Bundesministerium der Justiz und für Verbraucherschutz

Ein Smartphone aus Pappe gebastelt, auf dem Bildschirm ist eine Frauenfigur zu sehen. Ringsherum liegen mehrere Pfeile, die aus buntem Papier ausgeschnitten sind.

Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt ein neues Datenschutzrecht – die Datenschutz-Grundverordnung (DS-GVO). Erstmals wird damit europaweit einheitlich geregelt, wie Unternehmen mit personenbezogenen Daten umgehen dürfen. Für Sie als Verbraucherinnen und Verbraucher ist die DS-GVO von großer Bedeutung. Denn durch die neuen Regelungen werden Sie in Ihrer Selbstbestimmung und Kontrolle über Ihre Daten gestärkt.

„Das neue Recht gibt den Menschen mehr
Kontrolle über ihre persönlichen Daten.
Das ist ein gewaltiger Fortschritt für die Selbstbestimmung und Privatsphäre von
Millionen Europäern.“

Katarina Barley, Bundesministerin der Justiz und für Verbraucherschutz


Zweckbindung und Datenminimierung

Bisherige Grundsätze wie „Zweckbindung“ und „Datenminimierung“ gelten weiterhin. Das bedeutet: Unternehmen und Behörden dürfen Ihre Daten nur für den zuvor festgelegten Zweck verarbeiten. Wenn Sie also zum Beispiel ein Buch online bestellen, darf die von Ihnen angegebene Anschrift nur für den Versand des Buches verwendet werden, die Adresse darf aber nicht an Werbeunternehmen weitergegeben werden.

Datenminimierung heißt, dass nur die personenbezogenen Daten erhoben werden, die für den Zweck notwendig sind. Die Telefonnummer wäre für die Versendung des Buches also unerheblich und sollte daher nicht abgefragt werden.

„Privacy by Design“ und „Privacy by Default“

Neu sind die Prinzipien „Privacy by Design“ und „Privacy by Default“. Diese legen fest, dass neue Technologien und Dienste von Anfang an mit besonderer Rücksicht auf Ihre Privatsphäre entwickelt und gestaltet werden müssen. Danach sollte der Datenschutz von Anfang an bestehen und Sie sollten sich nicht darum kümmern müssen.

„Privacy by Design“ sind technische Vorrichtungen, die den Datenschutz von Anfang an einbeziehen, zum Beispiel durch automatische Pseudonymisierung. „Privacy by Default“ heißt: In den Voreinstellungen neu eingerichteter Programme oder Accounts ist grundsätzlich die datenschutzfreundlichste Option vorzusehen, es sollen also möglichst wenige Daten verarbeitet werden.

Einwilligung in die Datenverarbeitung

An die Einwilligung in die Datenverarbeitung werden höhere Anforderungen gestellt. Diese muss von Ihnen freiwillig erteilt werden. Dabei sollten Sie berücksichtigen, ob die Einwilligung für eine Datenverarbeitung gefordert wird, die für die Erfüllung des jeweiligen Dienstes erforderlich ist oder nicht. Im Regelfall sollten Sie die Option haben, in verschiedene Datenverarbeitungsvorgänge gesondert einwilligen zu können. Pauschaleinwilligungen, bei denen mit einem Klick in eine Reihe von unterschiedlichen Datenverarbeitungen zugestimmt werden soll, sind nicht mehr zulässig.

Wesentliche Rechte für Verbraucherinnen und Verbraucher

Anschaulich erklärte Informationen zu den neuen Regeln der DS-GVO sowie Anleitungen und Musterschreiben finden Sie hier auf der Seite des vom BMJV geförderten Projekts „Deine Daten, Deine Rechte“ der Digitalen Gesellschaft e.V.

1. Recht auf Information und Auskunft

Vor der Datenerhebung müssen Sie darüber informiert werden, welche Daten Sie preisgeben sollen und zu welchem Zweck diese verwendet werden. Auch wie lange diese Daten gespeichert werden und an wen sie übermittelt werden, muss transparent sein. Dies hat mit einer klaren und verständlich formulierten Datenschutzerklärung zu erfolgen.

Neben diesem Recht auf Information haben Sie ein umfangreiches Auskunftsrecht. Jederzeit können Sie bei der datenverarbeitenden Stelle um Auskunft über alle Daten bitten, die über Sie gespeichert sind. Eine Antwort erhalten Sie in der Regel kostenlos innerhalb eines Monats. Entscheidend ist: Die Informationen müssen in präziser, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen. Dies gilt auch im Internet und bei digitalen Diensten.

2. Recht auf Berichtigung und Löschung

Stellen Sie nach dieser Auskunft fest, dass falsche Daten über Sie gespeichert sind oder Daten unrechtmäßig erhoben wurden, können Sie eine Berichtigung oder eine Löschung verlangen.

Sie haben außerdem das Recht auf „Vergessenwerden“. Wenn Sie z.B. die Dienste eines Sozialen Netzwerks nicht mehr nutzen wollen, entfällt der ursprüngliche Zweck der Datenerhebung. Oder Sie möchten z.B. bei der gelegentlichen Flugbuchung keine Meilen mehr sammeln und auf das Bonusprogramm verzichten – dann können Sie die weitere Verwendung Ihrer Daten zunächst anhalten und die Datenverarbeitung einschränken. Ihre Daten dürfen dann nicht mehr genutzt werden, liegen aber noch vor, damit Fragen z.B. zur Rechtmäßigkeit der Datenverarbeitung untersucht werden können.

3. Einwilligung

Damit die Datenverarbeitung rechtmäßig ist, müssen Ihre Daten mit Ihrer Einwilligung oder auf einer anderen gesetzlichen Grundlage verarbeitet werden. Eine Einwilligung ist z.B. nicht erforderlich und kann aufgrund gesetzlicher Grundlage erfolgen, wenn die Datenverarbeitung für die Erfüllung eines Vertrages zwischen Verbraucher und Unternehmer erforderlich ist. Auch in Fällen, in denen berechtigte Interessen des Unternehmens oder eines Dritten überwiegen, kann eine Datenverarbeitung ohne Ihre Einwilligung zulässig sein. Soll beispielsweise eine Internetleitung gegen Störungen und Hackerangriffe gesichert werden, liegt ein berechtigtes Interesse für die Speicherung der dafür notwendiger Daten vor.

Ist die Einwilligung – wie meistens – vorformuliert, so muss diese verständlich und leicht zugänglich sein, die Zwecke der Datenverarbeitung genau benennen und darf keine missbräuchlichen Klauseln enthalten. Wenn Nutzungsbedingungen versteckte Hinweise enthalten, dass die Daten auch für weitreichende vertragsfremde Zwecke genutzt werden können, ist eine Einwilligung unwirksam.

4. Recht auf Widerruf

Haben Sie eine Einwilligung gegeben, können Sie diese jederzeit und ohne Begründung widerrufen. Haben Sie beispielsweise einem Marktforschungsinstitut einmal erlaubt, Ihr Online-Verhalten mitzuverfolgen, möchten nun aber wieder unbeobachtet surfen, dann können Sie Ihre ursprüngliche Einwilligung widerrufen. Die Verarbeitung Ihrer Daten ist dann ab sofort nicht mehr zulässig.

5. Recht auf Widerspruch

Werden Ihre Daten ungewollt verwendet, können Sie der Datenverarbeitung widersprechen, z.B. wenn Ihre Daten für Direktwerbung genutzt werden. Ein denkbarer Anwendungsfall: Sie haben Ihre Mobilfunknummer zur Sendungsverfolgung Ihrer Lieferung bereitgestellt und damit Ihre Einwilligung zur Datenverarbeitung gegeben. Nun erhalten Sie aber unerwünschte Werbung per SMS, in die Sie nicht eingewilligt haben.

6. Ihre Rechte bei automatisierter Entscheidungsfindung im Einzelfall

Besondere Regelungen gelten, wenn auf Grundlage der über Sie vorhandenen Daten rein automatisierte Entscheidungen über Sie getroffen werden. Ein Beispiel: Ein Algorithmus prüft Ihre Bonität und entscheidet dann darüber, ob Sie einen Online-Kauf auf Rechnung tätigen können. Solche automatisierten Entscheidungen sind nur zulässig, wenn es zur Erfüllung eines Vertrages nötig ist oder Sie ausdrücklich eingewilligt haben. Empfinden Sie das Resultat dann als nicht zutreffend, können Sie solche automatisierten Entscheidungen anfechten. Sie haben das Recht, Ihren eigenen Standpunkt darzulegen und zu verlangen, dass die Entscheidung von einer Person überprüft wird.

7. Ihr Recht auf Mitnahme Ihrer Daten (Datenübertragbarkeit)

Ihre Daten, die Sie einem Unternehmen bereitgestellt haben, müssen Ihnen in einem gängigen Format zur Verfügung gestellt werden, sodass Sie diese bei anderen Anbietern verwenden können. Dieses Recht auf Datenübertragbarkeit macht es möglich, dass Sie bei einem Wechsel beispielsweise von einem Sozialen Netzwerk zu einem neuen Anbieter Ihre Daten mitnehmen können.

8. Ansprechpartner: Datenschutzbehörden und Verbraucherzentralen

Reagiert ein Unternehmen nicht auf Ihr Anliegen, stehen Ihnen die Datenschutzbehörden als Ansprechpartner zur Verfügung. Hier gilt mit der DS-GVO das Marktortprinzip: Jeder Datenverarbeiter, der seine Waren oder Dienstleistungen auf dem europäischen Markt anbietet, muss sich an das europäische Datenschutzrecht halten. Das heißt, auch z.B. bei Problemen mit einer Suchmaschine oder einem Messenger-Dienst, die ihren Sitz nicht in der EU haben, können Sie sich an die Datenschutzbehörde direkt bei Ihnen vor Ort wenden.

Verbraucherinnen und Verbraucher können sich außerdem an die Verbraucherzentralen wenden. Datenschutzbehörden und Verbraucherzentralen sind Ihnen bei der Durchsetzung Ihrer Rechte behilflich und können weitere Schritte zur Durchsetzung Ihrer Rechte einleiten.