DSGVO: Geltungsbereich, Grundsätze und Rechte von Verbraucher/innen

Von: Verbraucherzentrale Bayern

Die europäische Datenschutzgrundverordnung ist seit 2018 in Kraft und hat einige Änderungen für Unternehmen mit sich gebracht. Auch stärkt sie insbesondere die Rechte von Betroffenen. Für wen sie gilt, die Grundsätze der Datenverarbeitung und was bei Verstößen gegen die DSGVO zu tun ist, fasst der folgende Artikel zusammen.

Die Datenschutzgrundverordnung – was ist das?

Die europäische Datenschutzgrundverordnung, kurz DSGVO, ist eine europäische Regelung, die in der ganzen EU gilt. Die europäische Datenschutzgrundverordnung regelt das Datenschutzrecht in ganz Europa weitgehend einheitlich. Das deutsche Bundesdatenschutzgesetz (BDSG) enthält nur noch ergänzende Vorschriften. Da in den europäischen Mitgliedsstaaten früher jedes einzelne Land nationale Datenschutzgesetze hatte, ist es Ziel der DSGVO, das europäische Datenschutzrecht zu vereinheitlichen und gleiche Standards herbeizuführen. Dies ist auch das Besondere an einer Verordnung: Diese wirkt unmittelbar in allen europäischen Ländern, ohne dass die Länder sie umsetzen müssen. Allerdings enthält die DSGVO einige Gestaltungsspielräume, die die Mitgliedsstaaten selbst ausfüllen können.

Für wen gilt die Datenschutzgrundverordnung?

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und personenbezogene Daten verarbeiten. Aber auch für alle Unternehmen, die personenbezogene Daten europäischer Bürger verarbeiten, oder eine Niederlassung in der EU haben. Es müssen sich künftig also auch soziale Netzwerke und Cloudanbieter, die ihren Sitz ausschließlich in den USA haben, an die europäischen Datenschutzregeln halten, wenn sie ihre Dienste europäischen Bürgern anbieten oder wenn sie das Verhalten europäischer Bürger beobachten.

Als personenbezogene Daten zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Möglichkeit der Identifizierung reicht bereits aus. Als personenbezogene Daten gelten etwa Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, IP-Adressen oder Cookies.

Grundsätze und Rechtmäßigkeit der Datenverarbeitung

Auch weiterhin, wie auch bislang unter Anwendbarkeit des BDSG, sind wesentliche Grundsätze der Datenverarbeitung der Grundsatz der Zweckbindung und der Grundsatz der Datensparsamkeit. Die Unternehmer sind ausdrücklich verpflichtet, bereits bei der Konzeption der Datenverarbeitung auf die Einhaltung der datenschutzrechtlichen Anforderungen und Grundprinzipien zu achten („Privacy by Design“) und datenschutzfreundliche Voreinstellungen (z.B. für das Smartphone oder Smart-TV) zu wählen („Privacy by Default“).

Eine Datenverarbeitung ist nur rechtmäßig, wenn es die Datenschutzgrundverordnung oder ein anderes Gesetz ausdrücklich erlauben. Die wichtigsten Erlaubnistatbestände sind hierbei:

• Es liegt eine Einwilligung des Betroffenen in die Datenverarbeitung vor.

• Die Verarbeitung erfolgt zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.

• Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung notwendig.

• Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen.

Im Hinblick auf das Erfordernis der Einwilligung sind folgende Neuerungen interessant:

Es besteht ein Koppelungsverbot: Ein Vertrag oder ein Dienstleistungsangebot darf grundsätzlich nicht an die Einwilligung in die Datenverarbeitung gekoppelt werden, wenn diese für die Erfüllung des Vertrages nicht erforderlich ist. Allerdings sind die Einzelheiten hierzu noch nicht vollständig geklärt. Auch müssen Kinder unter 16 Jahren die Erlaubnis der Eltern einholen, wenn sie in die Verwendung ihrer Daten bei einem Angebot von Diensten der Informationsgesellschaft einwilligen wollen.

Stärkere Nutzerrechte durch Informationspflichten und Betroffenenrechte

Durch die Datenschutzgrundverordnung sollen vor allem die Verbraucher- und Nutzerrechte gestärkt werden. Zum einen dadurch, dass die Datenverarbeiter ausführlichere Informationspflichten treffen, zum anderen dadurch, dass Betroffenenrechte gestärkt werden.

Informationspflichten der Datenverarbeiter

Datenverarbeiter sind nunmehr verpflichtet einfach, knapp und verständlich sowie kostenlos darüber zu informieren, wer welche Daten woher und zu welchen Zwecken verarbeitet und an wen diese Daten weitergegeben werden. Wenn ein Unternehmer eine Datenverarbeitung auf sein berechtigtes Interesse stützen will, muss er dieses Interesse zudem benennen. Die Informationspflichten umfassen auch Informationen darüber, ob Profilbildung stattfindet, welcher Logik diese folgt und welche Folgen sie hat. Ebenso soll der Nutzer schneller und ausführlicher informiert werden, wenn seine Daten „gehackt“ wurden, d.h. wenn sich Dritte unbefugt Zugang zu seinen Daten verschafft haben. Darüber hinaus muss der Verarbeiter den Betroffenen über Berichtigungs-, Lösch-, und Widerrufsfristen informieren. Auch ob die Angabe von Daten erforderlich oder freiwillig ist, muss ersichtlich sein. Durch die Informationspflichten soll der Nutzer in die Lage versetzt werden, Datenverarbeitungen erkennen und prüfen zu können.

Widerspruchsrecht des Betroffenen

Sofern die Datenverarbeitung rechtmäßig aufgrund öffentlichen Interesses oder des berechtigten Interesses des Datenverarbeiters oder eines Dritten erfolgt, steht Ihnen dennoch ein Widerspruchsrecht zu. Sofern der Datenverarbeiter Direktwerbung betreiben möchte, beispielsweise durch die Zusendung von Werbebriefen, Prospekten oder Katalogen, muss er auf das Widerspruchsrecht spätestens bei der ersten Kommunikation hinweisen. Der Betroffene kann jederzeit Widerspruch gegen Direktwerbung einlegen.

Auskunftsrecht des Betroffenen

Wie bisher gewährt auch das Auskunftsrecht der DSGVO dem Nutzer bzw. dem Betroffenen einen Anspruch auf Auskunft darüber, ob und welche personenbezogenen Daten verarbeitet werden und wenn dies der Fall ist, Auskunft über weitere Informationen, unter anderem zu Verarbeitungszwecken, Empfänger und Art und Herkunft der Daten.

Der Auskunftsanspruch ist umfassend und bezieht sich grundsätzlich auf alle gespeicherten bzw. verarbeiteten Daten, die mit dem Betroffenen verknüpft sind. Darunter fallen auch interne Unterlagen und Kommunikation eines Unternehmens über den Betroffenen mit Ausnahme der rechtlichen Bewertung eines Sachverhalts mit Bezug zum Betroffenen.

Es besteht auch die Möglichkeit, eine Kopie der über sich gespeicherten Daten zu verlangen. Dies ist vor allem im Bereich Scoring in Bezug auf Auskunfteien wie der SCHUFA von Bedeutung. Die erste Kopie ist hierbei kostenfrei.

Recht des Betroffenen auf Berichtigung und Löschung

Wie bisher können Sie auch die Berichtigung Ihrer Daten verlangen, falls diese falsch sind. Ebenfalls steht Ihnen ein ausdrückliches Löschungsrecht zu, beispielsweise wenn die Daten für die vorgesehenen Zwecke nicht mehr benötigt werden, etwa im Falle der Abbestellung eines Newsletters. Ein Löschungsrecht besteht auch, wenn die Verarbeitung der Daten unrechtmäßig war, beispielsweise weil es an einer Einwilligung fehlt. Zudem muss der Unternehmer Ihren Wunsch auf Löschung in vernünftigem Rahmen auch an andere Unternehmer weitergeben, die diese Daten verwenden. Es sollte künftig also deutlich leichter werden, einmal veröffentlichte Informationen und ganze Konten bei Diensteanbietern löschen zu lassen.

Schadensersatz und höhere Bußgelder

Dem Nutzer wird durch die Datenschutzgrundverordnung usdrücklich ein Recht auf Schadensersatz bei immateriellen Schäden gewährt. Ein solcher Anspruch kann zum Beispiel entstehen, wenn der Verarbeitende dem Betroffenen nicht oder nicht rechtzeitig die Daten, auf die er einen Auskunftsanspruch hat, zur Verfügung stellt. Auch die Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung des Betroffenen oder die Übermittlung von Daten an eine falsche E-Mail-Adresse können unter Umständen einen Anspruch auf Schadensersatz begründen. Allerdings wird es oft nur schwer möglich sein, einen konkreten – materiellen oder immateriellen - Schaden nachzuweisen.

Auch die öffentlich-rechtlichen Sanktionen wurden ausgebaut: Verstößt ein Unternehmer gegen seine datenschutzrechtlichen Pflichten, können nunmehr bis zu 10 Mio. EUR oder 2% des Weltjahresumsatzes als Strafe veranschlagt werden. Liegt ein Verstoß gegen datenschutzrechtliche Grundsätze oder die Rechte des Betroffenen vor, so können sogar Strafen in Höhe von bis zu 20 Mio. EUR oder 4% des Weltjahresumsatzes ausgesprochen werden.

Was tun bei Verstößen oder Streitigkeiten?

Auch das Verfahren bei Verstößen oder Streitigkeiten wird durch die Datenschutzgrundverordnung vereinfacht: Sie können sich einfach an die Datenschutzbehörde Ihres Landes wenden, unabhängig davon, ob das Unternehmen seinen Sitz im Ausland oder in der EU hat.

 

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.