zuletzt aktualisiert vor

DSVGO tritt am 25.Mai in Kraft Neue EU-Datenschutzverordnung stärkt Verbraucherrechte

Von Waltraud Messmann

Ab dem 25. Mai entfaltet die EU-Datenschutz-Grundverordnung (DSGVO) rechtlich ihre Wirkung. Foto: imago/Ralph PetersAb dem 25. Mai entfaltet die EU-Datenschutz-Grundverordnung (DSGVO) rechtlich ihre Wirkung. Foto: imago/Ralph Peters

Osnabrück. EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen. Dafür soll die EU- Datenschutzverordnung (DSGVO) sorgen, die am 25. Mai in Kraft  tritt.

Für Verbraucher- und Datenschützer sollen  die neuen Regeln ein Meilenstein hin zu einem besseren Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten und mehr Macht für Strafverfolgungsbehörden bei Rechtsverstößen sein. Es folgt ein Überblick über die wichtigsten Änderungen, die am 25. Mai in Kraft treten.

Um welche Daten geht es? Im Kern soll die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden geregelt werden. Dazu gehören etwa Name, Adresse, E-Mail-Adresse, Geburtsdatum, Ausweisnummer, Kontaktdaten wie Adressen und Telefonnummern oder auch die IP-Adresse. Die Verarbeitung von Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, wird untersagt. Das gilt auch für Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Auch genetische Daten und biometrische Daten gehören zu diesen besonders schützenswerten sensiblen Daten. Sie dürfen nur dann verarbeitet werden, wenn die betroffene Person eingewilligt hat oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist.

Wo gilt die neue Verordnung? Die DSGVO gilt nicht nur für alle Unternehmen, die ihren Sitz in der EU haben, sondern auch für außereuropäische, die auf dem europäischen Markt tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten. Das betrifft insbesondere E-Commerce- und andere cloudbasiert arbeitende Unternehmen. Auch bei geldfreien Internetangeboten wie Suchdiensten und sozialen Netzwerken findet die DS-GVO Anwendung. Auch für Google, Facebook & Co ist sie also, was die Verarbeitung von Daten europäischer Nutzer angeht, bindend.

Was hat es mit der Einwilligung auf sich? Die Bedingungen für die Einwilligung des Nutzers in die Weiterverarbeitung seiner Daten werden verschärft: Sie ist nur gültig, wenn ihr eine „freiwillige, spezifisch informierte und eindeutige Handlung“ des Nutzers zugrunde liegt. Das könnte zum Beispiel das bewusste Anklicken eines Kästchens auf einer Webseite oder die Auswahl technischer Einstellungen bei Online-Diensten sein. Ein stillschweigendes Einverständnis oder standardmäßig angekreuzte Kästchen reichen nicht mehr aus. Zudem fordert die DSGVO, dass in verschiedene Datenverarbeitungsvorgänge jeweils gesondert eingewilligt werden muss. Auch darf ein Vertrag nicht von einer Einwilligungserklärung des Nutzers in eine nicht erforderliche Verarbeitung abhängen.

Gibt es Altersgrenzen? Kinder genießen unter der DSGVO einen besonderen Schutz. Bei Internetdienstleistungen für Kinder ist die Verarbeitung der personenbezogenen Daten nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Anderenfalls müssen die Erziehungsberechtigten einwilligen. Das Mindestalter kann allerdings national auf 13 Jahre abgesenkt werden. In Deutschland wird es aber wohl bei 16 Jahren bleiben.

Was ändert sich beim Widerruf? Nach der neuen Verordnung sollen Nutzer ihre Einwilligung in die Verarbeitung ihrer Daten „jederzeit“ und „ohne Begründung“ widerrufen können. Ein Unternehmen oder eine Organisation kann jedoch trotz des Einspruchs die Verarbeitung der personenbezogenen Daten fortsetzen, wenn dies zu wissenschaftlich/historischen Forschungszwecken oder für statistische Zwecke geschieht und die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist.

Was bedeutet Datenportabilität? Nutzer haben in Zukunft das Recht, ihre personenbezogenen Daten zu einem anderen Anbieter mitzunehmen. So soll ein Wechsel ohne Datenverlust möglich werden. Der Nutzer eines sozialen Netzwerkes kann also seinen Dienstleister in Zukunft anweisen, bestimmte Daten einer automatisierten Anwendung auf eine andere zu übertragen. Diese Pflicht zur sogenannten Datenportabilität betrifft aber wohl nur solche Daten, die der Nutzer selbst zur Verfügung gestellt hat.

Habe ich ein Recht auf Löschung? Der Nutzer kann verlangen, dass ihn betreffende personenbezogene Daten unverzüglich gelöscht werden, sobald beispielsweise der Zweck wegfällt oder die Einwilligung widerrufen wird. Dies gilt natürlich auch, wenn die Löschung gesetzlich vorgeschrieben ist oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dieses Recht auf Löschung wird in der öffentlichen Diskussion auch oft als „Recht auf Vergessenwerden“ bezeichnet.

Wie steht es um mein Recht auf Informationen? Zu welchen Zwecken werden die Daten verarbeitet? Wird daraus etwa ein Profiling erstellt? Und wie lange werden sie gespeichert? Auf all diese Fragen müssen die Anbieter antworten. Die Rechte der Verbraucher auf Informationen werden erweitert. Wenn Unternehmen und auch Organisationen personenbezogene Daten verarbeiten, müssen sie den betroffenen Personen darüber Auskunft geben und ihnen gespeicherte Daten auf Anfrage zur Verfügung stellen. Woher stammen die Daten und an wen werden sie übermittelt?Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes: Kunden hätten mit der neuen DSGVO einen Anspruch darauf zu erfahren, wie oft sie die Karte verwendet hätten, bei welchen Supermärkten sie eingekauft hätten und ob der Supermarkt die Daten an eine Tochter weitergeben habe. Auch müssen Verbraucher über Verstöße – etwa durch Datenlecks oder Hackerangriffe – informiert werden.

Lesen Sie hier: FAQs zur Datenschutzgrundverordnung.

Auch Vereine und Verbände müssen aufpassen