Reden wir über Datenschutz, so reden wir über ein wichtiges Grundrecht: das Recht auf informationelle Selbstbestimmung. Das bedeutet: Wir entscheiden per Zustimmung oder Ablehnung darüber, ob und vor allem zu welchem Zweck wir Unternehmen, Behörden und Organisationen unserer persönlichen Daten zur Verarbeitung überlassen.

Wir haben es also bis zu einem gewissen Punkt selbst in der Hand, was mit unseren Daten geschieht. Diesen Vorteil verspielen wir aber allzu oft leichtsinnig. Vielen Anbietern von Online-Diensten schenken wir sehr schnell Vertrauen und stimmen mit einem Klick kurzerhand der Datenschutzerklärung zu, ohne sie überhaupt zu lesen. Das kann Konsequenzen haben, denn leider gibt es unter den Anbietern im Netz auch schwarze Schafe, die es mit unserem Recht auf informationelle Selbstbestimmung nicht ganz so ernst nehmen.

Doch fangen wir vorne an: Welche persönlichen Daten sind eigentlich gemeint, wenn im Datenschutzrecht von „personenbezogenen Daten“ die Rede ist? Zu den persönlichen bzw. personenbezogenen Daten gehören jegliche Informationen, die Rückschlüsse auf unsere Identität oder zu unserer Privatsphäre zulassen. Das sind

Was sind sensible Daten?

Besonders schützenswert sind zudem hoch sensible Daten wie zum Beispiel das Bekenntnis zu einer Religion oder die ethnische Herkunft. Informationen zu Krankheiten oder zur sexuellen oder geschlechtlichen Identität sind weitere sensible Daten, die einen hohen Schutz genießen und nur in Ausnahmefällen erhoben und weitergegeben werden dürfen.

  • Kontaktdaten wie Vor- und Nachname, Wohnanschrift, Telefonnummer und E-Mail-Adresse.
  • Aber auch Kommunikationsdaten wie die Inhalte von E-Mails, Chatverläufen und Telefongesprächen fallen darunter.
  • Sogar technische Daten wie die IP-Adresse, mit der wir im Internet surfen, gehört dazu.
  • Und die Schulnoten unserer Kinder sowie berufliche Daten wie zum Beispiel unsere Arbeitszeugnisse und Gehaltsabrechnungen.
  • Ganz besonders vorsichtig sollte man mit Kontodaten sein, vor allem mit Kreditkartendaten.

Die Datenschutzerklärung: Was steht da eigentlich drin?

In der Datenschutzerklärung, die jeder Online-Anbieter ausformulieren und öffentlich zugänglich machen muss, können wir nachlesen,

  • welche unserer personenbezogenen Daten der Online-Anbieter bei einer Registrierung abfragt – und zu welchem Zweck er das macht.
  • Wir erfahren, wo, in welchem Land, er unsere persönlichen Daten speichert und wie sicher er sie aufbewahrt.
  • Außerdem klärt er uns über unsere Rechte auf, zum Beispiel über das Recht auf Auskunft.
  • Alle Unternehmen und Organisationen müssen eine:n Datenschutzbeauftragte:n in der Datenschutzerklärung nennen.
  • Diese Person muss uns auf Nachfrage genau sagen können, was mit unseren Daten nach der Registrierung passiert ist – zum Beispiel, an wen unsere Daten übermittelt wurden.
  • Wir können in der Datenschutzerklärung auch lesen, wann unsere persönlichen Daten wieder gelöscht werden oder wie wir eine Löschung veranlassen können – und auch diese Fragen muss der oder die Dastenschutzbeauftragte beantworten können.

Seit 2018 gilt europaweit die DSGVO (Datenschutzgrundverordnung). Die führte ein neues, sehr wichtiges Prinzip im Datenschutzrecht ein: die Transparenz. Dank der DSGVO sind Unternehmen, Organisationen und Behörden verpflichtet, die oben genannten Angaben auf ihren Webseiten zu veröffentlichen. Heute finden wir die Datenschutzerklärung in der Regel auf den Webseiten der Anbieter ganz unten, beim Impressum.

Datenschutzerklärungen lesen lernen

Viele Unternehmen und Behörden verhalten sich bei der Ausformulierung Ihrer Datenschutzerklärung seriös und vorbildhaft. Doch leider gilt das nicht für alle Anbieter im Netz. Es gibt auch zahlreiche Datenschutzerklärungen, die undurchsichtig, unklar oder sogar rechtswidrig sind. Damit wir solche Datenschützer enttarnen und uns nach seriösen Alternativen umsehen können, lohnt sich ein Blick in die Datenschutzerklärungen. Hier finden Sie ein paar Tipps, wie Sie schnell und unkompliziert einige Fallstricke erkennen können:

Prüfen Sie, ob die Datenschutzerklärung in übersichtliche Kapitel gegliedert wurde. Folgender Aufbau gilt als Standard:

  1. Um welche Daten geht es?
    Beginnen sollte die Datenschutzerklärung mit einer übersichtlichen Auflistung aller Kategorien der personenbezogenen Daten, die erhoben werden (zum Beispiel Bestandsdaten, Kommunikationsdaten usw.).
  2. Um welche Zwecke geht es?
    Anschließend sollten die Zwecke der Datenerhebung und -speicherung genannt werden. Der Anbieter stellt hier klar, was er mit den Daten macht und wozu er sie überhaupt braucht.
  3. Welche Sicherheit gibt es?
    Es folgen die Sicherheitsmaßnahmen zum Schutz vor Cyberangriffen und die Angaben zur Weitergabe der Daten an Dritte.
  4. Wer ist verantwortlich?
    Schließlich werden Ihre Rechte genannt und die Verantwortlichen wie der oder die Datenschutzbeauftragte und die zuständige Datenschutzbehörde.

Gibt es einen solchen übersichtlichen Aufbau nicht, und gelingt es Ihnen auch nach mehrmaligem Überfliegen der Datenschutzerklärung nicht, einen Überblick zu bekommen, handelt der Anbieter rechtswidrig. Er ist nämlich verpflichtet, die Datenschutzerklärung übersichtlich und verständlich zu präsentieren.

Im zweiten Schritt können Sie die Datenschutzerklärung auf Präzision prüfen. Wie genau ist der Anbieter bei seinen Angaben? Hier einige Leitfragen:

  1. Werden die Kategorien der persönlichen Daten ausformuliert?
    Ist zum Beispiel nur von Kommunikationsdaten oder Bestandsdaten die Rede, bleibt aber unklar, um welche genau es sich handelt?
  2. Ist die Rede von „Dritten,“ „Partnern“ oder „Dienstleistern“, wenn es um die Weitergabe Ihrer Daten geht?
    Oder werden diese benannt? Wird erklärt, warum sie die Daten erhalten? Wenn nicht, können ihre Daten aus allerlei Gründen überall landen und sie bekommen von allem möglichen Firmen Werbung oder sogar Anrufe.
  3. Ist der Zeitraum der Speicherung Ihrer Daten konkret benannt?
    Oder beruft sich der Anbieter auf unverbindliche Formulierungen wie „so lange wie notwendig“? Wenn ja, liegen ihre Daten die nächsten 100 Jahre auf dem Server.
  4. Wurde die oder der Datenschutzbeauftragte mit Kontaktdaten benannt?
    Wenn nicht, ist die Wahrscheinlichkeit hoch, dass es sie oder ihn gar nicht gibt.  

Haben Sie nach dem Lesen der Datenschutzerklärung mehr Fragen als Antworten? Haben Sie das Gefühl, aus der Erklärung nicht wirklich schlau geworden zu sein? Dann schauen Sie sich nach einer Alternative um. Die gibt es natürlich nicht immer, aber es lohnt sich, darüber nachzudenken.