Jedes Mal, wenn wir das Internet nutzen, hinterlassen wir Spuren: Beispielsweise welche Seiten wir wie lange aufgerufen und welches Gerät wir dafür von welchem Standort aus genutzt haben. Da sich unser Alltag zunehmend digital gestaltet und damit unter Umständen sehr viele personenbezogene Daten im Umlauf sind, ist es wichtig diese entsprechend zu schützen. Den rechtlichen Rahmen dafür bildet innerhalb der EU die Datenschutzgrundverordnung (DSGVO). Welche Pflichten sich daraus für Seitenbetreiber und Unternehmen bilden und welche Rechte Verbraucher:innen beanspruchen können, haben wir in diesem Beitrag zusammengefasst.

Was ist die DSGVO?

Die DSGVO ist eine Verordnung der Europäischen Union, sie gilt also in allen EU-Mitgliedsstaaten. Sie verfolgt zwei Ziele:

  • Informationelle Selbstbestimmung
    Die DSGVO sichert ein wichtiges Grundrecht: Das Recht auf informationelle Selbstbestimmung. Das bedeutet in anderen Worten: Wir dürfen selbst entscheiden, was andere mit unseren Daten machen dürfen und was nicht. Bevor also ein Unternehmen, eine Organisation oder eine Behörde Daten über uns sammelt, müssen wir gefragt werden, ob wir damit einverstanden sind. Außerdem steht in der DSGVO, was mit Daten passieren darf, die schon gespeichert sind –ob sie etwa weitergegeben werden dürfen oder wann sie gelöscht werden müssen.
  • EU-weite Rechtsangleichung
    Bevor die DSGVO 2018 in Kraft trat, hatten alle EU-Staaten eigene, teilweise sehr unterschiedliche Datenschutzgesetze. Mit der DSGVO gelten überall in Europa die gleichen Regeln, da sie als Verordnung rechtlich bindend ist – anders als die Richtline aus dem Jahr 1995, die zuvor im EU-Raum galt.

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten, um die es in der DSGVO geht, gehört alles, was Rückschlüsse auf unsere Identität zulässt. Das sind

  • Bestands- und Kontaktdaten:  
    Vor- und Nachname, Wohnanschrift, Telefonnummer,  E-Mail-Adresse,
  • Kommunikationsdaten:
    E-Mails, Chatverläufe, Telefongespräche, …
  • Technische Daten:
    IP-Adresse, Browsernutzung, ….
  • Daten, zur schulischen oder beruflichen Laufbahn:
    Schulnoten, Schul- und Hochschulabschlüsse, Lebensläufe und Zertifikate, …
  • Vertragsdaten:
    Bestellungen in Shops, Versicherungsdaten, …
  • Verkehrsdaten:
    GPS-Koordinaten von Standorten, Tracking von Strecken oder Routen,  Jahres- oder Monatskarten im ÖPNV, nicht übertragbare Bahn- oder Flugtickets, …
  • Zahlungs- und Finanzdaten:
    Kreditkartendaten, Bankverbindungen, Umsätze, Schufa-Einträge, …
  • Sensible Daten
    Bekenntnisse zu einer Religion, die ethnische Herkunft, Gesundheitsdaten, Informationen zur sexuellen oder geschlechtlichen Identität und Mitgliedschaften in Gewerkschaften gelten als besonders schützenswert.

Was sind die Prinzipien der DSGVO?

  • Das Prinzip der Zweckbindung
    Daten dürfen nur für bestimmte nachvollziehbare Zwecke erhoben, verarbeitet und weitergegeben werden.
  • Das Prinzip der Datensparsamkeit
    Unternehmen, Organisationen und Behörden dürfen nur die Daten erheben und speichern, die für den jeweiligen Zweck notwendig sind.
  • Das Prinzip der Datensicherheit
    Personenbezogene Daten müssen mit allen verfügbaren technischen Mitteln vor unbefugten Zugriffen geschützt werden, zum Beispiel vor Hackerangriffen..
  • Das Prinzip der Transparenz
    Unternehmen, Organisationen und Behörden müssen in einer Datenschutzerklärung darlegen, wie sie persönliche Daten schützen. Diese Erklärung muss übersichtlich, verständlich und frei zugänglich sein.
  • Das Prinzip der Diskretion und Vertraulichkeit
    Daten müssen sicher und vertraulich aufbewahrt werden. Niemand darf sie ungefragt weitergeben oder veröffentlichen. Je nach Art der Daten muss ein entsprechendes Schutzniveau vorherrschen. Dafür müssen geeignete technische und organisatorische Maßnahmen (TOM) getroffen werden.

Welche Rechte haben wir dank DSGVO?

  • Das Recht auf Vergessen
    Personenbezogene Daten müssen wieder gelöscht werden, wenn der Zweck der Datenspeicherung erfüllt ist und weitere Zwecke (z. B. steuerliche Vorschriften) nicht dagegensprechen.
  • Das Recht auf Zustimmung
    Bevor Unternehmen, Organisationen oder Behörden unsere Daten speichern und verarbeiten, müssen sie uns fragen. Ob wir zustimmen, oder ablehnen, ist unsere freie Entscheidung und darf nicht an weitere Bedingungen gekoppelt werden, vor allem nicht an Allgemeine Geschäftsbedingungen,  Verträge oder Vereinbarungen.
  • Das Recht auf Widerspruch
    Wir dürfen unsere Zustimmung zu einer Datenverarbeitung jederzeit widerrufen.
  • Das Recht auf Auskunft
    Unternehmen, Organisationen oder Behörden müssen uns auf Nachfrage mitteilen, welche personenbezogenen Daten sie speichern, verarbeiten und an wen sie diese weitergeben.
  • Das Recht auf Beschwerde
    Wenn wir einen Verstoß gegen die DSGVO melden wollen, können wir uns an die zuständigen Landesdatenschutzbehörden wenden.

Welche Ausnahmen gibt es?

In manchen Fälle andere Rechtsgrundlagen greifen. So unterliegen grundsätzlich für das Finanzamt notwendige Daten einer unumgänglichen Speicherfrist. Auch für die Erfüllung eines Vertrags kann die Datenverarbeitung notwendig sein, beispielsweise die Angabe der Adresse für die Lieferung eines online bestellten Produkts. Mitunter können Verantwortliche auch mit der „Wahrung berechtigter Interessen“ argumentieren. Dann kommt es zur Interessenabwägung.

Was bedeutet die DSGVO für Privatpersonen?

Die DSGVO schützt umfassend die Rechte von Verbraucher:innen in der EU.  Vor allem wird sie dem technologischen Fortschritt gerecht und berücksichtigt Sachverhalte, die die Richtlinie aus dem Jahr 1995 nicht enthalten konnte. So ist unter anderem die wachsende Nutzung von mobilen Daten mit dem Smartphone entsprechend berücksichtigt, indem jegliche Erhebungen und Verarbeitungen von Informationen geregelt sind. Die Rechte, die sich für Privatpersonen aus der DSGVO ergeben, sind ein wirksames Instrumentarium, um den Datenschutz auch persönlich greifbar und erfahrbar zu machen. Das setzt natürlich eine Auseinandersetzung und Sensibilisierung mit dem Thema voraus.

Was bedeutet die DSGVO für Unternehmen?

Unternehmen, Organisationen und Behörden in der EU müssen sich an die Regeln und Pflichten aus der DSGVO halten. Tun sie das nicht, drohen hohe Bußgelder von bis zu 20 Millionen Euro oder aber bis zu 4 Prozent des Jahresumsatzes. Es gilt aber immer der sogenannte „Angemessenheitsgrundsatz“ – in der Praxis sind die Bußgelder daher oft viel niedriger. Außerdem bekommen die Verantwortlichen in der Regel die Möglichkeit, den Verstoß selbst zu beheben und die Betroffenen zu informieren. Wer das macht, bekommt meistens nur eine Verwarnung und muss kein Bußgeld zahlen. Die Entscheidung dafür trifft die zuständige Behörde. Die DSGVO schafft Klarheit im Umgang mit Daten und schiebt unseriösen Geschäftspraktiken einen Riegel vor. Anbieter, die den Datenschutz gewissenhaft umsetzen, dürften dadurch in der Wahrnehmung der Kund:innen an Vertrauen gewinnen.