Personenbezogene Daten. Sie sind ein wichtiges Gut. Ihr Schutz ist europaweit einheitlich geregelt. © Shutterstock
Der Umgang mit Daten ist jetzt in der Datenschutz-Grundverordnung (DSGVO) geregelt. Wir erklären, welche neuen Rechte sie Verbrauchern gibtg.
Was hat sich für Verbraucher geändert?
Seit 2018 gilt die Europäische Datenschutz-Grundverordnung und damit ein europaweit einheitliches Datenschutzrecht. Die Regelungen stärken unter anderem das Recht des Einzelnen gegenüber Unternehmen auf Auskunft, Berichtigung und Löschung hinterlegter personenbezogener Daten. Zudem ist die Beweislast umgekehrt: Wer Daten erhebt und verarbeitet, muss im Streitfall beweisen, dass er gesetzeskonform mit den Daten umgeht.
Wie gut klappt es mit dem Auskunftsanspruch?
Eine Finanztestredakteurin hatte 2018 einen Selbstversuch gemacht und zahlreiche Unternehmen um Auskunft und Löschung gebeten. Ihren Bericht lesen Sie in unserem Special Datenschutz: So gut klappt es mit dem Auskunftsanspruch.
Zunächst mal gilt: „Verboten!“
Grundsätzlich formuliert die Datenschutz-Grundverordnung ein Verbot. Danach ist jede Verarbeitung von personenbezogenen Daten erst einmal untersagt. Personenbezogene Daten – das sind alle Angaben, die sich auf eine „identifizierte oder identifizierbare natürliche Person beziehen“, etwa Name, Adresse, Geburtsdatum, Schuhgröße, Beruf, medizinische Befunde, Bankdaten aber auch Daten, die Verbraucher im Netz hinterlassen. Das heißt, auch pseudonymisierte Daten sind personenbezogen. Nur anonymisierte Daten, die gar nicht mehr mit einer bestimmten Person in Verbindung gebracht werden können, unterliegen nicht datenschutzrechtlichen Vorgaben.
Einwilligung. Um nicht mit dem Verbot der neuen Verordnung in Konflikt zu geraten, müssen Unternehmen und Dienstleister die Einwilligung von Verbrauchern einholen, bevor sie deren Daten erfassen und verarbeiten. Diese Einwilligung muss widerrufbar sein. Und: Der Widerruf der Einwilligung muss für den Verbraucher genau so leicht sein, wie die Zustimmung zur Datenverarbeitung.
Vertragserfüllung. Aber nicht immer braucht das Unternehmen eine ausdrückliche Einwilligung zur Datenerfassung und - speicherung. Beim Einkauf in einem Onlineshop darf der Händler etwa Adress- und Kontodaten verarbeiten. Diese Daten benötigt er, um die Bestellung zu bearbeiten, die Ware zu liefern und die Bezahlung abzuwickeln. Die Daten werden demnach benötigt, um den Kaufvertrag zu erfüllen. Die Daten müssen aber gelöscht werden, wenn gesetzliche Aufbewahrungsfristen, etwa aus dem Steuer- oder Handelsrecht, enden.
Berechtigtes Interesse. Die DSGVO sieht eine weitere rechtlich zulässige Grundlage für die Verarbeitung personenbezogener Daten: das sogenannte berechtigte Interesse. Ist die Datenverarbeitung erforderlich, um wichtige Interessen des Unternehmens oder eines Dritten zu wahren und überwiegen nicht die Interessen der Verbraucher, ist sie rechtmäßig. Berechtigte Interessen von Unternehmen können etwa Betrugsbekämpfung, aber auch Direktmarketing sein. Ein Beispiel: Nach dem Onlinekauf von Turnschuhen schickt der Verkäufer regelmäßig personalisierte und gezielte Angebote für weitere Sportbekleidung per E-Mail.
So weit reicht das Recht auf Auskunft
Jeder Verbraucher kann von einem Unternehmen formlos – etwa per E-Mail – Auskunft darüber verlangen, welche Daten es über ihn besitzt und verarbeitet und zu welchem Zweck das geschieht. Verbraucher können dann fordern, diese Daten zu berichtigen oder zu löschen. Unternehmen müssen Verbrauchern beispielsweise folgende Zusammenhänge offenlegen und erläutern:
Speicherung. Wie lange werden die Daten gespeichert? Nach welchen Kriterien wird die Speicherdauer festgelegt?
Herkunft. Woher stammen die Daten, wenn das Unternehmen sie nicht selbst erhoben hat?
Scoring. Nach welchen grundlegenden Algorithmen verknüpft das Unternehmen Daten zur Profilbildung – etwa bei der Entscheidung über eine Kreditvergabe und den Zinssatz von Darlehen?
Nutzung. Wer hat die personenbezogenen Daten des Verbrauchers bisher erhalten oder soll sie noch bekommen?
Sämtliche Informationen müssen Unternehmen dem Verbraucher kostenfrei zur Verfügung stellen. Allerdings: Hat ein Unternehmen eine große Menge von gespeicherten Informationen über eine Person, beispielsweise eine Versicherung oder eine Bank, bei der viele unterschiedliche Verträge abgeschlossen wurden, kann es vom Verbraucher eine Präzisierung verlangen. Er muss dann genauer ausführen, über welche Informationen oder Verarbeitungsvorgänge er informiert werden möchte.
Tipp: Was Unternehmen alles über Verbraucher an Daten sammeln, zeigt unser Special Was weiß Google über mich?
Anspruch auf „Daten-Umzug“
Nach der DSGVO können Verbraucher verlangen, dass Dienste ihre gespeicherten personenbezogenen Daten in maschinenlesbarer Form herausgeben und auf Wunsch sogar direkt an einen anderen Anbieter übertragen. Das erleichtert den Wechsel zum Beispiel bei intelligenten Stromzählern, Fitness-Trackern oder Musik-Streamingdiensten. Gespeicherte Sport-Aktivitäten oder Musik-Playlisten können dann leicht von einem Dienst zum anderen wandern. Auch bei einem Bankwechsel können Informationen über eingerichtete Daueraufträge dann direkt an das neue Bankinstitut übertragen werden. Mehr erfahren Sie in unserem Test Girokonto wechseln.
Das Recht auf Löschung und „Vergessenwerden“
Mit der Datenschutz-Grundverordnung wurde das „Recht auf Vergessenwerden“ erstmals ausdrücklich gesetzlich geregelt. Hier geht es um das Löschen der Spuren von personenbezogenen Daten, die durch Veröffentlichungen – vor allem im Internet – einer breiten Öffentlichkeit zugänglich sind. Das verantwortliche Unternehmen, das die personenbezogenen Daten öffentlich gemacht hat und zur Löschung verpflichtet ist, muss zukünftig dafür sorgen, dass alle Stellen, die die Daten ebenfalls benutzt oder verbreitet haben, diese ebenfalls unverzüglich löschen. Dazu gehört auch das Löschen aller Links zu diesen Daten und aller Kopien. Das verantwortliche Unternehmen darf keine technischen Mühen scheuen, um das Löschen umzusetzen.
Sehr hohe Bußgelder drohen
Wer feststellt, dass Unternehmen in unzulässiger Weise, etwa ohne rechtmäßig eingeholte Einwilligung, Daten erfassen oder ihrer Informationspflicht nicht nachkommen, kann die Datenschutzbehörden einschalten, zum Beispiel den Datenschutzbeauftragten des jeweiligen Bundeslandes. Diese Behörden können die Verarbeitung oder Weiterleitung von Daten verbieten und Verstöße gegen die Datenschutz-Grundverordnung mit Geldbußen ahnden. Fällig werden können dann bis zu 10 000 000 Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes, den ein Unternehmen im Vorjahr erwirtschaftet hat – je nachdem, welche Strafe höher ist. Bei besonders schwerwiegenden Verstößen können die Strafen sogar doppelt so hoch ausfallen.
Recht auf Schadenersatz
Besonders wichtig für Verbraucher: Ist jemandem durch unrechtmäßige Datenverarbeitung ein Schaden entstanden, steht ihm Schadenersatz zu. Es gibt bereits erste Verurteilungen. So muss ein Anwalt einer Ex-Mandantin 500 Euro zahlen, weil er erst nach neun Monaten Auskunft über die Verarbeitung der auf ihre Person bezogenen Daten erteilte (Oberlandesgericht Köln, Aktenzeichen: 15 U 137/21). Ebenfalls 500 Euro waren fällig, nachdem eine Telekommunikationsunternehmen unbezahlte Rechnungen zu Unrecht an die Schufa meldete (Oberlandesgericht Koblenz, Aktenzeichen: 5 U 2141/21, nicht rechtskräftig). Facebook soll nach ersten, noch nicht rechtskräftigen Urteilen wegen nicht ausreichend geschützter Daten bis zu 3 000 Euro an Betroffene zahlen. Sechs Millionen Menschen in Deutschland sind betroffen. Einzelheiten dazu samt Musterbrief liefert unser ausführlicher Artikel Facebook-Datenpanne: Schmerzensgeld nach Hackererfolg.
An wen wende ich mich?
Betroffene können sich bei dem Verdacht, dass ihre personenbezogenen Daten unrechtmäßig verarbeitet werden oder wurden – oder dass ihre Daten gar nicht oder nicht vollständig gelöscht wurden – an die zuständige Datenschutzaufsichtsbehörde wenden.
Zuständig ist immer die Aufsichtsbehörde des Bundeslandes, in der das Unternehmen seinen Sitz hat. Sitzt das Unternehmen im Ausland, gilt das sogenannte Marktortprinzip. Danach können sich deutsche Bürgerinnen und Bürger auch an ihre regionale Aufsichtsbehörde wenden, wenn sie Probleme mit Unternehmen in- und außerhalb der EU haben. Die Landesdatenschutzbehörde wird dann gemeinsam mit der zuständigen anderen europäischen Aufsichtsbehörde den Fall bearbeiten.
Geht es um die Datenverarbeitung öffentlicher Stellen des Bundes oder Einrichtungen wie Telekommunikations- und Postdienstunternehmen, ist die Bundesbeauftragte für den Datenschutz zuständig.
Verbraucherschutzverbände dürfen klagen
Wichtige Entscheidung. Mit einem Grundsatzurteil hat der Europäische Gerichtshof (EuGh) jüngst festgestellt, dass Verbraucherverbände wie der Verbraucherzentrale Bundesverband (vzbv) klagen dürfen, wenn Unternehmen Verstöße gegen die DSGVO begangen haben und es nationale Gesetze vorsieht. Dafür benötigen Verbände weder einen konkreten Auftrag noch konkrete Rechtsverletzungen von Verbrauchern.
Hintergrund. Der vzbv hatte gegen den Mutterkonzern von Facebook, meta, geklagt. Er warf dem Unternehmen vor, dass es bei der Bereitstellung kostenloser Spiele von Drittanbietern in seinem „App-Zentrum“ unter anderem gegen Datenschutzbestimmungen verstoßen hat. Nach dem Landgericht und dem Kammergericht Berlin geht auch der Bundesgerichtshof geht von einem Verstoß gegen die DSGVO aus, hatte aber Fragen zur Klagebefugnis des vzbv dem EuGH vorgelegt. Der EuGH musste klären, ob ein Verband wie der vzbv überhaupt Rechte nach der DSGVO auf dem Klageweg geltend machen darf.
-
Bundesgerichtshof gibt Kartellamt Recht
- Der Bundesgerichtshof hat das soziale Netzwerk Facebook in seine Schranken verwiesen: Es darf in Deutschland vorerst nicht weiter uneingeschränkt Nutzerdaten...
-
Was Amazon, Facebook und Co über ihre Kunden wissen
- Firmen müssen ihren Kunden gratis offenlegen, welche personenbezogenen Daten sie speichern. Die Stiftung Warentest hat geprüft, ob die Datenauskünfte von Google,...
-
EuGH kippt Datenschutzabkommen mit USA
- Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung,...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Kommentarliste
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Die DSGV schreibt allen Webseiten vor was sie wann, wie und vor allem nicht speichern dürfen. Dabei verursacht sie Millionen Euro an Kosten, die letztlich die Verbraucher bezahlen. Angebliches Ziel, soll die Sicherstellung sein, dass Unternehmen auch wirklich nur das speichern, was der Kunde will und er dieses auch beeinflussen und steuern kann.
Der Staat gibt sich aber selbst das Recht, unsere gesamte Kommunikation (wer hat wen wie lange angerufen, wer hat wem wann eine Email geachickt, wer hat sich wann wo mit seinem Handy aufgehalten) ohne jeden Anlass und ohne, dass ich Bürger etwas dagegen tun kann, zu speichern.
Das hat die DSGV mit der Vorratsdatenspeicherung zu tun.
Was hat die DSGV mit Vorratsdatenspeicherung zu tun? Genau, gar nichts. Aber @GuessWhat wollte mal wieder trollen.
Nur der Staat darf natürlich alles und zu jeder Zeit anlasslos speichern (Vorratsdatenspeicherung). Schließlich wollen Politiker ja nur unser Bestes.
Sorry, bei derart viel Heuchelei seitens der EU und der Bundesregierung kommt mir echt das Mittagessen wieder hoch.