Den neuen EU-Datenschutz richtig nutzen!
Am 25. Mai 2018 ist die Schonfrist der EU-Datenschutzgrundverordnung (DSGVO) vorbei – ab dann wird es ernst: Unternehmen, Behörden und auch Vereine müssen sich an die neuen Regeln halten.
Für Nutzerinnen und Nutzer enthält die Grundverordnung eine ganze Reihe an Betroffenenrechten. Diese galten in Deutschland schon vorher fast genauso. Aber wer die neuen Betroffenenrechte nutzen will, muss sich auf die Artikel der Grundverordnung berufen. Gut ist, dass die Auskunft erleichtert wird: Mit dem „One-Stop-Shop-Mechanismus“ können sich Betroffene immer an die Datenschutzbehörden an ihrem Wohnsitz wenden, egal, in welchem EU-Land das Unternehmen sitzt.
Wir geben hier gängige Einschätzungen der DSGVO wieder. Das ersetzt keine Rechtsberatung – die können und dürfen wir nicht geben. Im Zweifelsfall kann dieser Artikel keine anwaltliche Beratung ersetzen.
Sie haben die Auskunftsrechte genutzt und wollen Erfahrungen teilen? Twitter: #DatenRechte
Ihre informationelle Selbstbestimmung
Die Betroffenenrechte im Einzelnen:
Art. 15: Auskunftsrecht
Sie haben das Recht zu erfahren, ob personenbezogene Daten von Ihnen verarbeitet werden oder nicht. In beiden Fällen haben Sie das Recht auf Auskunft – zum Beispiel darüber, welche Daten zu welchem Zweck verarbeitet werden, woher diese Daten stammen, an wen sie weitergegeben werden und ob und wie lange die Daten gespeichert werden. Falls keine Daten von Ihnen verarbeitet werden, muss Ihnen auch das mitgeteilt werden.
Außerdem muss Ihnen darüber Auskunft gegeben werden, ob die Daten eine Rolle in einer automatisierten Entscheidungsfindung wie zum Beispiel Profiling spielen, und falls ja, wie diese Entscheidungsfindung abläuft und zu welchen Auswirkungen sie führen kann.
Art. 16: Recht auf Berichtigung
Das Recht auf Berichtigung besagt, dass Sie eine Korrektur falscher Daten verlangen können. Das kann notwendig sein, wenn Krankenkassen, Versicherer, Auskunfteien oder andere Datenverarbeiter falsche Daten über Sie gespeichert haben.
Art. 17: Recht auf Löschung
Sie haben das Recht, dass Ihre persönlichen Daten auf Ihren Wunsch hin gelöscht werden. Das ist zum Beispiel dann möglich, wenn die Daten zu dem Zweck, zu dem sie erhoben wurden, nicht mehr gebraucht werden. Die Löschung kann auch beantragt werden, wenn Sie die Einwilligung zur Verarbeitung widerrufen haben oder die Daten unrechtmäßig verarbeitet wurden.
Sollten Ihre Daten noch benötigt werden, zum Beispiel zur Klärung von Rechtsfragen, können Sie nach Artikel 18 auch die Sperrung der Daten verlangen.
Zudem ist in der DSGVO ein „Recht auf Vergessenwerden“ verankert. Der Grundgedanke hinter diesem Recht war, dass personenbezogene Daten nicht dauerhaft im Netz auffinbar sein sollen, wenn die betreffende Person das nicht will. Das „Recht auf Vergessenwerden“ ist somit besonders dann relevant, wenn personenbezogene Daten öffentlich gemacht wurden – zum Beispiel von Suchmaschinen wie Google.
In der endgültigen Fassung der DSGVO ist dieser Gedanke leider nur teilweise abgebildet: Stellen Sie einen Antrag auf Löschung Ihrer Daten, müssen die Verantwortlichen diesen Wunsch lediglich an betreffende Stellen, also z.B. Suchmaschinen, weitergeben. Eine Garantie auf die tatsächliche Löschung der Links stellt dies jedoch nicht dar.
Art. 20 Recht auf Datenübertragbarkeit
Sie wollen einen Anbieter wechseln und Ihre Daten mitnehmen? In vielen Fällen ist das möglich: In den meisten Fällen können Sie eine Kopie Ihrer persönlichen Daten verlangen, und zwar in einem üblichen und maschinenlesbaren Format. Das betrifft zum Beispiel Soziale Netzwerke, aber auch Banken, Versicherungen oder Energieversorger. Jedoch betrifft das Recht auf Datenübertragbarkeit nur diejenigen Daten, die Sie den Verantwortlichen selbst mitgeteilt haben, nicht jedoch Informationen, die aus der Verarbeitung dieser Daten gewonnen wurden.
Sie können entweder verlangen, dass die Daten an Sie selbst übermittelt werden, oder dass sie direkt an den neuen Anbieter weitergeleitet werden sollen.
Art. 21 Widerspruchsrecht
In manchen Fällen können Ihre Daten rechtmäßig verarbeitet werden, auch wenn Sie dieser Verarbeitung nicht ausdrücklich zugestimmt haben. Zum Beispiel kann dies Ämter und Behörden betreffen. Gegen diese Art der Verarbeitung haben Sie ein Widerspruchsrecht, allerdings nur im Fall besonderer persönlicher Umstände. Wenn Sie dieses Recht geltend machen, dürfen die Daten nur noch verarbeitet werden wenn gewichtige Gründe nachgewiesen werden, die Ihre Interessen, Rechte und Freiheiten überwiegen.
Wichtig: Beim Direktmarketing gibt es ein voraussetzungsloses und uneingeschränktes Widerspruchsrecht. Auf dieses Recht müssen Sie ausdrücklich und verständlich hingewiesen werden. Ist das nicht der Fall, können Sie sich bei der Datenschutzbehörde in Ihrem Bundesland beschweren.
Art. 22: Automatisierte Entscheidungen
Artikel 22 zufolge haben Sie das Recht, dass gravierende Entscheidungen über Ihre Person nicht ausschließlich auf automatisierten Verarbeitungen Ihrer Daten oder Profiling beruhen. Dies schließt rechtliche Angelegenheiten mit ein, allerdings auch andere Bereiche, wie beispielsweise Kreditverfahren.
Dieses Recht gilt nicht unbedingt, wenn das Verfahren vertraglich vereinbart wurde, mit Ihrer Einwilligung erfolgt oder gesetzlich legitimiert ist. Außerdem ist es augenscheinlich leicht, dieses Recht auszuhebeln. Prinzipiell muss lediglich eine Person das Ergebnis der automatisierten Verarbeitung formell bestätigen, damit das Verfahren nicht mehr als ausschließlich automatisiert gilt.
Recht auf Beschwerde bei einer Aufsichtsbehörde
Was tun, wenn die Verarbeitung Ihrer Daten gegen die Regeln der DSGVO verstößt? Nach Artikel 77 haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren – zum Beispiel bei den Landesbeauftragten für Datenschutz an Ihrem Wohnort. Diese Aufsichtsbehörde kümmert sich um Ihr Anliegen und hält Sie dann auf dem Laufenden, was den Stand Ihrer Beschwerde betrifft.
Prinzipiell können Sie sich mit Ihrer Beschwerde an jede Aufsichtsbehörde wenden, egal ob diese Behörde an Ihrem Wohnort oder Arbeitsplatz ist, oder nicht.
Beschwerden können durchaus helfen: Im Mai 2015 hat der Datenschutz in Hessen nach Beschwerden aufgedeckt, dass die Schufa negative Kreditwürdigkeitsbewertungen falschen Personenzugeordnet hat.
Wie es funktioniert: Betroffenenrechte nutzen
Bevor Sie zur Tat schreiten, sollten Sie wissen, wem gegenüber Sie die Betroffenenrechte haben. Versuchen Sie hierbei am besten die Datenschutzbeauftragten der jeweiligen Stelle zu ermitteln, die Ihre Daten verarbeitet.
Ihre Rechte können Sie durch einen schriftlichen Antrag einfordern. Diesen schicken Sie direkt an die Verantwortlichen, beispielsweise an die Datenschutzbeauftragten eines Unternehmens. Wenn Sie Ihren Antrag selbst formulieren, sollten Sie sich auf den entsprechenden Artikel in der DSGVO beziehen. Stattdessen können sie aber auch ein bereits ausformuliertes Musterschreiben benutzen, in das Sie nur noch die notwendigen Adressen und Angaben zu Ihrer Person ergänzen müssen. Links zu solchen Musterformularen finden Sie in der Klappbox unten.
Der Antrag ist verschickt – was nun? Mit einer Antwort können Sie innerhalb eines Monats rechnen – das ist die festgelegte Frist, innerhalb derer die jeweiligen Verantwortlichen Ihr Anliegen bearbeiten müssen. In begründeten Fällen kann es eine Fristverlängerung geben, über die Sie allerdings auch innerhalb eines Monats und unter Angabe der Gründe informiert werden müssen.
Und was, wenn es Probleme gibt?
Wenn Sie versucht haben Ihre Betroffenenrechte geltend zu machen und die Verantwortlichen Ihrem Antrag nicht nachkommen, können Sie Beschwerde bei einer Aufsichtsbehörde einreichen. Ebenso können Sie direkt eine Aufsichtsbehörde kontaktieren, wenn Ihre Daten (oder die von anderen Personen) klar rechtswidrig verarbeitet werden.
Ein Beispiel für eine solche Aufsichtsbehörde sind die zuständigen Landesbeauftragen für Datenschutz. Eine Liste der Landesbeauftragten in den verschiedenen Bundesländern finden Sie unten. Prinzipiell können Sie bei jeder Aufsichtsbehörde Beschwerde einreichen, egal ob diese konkret für Ihren Wohnort zuständig ist oder nicht. Bedenken sollten Sie jedoch, dass Ihre Beschwerde immer nur von der Behörde verarbeitet wird, bei der Sie den Antrag einreichen. Genauso wenig ist es möglich, eine Beschwerde bei mehreren Behörden einzureichen.
Formale Vorgaben für die Beschwerde gibt es nicht. Wir empfehlen sie schriftlich einzureichen, oder über Online-Formulare, die von manchen Aufsichtsbehörden angeboten werden. Haben Sie Beschwerde eingereicht, muss sich die von Ihnen beauftragte Behörde innerhalb von drei Monaten um Ihr Anliegen kümmern und Ihnen ein Ergebnis oder einen Zwischenstand mitteilen.
Und wenn das Unternehmen keinen Sitz in der EU hat?
In der DSGVO ist das so genannte Marktortprinzip verankert. Dieses Prinzip besagt, dass alle Unternehmen sich an die DSGVO halten müssen, die sich offensichtlich an europäische Kund.innen richten, auch wenn sie keine Niederlassung in der EU haben.
Außereuropäische Unternehmen, auf die das zutrifft, müssen einen Vertreter in der EU benennen. Bei diesem Vertreter können Sie Ihre Betroffenenrechte geltend machen, außerdem ist er Ansprechpartner für die Aufsichtsbehörden.
Musterformulare
- deinedatendeinerechte.de: Musterformulare zu den einzelnen Betroffenenrechten
- heise.de: Datenschutzrechtliche Selbstauskunft nach DSGVO als Open-Document- und Word-Datei
Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.
Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!
Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.