2426038

DSGVO: Ihre Rechte beim Datenschutz

15.05.2019 | 08:04 Uhr |

Seit fast einem Jahr gilt sie nun, die europäische Datenschutz-Grundverordnung, kurz DSGVO. Wurde der Datenschutz dadurch tatsächlich besser? Und was hat sich für Verbraucher und Internetnutzer geändert? Wir geben einen Überblick über Ihre neuen Rechte.

Am 25. Mai 2018 war es so weit: Nach einer zweijährigen Übergangszeit trat die DSGVO für alle EU-Länder verbindlich in Kraft. Da war es umso erstaunlicher, dass viele Unternehmen trotz dieses Vorlaufs ziemlich kalt erwischt wurden. Denn noch im Dezember 2018 gab hierzulande gerade einmal knapp ein Viertel der Firmen an, die DSGVO vollständig umgesetzt zu haben, wie eine Bitkom-Umfrage ergab. Hier gab und gibt es also noch viel zu tun.

Dabei gab es Datenschutz ja nicht erst mit der DSGVO – zuvor wurde er in Deutschland durch das Bundesdatenschutzgesetz (BDSG) geregelt. Beim Vergleich der Inhalte beider Gesetze stellt man fest, dass sich DSGVO und BDSG gar nicht so sehr unterscheiden. Die plötzliche Hektik bei der Umsetzung ist deshalb vor allem mit den nun wesentlich höheren Strafen zu erklären: Bei schwerwiegenden Verstößen können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes als Bußgeldzahlung fällig werden. Das motivierte die Unternehmen dann doch, den Datenschutz endlich ernst zu nehmen.

Siehe auch: DSGVO – das müssen Verbraucher jetzt wissen

Firmen müssen Kunden über deren Datenschutzrechte informieren

Firmen müssen ihren Kunden Auskunft über die bei ihnen gespeicherten Daten geben.
Vergrößern Firmen müssen ihren Kunden Auskunft über die bei ihnen gespeicherten Daten geben.

Die größte Änderung durch die DSGVO sind die zahlreichen Rechte der Betroffenen und die Informationspflichten für Unternehmen. Wenn eine Firma personenbezogene Daten von Ihnen erhebt, müssen Sie nunmehr direkt bei der Erhebung der Daten über deren Verwendung informiert werden. Man muss Ihnen dabei mitteilen, welche Daten erhoben werden, warum und wie lange diese gespeichert werden. Ebenso haben Sie das Recht zu erfahren, wenn Ihre Daten an andere Organisationen oder in andere Länder übertragen werden. Das ist vor allem von Bedeutung, wenn Daten an Werbefirmen oder Konzernzentralen in den USA oder China weitergegeben werden.

Dadurch sehen Sie als Kunde und Verbraucher nun viel transparenter, was mit Ihren Daten geschieht – und wenn Sie das alles nicht möchten, dann können Sie dem auch widersprechen. Dies kann zwar zur Folge haben, dass Sie bestimmte Dienstleistungen nicht (mehr) nutzen können oder nicht mehr alle Waren bekommen. Aber diese Entscheidung fällen jetzt Sie und nicht irgendein Unternehmen.

Sollte eine Firma, Arztpraxis oder Behörde Ihnen diese, in Artikel 13 der DSGVO aufgeführten Informationspflichten verweigern, können Sie dagegen vorgehen. Es handelt sich schließlich um einen Verstoß gegen die DSGVO. Dass solche Verstöße keine Lappalie darstellen, musste Google Anfang des Jahres in Frankreich feststellen. Die dortige Datenschutzbehörde verhängte ein Bußgeld von 50 Millionen Euro, weil der Internetkonzern seinen Informationspflichten nicht in ausreichendem Maß nachgekommen war. Dabei bemängelte die Behörde insbesondere, dass die Informationen nach Artikel 13 nicht leicht genug zugänglich und zudem nicht umfassend genug waren.

Ihre Rechte als Arbeitnehmer

Die DSGVO hat auch Ihre Rechte als Arbeitnehmer gestärkt. Ihr Arbeitgeber muss Sie informieren, welche Daten er von Ihnen erhebt, wie lange und warum er diese speichert. Darüber muss er Sie bei der Vertragsunterzeichnung informieren. Bei bestehenden Arbeitsverträgen sollte er das nachträglich machen. Da der Arbeitgeber aufgrund gesetzlicher Verpflichtungen Ihre Daten zum Beispiel für die Steuer oder Sozialkassen verarbeiten muss, sind Ihre Einspruchsrechte allerdings gering. Anders sieht es bei Fotos oder Videos aus: Bilder von Ihnen auf die Webseite zu stellen oder auf Facebook zu posten, geht nur mit Ihrer Einwilligung. Die Einwilligung muss der Arbeitgeber zudem gesondert einholen, sie darf nicht Teil des Arbeitsvertrages sein.

Arbeitgeber müssen ihre Angestellten über die Datenspeicherung informieren.
Vergrößern Arbeitgeber müssen ihre Angestellten über die Datenspeicherung informieren.
© Microsoft

Werden die Bilder nur im firmeneigenen Intranet veröffentlicht, ist dagegen keine Einwilligung erforderlich. In der Praxis kommt es auch vor, dass Arbeitgeber private Telefonnummern an Kunden weitergeben, gerade bei Handwerkern oder Leiharbeitern. Das ist nur mit Ihrer ausdrücklichen Genehmigung möglich. Und haben Sie einmal eine solche Genehmigung erteilt, können Sie diese jederzeit ohne Angabe von Gründen widerrufen.

Für die Auskunft zu Ihren Daten genügt ein formloses Schreiben

Bei vielen Firmen können Sie inzwischen nachsehen, welche Daten über Sie dort gespeichert sind.
Vergrößern Bei vielen Firmen können Sie inzwischen nachsehen, welche Daten über Sie dort gespeichert sind.

Zugleich stehen Ihnen auch eine ganze Reihe von neuen Rechten zu. Zunächst einmal haben Sie einen Auskunftsanspruch. Das heißt, Sie haben das Recht zu erfahren, welche Daten über Sie gespeichert sind – und zwar bei jeder Firma, jeder Behörde und jedem Verein. Hierzu genügt jeweils ein formloses Schreiben mit der Bitte um Auskunft. Ab diesem Zeitpunkt hat das Unternehmen beziehungsweise die Behörde vier Wochen Zeit, Ihnen eine Übersicht über die gespeicherten Daten zu liefern. In Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden. Die Auskunft ist für Sie kostenfrei, sie darf allerdings nicht ständig wiederholt, sondern nur einmal pro Jahr angefordert werden. Musterschreiben zum Downloaden stellt unter anderem die Verbraucherzentrale zur Verfügung .

DSGVO-Verstöße: Netflix, Youtube & Co. drohen hohe Strafen

Recht auf „Vergessenwerden“ sowie zum Übertragen der Daten

Neu mit der DSGVO ist zudem das „Recht auf Vergessenwerden“: So können Sie verlangen, dass Ihre Daten gelöscht werden. Um ausstehende Rechnungen kommen Sie trotzdem nicht herum. Denn gelöscht werden dürfen nur Daten, für die keine rechtlichen Speicherpflichten existieren. Somit müssen die Daten eines Mieters während der Mietzeit gespeichert sein, ebenso alle steuerlich relevanten Geldgeschäfte und vieles mehr. Bei allen anderen personenbezogenen Daten können Sie jedoch die Löschung verlangen, so beispielsweise von Fotos oder Mailadressen. Das gilt auch für Daten, bei denen die Aufbewahrungspflicht erloschen ist. Hierzu gehören etwa Daten zu Einkäufen bei einem Onlinehändler, die über zehn Jahre zurückliegen. Der Händler muss sie wieder löschen und darf sie nicht einfach in seiner Datenbank weiterführen. Bei manchen größeren Unternehmen können Sie das übrigens auch selbst erledigen, so beispielsweise bei Google: Unter https://myactivity.google.com/ können Sie Ihre Suchanfragen bei Google und Youtube ansehen und auch löschen. Das funktioniert jedoch nur, wenn Sie mit Ihrem Google-Konto bei der Suchanfrage angemeldet waren.

Des Weiteren haben Sie das Recht auf Datenübertragbarkeit. Sie können also verlangen, dass sämtliche Daten von einer Firma zur anderen übertragen werden, beispielsweise bei einem Anbieterwechsel. Bei Telefon-, Strom- und Gasverträgen wird das in aller Regel ohnehin schon praktiziert, beim Arztwechsel meistens auch.

DSGVO im Verein

Anders als bei Privatpersonen sieht es bei Vereinen aus: Diese unterliegen voll der DSGVO und müssen alle Vorschriften erfüllen, werden nach dem Gesetz also genauso behandelt wie Unternehmen und zwar unabhängig von ihrer Größe. Das heißt auch, dass sie nicht nur alle Datenschutzvorgaben beachten müssen, sondern auch einen Datenschutzbeauftragten benötigen. Unterstützung für kleine Vereine bietet etwa das Bayerische Landesamt für Datenschutzaufsicht , das im Internet eine FAQ-Liste für Vereine sowie eine Informationsbroschüre zum Datenschutz zur Verfügung stellt. Außerdem bieten einige Datenschutzdienstleister spezielle Datenschutzpakete für Vereine an. Ignorieren sollten Vereine das Thema nicht, denn der Vorsitzende gilt im Sinne der DSGVO als Verantwortlicher und ist daher bei Datenschutzpannen voll haftbar.

Die DSGVO gilt sogar über die Europäische Union hinaus

Bessere Rechte haben Sie auch gegenüber Firmen im Ausland, denn die DSGVO gilt für alle EU-Staaten. Darüber hinaus gilt sie sogar für alle Nicht-EU-Staaten, die mit EU-Bürgern Geschäfte machen. Bisher war es für Verbraucher kaum möglich, sich gegen Datenschutzverstöße in anderen Ländern zu wehren. Jetzt ist die Rechtslage einheitlich, und Sie können sich mit Beschwerden an das Datenschutzamt in Ihrem Bundesland wenden – auch wenn es um ein Unternehmen im Ausland geht. Eine Liste mit Kontaktdaten der Aufsichtsbehörden finden Sie hier .

Ebenfalls neu ist die Verpflichtung für Unternehmen, Sie zu informieren, wenn es einen Datenschutzverstoß mit Ihren Daten gegeben hat. Sie müssen zumindest dann benachrichtigt werden, wenn für Sie nachteilige Folgen entstehen können. Wenn al- so ein Außendienstmitarbeiter zum Beispiel sein Notebook verliert, auf dem Ihre Kundendaten gespeichert sind, das Notebook jedoch verschlüsselt ist und die Festplatte mittels Fernwartung gelöscht werden kann, müssen Sie nicht informiert werden. Denn es ist unwahrscheinlich, dass Ihre Daten überhaupt in fremde Hände geraten. Wird allerdings von Ihrem Hausarzt eine E-Mail mit Ihren letzten Laborwerten an die falsche Mailadresse geschickt, muss er Ihnen das mitteilen. Das Gleiche gilt, wenn Ihr Online-Kundenkonto samt Kreditkarteninformationen gehackt wurde.

DSGVO: Worauf Fotografen achten müssen

Datenschutz bei Fotos: Wichtig ist der Charakter der Bilder

Bilder von Sehenswürdigkeiten sind weiterhin ohne Einverständnis der abgebildeten Personen erlaubt.
Vergrößern Bilder von Sehenswürdigkeiten sind weiterhin ohne Einverständnis der abgebildeten Personen erlaubt.

Für Privatpersonen ist die DSGVO kein Thema. Denn alles, was Sie im persönlichen und familiären Umfeld machen, fällt nicht unter das neue Datenschutzgesetz. Sie können also weiterhin Telefonnummern an Freunde weitergeben, Bilder für Ihr Fotoalbum machen oder nach Herzenslust Adressen tauschen.

Nur bei Fotos müssen Sie auch als Privatperson etwas vorsichtig sein, denn hier ist noch nicht endgültig klar, welche Aufnahmen weiter erlaubt sind und welche nicht. Ein Beispiel von „Zu viel des Guten“: Eine Kindertagesstätte in Dormagen, die jeweils ein Jahrbuch mit Fotos der Kinder bei Ausflügen und anderen Aktivitäten erstellt. Aus Angst vor möglichen DSGVO-Verstößen wurden darin die Gesichter der Kinder geschwärzt, nur das jeweils eigene Kind war sichtbar. Kein schönes Erinnerungsalbum und zudem völlig unnötig, denn das Fotoalbum beschränkt sich ja auf den Elternkreis und dient ausschließlich privaten Zwecken. Damit ist die DSGVO überhaupt nicht zuständig. Nur bei einer Veröffentlichung beispielsweise auf der Webseite der Einrichtung käme der Datenschutz zur Anwendung. Kein rein privater oder familiärer Rahmen ist generell die Veröffentlichung von Fotos und Videos in sozialen Netzwerken wie etwa Facebook oder Instagram. Damit gilt zugleich die DSGVO, Sie müssen sich also an die Vorschriften halten. Konkret heißt das, dass Sie von den Personen, die Sie fotografieren, eine Einwilligung brauchen. Da gibt es keine formale Anforderung, die Einwilligung kann auch mündlich erfolgen.

Bei Bildern von Konzerten sowie anderen Veranstaltungen gilt dies nicht. Wer sich auf eine Veranstaltung begibt, der muss damit rechnen, dass er auf einem Foto auftaucht. Das Gleiche gilt bei Aufnahmen von Sehenswürdigkeiten. Selbst wenn dort auch Menschen zu sehen sind, steht die Sehenswürdigkeit im Mittelpunkt, die Personen sind lediglich Beiwerk. Sie dürfen den Eiffelturm in Paris also auch weiterhin mit fremden Personen im Bild fotografieren.

Unterschiedliche Auffassungen gibt es derzeit noch zum Thema private Homepage. Die eine Seite argumentiert, eine Homepage online zu stellen und für jedermann zugänglich zu machen, verlasse bereits den familiären und persönlichen Rahmen. Damit müsse die DSGVO eingehalten und ein Impressum sowie eine Datenschutzerklärung auf der Webseite integriert werden. Andere Datenschützer legen dies nicht so eng aus: Solange kein Gewerbszweck dahintersteht, bestehe keine Pflicht, die Vorgaben der DSGVO zu befolgen. Falls Sie für Ihre private Homepage ganz auf Nummer sicher gehen möchten, verwenden Sie einen „Generator“ für Impressum und Datenschutzerklärung – beispielsweise von www.e-recht24.de (unter „Tools“), www.impressum-generator.de , https://datenschutzgenerator.de , www.juraforum.de oder von ähnlichen Anbietern.

Datenauskunft bei Facebook

Um Auskunft über Ihre Daten zu erhalten, genügt ein formloses Schreiben an die jeweilige Behörde oder das Unternehmen. Bei Facebook ist es noch einfacher, da können Sie Ihre Daten einfach herunterladen.

So erfahren Sie bei Facebook, welche persönlichen Daten das Unternehmen gespeichert hat.
Vergrößern So erfahren Sie bei Facebook, welche persönlichen Daten das Unternehmen gespeichert hat.

So geht’s: Eingeloggt beim sozialen Netzwerk gehen Sie in der oberen Facebook-Menüleiste ganz rechts oben auf den Pfeil nach unten, bis ein Menü aufklappt. Darin wählen Sie den vorletzten Eintrag „Einstellungen“. Die Webseite wechselt jetzt zu den allgemeinen Kontoeinstellungen, wo Sie links den Punkt „Deine Facebook- Informationen“ zum Downloaden Ihrer gespeicherten Daten finden.

Neue Regeln gelten auch für Onlinewerbung per E-Mail

Telefonwerbung ist Unternehmen nur erlaubt, wenn vorher ausdrücklich zugestimmt wurde.
Vergrößern Telefonwerbung ist Unternehmen nur erlaubt, wenn vorher ausdrücklich zugestimmt wurde.

Beim Versand von Werbemails wurden die Verbraucherrechte gleichfalls gestärkt. So darf ein Unternehmen nur dann Werbung an Sie schicken, wenn Sie bereits Bestandskunde sind. Eine Einwilligung Ihrerseits ist dazu nicht notwendig, Sie können der weiteren Zusendung aber widersprechen. Das muss einfach möglich sein, in der Regel mit einem Abmeldelink zum Anklicken. Wenn eine Firma Werbemails an Nicht-Kunden verschicken will, müssen diese vorher eingewilligt haben. Eine solche Einwilligung kann später ohne die Angabe von Gründen zurückgezogen werden.

Bei Werbung mit der guten alten Briefpost benötigen Firmen keine vorherige Genehmigung. Solche Werbung darf man Ihnen zunächst also einfach so zuschicken, doch auch hier können Sie widersprechen. Werbeflyer und Ähnliches können Sie nach wie vor mit dem Aufkleber „Keine Werbung bitte“ auf Ihrem Briefkasten verhindern.

Eine besonders nervige Form der Werbung ist Telefon-Marketing. Das ist nur nach ausdrücklicher Einwilligung Ihrerseits erlaubt, außerdem darf der Anrufer seine Telefonnummer nicht unterdrücken. Umstritten und gerichtlich bislang noch nicht geklärt ist, ob Anrufe bei Nummern aus dem Telefonbuch auch ohne Einwilligung erlaubt sind. Auf der sicheren Seite sind Sie, wenn Sie Ihre Rufnummer aus dem Telefonbuch löschen lassen.

Kommentar: "Die DSGVO ist besser als ihr Ruf"

Jörg Hermann, Datenschutzberater
Vergrößern Jörg Hermann, Datenschutzberater
© Jörg Hermann

Klingelschilder in Wien verboten, Kita-Fotos geschwärzt, Hochzeitsbilder nicht mehr zulässig: Die DSGVO hat es in der Öffentlichkeit nicht immer leicht.

Bei all diesen Fällen stellt sich aber heraus, dass nicht die neuen Datenschutzregeln falsch waren, sondern dass sie falsch angewendet wurden. Für Verbraucher stellt die DSGVO tatsächlich einen Schritt zu mehr Kontrolle über ihre Daten dar. Denn sie haben nun das Recht zu erfahren, welche Daten überhaupt und zu welchem Zweck erhoben werden. Wem das nicht gefällt, der kann dem widersprechen und seine Daten löschen lassen. Unternehmen können nicht mehr so einfach alles sammeln und weitergeben. Wer sich nicht daran hält, wird zur Kasse gebeten, und zwar kräftig. Das sorgt bei Firmen für ein Umdenken, Datenschutz steht jetzt auf ihrer Agenda viel weiter oben als noch vor einem Jahr. Onlinenutzer und Verbraucher profitieren, und genau das ist der Sinn der DSGVO!

von Jörg Hermann, Datenschutzberater

PC-WELT Marktplatz

2426038