DSGVO - Alles klar?!

Nach zweijähriger Übergangsfrist gilt nun in allen EU-Mitgliedsländern die neue Datenschutz-Grundverordnung (DSGVO). Sie soll die Gesetze zum Datenschutz in Europa harmonisieren und ein einheitliches Datenschutzniveau innerhalb der EU gewährleisten. Die DSGVO löst die europäische Datenschutz-Richtlinie von 1995 ab. Das wurde auch mal Zeit: Denn 1995 steckte beispielsweise das Internet noch in den Kinderschuhen und Soziale Medien gab es noch nicht. Doch gerade online ist Datenschutz heute wichtiger denn je, wie wir spätestens seit dem Facebook-Datenskandal wissen. Die DSGVO soll daher vor allem die Rechte der Verbraucher stärken und ihnen mehr Transparenz und Schutz ihrer personenbezogenen Daten bieten.

Personenbezogene Daten sind solche, die einer bestimmten Person zugeordnet werden können. Dazu gehören der Name, die Adresse und das Geburtsdatum, aber auch das Geschlecht, die Religionszugehörigkeit und Informationen über die körperliche und geistige Gesundheit. Die DSGVO schließt erstmalig auch genetische und biometrische Daten ein.

Die Verordnung gilt mit wenigen Ausnahmen für jeden, der personenbezogene Daten verarbeitet. Dazu gehören zum Beispiel Behörden und Schulen, aber auch Vereine, Online-Shops und Anbieter von Social-Media-Diensten. Je sensibler die Daten sind, desto besser müssen sie geschützt werden. Dies gilt vor allem für Gesundheitsdaten, zum Beispiel von Arztpraxen oder Krankenkassen.

Viele Regeln der EU-Verordnung gibt es schon im deutschen Bundesdatenschutzgesetz (BDSG). Dazu gehört das Recht auf Auskunft: Nutzer können Unternehmen fragen, welche Daten über sie gespeichert sind, an wen sie weitergegeben werden und zu welchem Zweck. Mit der DSGVO werden diese Rechte nun erweitert. Gestärkt wird das sogenannte „Recht auf Vergessenwerden“: Verbraucher können verlangen, dass ihre Daten gelöscht werden – sofern es keine rechtlichen Gründe gibt, sie weiter zu speichern. Somit können beispielsweise „Jugendsünden“ verschwinden – zumindest online. Das Recht auf Datenmitnahme ist neu: Damit sollen Nutzer ihre gespeicherten Daten in einem technisch gängigen und kompatiblen Format von einem Dienstleister zum anderen mitnehmen können, zum Beispiel von E-Mail-Anbietern oder Musikstreaming-Diensten. Dies soll unter anderem den Wettbewerb fördern und den Anbieterwechsel vereinfachen.

Grundsätzlich benötigen Unternehmen eine Einwilligung der Verbraucher, damit sie personenbezogene Daten verarbeiten dürfen. Doch wie sieht das bei Kindern aus? Diese können meist nicht die Folgen und Risiken der Datenverarbeitung abschätzen, die zum Beispiel zu Werbezwecken oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen unternommen wird.

Kinder bedürfen daher eines besonderen Schutzes. Die DSGVO schreibt vor, dass Einwilligungen von Kindern und Jugendlichen erst ab einem Alter von 16 Jahren wirksam sind. Sind die Kinder jünger, ist die Zustimmung nur dann gültig, wenn sie entweder von den Eltern erteilt wurde oder mit deren Einverständnis. Die Einwilligung von Kindern allein genügt jedenfalls nicht.

An sich eine gute Sache: Doch wie die Firmen bei unter 16-Jährigen überprüfen wollen, ob die Eltern zugestimmt haben, ist bislang weitestgehend offen. Auch, wie sich Eltern gegenüber den Diensteanbietern identifizieren sollen. Hier ist die DSGVO sehr allgemein gehalten und fordert von den Unternehmen lediglich „angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik“.

Um diese neue Zustimmungsprozedur zu vermeiden, hat der vor allem bei Kindern beliebte Messenger WhatsApp das Mindestalter für die Nutzung von 13 auf 16 Jahre heraufgesetzt (siehe WhatsApp-Nutzungsbedingungen). Kontrolliert wird das Alter allerdings nicht, Schwindeleien bei der Altersangabe sind also vorprogrammiert.

Facebook bleibt beim Mindestalter von 13 Jahren, verlangt aber von Kids unter 16 Jahren bei bestimmten Profilangaben wie politischen Ansichten oder Religionszugehörigkeit eine Verlinkung zum Profil der Eltern oder deren E-Mail-Adresse, um die Zustimmung einzuholen (siehe Facebook-Nutzungsbedingungen). Geplant ist des Weiteren ein neues Tool zur Einholung der Einwilligung.

Die Wirksamkeit der einzelnen Maßnahmen – wie auch von weiteren Regelungen der DSGVO - wird wohl erst die Praxis zeigen.

Mehr Infos zu den Vorhaben der beiden Messenger gibt’s bei Klicksafe und Schau hin!

Eine formlose Anfrage per E-Mail oder Brief an ein Unternehmen reicht aus. Die Verbraucherzentralen haben außerdem Musterbriefe für den Widerruf einer Einwilligung oder zur Löschung von personenbezogenen Daten zum Download bereit gestellt. Kontaktadressen finden sich im Impressum einer jeden Website, das ist ebenfalls gesetzlich vorgeschrieben. Die Auskünfte sind in der Regel kostenlos und werden innerhalb eines Monats erteilt. Die Informationen sollen den Verbrauchern in einer klaren und einfachen Sprache übermittelt werden.

Zuständig für die Kontrolle sind die Datenschutzbehörden der Länder sowie die Bundesdatenschutzbeauftragte Andrea Voßhoff.

Nutzer können sich bei Nichteinhaltung der DSGVO im ersten Schritt direkt an das jeweilige Unternehmen wenden. Hilft dieses nicht weiter, unterstützen Verbraucherzentralen und Datenschutzbehörden.

Verstöße gegen Datenschutzvorschriften können teuer werden: Die Geldbußen können bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweiten Jahresumsatzes betragen. Bei einem milliardenschweren Unternehmen wie Facebook wäre das wohl eine ordentliche Summe.