Datenschutzgrundverordnung: Für wen sie gilt und welche Rechte Betroffene haben

Von: Verbraucherzentrale Bayern

Die europäische Datenschutzgrundverordnung ist seit 2018 in Kraft und hat einige Änderungen für Unternehmen mit sich gebracht. Auch stärkt sie insbesondere die Rechte von Betroffenen. Für wen sie gilt, die Grundsätze der Datenverarbeitung und was bei Verstößen gegen die DSGVO zu tun ist, fasst der folgende Artikel zusammen.

Die Datenschutzgrundverordnung – was ist das?

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und personenbezogene Daten verarbeiten. Aber auch für alle Unternehmen, die personenbezogene Daten europäischer Bürgerinnen und Bürger verarbeiten oder eine Niederlassung in der EU haben. Es müssen sich also auch soziale Netzwerke und Cloudanbieter, die ihren Sitz ausschließlich in den USA haben, an die europäischen Datenschutzregeln halten, wenn sie ihre Dienste europäischen Bürgerinnen und Bürgern anbieten oder wenn sie ihr Verhalten beobachten.
Als personenbezogene Daten zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Möglichkeit der Identifizierung reicht bereits aus. Als personenbezogene Daten gelten etwa Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, IP-Adressen oder Cookies.

Für wen gilt die Datenschutzgrundverordnung?

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und personenbezogene Daten verarbeiten. Aber auch für alle Unternehmen, die personenbezogene Daten europäischer Bürger verarbeiten, oder eine Niederlassung in der EU haben. Es müssen sich künftig also auch soziale Netzwerke und Cloudanbieter, die ihren Sitz ausschließlich in den USA haben, an die europäischen Datenschutzregeln halten, wenn sie ihre Dienste europäischen Bürgern anbieten oder wenn sie das Verhalten europäischer Bürger beobachten.

Als personenbezogene Daten zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Möglichkeit der Identifizierung reicht bereits aus. Als personenbezogene Daten gelten etwa Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, IP-Adressen oder Cookies.

Grundsätze und Rechtmäßigkeit der Datenverarbeitung

Die wesentlichen Grundsätze der Datenverarbeitung sind der Grundsatz der Zweckbindung und der Grundsatz der Datensparsamkeit. Daten dürfen nur für einen ganz bestimmten und festgelegten Zweck erhoben und verarbeitet werden und es dürfen nur diejenigen Daten erhoben werden, die für die Erreichung des Zwecks auch wirklich erforderlich sind.
Darüber hinaus sind Unternehmerinnen und Unternehmer ausdrücklich verpflichtet, bereits bei der Konzeption der Datenverarbeitung auf die Einhaltung der datenschutzrechtlichen Anforderungen und Grundprinzipien zu achten („Privacy by Design“) und datenschutzfreundliche Voreinstellungen (z.B. für das Smartphone oder Smart-TV) zu wählen („Privacy by Default“).

• Es liegt eine Einwilligung des Betroffenen in die Datenverarbeitung vor.

• Die Verarbeitung erfolgt zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.

• Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung notwendig.

• Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen.

Im Hinblick auf das Erfordernis der Einwilligung sind folgende Neuerungen interessant:

Es besteht ein Koppelungsverbot: Ein Vertrag oder ein Dienstleistungsangebot darf grundsätzlich nicht an die Einwilligung in die Datenverarbeitung gekoppelt werden, wenn diese für die Erfüllung des Vertrages nicht erforderlich ist. Allerdings sind die Einzelheiten hierzu noch nicht vollständig geklärt. Auch müssen Kinder unter 16 Jahren die Erlaubnis der Eltern einholen, wenn sie in die Verwendung ihrer Daten bei einem Angebot von Diensten der Informationsgesellschaft einwilligen wollen.

Stärkere Nutzerrechte durch Informationspflichten und Betroffenenrechte

Durch die Datenschutzgrundverordnung sollen vor allem die Verbraucher- und Nutzerrechte gestärkt werden. Zum einen dadurch, dass die Datenverarbeiter ausführlichere Informationspflichten treffen, zum anderen dadurch, dass Betroffenenrechte gestärkt werden.

Informationspflichten der Datenverarbeiter

Datenverarbeiter sind nunmehr verpflichtet einfach, knapp und verständlich sowie kostenlos darüber zu informieren, wer welche Daten woher und zu welchen Zwecken verarbeitet und an wen diese Daten weitergegeben werden. Wenn ein Unternehmer eine Datenverarbeitung auf sein berechtigtes Interesse stützen will, muss er dieses Interesse zudem benennen. Die Informationspflichten umfassen auch Informationen darüber, ob Profilbildung stattfindet, welcher Logik diese folgt und welche Folgen sie hat. Ebenso soll der Nutzer schneller und ausführlicher informiert werden, wenn seine Daten „gehackt“ wurden, d.h. wenn sich Dritte unbefugt Zugang zu seinen Daten verschafft haben. Darüber hinaus muss der Verarbeiter den Betroffenen über Berichtigungs-, Lösch-, und Widerrufsfristen informieren. Auch ob die Angabe von Daten erforderlich oder freiwillig ist, muss ersichtlich sein. Durch die Informationspflichten soll der Nutzer in die Lage versetzt werden, Datenverarbeitungen erkennen und prüfen zu können.

Widerspruchsrecht des Betroffenen

Sofern die Datenverarbeitung rechtmäßig aufgrund öffentlichen Interesses oder des berechtigten Interesses des Datenverarbeiters oder eines Dritten erfolgt, steht Ihnen dennoch ein Widerspruchsrecht zu. Sofern der Datenverarbeiter Direktwerbung betreiben möchte, beispielsweise durch die Zusendung von Werbebriefen, Prospekten oder Katalogen, muss er auf das Widerspruchsrecht spätestens bei der ersten Kommunikation hinweisen. Der Betroffene kann jederzeit Widerspruch gegen Direktwerbung einlegen.

Auskunftsrecht des Betroffenen

Wie bisher gewährt auch das Auskunftsrecht der DSGVO dem Nutzer bzw. dem Betroffenen einen Anspruch auf Auskunft darüber, ob und welche personenbezogenen Daten verarbeitet werden und wenn dies der Fall ist, Auskunft über weitere Informationen, unter anderem zu Verarbeitungszwecken, Empfänger und Art und Herkunft der Daten.

Der Auskunftsanspruch ist umfassend und bezieht sich grundsätzlich auf alle gespeicherten bzw. verarbeiteten Daten, die mit dem Betroffenen verknüpft sind. Darunter fallen auch interne Unterlagen und Kommunikation eines Unternehmens über den Betroffenen mit Ausnahme der rechtlichen Bewertung eines Sachverhalts mit Bezug zum Betroffenen.

Es besteht auch die Möglichkeit, eine Kopie der über sich gespeicherten Daten zu verlangen. Dies ist vor allem im Bereich Scoring in Bezug auf Auskunfteien wie der SCHUFA von Bedeutung. Die erste Kopie ist hierbei kostenfrei.

Recht des Betroffenen auf Berichtigung und Löschung

Betroffene können auch die Berichtigung Ihrer Daten verlangen, falls diese falsch sind. Ebenfalls steht ihnen ein ausdrückliches Löschungsrecht zu, beispielsweise wenn die Daten für die vorgesehenen Zwecke nicht mehr benötigt werden, etwa im Falle der Abbestellung eines Newsletters. Ein Löschungsrecht besteht auch, wenn die Verarbeitung der Daten unrechtmäßig war, beispielsweise weil es an einer Einwilligung fehlt. Zudem muss die Unternehmerin oder der Unternehmer den Wunsch Betroffener auf Löschung in vernünftigem Rahmen auch an andere Unternehmerinnen und Unternehmer weitergeben, die diese Daten verwenden

Schadensersatz und höhere Bußgelder

Nutzerinnen und Nutzern wird durch die Datenschutzgrundverordnung ausdrücklich ein Recht auf Schadensersatz bei immateriellen Schäden gewährt. Ein solcher Anspruch kann zum Beispiel entstehen, wenn die verarbeitende Person den Betroffenen nicht oder nicht rechtzeitig die Daten, auf die sie einen Auskunftsanspruch haben, zur Verfügung stellt. Auch die Verarbeitung personenbezogener Daten ohne korrekt eingeholte Einwilligung der Betroffenen, die Übermittlung von Daten an eine falsche E-Mail-Adresse oder das Abgreifen der Daten bei einem Unternehmen durch unbefugte Dritte (Datenleck oder Cyberangriff) können einen Anspruch auf Schadensersatz begründen. Dabei kann bereits der bloße Verlust der Kontrolle über die eigenen personenbezogenen Daten einen Anspruch auf Schadensersatz auslösen.

Auf der Webseite der Verbraucherzentrale Bayern können Betroffene hier kostenlos prüfen, ob sie einen Anspruch auf Schadensersatz bei einem Datenleck haben.

Auch öffentlich-rechtliche Sanktionen sind möglich: Verstößt eine Unternehmerin oder ein Unternehmer gegen seine datenschutzrechtlichen Pflichten, können bis zu 10 Mio. Euro oder 2% des Weltjahresumsatzes als Strafe veranschlagt werden. Liegt ein Verstoß gegen datenschutzrechtliche Grundsätze oder die Rechte von Betroffenen vor, so können sogar Strafen in Höhe von bis zu 20 Mio. Euro oder 4% des Weltjahresumsatzes ausgesprochen werden.

Was tun bei Verstößen oder Streitigkeiten?

Auch das Verfahren bei Verstößen oder Streitigkeiten wird durch die Datenschutzgrundverordnung vereinfacht: Sie können sich einfach an die Datenschutzbehörde Ihres Landes wenden, unabhängig davon, ob das Unternehmen seinen Sitz im Ausland oder in der EU hat.

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.