieten auszuwählen.

test.de-Newsletter bestellen

Diese Meldung ist erst­mals am 1. April 2018 auf test.de erschienen. Sie wurde seitdem mehr­fach aktualisiert, zuletzt am 25. Mai 2018.

Dieser Artikel ist hilfreich. 33 Nutzer finden das hilfreich.