menu-mob.png

Was bedeutet es für Sie als Verbraucher, in einer von der neuen DSGVO geprägten Welt zu leben?

 |
5. Juni 2018

Freitag, der 25. Mai 2018, wird in der Geschichte der digitalen Entwicklung vermutlich einen ganz besonderen Platz einnehmen, da mit diesem Datum die Datenschutz-Grundverordnung in Kraft trat, und mit ihr ein völlig neuer Standard für den Umgang mit persönlichen Daten von EU-Bürgern. Man geht davon aus, dass die DSGVO die Einstellung zum Thema Datenschutz bei Verbrauchern und Unternehmen ändern wird, und das nicht nur in der EU, sondern weltweit.

Bislang war der Großteil der Informationen zum Thema DSGVO an die Unternehmen gerichtet und befasste sich mit dem Thema Compliance. Eigentlich wurde die Verordnung aber entwickelt, um den Bürgern zu dienen. In diesem Blog-Post wollen wir nun aufzeigen, was die Verordnung für Sie als Verbraucher aus der Europäischen Union bedeutet (was sie für Nicht-EU-Bürger bedeutet, erfahren Sie weiter unten im Text). Was genau können Sie nun seit dem 25. Mai 2018 von Unternehmen und Organisationen erwarten? Hier erfahren Sie mehr darüber. Und vielleicht ist dieser Beitrag ja auch für Unternehmen nicht ganz uninteressant …

Beginnen wir mit einem Überblick über Ihre neuen Rechte, bevor wir dann in die Details eintauchen und auf einige der FAQs (häufig gestellte Fragen) zum Thema eingehen.

  1. Ihre Zustimmungsrechte

  2. Recht auf mehr (transparente) Informationen

  3. Datenbesitzrechte

Das Recht auf Vergessenwerden (Löschung), 
Recht auf Datenzugriff,
Recht auf Datenübertragbarkeit, 
Recht auf Berichtigung,
Recht auf Widerspruch,
Recht auf die Verweigerung der Datenverarbeitung

  1. Recht auf Information zu Datenschutzverletzungen

1

 


1. Ihre Zustimmungsrechte

Möchten Sie auch weiterhin von uns hören? In dem Fall benötigen wir Ihre Zustimmung.“ Vermutlich hatten Sie in letzter Zeit eine ganze Reihe von E-Mails mit ähnlichem Wortlaut in Ihrem Posteingang. Das ist auf die Zustimmungsregelung der DSGVO zurückzuführen, die besagt, dass Organisationen nur in bestimmten Fällen Daten einer Person verarbeiten können (z. B. wenn es im Rahmen der gesetzlichen Verpflichtungen der Organisation erforderlich ist, um die Interessen eines Einzelnen zu schützen oder – und das wird in den meisten Fällen die Standardsituation sein – wenn eine Person „der Verarbeitung ihrer persönlichen Daten für einen oder mehrere spezifische Zwecke zugestimmt hat“).

In den meisten Fällen bedeutet dies, dass Sie Ihr Einverständnis erklären müssen, bevor eine Organisation Sie direkt ansprechen darf. Diese darf aber nicht allgemeiner Natur sein, sondern muss sich auf einen spezifischen Verarbeitungszweck beziehen. Vor Einführung der DSGVO haben nur sehr wenige Unternehmen die Zustimmung von Verbrauchern zweckspezifisch eingeholt (mir fällt spontan keines ein …), aber mit Inkrafttreten der DSGVO ist das jetzt die neue Norm. Das heißt, wenn sich der Zweck der Verarbeitung nach Einholung Ihrer Zustimmung ändert, oder eine Organisation Ihre Daten für weitere Zwecke nutzen möchte, ist eine neue und spezifische Zustimmung Ihrerseits erforderlich.

Die DSGVO definiert Zustimmung folgendermaßen: „Ein aus freien Stücken vom Datensubjekt gegebener, spezifischer, eindeutiger und auf entsprechenden Informationen basierender Hinweis (eine Aussage oder eine als solche zu wertende Handlung), dassdie Person der Verarbeitung ihrer persönlichen Daten zustimmt.“

Mit anderen Worten: Ihre Zustimmung muss „aus freien Stücken“ erfolgen und Sie müssen eine „als Zustimmung zu wertende Handlung“ vornehmen. Aber was bedeutet das?

Die französische Anwaltskanzlei Mathias Avocats hat ein hervorragendes Beispiel für eine Situation, in der die Zustimmung nicht aus freien Stücken gegeben wird: „Wenn beispielsweise eine mobile App für die Fotobearbeitung von Benutzern verlangt, für die Nutzung ihrer Dienste ihre GPS-Position zu aktivieren, kann die Zustimmung nicht so verstanden werden, dass auch die GPS-Daten genutzt werden dürfen. In der Tat können die Nutzer sich nicht weigern, ihre GPS-Funktion zu aktivieren, da sie sonst die App nicht nutzen können. Diese ist aber für die Bildbearbeitung nicht erforderlich.“

Soll Ihre Zustimmung als gültig betrachtet werden können, müssen Sie diese aus freiem Willen gegeben haben. Sie darf nicht integrierter, nicht verhandelbarer Bestandteil von AGB, Verträgen oder Diensten sein. Darüber hinaus muss der Text, in dem steht, dass Sie Ihre Zustimmung geben, von anderen Texten unterschieden werden können. Ist das nicht der Fall, ist Ihre Zustimmung nicht verbindlich. Dazu die DSGVO:

„Wird die Zustimmung des Betroffenen im Zusammenhang mit einer schriftlichen Erklärung gegeben, die auch andere Angelegenheiten betrifft, so wird der Zustimmungsantrag auf eine Weise vorgelegt, die von den anderen Angelegenheiten eindeutig unterscheidbar ist, in verständlicher und leicht zugänglicher Form und unter Verwendung von klar und einfach zugänglicher Sprache. Ein Teil einer solchen Erklärung, der eine Verletzung dieser Verordnung darstellt, ist nicht verbindlich.“

Eine „bestätigende Handlung“ hingegen setzt voraus, dass Sie etwas tun müssen (z. B. ein Feld mit dem Text „Ich stimme zu“ ankreuzen. Das Feld darf dabei nicht im Voraus angekreuzt sein, wenn Ihre Zustimmung als gültig betrachtet werden soll.

Zudem haben Sie laut DSGVO das Recht, Ihre Zustimmung jederzeit zurückzuziehen. Dabei sieht die DSGVO vor, dass es genauso einfach zu sein hat, die Zustimmung zurückzuziehen wie sie zu geben.

Zudem haben Sie das Recht, jederzeit einzusehen, welchen Dingen Sie zugestimmt haben. Es obliegt der Organisation, Ihnen – und den entsprechenden Behörden – gegenüber den Nachweis zu führen, dass Sie der Verarbeitung Ihrer personenbezogenen Daten zugestimmt haben.

 

2. Recht auf mehr (transparente) Informationen

Nach Einführung der DSGVO werden die Ihnen von Organisationen übermittelten Informationen über Ihre Daten in klarerer, verständlicher Sprache geschrieben sein, wobei Sie auch viel mehr von diesen erwarten können. Gemäß Artikel 12 der DSGVO müssen Organisationen alle Informationen über die Datenverarbeitung in „knapper, transparenter, verständlicher und leicht zugänglicher Form sowie unter Verwendung einer klaren und einfachen Sprache verfassen, insbesondere wenn mit diesen Informationen Kinder angesprochen werden.“

Das bedeutet, dass Sie in der Lage sein müssen, genau zu verstehen, was mit Ihren Daten geschieht. Sie haben das Recht, diese Informationen schriftlich anzufordern, aber Sie haben auch das Recht, diese mündlich einzuholen, wenn Sie Ihre Identität beweisen können. Wenn Sie Probleme haben, datenbezogene Angaben zu entschlüsseln, können Sie sich bei der Organisation oder deren Datenverantwortlichen melden. Die entsprechenden Kontaktdaten müssen Ihnen ebenfalls zur Verfügung gestellt werden.

Zu dem Zeitpunkt, zu dem Ihre personenbezogenen Daten gesammelt werden, beispielsweise wenn Sie sich für einen neuen Newsletter anmelden, haben Sie das Recht, nach Artikel 13 der DSGVO folgende Informationen zu erhalten:

  • Die Identität und die Kontaktdaten der Organisation
  • Die Kontaktdaten des Datenschutzbeauftragten (DPO), wenn die Organisation einen solchen beschäftigt
  • Die Zwecke der Datenverarbeitung
  • Die Zeit, für die die personenbezogenen Daten gespeichert werden, oder wenn dies nicht möglich ist, die Kriterien für die Bestimmung dieser Periode
  • Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, falls gegeben
  • Angaben dazu, ob die Organisation beabsichtigt, personenbezogene Daten an Dritte zu übertragen
  • Die Existenz der Rechte unter der DSGVO (z. B. das Recht auf Berichtigung, Löschung und Datenübertragbarkeit)
  • Die Existenz des Rechtes, jederzeit die Zustimmung zurückzuziehen
  • Die Existenz des Rechtes, eine Beschwerde bei einer Aufsichtsbehörde einzulegen (jeder Mitgliedstaat hat eine oder mehrere unabhängige öffentliche Behörden als Aufsichtsbehörde für die Überwachung der Anwendung der DSGVO bestimmt).
  • Falls zutreffend, die Existenz automatisierter Entscheidungsfindung, einschließlich Profiling-Maßnahmen sowie Informationen über die genutzte Logik, sowie die Folgen einer solchen Verarbeitung für Sie

Wenn eine Organisation später Ihre Daten für einen anderen Zweck verwenden will als den, der Ihnen bereits bei der Erhebung Ihrer Daten mitgeteilt wurde, muss sie Ihnen Informationen über den neuen Zweck und die voraussichtliche Verarbeitungsdauer an die Hand geben.

60310813-d4e8-4275-8ab4-b36bf8c6aa3c 

3. Datenbesitzrechte

Wenn Sie vor Einführung der DSGVO Ihre Daten an ein Unternehmen übergeben haben, besaß das Unternehmen im Wesentlichen Ihre Daten. Nach Einführung der DSGVO besitzen Sie Ihre Daten. Sie geben diese lediglich an Organisationen weiter, um ihnen zu helfen, Sie besser kennenzulernen und Ihnen besseren Service zu bieten.

Seit Einführung der DSGVO haben Sie nun mehrere Rechte, die Ihre Daten betreffen: 

Das Recht auf Vergessenwerden (in der DSGVO: „das Recht auf Löschung“)

Sie haben das Recht, Ihre personenbezogenen Daten aus der Datenbank einer Organisation vollständig löschen zu lassen, wenn

  • Sie Einwände gegen die Verarbeitung haben.
  • Sie Ihre Zustimmung zurückziehen.
  • Ihre personenbezogenen Daten im Zusammenhang mit den Zwecken, für die sie gesammelt oder verarbeitet wurden, nicht mehr notwendig sind.
  • Ihre personenbezogenen Daten rechtswidrig verarbeitet wurden.

Es gibt nur wenige Ausnahmen im Bezug auf dieses Recht, wie etwa, wenn Ihre Daten aus rechtlichen oder wissenschaftlichen Gründen gesammelt wurden. Die Pflicht, den Nachweis darüber zu führen, um so die Löschung Ihrer Daten zu vermeiden, liegt bei der Organisation.

Das Recht auf Berichtigung

Dieses Recht bedeutet, dass Sie berechtigt sind, zu wissen, was mit Ihren Daten geschieht, und welche Art von Daten eine Organisation zu Ihrer Person vorhält. Die DSGVO sagt dazu:

„Das Datensubjekt (z. B. Sie) hat das Recht, sich vom Datenverantwortlichen (d. h. von einer Organisation, die Ihre Daten verarbeitet bzw. verarbeiten lässt), bestätigen zu lassen, ob Daten über die eigene Person verarbeitet werden und, wenn dies der Fall ist, Zugriff auf die personenbezogenen Daten zu verlangen (…).“

Wenn Sie „das Recht auf Zugriff“ geltend machen, können Sie fragen, welchen Zweck die Datenverarbeitung hat, wer Zugang zu Ihren Daten hat (z. B. Dritte) und wie lange die Verarbeitung voraussichtlich dauern wird. Darüber hinaus haben Sie das Recht, eine Kopie der personenbezogenen Daten anzufordern, die sich in der Verarbeitung befinden. 

Das Recht auf Datenübertragbarkeit

Sie haben das Recht, Ihre personenbezogenen Daten direkt von einer Organisation an eine andere zu übertragen. Die DSGVO sagt zu diesem Recht:

„Das Datensubjekt hat das Recht, die ihn betreffenden Daten, die er dem Datenverantwortlichen bereitgestellt hat, in einem strukturierten, üblichen und maschinenlesbaren Format zu erhalten. Zudem hat er das Recht, diese Daten ohne Behinderung vom ursprünglichen Datenverantwortlichen an einen anderen zu übertragen.“

Dies könnte für Sie als relevant erweisen, wenn Sie beispielsweise Produkte oder Dienstleistungen von einer Firma erhalten, die der Organisation nahesteht, die Ihre persönlichen Daten vorhält. So können Sie beispielsweise Ihren Energieversorger bitten, Ihre Daten an einen Solarmodulhersteller zu übertragen, bevor Sie ein Angebot von letzterem erhalten. Sollten Sie mit einer Organisation unzufrieden sein, können Sie sogar verlangen, dass diese Ihre personenbezogenen Daten an einen Wettbewerber überträgt und dann alle Ihre Daten löscht.

Das Recht auf Berichtigung

Sie haben das Recht, Ihre personenbezogenen Daten ändern zu lassen, zum Beispiel ungenaue Daten zu korrigieren und unvollständige Daten zu ergänzen. Sie können eine Organisation schriftlich oder mündlich bitten, dies zu tun.

Das Recht auf Widerspruch

Sie haben das Recht, der Nutzung Ihrer personenbezogenen Daten zu bestimmten Zwecken zu widersprechen, wie zum Beispiel Profiling-Maßnahmen. Die datenverarbeitende Organisation muss die Verarbeitung dann umgehend einstellen, es sei denn, die Verarbeitung ist „notwendig, um eine im öffentlichen Interesse liegende Aufgabe zu erfüllen.“
 

Das Recht auf Beschränkung der Verarbeitung

Das Recht auf Beschränkung der Verarbeitung bedeutet, dass Sie eine Organisation bitten können, Ihre Daten nicht zu nutzen, sondern sie lediglich zu speichern. Die Europäische Kommission gibt ein treffendes Beispiel dafür an, dass dieses Recht für Sie nützlich sein kann:

„Eine neue Bank im Inlandsmarkt bietet gute Darlehenskonditionen. Sie kaufen ein neues Haus und beschließen, die Bank zu wechseln. Sie bitten die „alte“ Bank, alle Konten zu schließen und Ihre persönlichen Daten zu löschen. Die alte Bank unterliegt jedoch einem Recht, das Banken verpflichtet, alle Kundendaten für 10 Jahre zu speichern. Zwar ist die alte Bank rechtlich verpflichtet, Ihre Daten zu speichern, aber Sie können die Beschränkung der Datennutzung einfordern, sodass Ihre persönlichen Daten nicht versehentlich für unerwünschte Zwecke verwendet werden.“

 

4. Recht auf Information bei Datenschutzverletzungen

Unter der DSGVO haben Sie bestimmte Rechte, falls es zu einer Datenschutzverletzung kommt, die Ihre persönlichen Daten betrifft. Aber was versteht die DSGVO unter einer Verletzung des Schutzes von persönlichen Daten? Dieser Begriff ist definiert als „ein Sicherheitsproblem, das versehentlich oder gesetzwidrig zur Zerstörung, zum Verlust, zur Änderung oder zur nicht autorisierten Offenlegung von gespeicherten, übermittelten oder anderweitig verarbeiteten persönlichen Daten führt oder den Zugriff auf sie ermöglicht.“

Wenn Ihre personenbezogenen Daten durch eine Datenschutzverletzung betroffen sind, die möglicherweise ein großes Risiko für Ihre Rechte und Freiheit darstellen kann, muss die Organisation, die für die Verarbeitung Ihrer Daten verantwortlich ist, Sie in klarer, einfacher Sprache und ohne Verzögerung über die Datenschutzverletzung informieren. Das umfasst auch folgende Angaben:

  • Name und Kontaktdaten des Datenschutzbeauftragten (DPO) oder anderer Kontaktpersonen, die weitere Informationen bereitstellen können
  • Die wahrscheinlichen Folgen der Datenschutzverletzung
  • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Bekämpfung der Datenschutzverletzung, einschließlich gegebenenfalls Maßnahmen zur Minderung der möglichen negativen Auswirkungen für Sie

Es gibt jedoch Ausnahmen, in denen eine Organisation nicht gesetzlich verpflichtet ist, Ihnen eine Datenschutzverletzung zu melden (z. B. wenn sie geeignete technische und organisatorische Schutzmaßnahmen implementiert hat, und diese auf die personenbezogenen Daten angewendet wurden, die durch die Datenschutzverletzung betroffen sind oder die Kommunikation „unverhältnismäßige“ Anstrengung erfordern würde). In letzterem Fall ist die Organisation stattdessen verpflichtet, eine öffentliche Bekanntmachung oder ähnliche Maßnahmen zu veranlassen, die Sie und andere genauso effizient über die Datenschutzverletzung informiert.

 

Antworten auf all die offenen Fragen zur DSGVO 

Damit haben wir die Grundlagen dessen abgedeckt, was Sie von der DSGVO erwarten können. Aber Moment mal, da gibt es noch mehr! Hier einige der häufigsten aus Verbraucherperspektive gestellten Fragen … und natürlich die Antworten darauf.

 3f3e8c4b-3590-4b86-96fd-74df3ad78df4



Wie schnell sollte eine Organisation auf eine Anfrage zum Thema persönliche Daten reagieren?

Laut DSGVO muss eine Organisation schnellstmöglich auf Ihre Anfrage reagieren, spätestens aber innerhalb eines Monats. Je nach Komplexität und Anzahl Ihrer Anträge hat die Organisation das Recht, die Bearbeitung um zwei weitere Monate zu verlängern, aber in diesem Fall muss sie Sie darüber informieren und Gründe für die Verzögerung benennen.

Sollte eine Organisation beschließen, nicht auf Ihre Anfrage zu reagieren, muss sie Sie unverzüglich, spätestens aber innerhalb eines Monats nach Ihrer Anfrage darüber informieren und Gründe für die Nichtbearbeitung benennen. Außerdem muss sie Sie über die Möglichkeit informieren, eine Beschwerde bei Ihrer regionalen Aufsichtsbehörde zu veranlassen.

 

Was tue ich, wenn es zu einer Verletzung meiner persönlichen Datenschutzrechte kommt?

Das hängt von der Art der Datenschutzverletzung ab. Wenn Sie beispielsweise Direktmarketingmaterial von einer Organisation erhalten, der Sie keine Zustimmung erteilt haben (oder falls sich nicht an einen solchen Vorgang erinnern können), sind Sie berechtigt, Ihre Datenschutzrechte auszuüben, z. B. das Recht auf Datenzugriff, sodass Sie sehen können, welche Daten die Organisation über Sie vorhält.

Wenn Sie glauben, dass Ihre persönlichen Daten nicht sicher sind oder falls Sie keine Kommunikation von einer bestimmten Organisation erhalten möchten, können Sie jederzeit Ihr Recht auf Vergessenwerden ausüben.

Wenn es zu einer schweren Datenschutzverletzung kommt oder falls eine Organisation einfach nicht auf Ihre Anfragen reagiert, müssen Sie die für Sie zuständige regionale Aufsichtsbehörde informieren und eine formelle Beschwerde veranlassen.

 

Habe ich ein Recht auf Entschädigung, wenn meine persönlichen Daten an die Öffentlichkeit gelangen?

„Vielleicht“ wäre zu diesem Zeitpunkt wohl die zutreffendste Antwort. Die DSGVO sagt dazu: „Jede Person, die aufgrund einer Verletzung dieser Verordnung materielle oder nicht materielle Schäden erlitten hat, hat das Recht, vom Datenverantwortlichen oder vom Datenverarbeiter Entschädigung für die erlittenen Schäden zu erhalten.“

Es ist jedoch sehr schwierig, in dieser Phase Voraussagen zu treffen, da die Gerichte bislang noch keine Schadensersatzansprüche im Rahmen der DSGVO zu bearbeiten hatten.

 

Muss ich etwas dafür bezahlen, meine Rechte auszuüben?

Bis zu einem gewissen Grad nicht. Aber: „Wenn die Anfragen eines Datensubjekts offensichtlich unbegründet oder exzessiv sind, insbesondere aufgrund ihres wiederholten Charakters, kann der Datenverantwortliche:

a) eine angemessene Gebühr erheben, welche den Aufwand für die Verwaltung, die Bereitstellung der Informationen oder die Umsetzung der geforderten Maßnahmen berücksichtigt, oder

b) sich weigern, die Anfrage zu bearbeiten.“

Die Organisation muss jedoch den „offensichtlich unbegründeten oder exzessiven“ Charakter einer Anfrage nachweisen.

 

Genieße ich irgendwelche persönlichen Datenrechte, wenn ich kein Bürger der Europäischen Union bin?

Grundsätzlich gelten für Sie nur Ihre regionalen Datenschutzbestimmungen. Es ist jedoch zu erwarten, dass internationale Organisationen dem Beispiel der DSGVO folgen und Ihnen das gleiche Datenschutzniveau bieten werden, wie es für jeden EU-Bürger gilt. Sie haben jedoch keine Rechtsgrundlage, um diese Rechte einzufordern. Man geht allerdings davon aus, dass die DSGVO weltweit die Datenschutzstandards anheben wird, da andere Regionen vermutlich dem Beispiel der Europäischen Kommission folgen werden.

Fazit

Nun haben wir es aber geschafft: die DSGVO in der Kurzübersicht. Wir hoffen, Sie verfügen jetzt über alle Informationen, um wieder die Kontrolle über Ihre persönlichen Daten zu übernehmen. Vielleicht möchten Sie ja sofort damit beginnen, Ihre Zustimmungen zurückzuziehen. Vielleicht werden Sie aber auch niemals eines Ihrer neuen Rechte nutzen. Aber wie dem auch sei, Sie können sicher sein, dass Ihre persönlichen Daten seit dem 25. Mai 2018 besser aufgehoben sind als zuvor.

 



← Vorheriger Eintrag
Nächster Eintrag →