Ob beim Internetsurfen, beim Arztbesuch oder bei Bankgeschäften – im Alltag wird man häufig nach persönlichen Daten gefragt. Doch was, wenn diese missbräuchlich und zum eigenen Nachteil verwendet werden? Dann kommt der Datenschutz ins Spiel. Den regelt innerhalb der EU die Datenschutz-Grundverordnung DSGVO und mit einigen länderspezifischen Auslegungen das Bundesdatenschutzgesetz BDSG (neu). Hier sind allgemeine rechtliche Grundregeln aufgestellt. Datensparsamkeit und Transparenz sind wichtige Eckpunkte der DSGVO, die nach einer zweijährigen Übergangsfrist am 28. Mai 2018 in Kraft trat. Bis zum Inkrafttreten der in Brüssel noch diskutierten ePrivacy-Verordnung gelten zahlreiche weitere Spezialregelungen in anderen Gesetzen, etwa dem Telekommunikationsgesetz. Aber auch das Sozialgesetzbuch enthält wichtige Regelungen. Mehr
Geschützte Daten
Schützenswerte Daten sind immer personenbezogen. Das betrifft etwa Name, Anschrift und Geburtsdatum, Größe, Haar- und Augenfarbe, Beruf, private Aktivitäten und Beziehungen, Hobbys, Freundschaften, familiäre Verhältnisse, Kreditkarten-Daten und mehr. Darüber hinaus gibt es „besondere Kategorien personenbezogener Daten mit besonders hohen Schutzanforderungen. Bekanntwerden oder etwa Missbrauch dieser Daten hätten besonders drastische Konsequenzen. Gemeint sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen und die Gewerkschaftszugehörigkeit, sowie genetische Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben.
Die wichtigsten Regeln im Datenschutz
Eine Grundregel im Datenschutz heißt: „Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist“. Persönliche Daten dürfen also nicht erhoben, verarbeitet oder genutzt werden, außer der Betroffene hat bewusst eingewilligt oder die Erhebung ist durch eine Rechtsvorschrift ausdrücklich erlaubt oder sogar angeordnet. Wenn Daten gespeichert, verändert oder genutzt werden, dann darf das nur in dem für sie vorgesehenen Sinne passieren. Der Bürger muss also wissen, für welchen Zweck die Daten erhoben werden.
Ein Beispiel: Wenn ein Leser ein Zeitungs-Abo bestellt, dann darf die Zeitung die Adresse des Abonnenten nur für die Belieferung der Zeitung verwenden. Die Weitergabe an Dritte ist zum Beispiel verboten. Ein weiterer Grundsatz lautet: Die gesammelten Daten sollen nur für die Dauer aufbewahrt werden, für die sie tatsächlich gebraucht werden. Diese Regel gilt sowohl für Anbieter als auch für Verbraucher. Mit Daten soll also sparsam umgegangen werden. Verbraucher sollten sich beispielsweise die Zeit nehmen, um ihren E-Mail-Ordner von Spam-Müll zu befreien, damit die Spam-Mails nicht jahrelang im E-Mail-Speicher verweilen. Anbieter dürfen hingegen nur die nötigsten Daten von ihren Kunden verlangen, um das vorgegeben Ziel zu erreichen. Datenmaterial darf nur erhoben werden, wenn es zur Erreichung des jeweiligen Zwecks keine andere Möglichkeit gegeben hat.
Datenschutz im Internet
Rund drei Viertel der Deutschen nutzen regelmäßig das Internet – um sich Informationen zu beschaffen, um einzukaufen, um sich mit anderen auszutauschen oder schlicht zur Unterhaltung. Verbraucher, die sich online bewegen, stehen häufig auch vor datenschutzrechtlichen Problemen. Sie hinterlassen oft genug bewusst ihre Daten, zum Beispiel beim Onlineshopping und in sozialen Netzwerken. Was die Internetnutzer hingegen häufig vergessen: Vieles, was sie im Internet tun, erzeugt neue Informationen. Schon beim bloßen Surfen hinterlassen sie Datenspuren, die leicht verfolgt werden können, beispielsweise durch den Internet-Provider, Anzeigendienste oder Seitenbetreiber. Diese Spuren können technisch ausgewertet werden, um so genannte Nutzerprofile zu erstellen, die Auskunft über den Nutzer und dessen Surfgewohnheiten geben. Davon leben Firmen wie Facebook und Google, die anhand ausgemachter Nutzerprofile passgenau Werbung zustellen und sich dafür fürstlich entlohnen lassen.
Online-Datenschutzrecht
Datenschutz im Internet ist in vier Gesetzen verankert: in der Datenschutzgrundverordnung, im Bundesdatenschutzgesetz (neu), im Telemediengesetz und im Kommunikationsgesetz. Das Telemediengesetz trat 2007 in Kraft und befasst sich, im Gegensatz zum Bundesdatenschutzgesetz, sehr spezifisch mit Online-Themen. Hier werden die Felder Tele-Banking, E-Mail-Datenaustausch, Online-Shopping, Videostreaming und soziale Netzwerke wie Twitter oder Facebook geregelt. Das Telekommunikationsgesetz hingegen deckt Themen rund um die Vorratsdatenspeicherung oder die Sperrung von Internetseiten und Telekommunikations-Überwachung durch Online-Telefonie ab. Das Internet verändert sich rasant und mit ihm auch die Gesetzeslage. In Brüssel wird an der ePrivavy-Verordnung gearbeitet, die beispielsweise das Tracking auf Internetseiten umkrempeln könnte: Reicht heute noch eine simple Info über Tracking (Transparenzgebot) und vielleicht noch Hilfe beim Unterbinden (opt-out), könnte es zukünftig heißen: Kein Tracking ohne Zustimmung (opt-in). Ob die ePrivacy-Verordnung 2019 in Kraft treten wird, wie von Netzaktivisten erhofft, wird sich zeigen.
Die Funktion des Datenschutzbeauftragten
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat seinen Sitz in Bonn. Er prüft ob die öffentlichen Stellen des Bundes, wie Bundesministerium, Bundesrechnungshof oder das Bundesamt für Finanzen persönliche Daten rechtmäßig erheben und nutzen. Seit Januar 2011 unterliegt ihm auch das Job Center in allen datenschutzrechtlichen Bereichen. Neben dem Datenschutz öffentlicher Stellen befasst sich der Datenschutzbeauftragte mit der Datenverarbeitung nicht-öffentlicher Stellen, also Firmen, Restaurants oder Vereine. Jedes Bundesland hat zudem einen eigenen Datenschutzbeauftragten. Dieser ist auf Landesebene für die Einhaltung des Datenschutzes für öffentliche und nicht-öffentliche zuständig. Neben den Beauftragten auf Landes- und Bundesebene befasst sich der Europäische Datenschutzbeauftragte mit allen gesetzlichen Fragen auf EU-Ebene. Ihm unterliegt eine unabhängige Kontrollbehörde der EU. Diese prüft, ob das Recht auf Privatsphäre und Datenschutz eingehalten wird, wenn Organe und Einrichtungen der EU personenbezogene Daten verarbeiten oder neue politische Strategien erarbeiten.
Bußgeldzahlungen bei einem Verstoß gegen das Datenschutzrecht
Bei Verstößen gegen das Datenschutzgesetz drohen Unternehmen und Verantwortlichen je nach Schwere und Schuld drastische Bußgelder und sogar eine Haftstrafe von bis zu drei Jahren. Dabei bemessen sich die Bußgelder auf bis zu 10 Millionen Euro beziehungsweise 2 Prozent des weltweit erzielten Jahresumsatzes und bei besonders schweren Verstößen sogar auf bis zu 20 Millionen Euro beziehungsweise 4 Prozent des weltweit erzielten Jahresumsatzes des beklagten Unternehmens – je nachdem, welcher der Beträge höher ist. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein, bestimmt die DSGVO.
