DSGVO: Das sind deine neuen Rechte ab dem 25. Mai

Hin und wieder hört man, dass die europäische Datenschutz-Grundverordnung nur Betreiber von Onlineshops und große Unternehmen betreffe. Das ist jedoch ein Ammenmärchen, wie Rechtsanwalt Frank W. Stroot klarstellt: „Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und mit personenbezogenen Daten arbeiten – sowohl online als auch offline. Aber auch Unternehmen im Ausland, die ihre Dienste EU-Bürgern anbieten – beispielsweise Facebook oder Google – müssen sich an die Verordnung halten.“

Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind zum Beispiel der Name, die Anschrift, das Geburtsdatum, die E-Mail-Adresse, aber auch die IP-Adresse oder Cookies.

Neben der einfacheren und transparenteren Datenschutzerklärung bekommst du mit der Datenschutzgrundverordnung weitere Rechte als Verbraucher:

Dieses besagt, dass du als betroffene Person Informationen darüber verlangen kannst, ob und vor allem welche persönlichen Daten von dir zu welchem Zweck wie lange gespeichert werden. „Das verantwortliche Unternehmen muss solche Gesuche unverzüglich, spätestens aber einen Monat nach Erhalt beantworten“, sagt Frank W. Stroot. In Einzelfällen könne die Frist um zwei Monate verlängert werden. Du kannst diese Auskunft schriftlich per Brief oder E-Mail anfordern.

Dieses besagt, dass Unternehmen die Daten eines Nutzers an einen anderen Anbieter übermitteln müssen, wenn der Nutzer dorthin wechselt. „Das ist beispielsweise der Fall, wenn ich meine Bank, meinen Internetanbieter oder meinen Arbeitgeber wechsele“, sagt Frank W. Stroot. Hier müssten alle Daten, die du als Nutzer selbst zur Verfügung gestellt hast, ohne Verluste übertragen werden.

Danach muss der Verantwortliche personenbezogene Daten löschen, wenn diese entweder nicht mehr benötigt werden, sie unrechtmäßig verarbeitet wurden oder wenn die betroffene Person dies verlangt. „Außerdem können Sie als Betroffener fordern, dass falsche Daten korrigiert werden“, fügt Rechtsanwalt Stroot hinzu.

Auch im Hinblick auf Nutzer-Einwilligungen, zum Beispiel bei der Registrierung für einen Newsletter, gibt es Änderungen. Wenn du dich ab dem 25. Mai für einen Newsletter registrierst, gilt:

• Einwilligungen dürfen nicht mehr an den Download von bestimmten Inhalten wie Whitepaper oder Checklisten gekoppelt werden („Kopplungsverbot“).
• Anbieter müssen die Einwilligung des Nutzers lückenlos nachweisen können, zum Beispiel über das sogenannte Double-opt-in-Verfahren bei Newslettern. Dieses besagt, dass Nutzer den Eintrag auf der Abonnentenliste erst beantragen und dann noch einmal – zum Beispiel über einen Link in einer E-Mail – bestätigen müssen.
• Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nur wirksam, wenn auch die Eltern damit einverstanden sind.
• Für Nutzer muss der Widerruf der Einwilligung grundsätzlich so einfach wie deren Erteilung sein.

Damit sollen „unfreiwillige“ Einwilligungen zukünftig vermieden werden und es soll für Verbraucher einfacher werden, die Einwilligung zurückzuziehen.

Sollte ein Unternehmen gegen die neuen Regeln und Standards der Datenschutzgrundverordnung verstoßen, kann das teuer werden. Bisher sah das Bundesdatenschutzgesetz für Datenschutz-Verstöße Bußgelder zwischen 50.000 und 300.000 Euro in besonders schweren Fällen vor. Sehr hohe Beträge wurden von den Behörden in der Regel nur selten und bei dauerhaften Verstößen verhängt.

Mit der EU-DSGVO ändert sich das: „Die neue Verordnung sieht Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes vor. Mit diesen empfindlichen Strafen hat die Europäische Union ein wirksames Mittel zur Herstellung eines angemessenen Datenschutzniveaus geschaffen, das auch große, international tätige Konzerne ernst nehmen müssen“, erklärt Frank W. Stroot.

Doch nicht nur Bußgelder drohen: Nach Art. 82 Abs. 1 DSGVO kann jede Person Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter verlangen, wenn sie durch einen Verstoß gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet. „Das ist ein absolutes Novum, das sieht das BDSG bislang nicht vor“, kommentiert der Datenschutz-Experte. „Zusätzlich gilt in solchen Fällen die Umkehr der Beweislast. Das heißt, es wird davon ausgegangen, dass das Unternehmen den Schaden verschuldet hat – es sei denn, es kann einen rechtmäßigen Datenschutz belegen.“ Als Verbraucher kannst du also zukünftig Schadenersatz verlangen, sogar ohne einen materiellen Schaden beweisen zu müssen. Denn durch die (vermutete) rechtswidrige Nutzung deiner personenbezogenen Daten liegt ein Eingriff in dein allgemeines Persönlichkeitsrecht vor. Allerdings wird die Zukunft zeigen, in welcher Höhe den Betroffenen tatsächlich Schmerzensgelder zugesprochen werden.

Neu ist zudem: Falls einem Unternehmen eine Datenpanne unterläuft, muss es das zukünftig innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. „Das Unternehmen muss dann angeben, wie viele Datensätze betroffen sind, welche Folgen die Panne haben könnte und wie es Abhilfe schaffen will“, sagt der Datenschutzexperte. Die zuständige Adresse ist der Datenschutzbeauftragte des jeweiligen Bundeslandes. An diese Stelle kannst du dich auch wenden, wenn dir Verstöße auffallen oder du Fragen zum Thema Datenschutz hast.