DSGVO: Ihre Rechte beim Datenschutz
Was hat sich durch die DSGVO tatsächlich für Verbraucher und Internetnutzer geändert?
Am 25. Mai 2018 war es so weit: Nach einer zweijährigen Übergangszeit trat die DSGVO für alle Eu-länder verbindlich in Kraft. Da war es umso erstaunlicher, dass viele Unternehmen trotz dieses Vorlaufs ziemlich kalt erwischt wurden. Denn noch im Dezember 2018 gab hierzulande gerade einmal knapp ein Viertel der Firmen an, die DSGVO vollständig umgesetzt zu haben, wie eine Bitkom-umfrage ergab. Hier gab und gibt es also noch viel zu tun.
Dabei gab es Datenschutz ja nicht erst mit der DSGVO – zuvor wurde er in Deutschland durch das Bundesdatenschutzgesetz (BDSG) geregelt. Beim Vergleich der Inhalte beider Gesetze stellt man fest, dass sich DSGVO und BDSG gar nicht so sehr unterscheiden. Die plötzliche Hektik bei der Umsetzung ist deshalb vor allem mit den nun wesentlich höheren Strafen zu erklären: Bei schwerwiegenden Verstößen können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes als Bußgeldzahlung fällig werden. Das motivierte die Unternehmen dann doch, den Datenschutz endlich ernst zu nehmen.
Firmen müssen Kunden über deren Datenschutzrechte informieren
Die größte Änderung durch die DSGVO (www.dejure.org/gesetze/dsgvo) sind die zahlreichen Rechte der Betroffenen und die
„Die Datenschutz-grundverordnung bietet Kunden umfassende Auskunftsrechte, Unternehmen drohen bei Verstößen hohe Strafen.“
Informationspflichten für Unternehmen. Wenn eine Firma personenbezogene Daten von Ihnen erhebt, müssen Sie nunmehr direkt bei der Erhebung der Daten über deren Verwendung informiert werden. Man muss Ihnen dabei mitteilen, welche Daten erhoben werden, warum und wie lange diese gespeichert werden. Ebenso haben Sie das Recht zu erfahren, wenn Ihre Daten an andere Organisationen oder in andere Länder übertragen werden. Das ist vor allem von Bedeutung, wenn Daten an Werbefirmen oder Konzernzentralen in den USA oder China weitergegeben werden. Dadurch sehen Sie als Kunde und Verbraucher nun viel transparenter, was mit Ihren Daten geschieht – und wenn Sie das alles nicht möchten, dann können Sie dem auch widersprechen. Dies kann zwar zur Folge haben, dass Sie bestimmte Dienstleistungen nicht (mehr) nutzen können oder nicht mehr alle Waren bekommen. Aber diese Entscheidung fällen jetzt Sie und nicht irgendein Unternehmen.
Sollte eine Firma, Arztpraxis oder Behörde Ihnen diese, in Artikel 13 der DSGVO aufgeführten Informationspflichten verweigern, können Sie dagegen vorgehen. Es handelt sich schließlich um einen Verstoß gegen die DSGVO. Dass solche Verstöße keine Lappalie darstellen, musste Google Anfang des Jahres in Frankreich feststellen. Die dortige Datenschutzbehörde verhängte ein Bußgeld von 50 Millionen Euro, weil der Internetkonzern seinen Informationspflichten nicht in ausreichendem Maß nachgekommen war. Dabei bemängelte die Behörde insbesondere, dass die Informationen nach Artikel 13 nicht leicht genug zugänglich und zudem nicht umfassend genug waren.
Für die Auskunft zu Ihren Daten genügt ein formloses Schreiben
Zugleich stehen Ihnen auch eine ganze Reihe von neuen Rechten zu. Zunächst einmal haben Sie einen Auskunftsanspruch. Das heißt, Sie haben das Recht zu erfahren, welche Daten über Sie gespeichert sind – und zwar bei jeder Firma, jeder Behörde und jedem Verein. Hierzu genügt jeweils ein formloses Schreiben mit der Bitte um Auskunft. Ab diesem Zeitpunkt hat das Unternehmen beziehungsweise die Behörde vier Wochen Zeit, Ihnen eine Übersicht über die gespeicherten Daten zu liefern. In Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden. Die Auskunft ist
für Sie kostenfrei, sie darf allerdings nicht ständig wiederholt, sondern nur einmal pro Jahr angefordert werden. Musterschreiben zum Downloaden stellt unter anderem die Verbraucherzentrale zur Verfügung (www. pcwelt.de/wiqksx).
Recht auf „Vergessenwerden“sowie zum Übertragen der Daten
Neu mit der DSGVO ist zudem das „Recht auf Vergessenwerden“: So können Sie verlangen, dass Ihre Daten gelöscht werden. Um ausstehende Rechnungen kommen Sie trotzdem nicht herum. Denn gelöscht werden dürfen nur Daten, für die keine rechtlichen Speicherpflichten existieren. Somit müssen die Daten eines Mieters während der Mietzeit gespeichert sein, ebenso alle steuerlich relevanten Geldgeschäfte und vieles mehr. Bei allen anderen personenbezogenen Daten können Sie jedoch die Löschung verlangen, so beispielsweise von Fotos oder Mailadressen. Das gilt auch für Daten, bei denen die Aufbewahrungspflicht erloschen ist. Hierzu gehören etwa Daten zu Einkäufen bei einem Onlinehändler, die über zehn Jahre zurückliegen. Der Händler muss sie wieder löschen und darf sie nicht einfach in seiner Datenbank weiterführen. Bei manchen größeren Unternehmen können Sie das übrigens auch selbst erledigen, so beispielsweise bei Google: Unter https:// myactivity.google.com können Sie Ihre Suchanfragen bei Google und Youtube ansehen und auch löschen. Das funktioniert jedoch nur, wenn Sie mit Ihrem Google-konto bei der Suchanfrage angemeldet waren.
Des Weiteren haben Sie das Recht auf Datenübertragbarkeit. Sie können also verlangen, dass sämtliche Daten von einer Firma zur anderen übertragen werden, beispielsweise bei einem Anbieterwechsel. Bei Telefon-, Strom- und Gasverträgen wird das in aller Regel ohnehin schon praktiziert, beim Arztwechsel meistens auch.
Die DSGVO gilt sogar über die Europäische Union hinaus
Bessere Rechte haben Sie auch gegenüber Firmen im Ausland, denn die DSGVO gilt für alle Eu-staaten. Darüber hinaus gilt sie sogar für alle Nicht-eu-staaten, die mit Eubürgern Geschäfte machen. Bisher war es für Verbraucher kaum möglich, sich gegen Datenschutzverstöße in anderen Ländern zu wehren. Jetzt ist die Rechtslage einheitlich, und Sie können sich mit Beschwerden
an das Datenschutzamt in Ihrem Bundesland wenden – auch wenn es um ein Unternehmen im Ausland geht. Eine Liste mit Kontaktdaten der Aufsichtsbehörden finden Sie unter www.pcwelt.de/8su8kn. Ebenfalls neu ist die Verpflichtung für Unternehmen, Sie zu informieren, wenn es einen Datenschutzverstoß mit Ihren Daten gegeben hat. Sie müssen zumindest dann benachrichtigt werden, wenn für Sie nachteilige Folgen entstehen können. Wenn also ein Außendienstmitarbeiter zum Beispiel sein Notebook verliert, auf dem Ihre Kundendaten gespeichert sind, das Notebook jedoch verschlüsselt ist und die Festplatte mittels Fernwartung gelöscht werden kann, müssen Sie nicht informiert werden. Denn es ist unwahrscheinlich, dass Ihre Daten überhaupt in fremde Hände geraten. Wird allerdings von Ihrem Hausarzt eine E-mail mit Ihren letzten Laborwerten an die falsche Mailadresse geschickt, muss er Ihnen das mitteilen. Das Gleiche gilt, wenn Ihr Online-kundenkonto samt Kreditkarteninformationen gehackt wurde.
Datenschutz bei Fotos: Wichtig ist der Charakter der Bilder
Für Privatpersonen ist die DSGVO kein Thema. Denn alles, was Sie im persönlichen und familiären Umfeld machen, fällt nicht unter das neue Datenschutzgesetz. Sie können also weiterhin Telefonnummern an Freunde weitergeben, Bilder für Ihr Fotoalbum machen oder nach Herzenslust Adressen tauschen.
Nur bei Fotos müssen Sie auch als Privatperson etwas vorsichtig sein, denn hier ist
noch nicht endgültig klar, welche Aufnahmen weiter erlaubt sind und welche nicht. Ein Beispiel von „Zu viel des Guten“: Eine Kindertagesstätte in Dormagen, die jeweils ein Jahrbuch mit Fotos der Kinder bei Ausflügen und anderen Aktivitäten erstellt. Aus Angst vor möglichen Dsgvo-verstößen wurden darin die Gesichter der Kinder geschwärzt, nur das jeweils eigene Kind war sichtbar. Kein schönes Erinnerungsalbum
und zudem völlig unnötig, denn das Fotoalbum beschränkt sich ja auf den Elternkreis und dient ausschließlich privaten Zwecken. Damit ist die DSGVO überhaupt nicht zuständig. Nur bei einer Veröffentlichung beispielsweise auf der Webseite der Einrichtung käme der Datenschutz zur Anwendung. Kein rein privater oder familiärer Rahmen ist generell die Veröffentlichung von Fotos und Videos in sozialen Netzwerken wie etwa Facebook oder Instagram. Damit gilt zugleich die DSGVO, Sie müssen sich also an die Vorschriften halten. Konkret heißt das, dass Sie von den Personen, die Sie fo
tografieren, eine Einwilligung brauchen. Da gibt es keine formale Anforderung, die Einwilligung kann auch mündlich erfolgen. Bei Bildern von Konzerten sowie anderen Veranstaltungen gilt dies nicht. Wer sich auf eine Veranstaltung begibt, der muss damit rechnen, dass er auf einem Foto auftaucht. Das Gleiche gilt bei Aufnahmen von Sehenswürdigkeiten. Selbst wenn dort auch Menschen zu sehen sind, steht die Sehenswürdigkeit im Mittelpunkt, die Personen sind lediglich Beiwerk. Sie dürfen den Eiffelturm in Paris also auch weiterhin mit fremden Personen im Bild fotografieren. Unterschiedliche Auffassungen gibt es derzeit noch zum Thema private Homepage. Die eine Seite argumentiert, eine Homepage online zu stellen und für jedermann zugänglich zu machen, verlasse bereits den familiären und persönlichen Rahmen. Damit müsse die DSGVO eingehalten und ein Impressum sowie eine Datenschutzerklärung auf der Webseite integriert werden. Andere Datenschützer legen dies nicht so eng aus: Solange kein Gewerbszweck dahintersteht, bestehe keine Pflicht, die Vorgaben der DSGVO zu befolgen. Falls Sie für Ihre private Homepage ganz auf Nummer sicher gehen möchten, verwenden Sie einen „Generator“für Impressum und Datenschutzerklärung – beispielsweise von www.e-recht24.de (unter „Tools“), www.im pressum-generator.de, https://datenschutzgenerator.de, www.juraforum.de oder von ähnlichen Anbietern.
Neue Regeln gelten auch für Onlinewerbung per E-mail
Beim Versand von Werbemails wurden die Verbraucherrechte gleichfalls gestärkt. So darf ein Unternehmen nur dann Werbung an Sie schicken, wenn Sie bereits Bestandskunde sind. Eine Einwilligung Ihrerseits ist dazu nicht notwendig, Sie können der weiteren Zusendung aber widersprechen. Das muss einfach möglich sein, in der Regel mit einem Abmeldelink zum Anklicken. Wenn eine Firma Werbemails an Nicht-kunden verschicken will, müssen diese vorher eingewilligt haben. Eine solche Einwilligung kann später ohne die Angabe von Gründen zurückgezogen werden.
Bei Werbung mit der guten alten Briefpost benötigen Firmen keine vorherige Genehmigung. Solche Werbung darf man Ihnen zunächst also einfach so zuschicken, doch auch hier können Sie widersprechen. Werbeflyer und Ähnliches können Sie nach wie vor mit dem Aufkleber „Keine Werbung bitte“auf Ihrem Briefkasten verhindern. Eine besonders nervige Form der Werbung ist Telefon-marketing. Das ist nur nach ausdrücklicher Einwilligung Ihrerseits erlaubt, außerdem darf der Anrufer seine Telefonnummer nicht unterdrücken. Umstritten und gerichtlich bislang noch nicht geklärt ist, ob Anrufe bei Nummern aus dem Telefonbuch auch ohne Einwilligung erlaubt sind. Auf der sicheren Seite sind Sie, wenn Sie Ihre Rufnummer aus dem Telefonbuch löschen lassen.