Datenschutzgrundverordnung Das bringt die DSGVO für Verbraucher
Für diesen Beitrag haben wir alle relevanten Fakten sorgfältig recherchiert. Eine Beeinflussung durch Dritte findet nicht statt.
Zum journalistischen Leitbild von t-online.
News folgen
Verbraucher gehören zu den Gewinnern des neuen EU-Datenschutzgesetzes. Doch was ändert sich konkret und wie kann man seine neuen Rechte wahrnehmen? t-online.de erklärt, was alles ab dem 25. Mai möglich ist.
Es war die größte Datenschutzreform seit mehr als 20 Jahren: Am 24. Mai 2016 trat die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Nach einer Schonfrist von zwei Jahren muss sie jetzt EU-weit umgesetzt werden. Das betrifft Google und Facebook genauso wie den deutschen Versandhandel, den selbständigen Kleinunternehmer und sogar Vereine. Als Stichtag wurde der 25. Mai festgelegt.
Das neue Gesetz gibt den EU-Bürgern mehr Kontrolle über ihre Daten im Netz. Doch was genau ändert sich ab diesem Tag? Hier finden Sie die wichtigsten Punkte und Tipps, wie Sie Ihre Rechte im Alltag nutzen können.
Diese Dinge können Sie ab dem 25. Mai tun:
1. Eine erweiterte Auskunft einholen
Jeder EU-Bürger hat das Recht, zu erfahren, was andere über ihn wissen. Mit der DSGVO wird dieser Informations- und Auskunftsanspruch erweitert. Unternehmen müssen jetzt unter anderem mitteilen
- welche Daten wie lange gespeichert werden und zu welchem Zweck
- woher die Daten stammen
- warum sie die Daten überhaupt brauchen
- was sie dazu berechtigt, diese zu erheben und zu verarbeiten
Außerdem müssen Anbieter dem Nutzer erklären, was er gegebenenfalls dagegen unternehmen kann.
Die Nutzer sollen nachvollziehen können, was mit ihren Daten passiert. Werden die Daten womöglich ins Ausland übermittelt oder an Dritte weitergegeben? Wer garantiert, dass sie dort sicher sind?
Der Anbieter muss außerdem offen legen, wenn er automatisierte Verfahren zur Profilbildung einsetzt. Der Nutzer soll erfahren, was diese Algorithmen bewirken und ob ihm dadurch womöglich Nachteile entstehen.
In der Praxis: Den Auskunftsanspruch darf jeder „in angemessenen Abständen“ in Anspruch nehmen. Ein formloses Schreiben reicht aus. Die Unternehmen müssen grundsätzlich innerhalb von vier Wochen darauf reagieren, können aber eine Fristverlängerung um zwei Monate erwirken.
Über das Portal selbstauskunft.net lassen sich mit wenigen Klicks gleich mehrere Informationsanfragen an Unternehmen, Auskunfteien und Behörden verschicken. Auch die Verbraucherzentralen oder das Portal "Deine Daten, deine Rechte" helfen mit Musterschreiben weiter.
2. Die Datenverarbeitung verbieten
Grundsätzlich dürfen personenbezogene Daten nur in Ausnahmefällen gespeichert werden, zum Beispiel, wenn es rechtlich vorgeschrieben ist – oder, wenn der Betroffene die Datenverarbeitung ausdrücklich erlaubt hat. Die DSGVO verschärft dieses Einwilligungsgebot noch einmal.
Nutzer geben ihre Zustimmung in der Regel, wenn sie sich erstmals für einen Dienst anmelden. Das Problem dabei: Oftmals verlangen die Anbieter im Austausch für ihren Service Zugriff auf viele verschiedene Daten. Damit soll bald Schluss sein.
Will ein Dienst mehr Daten erfassen, als unbedingt nötig, muss er das gut begründen. Gerade bei nicht erforderlichen Daten muss der Kunde die Möglichkeit haben, der Verarbeitung zu widersprechen. Einmal gegebene Einwilligungen kann der Nutzer jederzeit ohne Angabe von Gründen widerrufen.
Beispiel: Unternehmen locken immer wieder mit Gewinnspielen, bei denen sich die Teilnehmer damit mit einverstanden erklären müssen, dass ihre Daten zu Marktforschungszwecken verwendet werden. Auch viele Online-Shops wollen Kundendaten nach der Bestellung für Werbezwecke weiterverwenden. Verbraucher können das jetzt verbieten, beziehungsweise später ihr Einverständnis zurückziehen.
In der Praxis: Der Widerruf der Einwilligung muss laut DSGVO genauso leicht möglich sein, wie die Einwilligung selbst. Wie die Anbieter das umsetzen, wird sich zeigen. Verbraucher können aber auch selbst aktiv werden und zum Beispiel bei ihrer nächsten Bestellung im Online-Shop einen Kommentar hinterlassen, wenn sie keine Weiterverarbeitung ihrer Daten zu Werbezwecken wünschen.
3. Daten ergänzen, berichtigen oder löschen lassen
Hat der Nutzer Einblick in seine Daten erhalten, kann er auch entsprechend darauf reagieren. Er kann die Daten ergänzen, berichtigen oder löschen lassen. Wurden die Informationen in der Zwischenzeit weitergegeben oder veröffentlicht, muss der Verantwortliche dafür sorgen, dass auch mit den Kopien entsprechend verfahren wird.
Daten müssen insbesondere dann gelöscht werden, wenn sie für ihren eigentlichen Zweck nicht mehr benötigt werden oder unrechtmäßig – zum Beispiel ohne das Wissen des Nutzers – erhoben wurden.
Beispiel: Ein Versandhandel ist aus steuerrechtlichen Gründen dazu verpflichtet, die beim Kauf erfassten Kundendaten aufzubewahren. Fällt dieser Zweck weg, darf der Online-Shop die Daten nicht „einfach so“ behalten.
Die Verbraucher sollen vor allem zum Schutz ihrer Privatsphäre und Persönlichkeitsrechte mehr Kontrolle erhalten über die Informationen, die über sie im Umlauf sind. Das sogenannte "Recht auf Vergessen" gilt für im Netz veröffentlichte Jugendsünden genauso wie für unüberlegte Kommentare oder die Suchanfrage zum Thema "Pickel am Po": Der Nutzer hat das Recht, diese Informationen von den Servern löschen zu lassen.
Unter Umständen kann es aber gute Gründe geben, die gegen die Löschung sprechen, etwa wenn das Recht auf freie Meinungsäußerung oder das öffentliche Interesse überwiegt. Ein Politiker oder des Betrugs überführter Geschäftsmann etwa kann sich nicht einfach auf das "Recht auf Vergessen" berufen, um Berichte über seine Fehltritte zensieren zu lassen.
In der Praxis: Unter myactivity.google.com können Nutzer schon heute einsehen, welche Aktivitäten Google über sie abgespeichert hat. Jeder einzelne Eintrag, zum Beispiel Webseiten-Aufrufe oder Suchanfragen lässt sich löschen. Facebook bietet ähnliche Werkzeuge an.
4. Mit den Daten zu einem anderen Anbieter umziehen
Datenverarbeitende Unternehmen müssen es ihren Kunden ermöglichen, jederzeit zu einem anderen Dienst zu wechseln. Das soll die Konkurrenz beleben und dazu anregen, datenschutzfreundlichere Geschäftsmodelle zu entwickeln.
Für einen schnellen und bequemen Anbieterwechsel sollen die Firmen eine vollständige Kopie des Datensatzes in einem sicheren und portablen Format bereitstellen und an den Nutzer oder den neuen Anbieter übermitteln.
In der Praxis: Technisch ist das bisher kaum umsetzbar oder sinnvoll. Bei der Übertragung werden vermutlich Daten verloren gehen. Facebook, Instagram, Google und Co bieten zwar bereits einen vollständigen Daten-Download an. Doch wohin sollte man damit umziehen?
5. Verbraucherrechte bei Firmen aus dem Ausland geltend machen
Die deutschen Datenschutzgesetze gelten als sehr streng. Bisher war es aber für Bundesbürger nahezu unmöglich, diese Rechte gegenüber ausländischen Unternehmen durchzusetzen. Das ändert sich jetzt. Denn die DSGVO gilt für alle Unternehmen, deren Dienste die Daten von EU-Bürgern betreffen – selbst, wenn sie ihren Firmensitz woanders haben.
Dadurch werden auch die Beschwerdeverfahren vereinfacht. Verbraucher können sich an die jeweilige Datenschutzbehörde ihres Landes wenden, wenn sie einen Verstoß gegen ihre Rechte vermuten. In Deutschland sind das die 16 Datenschutzbeauftragten der Bundesländer und die Bundesdatenschutzbeauftragte Andrea Voßhoff.
Die Aufsichtsbehörden können empfindliche Strafen verhängen – im Extremfall bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens. Die Betroffenen können bei Fehlern und Pannen den Verursacher auch direkt zur Verantwortung ziehen und zum Beispiel auf Schadenersatz klagen.
- Eigene Recherche
