Datenschutz-Grundverordnung gilt Das müssen Verbraucher jetzt wissen

Von Daniel Gräfe 

Alle EU-Bürger erhalten ab diesem Freitag mehr Kontrolle über ihre Daten. Wie man seine Rechte kennt – und auch durchsetzt.

Besserer Datenschutz für EU-Bürger: Die neue Datenschutz-Grundverordnung verbessert die Transparenz und den Schutz personenbezogener Daten. Foto: sdecoret/Adobe Stock
Besserer Datenschutz für EU-Bürger: Die neue Datenschutz-Grundverordnung verbessert die Transparenz und den Schutz personenbezogener Daten. Foto: sdecoret/Adobe Stock

Bisher hatten die Bürger nur wenig Kontrolle über ihre Daten, da viele Firmen den Datenschutz lax nahmen und die Bußgelder vergleichsweise gering ausfielen. Die sogenannte Datenschutz-Grundverordnung (DSGVO) ändert das von diesem Freitag an grundlegend. Sie bietet mehr Transparenz, Verbraucherrechte lassen sich leichter durchsetzen. Das sind die entscheidenden Neuerungen:

1. Das Recht auf Einwilligung

Stuttgart - Verbraucher müssen künftig von Beginn an darüber informiert werden, wie ihre persönlichen Daten weitergegeben und verarbeitet werden – und das in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ sowie in einer „klaren und einfachen Sprache“. Die Hinweise finden sich zum Beispiel unten auf der Webseite eines Unternehmens oder einer Behörde, meist unter dem Stichpunkt „Datenschutzerklärung“ und meist neben Punkten wie „Impressum“ oder „Kontakt“. Außerdem müssen die Verbraucher ihre Einwilligung geben, damit ihre persönlichen Daten genutzt werden dürfen. Allerdings benötigen Firmen nicht immer eine Einwilligung, wenn zum Beispiel ein öffentliches Interesse besteht.

Derzeit weisen Banken, soziale Netzwerke, Online-Shops und andere Anbieter prominent auf ihren Webseiten und in den Apps auf ihre überarbeiteten Erklärungen zum Datenschutz und zu den Allgemeinen Geschäftsbedingungen hin. Diese müssen dann bestätigt oder abgelehnt werden. Gegebenenfalls sind Unterpunkte zu bestätigen oder abzulehnen. Wer die neuen Geschäftsbedingungen ablehnt, kann die Dienste möglicherweise nicht mehr oder nur eingeschränkt nutzen. Eine Einwilligung kann jederzeit widerrufen werden. Dazu reicht es beispielsweise, eine formlose E-Mail zu schreiben.

Persönliche Nutzerdaten dürfen nur zu einem konkreten Vertragszweck erhoben werden. Die Taschenlampen-App, die auch Standortdaten sammelt, wäre damit unzulässig. Das Kopplungsverbot wurde verschärft. So darf ein Händler zum Beispiel den Online-Einkauf eines Kunden nicht von der Einwilligung zu einem Newsletter abhängig machen.

2. Das Recht auf Auskunft

Der Zugang zu den eigenen Daten wird mit der neuen Verordnung einfacher. Sind personenbezogene Daten – hierzu zählen Namen, Geburtsdaten, Post- und Internetadresse sowie Gesundheitsdaten – bereits gespeichert, können diese abgefragt werden: Zum Beispiel welche Daten seit wann und zu welchem Zweck gesichert wurden oder woher sie stammen, wenn der Verbraucher sie nicht selbst einer Firma mitgeteilt hat. Die Auskunft darüber muss in der Regel innerhalb eines Monats und unentgeltlich erfolgen. Die Informationen zu dieser Auskunftsplicht müssen Firmen, Vereine und Behörden leicht sichtbar machen. Auf den Webseiten finden sie sich zum Beispiel unter dem Punkt „Datenschutzerklärung“ unter „Ihre Rechte“. Dort ist auch der zuständige Kontakt angegeben wie Anschrift oder E-Mail. Die Auskunft kann formlos sein, aber gegebenenfalls muss sich der Verbraucher identifizieren können.

Laut einer Umfrage des IT-Dienstleisters Veritas wollen mehr als ein Drittel aller Deutschen in den kommenden sechs Monaten ihre neuen Auskunftsrechte nutzen, vor allem bei sozialen Netzwerken und Finanzdienstleistern.

3. Das Recht, Daten zu löschen

Bisher war es schwierig zu erfahren, welche Daten ein Unternehmen oder eine Behörde über einen speichert – oder diese gar löschen zu lassen. Das ändert sich. Die Verbraucher können eine Berichtigung verlangen, wenn ihre personenbezogenen Daten falsch sind – und das laut Verordnung „unverzüglich“. Dazu wendet man sich an den für Datenschutz-Verantwortlichen einer Firma, eines Vereins oder einer Behörde. Diese müssen etwa auf der Webseite genannt werden, meist unter dem Punkt „Datenschutz“.

Verbraucher können ihre Daten auch vervollständigen lassen. Daten müssen gelöscht werden, wenn der Zweck, für den sie erhoben wurden, nicht mehr gilt. Das wäre zum Beispiel nach einem bezahlten Onlinekauf der Fall. Das gilt auch dann, wenn ein Kunde die Einwilligung zur Datenverarbeitung widerruft, etwa für einen Newsletter oder ein Kundenkonto.

Verbraucher können ihre personenbezogenen Daten zum Schutz der Privatsphäre löschen lassen. Auch wer sein soziales Netzwerk verlassen will, kann diese Daten löschen lassen. Wenn ein Unternehmen personenbezogene Daten an andere Unternehmen weitergegeben hat, ist es verpflichtet, die Forderungen an diese weiterzuleiten. Die Löschpflicht gilt auch für Verleumdungen. Allerdings müssen die Meinungsfreiheit, die historische und wissenschaftliche Forschung gewahrt bleiben. So könne kein Politiker verlangen, dass seine Kommentare aus dem Internet entfernt werden, betont die EU-Kommission.

4. Das Recht bei sensiblen Daten

Besonders sensible Daten sind durch die neue Verordnung auch besonders geschützt. Dazu zählen Informationen zur Religionszugehörigkeit und medizinische, biometrische und genetische Daten. Auch Angaben über die sexuelle Orientierung, die ethnische Herkunft oder politische Überzeugung unterliegen einem strengeren Schutz. Wenn Bürger Daten wie diese allerdings selbst öffentlich machen, dürfen sie auch ohne eine ausdrückliche Einwilligung verarbeitet werden.

Kinder werden künftig besser geschützt, auch weil sie oft die Folgen gar nicht abschätzen können, wenn sie ihre persönlichen Daten im Internet eingeben. Die Daten von Kindern und Jugendlichen unter 16 Jahren dürfen deshalb nur dann verarbeitet werden, wenn die Eltern oder der Vormund ihr Einverständnis geben. Ob und wie die Unternehmen die Altersüberprüfung durchführen, wird wohl die Praxis zeigen. Einige Unternehmen sichern sich ab. So hat der Kommunikationsdienst Whatsapp das Mindestalter für die Nutzung kürzlich von 13 auf 16 Jahre erhöht.

5. Das eigene Recht durchsetzen

Was tun, wenn etwas schiefläuft mit den privaten Daten? Wenn zum Beispiel der Newsletter kommt, obwohl er abbestellt wurde? Oder ein Unternehmen illegal persönliche Daten weitergegeben hat? Hier sollte man zuerst das Unternehmen anschreiben, um den Missstand beheben zu lassen. Wenn dies nicht geschieht oder ein Unternehmen monatelang nicht reagiert, können sich Verbraucher unentgeltlich an eine Datenschutzbehörde wenden.

Die neue EU-Verordnung erleichtert dabei die Beschwerde. Früher musste sich ein Bürger an die Behörde des jeweiligen Landes wenden, in denen ein Unternehmen in Europa seinen Sitz hat – im Fall von Facebook zum Beispiel Irland. Jetzt kann die Beschwerde innerhalb der EU an eine Behörde nach Wahl gehen, in Baden-Württemberg wäre der erste Adressat wohl der „Landesbeauftragte für den Datenschutz und die Informationsfreiheit“ (www.baden-wuerttemberg.datenschutz.de). Auch Verbraucherzentralen wie die von Baden-Württemberg (www.verbraucherzentrale-bawue.de) helfen weiter und bieten eine Beratung an. Außerdem können sie gegen Unternehmen klagen.

Ein scharfes Schwert gegen schwerwiegende Datenschutz-Verstöße ist die Höhe der Bußgelder. Sie kann im Extremfall 20 Millionen Euro oder aber vier Prozent des weltweiten Jahresumsatzes eines Unternehmens und damit mehrere Milliarden Euro betragen.