Was sind die wichtigsten neuen Rechte und Pflichten im EU-Datenschutz und wen betreffen sie?

Grundsätzlich müssen wir davon ausgehen, dass bei jeder Nutzung von Online-Diensten personenbezogene Daten anfallen und automatisch protokolliert und ggf. auch ausgewertet werden. Damit treten die EU-Bürger und Internetanbieter bei jeder Internetnutzung in ein Rechtsverhältnis. Um dieses Verhältnis transparent und verhandelbar zu gestalten, weist die Datenschutz-Grundverordnung (DSGVO) beiden Seiten Rechte und Pflichten zu.

Die informierte Einwilligung der Nutzenden bzw. der Erziehungsberechtigten.

Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten entweder das Vorliegen eines gesetzlichen Erlaubnistatbestandes oder die Einwilligung der Betroffenen voraussetzt. Gesetzliche Erlaubnistatbestände können vorliegen, wenn Unternehmen personenbezogene Daten verarbeiten müssen, um einen Vertrag zu erfüllen, oder wenn andere berechtigte Interessen der Unternehmen gegeben sind. In vielen Fällen ist die Verarbeitung und Verwertung von personenbezogenen Daten aber nur zulässig, wenn die betroffenen Nutzenden dazu eingewilligt haben. Für die Einwilligung ist kein einheitliches Verfahren vorgeschrieben. Anders als in einigen EU-Staaten früher muss die Einwilligungserklärung freiwillig, unmissverständlich und auf informierter Grundlage abgegeben werden. Weiterhin wird verlangt, dass Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache vorliegen, insbesondere wenn sich Informationen speziell an Kinder richten. Stillschweigende Einwilligungserklärungen, die für die Nutzenden nur erkennbar sind, wenn sie sich die Mühe machen, die Allgemeinen Nutzungsbedingungen von Angeboten genau zu lesen, sind nach der DSGVO nicht rechtmäßig. Für Kinder und Jugendliche unter 16 Jahren müssen die Erziehungsberechtigten bei Online-Angeboten ihre Einwilligung geben. Wie die Überprüfung der Altersangaben und der „Echtheit” der Eltern erfolgt, ist allerdings noch nicht klar (siehe: Wann ist eine Einwilligung notwendig?).

Das Auskunftsrecht der Nutzenden wurde gestärkt.

EU-Bürgerinnen und -bürger haben grundsätzlich das Recht, bei Anbietern anzufragen, ob und welche Daten über sie wie lange und zu welchem Zweck gespeichert werden. Die Anbieter sind verpflichtet, auf Anfragen innerhalb von vier Wochen zu antworten (vgl. Rechte für Privatpersonen). Anbieter müssen ihre Datenverarbeitung dokumentieren und transparent kommunizieren. Von Internetunternehmen wird hinsichtlich ihres Umganges mit Nutzerdaten Transparenz verlangt. Sie sind zur Dokumentation ihrer Datenverarbeitung verpflichtet und müssen bei berechtigten Nachfragen Rechenschaft leisten.

Das Recht auf Vergessenwerden wurde gestärkt.
Nach der DSGVO können Betroffene von den Anbietern die Löschung ihrer Daten verlangen, wenn bestimmte Bedingungen gegeben sind, die in den Nutzungsbedingungen der Angebote beschrieben sind. Für die Nutzenden bedeutet das, dass sie nicht mehr genutzte Accounts, Profile etc. aktiv beenden können. Aus den Nutzungsbedingungen der Anbieter muss ersichtlich sein, ob mit dem Beenden eines Accounts die personenbezogenen Daten automatisch gelöscht werden oder ob die Löschung extra beantragt werden muss.

Das Kopplungsverbot wurde verschärft.
Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten entweder das Vorliegen eines gesetzlichen Erlaubnistatbestandes oder die Einwilligung der Betroffenen voraussetzt. Einwilligungen zur Datenverarbeitung dürfen nicht an andere Leistungen gekoppelt sein. Ein Beispiel wäre, dass etwa die Einwilligung zur Datenverarbeitung zugleich die Voraussetzung zur Teilnahme an einem Gewinnspiel ist. Dieses bekannte Verfahren ist laut DSGVO nicht mehr zulässig. Das Kopplungsverbot besagt, dass Vertragsabschlüsse nicht von der Einwilligung zur Verarbeitung von personenbezogenen Daten abhängig gemacht werden dürfen, wenn diese Daten für die Abwicklung eines Geschäftes nicht notwendig sind.

Wenn ich beispielsweise Schuhe bei einem Online-Anbieter bestelle, darf dieser nur Daten von mir erheben, die dringend für den Verkauf notwendig sind. Dies können zum Beispiel Informationen zu meiner Versandadresse und Zahlungsweise sein. Ohne diese Informationen wäre der Verkauf schwierig. Was nun nicht mehr erlaubt ist, ist, dass der Online-Händler mich dazu zwingt, zusätzlich noch seinen Newsletter zu abonnieren.