Berlin - Was ist die Datenschutzgrundverordnung eigentlich?

Die europäische Datenschutzgrundverordnung (EU-DSGVO) ist eine Verordnung der Europäischen Union, die einheitliche Regeln im Umgang mit personenbezogenen Daten schaffen soll.  Sie ist keine Richtlinie, die erst in nationale Gesetze gegossen werden muss, sondern sie ist bindend. Die Verordnung gilt für alle Mitgliedsstaaten. Das heißt vor allem, dass sie die Daten der Verbraucher schützen und ihre Privatsphäre stärken soll. Der Nutzer bekommt mehr Rechte und kann selbst entscheiden, welche Daten er herausgeben möchte und welche nicht. Und er bekommt die Möglichkeit, zu erfahren, was mit seinen Daten passiert.

Wer ist von der Verordnung betroffen?

Es sind alle Unternehmen  (auch Einzelunternehmer) betroffen, die in der EU ansässig sind und die mit personenbezogenen Daten arbeiten. Dazu gehören auch Blogger und alle Webseitenbetreiber. Aber auch Firmen, die ihren Sitz im Ausland haben und deren Angebote sich an EU-Bürger richten, sind betroffen – also auch Facebook oder Google. Personenbezogene Daten können Mitarbeiter-, Nutzer- oder Kundendaten sein, die E-Mail-Adressen, Namen  Telefonnummern, Geburtstage, Kfz-Zeichen, Standort-Daten oder Cookies enthalten. Aber auch die IP-Adressen – also die Adresse eines Computers oder Servers - gehören dazu. Mithilfe dieser Daten können Personen identifiziert werden.

Warum erhalte ich zurzeit so viele E-Mails, die mich um Bestätigung für einen Newsletter bitten?

Direktwerbung über Newsletter ist unter der DSGVO nicht per se verboten. Sie ist weiterhin erlaubt, wenn ein „berechtigtes Interesse“ besteht. Dieser Terminus ist rechtlich schwammig, kann aber nach Einschätzung von Experten auch bedeuten, dass Newsletter-Werbung zum Beispiel weiterhin in Ordnung geht, wenn zwischen Anbieter und Empfänger ein Kundenverhältnis besteht.

Wer einen Handyvertrag bei Vodafone hat, wird also vermutlich vollkommen rechtens weiterhin über neue Verträge und Produkte informiert werden. Auch in diesen Fällen gilt nach der DSGVO aber: Der Empfänger kann jederzeit Widerspruch gegen die Verwendung seiner E-Mail-Adresse und Daten zu diesem Zweck einlegen.

Anders ist die Lage bei nicht produktbezogenen Info-Newslettern, wie sie zum Beispiel Verbände, Vereine, Medien, Blogger aber auch zahlreiche Unternehmen verschicken. Oft besteht in diesen Fällen zwischen Absender und Empfänger kein explizites Vertragsverhältnis in der analogen Welt, das „berechtigte Interesse“ kann deswegen nicht angeführt werden. Stattdessen ist hier eine explizite Einwilligung des Empfängers erforderlich.

Das früher oft angewandte Opt-Out-Verfahren ist demnach unzulässig – hier wurde das Kästchen zur Einwilligung bereits vorangehakt, der Nutzer musste es erst aktiv entfernen, um den Newsletter nicht zu erhalten. Der Empfänger muss stattdessen explizit und aktiv seine Zustimmung geben: Er muss das Häkchen zur Einstimmung also selbst anhaken oder seine Emailadresse selbst händisch eintragen (Opt-In). Das galt auch schon vor der DSGVO, wurde oft aber missachtet.

Erst jetzt sichern sich viele Newsletter-Anbieter rundum gegen die hohen drohenden Bußgelder ab. Als rechtlich sicherste Variante für Newsletter-Versender gilt das Double-Opt-In-Verfahren. Hierbei wird nach der aktiven Bestätigung des Empfängers auf der Webseite des Versenders noch eine Bestätigungsmail an die hinterlegte E-Mail-Adresse gesendet. Der Empfänger muss dann noch einmal einem Link aus der Email folgen und seine Zustimmung ein zweites Mal bestätigen.

Zurzeit erhalte ich sehr viele E-Mails, in denen ich wegen der DSGVO meine Zustimmung und Daten erneut bestätigen muss – stammen die alle von seriösen Absendern?

Nein, hier ist Vorsicht geboten. Zurzeit nutzen Betrüger die Rechtsunsicherheit vieler Verbraucher aus. In sogenannten „Phishing“-Emails geben sie sich als bekannte Bank oder Kreditkartenunternehmen aus, das um eine „Abgleichung“ der Kundendaten bittet. Folgt man dem angegeben Link, landet man auf einer Webseite, die dem Webauftritt der tatsächlichen Anbieter nachempfunden ist. Trotzdem sind die Betrüger mit etwas Wissen in der Regel gut zu entlarven: Oft fehlt in ihren Emails eine persönliche Anrede. Auch Rechtschreibfehler sind häufig. Die Verbindung, über die die Webadresse aufgerufen wird, ist außerdem nicht verschlüsselt – sie startet also nicht mit https:// sondern nur mit http://. Wer befürchtet, bereits auf einen Betrüger hereingefallen zu sein, sollte schnellstmöglich seine Passwörter auf allen Plattformen ändern.

Gilt die Verordnung auch für Vereine und Verbände?

Ja. Sie müssen sich genauso an die DSGVO halten.

Was ist mit Privatpersonen?

Wer persönliche Daten persönliche (zur Ausübung eines Hobbys zum Beispiel) oder familiäre Tätigkeiten auf seinem Rechner speichert, ist nicht von der Verordnung betroffen.

Gilt die Verordnung nur für digitale Daten?

Nein. Sie gilt für jegliche Form der Daten, also auch analoge, zum Beispiel in Papierform.

Was bedeutet die Datenschutzgrundverordnung für die Unternehmen?

Sie müssen zunächst einmal ihre Datenschutzerklärungen anpassen – und zwar klar und verständlich. Darin muss für den Verbraucher ersichtlich sein, welche Daten zu welchem Zweck erhoben,  verarbeitet und genutzt werden und ob diese Daten an Dritte weitergegeben werden (Beispiel Schufa beim Abschluss von Verträgen). Zudem muss man erfahren können, wie, wann, wie lange und ob die Daten gelöscht werden und an wen man sich bei Fragen wenden kann. Wenn Daten gestohlen wurden, ist das Unternehmen verpflichtet, seine Kunden oder Nutzer darüber zu informieren. Betriebe, bei denen mehr als neun Angestellte arbeiten, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, brauchen einen Datenschutzbeauftragten.

Was für Vorteile hat die DSGVO sonst noch für den Verbraucher?

Jeder kann seine Daten löschen lassen, wenn er eine vorige  Einwilligung zurückzieht, die Daten unrechtsmäßig gespeichert oder nicht mehr benötigt wurden. Das gilt auch, wenn Daten falsch sind. Das Recht auf Datenübertragbarkeit soll einem Nutzer die Möglichkeit geben, seine gesamten zur Verfügung gestellten Daten zu einem anderen Anbieter mitnehmen zu können.

Unter welchen Bedingungen dürfen Daten erhoben werden?

Man braucht entweder eine Rechtsgrundlage, die Einwilligung des Betroffenen oder es müssen „berechtigte Interessen“ vorliegen. Letzteres ist nicht genau definiert. Ein Unternehmen, das bestimmte personenbezogene Daten benötigt, um seinen Vertrag mit dem Kunden zu erfüllen, darf das auch. Ein Onlinehändler braucht zum Beispiel die Adresse seiner Kunden, um die Ware verschicken zu können.

An wen wendet man sich bei Verstößen?

An den Datenschutzbeauftragten des Unternehmen oder direkt an den Landesbeauftragten für Datenschutz. Man kann sich aber auch an die Polizei wenden, wenn man eine Anzeige aufgrund  einer Datenschutzverletzung aufgeben möchte. Jeder Verbraucher und auch jeder Wettbewerber kann vor Gericht gegen die Verletzung von Datenschutzregeln klagen, auch um Schadensersatzforderungen einzuklagen.

Immer wieder hört man von Öffnungsklauseln. Auch Österreich hat die DSGVO in einigen Punkten entschärft. Ist das auch in Deutschland denkbar?

In Österreich droht zunächst einmal keine Strafe, sondern nur eine Verwarnung bei Verstößen. Experten sind der Meinung, dass diese „Verwässerung“ europarechtswidrig sei, da die Verordnung „abschreckende“ Strafen vorsieht. Grundsätzlich räumt die DSGVO den Mitgliedsstaaten eigene nationale Regelungen ein, sogenannte Konkretisierungsklauseln, die die Verordnung ergänzen, konkretisieren oder modifizieren,  aber nicht aufheben können. Nationale Gesetze müssen sich an die Vorgaben und Grundsätze der DSGVO halten und  dürfen nicht mit ihnen kollidieren - bei Widersprüchen gilt die DSGVO. Es gibt zum Beispiel Spielraum bei Regelungen zu Daten von Verstorbenen oder bei der Bestellung eines betrieblichen Datenschutzbeauftragten.

Droht jetzt eine Abmahnwelle?

Juristen und Experten gehen davon aus, dass es durch andere Wettbewerber und Verbraucherschutzverbände zu vielen Klagen kommen wird.

Welche Kritik gibt es?

Vor allem kleinere Firmen, Selbstständige, Vereine und Verbände sind verunsichert, da viele Passagen nicht eindeutig sind. Manche Firmen sehen ihre Geschäftsmodelle, die auf personenbezogenen Daten basieren, in Gefahr. Viele haben Sorge vor den hohen Geldbußen und sehen sich durch die Fülle an Pflichten überfordert. Noch ist auch nicht sicher, ob es ausreichend Personal in den unabhängigen Aufsichtsratsbehörden gibt, die die Arbeit bewältigen können. 

Wann tritt Datenschutzverordnung  in Kraft?

Sie ist schon längst in Kraft  - seit zwei Jahren schon. Am 25. Mai 2018 endet allerdings die Übergangsfrist. Das bedeutet, dass die Datenschutzverordnung ab diesem Zeitpunkt anzuwenden ist – also verfolgt und sanktioniert werden kann. Ab diesem Zeitpunkt können Aufsichtsbehörden bei Verstößen Bußgelder in Höhe von bis zu vier Prozent des weltweiten Unternehmensumsatzes verhängen – höchstens aber 20 Millionen Euro. Die Übergangsfrist hat der Gesetzgeber eingeräumt, damit die Unternehmen ihre Prozesse auf die neue Verordnung einstellen können. (mit ann)