Die Datenschutzgrundverordnung: Für wen sie gilt und welche Rechte Betroffene haben

Von: Verbraucherzentrale Bayern

Die europäische Datenschutzgrundverordnung ist seit 2018 in Kraft und hat einige Änderungen für Unternehmen mit sich gebracht. Sies tärkt insbesondere die Rechte von Betroffenen. Für wen sie gilt, die Grundsätze der Datenverarbeitung und was bei Verstößen gegen die DSGVO zu tun ist, fasst der folgende Artikel zusammen.

 

Die Datenschutzgrundverordnung – was ist das?

Die europäische Datenschutzgrundverordnung, kurz DSGVO, ist eine europäische Regelung, die in der ganzen EU gilt. Die europäische Datenschutzgrundverordnung regelt das Datenschutzrecht in ganz Europa weitgehend einheitlich. Das deutsche Bundesdatenschutzgesetz (BDSG) enthält nur noch ergänzende Vorschriften. Da in den europäischen Mitgliedsstaaten früher jedes einzelne Land nationale Datenschutzgesetze hatte, ist das Ziel der DSGVO, das europäische Datenschutzrecht zu vereinheitlichen und gleiche Standards herbeizuführen. Dies ist auch das Besondere an einer Verordnung: Diese wirkt unmittelbar in allen europäischen Ländern, ohne dass die Länder sie umsetzen müssen. Allerdings enthält die DSGVO einige Gestaltungsspielräume, die die Mitgliedsstaaten selbst ausfüllen können.

Für wen gilt die Datenschutzgrundverordnung?

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und personenbezogene Daten verarbeiten. Aber auch für alle Unternehmen, die personenbezogene Daten europäischer Bürgerinnen und Bürger verarbeiten oder eine Niederlassung in der EU haben. Es müssen sich  also auch soziale Netzwerke und Cloudanbieter, die ihren Sitz ausschließlich in den USA haben, an die europäischen Datenschutzregeln halten, wenn sie ihre Dienste europäischen Bürgerinnen und Bürgern anbieten oder wenn sie ihr Verhalten beobachten.

Als personenbezogene Daten zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Möglichkeit der Identifizierung reicht bereits aus. Als personenbezogene Daten gelten etwa Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, IP-Adressen oder Cookies.

Grundsätze und Rechtmäßigkeit der Datenverarbeitung

Die wesentlichen Grundsätze der Datenverarbeitung sind der Grundsatz der Zweckbindung und der Grundsatz der Datensparsamkeit. Daten dürfen nur für einen ganz bestimmten und festgelegten Zweck erhoben und verarbeitet werden und es dürfen nur diejenigen Daten erhoben werden, die für die Erreichung des Zwecks auch wirklich erforderlich sind.

Darüber hinaus sind Unternehmerinnen und Unternehmer ausdrücklich verpflichtet, bereits bei der Konzeption der Datenverarbeitung auf die Einhaltung der datenschutzrechtlichen Anforderungen und Grundprinzipien zu achten („Privacy by Design“) und datenschutzfreundliche Voreinstellungen (z.B. für das Smartphone oder Smart-TV) zu wählen („Privacy by Default“).

Eine Datenverarbeitung ist nur rechtmäßig, wenn es die Datenschutzgrundverordnung oder ein anderes Gesetz ausdrücklich erlauben. Die wichtigsten Erlaubnistatbestände sind hierbei:

• Es liegt eine Einwilligung der Betroffenen in die Datenverarbeitung vor.

• Die Verarbeitung erfolgt zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.

• Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung notwendig.

• Die Verarbeitung ist zur Wahrung der berechtigten Interessen der Verantwortlichen oder Dritter erforderlich, wenn keine schutzwürdigen Interessen der Betroffenen überwiegen.

Die Abgabe einer Einwilligung muss immer freiwillig erfolgen. Insbesondere besteht ein Koppelungsverbot: Ein Vertrag oder ein Dienstleistungsangebot darf grundsätzlich nicht an die Einwilligung in die Datenverarbeitung gekoppelt werden, wenn diese für die Erfüllung des Vertrages nicht erforderlich ist. Nutzerinnen und Nutzer müssen also immer eine echte Wahl haben. Kinder unter 16 Jahren müssen die Erlaubnis der Eltern einholen, wenn sie in die Verwendung ihrer Daten bei einem Angebot von Diensten der Informationsgesellschaft einwilligen wollen.

Starke Rechte durch Informationspflichten und Betroffenenrechte

Durch die Datenschutzgrundverordnung sollen vor allem die Rechte der Verbraucherinnen und Verbraucher gestärkt werden. Zum einen dadurch, dass diejenigen, die Daten verarbeiten, ausführlichere Informationspflichten treffen, zum anderen dadurch, dass Betroffenenrechte gestärkt werden.

Informationspflichten der Datenverarbeiter

Diejenigen, die Daten verarbeiten, sind verpflichtet einfach, knapp und verständlich sowie kostenlos darüber zu informieren, wer welche Daten woher und zu welchen Zwecken verarbeitet und an wen diese Daten weitergegeben werden. Wenn eine Unternehmerin oder ein Unternehmer eine Datenverarbeitung auf ihr oder sein berechtigtes Interesse stützen will, muss er oder sie dieses Interesse zudem benennen. Die Informationspflichten umfassen auch Informationen darüber, ob Profilbildung stattfindet, welcher Logik diese folgt und welche Folgen sie hat. Ebenso sollen Nutzerinnen und Nutzer schnell und ausführlich informiert werden, wenn ihre Daten „gehackt“ wurden, d.h. wenn sich Dritte unbefugt Zugang zu ihren Daten verschafft haben. Darüber hinaus muss die Person, die Daten verarbeitet, den Betroffenen über Berichtigungs-, Lösch-, und Widerrufsfristen informieren. Auch ob die Angabe von Daten erforderlich oder freiwillig ist, muss ersichtlich sein. Durch die Informationspflichten sollen Nutzerinnen und Nutzer in die Lage versetzt werden, Datenverarbeitungen erkennen und prüfen zu können.

Widerspruchsrecht des Betroffenen

Sofern die Datenverarbeitung rechtmäßig aufgrund öffentlichen Interesses oder des berechtigten Interesses der Person, die die Daten verarbeitet,  oder eines Dritten erfolgt, steht Betroffenen ein Widerspruchsrecht zu. Sofern die Person, die die Daten verarbeitet, Direktwerbung betreiben möchte,  muss sie auf das Widerspruchsrecht spätestens bei der ersten Kommunikation hinweisen, beispielsweise durch die Zusendung von Werbebriefen, Prospekten oder Katalogen. Der oder die Betroffene kann jederzeit Widerspruch gegen Direktwerbung einlegen.

Auskunftsrecht des Betroffenen

Das Auskunftsrecht der DSGVO gewährt Nutzerinnen und Nutzern bzw. Betroffenen einen Anspruch auf Auskunft darüber, ob und welche personenbezogenen Daten verarbeitet werden. Ist dies der Fall, haben sie ein Recht auf Auskunft über weitere Informationen, unter anderem zu Verarbeitungszwecken, Empfängerin oder Empfänger und Art und Herkunft der Daten.

Der Auskunftsanspruch ist umfassend und bezieht sich grundsätzlich auf alle gespeicherten bzw. verarbeiteten Daten, die mit den Betroffenen verknüpft sind. Darunter fallen auch interne Unterlagen und Kommunikation einer Unternehmerin oder eines Unternehmens über die Betroffenen mit Ausnahme der rechtlichen Bewertung eines Sachverhalts mit Bezug zu den Betroffenen.

Es besteht auch die Möglichkeit, eine Kopie der über sich gespeicherten Daten zu verlangen. Dies ist vor allem im Bereich Scoring in Bezug auf Auskunfteien wie der SCHUFA von Bedeutung. Die Auskunft ist hierbei kostenfrei.

Recht der Betroffenen auf Berichtigung und Löschung

Betroffene können auch die Berichtigung Ihrer Daten verlangen, falls diese falsch sind. Ebenfalls steht ihnen ein ausdrückliches Löschungsrecht zu, beispielsweise wenn die Daten für die vorgesehenen Zwecke nicht mehr benötigt werden, etwa im Falle der Abbestellung eines Newsletters. Ein Löschungsrecht besteht auch, wenn die Verarbeitung der Daten unrechtmäßig war, beispielsweise weil es an einer Einwilligung fehlt. Zudem muss die Unternehmerin oder der Unternehmer den Wunsch Betroffener auf Löschung in vernünftigem Rahmen auch an andere Unternehmerinnen und Unternehmer weitergeben, die diese Daten verwenden.

Schadensersatz und Bußgelder

Nutzerinnen und Nutzern wird durch die Datenschutzgrundverordnung ausdrücklich ein Recht auf Schadensersatz bei immateriellen Schäden gewährt. Ein solcher Anspruch kann zum Beispiel entstehen, wenn die verarbeitende Person den Betroffenen nicht oder nicht rechtzeitig die Daten, auf die sie einen Auskunftsanspruch haben, zur Verfügung stellt. Auch die Verarbeitung personenbezogener Daten ohne korrekt eingeholte Einwilligung der Betroffenen, die Übermittlung von Daten an eine falsche E-Mail-Adresse oder das Abgreifen der Daten bei einem Unternehmen durch unbefugte Dritte (Datenleck oder Cyberangriff) können einen Anspruch auf Schadensersatz begründen. Dabei kann bereits der bloße Verlust der Kontrolle über die eigenen personenbezogenen Daten einen Anspruch auf Schadensersatz auslösen.

Auf der Webseite der Verbraucherzentrale Bayern können Betroffene kostenlos prüfen, ob sie einen Anspruch auf Schadensersatz bei einem Datenleck haben.

Auch öffentlich-rechtliche Sanktionen sind möglich: Verstößt eine Unternehmerin oder ein Unternehmer gegen seine datenschutzrechtlichen Pflichten, können bis zu 10 Mio. Euro oder 2% des Weltjahresumsatzes als Strafe veranschlagt werden. Liegt ein Verstoß gegen datenschutzrechtliche Grundsätze oder die Rechte von Betroffenen vor, so können sogar Strafen in Höhe von bis zu 20 Mio. Euro oder 4% des Weltjahresumsatzes ausgesprochen werden.

Was tun bei Verstößen oder Streitigkeiten?

Verstößt ein Unternehmen gegen die Vorschriften der DSGVO, können sich Nutzerinnen und Nutzer einfach an die Datenschutzbehörde ihres Landes wenden, unabhängig davon, ob das Unternehmen seinen Sitz im Ausland oder in der EU hat.

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.