Rechte für Privatpersonen – Pflichten für Unternehmen

Mit der Datenschutz-Grundverordnung (DSGVO) sollen Privatpersonen mehr Kontrolle über ihre Daten bekommen. Ihre Position wird gegenüber Unternehmen gestärkt, indem

  • bereits vorhandene Rechte wie das Auskunftsrecht erweitert,
  • neue Rechte wie das Recht auf Datenübertragbarkeit eingeführt,
  • Pflichten für Unternehmen festgelegt und
  • datenschutzfreundliche Voreinstellungen vorgegeben werden.

Wie diese Rechte, Pflichten und Vorgaben aussehen und was sie bedeuten, wird im Folgenden erklärt.

Welche Pflichten haben Unternehmen?

Privatpersonen sollen in Zukunft besser darüber informiert sein, was mit ihren Daten passiert. Um das zu erreichen, führt die DSGVO verschiedene Pflichten für Unternehmen ein. Diese Pflichten sind immer dann zu erfüllen, wenn personenbezogene Daten verarbeitet werden. Das können zum Beispiel Name, Alter, Wohnort, aber auch die IP-Adresse eines Computers sein. Gemeint sind alle Angaben, die sich einer bestimmten Person zuordnen lassen und sie damit identifizierbar machen. Solche Daten dürfen nur dann verarbeitet werden, wenn die Person vorher zugestimmt hat, oder wenn ein gesetzlicher Erlaubnistatbestand vorliegt (z. B. wenn die Datenverarbeitung notwendig ist, um einen Vertrag zu erfüllen). Unternehmen sind dazu verpflichtet, der betroffenen Person zum Zeitpunkt der Erhebung unter anderem mitzuteilen,

  • wer die Daten erhebt (inklusive Kontaktdaten),
  • für welche Zwecke die Daten genutzt werden,
  • gegebenenfalls an wen die Daten weitergeleitet werden,
  • wie lange die Daten gespeichert werden und
  • welche Rechte die betroffene Person gegenüber dem Unternehmen hat.

Diese Informationen müssen in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache bereitgestellt werden. Wenn Unternehmen die Daten nutzen, um automatisiert Profile von Menschen zu erstellen (Profiling), müssen sie darüber informieren. Auch für die Sicherheit der Daten sind sie verantwortlich. Dafür müssen die Unternehmen geeignete technische Maßnahmen einsetzen. Falls es dennoch zu einer Datenpanne kommt, müssen sie die betroffenen Personen innerhalb von 72 Stunden darüber informieren. Bei besonders sensiblen Daten sind die Unternehmen sogar in der Pflicht, vorab mögliche Folgen der Datenverarbeitung abzuschätzen und den betroffenen Personen mitzuteilen.

Was meint „ datenschutzfreundliche Voreinstellungen”?

Um Privatpersonen weiter zu entlasten, sollen Online-Dienste bereits vorab datenschutzfreundlich eingestellt sein. Das betrifft zum Beispiel die Voreinstellungen bei Privatsphäre und Datenschutz. So sollen auch die Daten von Personen, die sich weniger intensiv mit ihren Möglichkeiten auseinandersetzen, besser geschützt werden. Zusätzlich sollen in Zukunft bereits bei der Entwicklung solcher Dienste technische Maßnahmen ergriffen werden, um personenbezogene Daten zu schützen.

Was bedeutet das Recht auf Auskunft, Berichtigung und Löschung für mich?

Ergänzt werden die Pflichten der Unternehmen durch die Rechte von Privatpersonen. Neben der Informationspflicht der Unternehmen gibt es das Recht für Nutzende, sich dort Auskunft über vorliegende Daten einzuholen. Bürgerinnen und Bürger können bei einem Unternehmen anfragen, ob dort Daten von ihnen gespeichert sind. Sie haben das Recht zu erfahren, welche Daten wie lange und zu welchem Zweck gespeichert werden. Auf Anfrage muss das Unternehmen diese Informationen als Kopie zur Verfügung stellen. Sind die Daten fehlerhaft oder unvollständig, besteht das Recht auf Berichtigung. D. h. Betroffene können selbst darauf hinweisen, wenn Daten unrichtig oder überholt sind, und die Korrektur der Daten verlangen.

Unter bestimmten Voraussetzungen kann auch die vollständige Löschung der Daten eingefordert werden. Das gilt zum Beispiel beim Rückzug der Einwilligung oder falls Daten gespeichert sind, die keinen Zweck mehr erfüllen. Wenn Daten von unter 16-Jährigen ohne elterliche Einwilligung gespeichert wurden, müssen auch diese auf Anfrage vollständig gelöscht werden (siehe: „Wann ist eine Einwilligung notwendig?“).

Zusätzlich gibt es die Möglichkeit, einer weiteren Verarbeitung der Daten zu widersprechen oder zumindest eine Einschränkung zu fordern. Auch das Widerspruchsrecht ist an besondere Bedingungen geknüpft. Sehr einfach kann davon Gebrauch gemacht werden, wenn die eigenen Daten für Direktwerbung genutzt werden. Einer solchen Verarbeitung kann jederzeit widersprochen werden.
Unternehmen sind dazu verpflichtet, auf eine Anfrage innerhalb eines Monats zu reagieren. Falls sie dies nicht tun, verstoßen sie gegen die Datenschutz-Grundverordnung (DSGVO).

Was bedeutet das Recht auf Datenübertragbarkeit für mich?

Völlig neu ist das Recht auf Datenübertragbarkeit. Darin ist festgehalten, dass alle Personen das Recht haben, ihre Daten zu einem anderen Anbieter mitzunehmen. Die Daten müssen dem neuen Anbieter oder der betroffenen Person direkt in einem sicheren und gängigen Format bereitgestellt werden. Damit soll der Wechsel zu einem neuen Anbieter erleichtert werden. Interessant ist dieses Recht unter anderem im Hinblick auf Soziale Netzwerke wie facebook und die Möglichkeit, persönliche Daten von dort zu einem alternativen Angebot mitzunehmen.

Was kann ich tun, wenn ein Unternehmen gegen die DSGVO verstößt?

Eine wichtige Neuerung der DSGVO ist die Erhöhung der Bußgelder für Unternehmen, die ihren Pflichten nicht nachkommen. Mit der neuen Verordnung sind Bußgelder in einer Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich. Damit soll erreicht werden, dass auch finanzstarke Unternehmen sich an die Verordnung halten.

Falls Bürgerinnen und Bürger der Ansicht sind, dass ein Verstoß gegen die DSGVO vorliegt, können sie sich an den Datenschutzbeauftragten des Unternehmens wenden. Zusätzlich besteht das Recht, bei einer Aufsichtsbehörde Beschwerde einzureichen. In Deutschland sind die Datenschutzbeauftragten der einzelnen Bundesländer dafür verantwortlich. Anschließend ist es Aufgabe der Aufsichtsbehörde, der Beschwerde nachzugehen und die betroffene Person über den Stand und die Ereignisse zu informieren. Falls eine Anfrage beim Unternehmen nicht zum Erfolg führt, ist es sinnvoll, sich an eine Aufsichtsbehörde zu wenden.

Die DSGVO nimmt Unternehmen stärker in die Pflicht und stärkt die Rechte von betroffenen Personen. Zunächst ist es jedoch notwendig, dass betroffene Personen selbst aktiv werden, bevor etwas passiert. Deshalb ist es wichtig, die eigenen Rechte und Möglichkeiten zu kennen.