Datenschutzgrundverordnung: Der Bürger ist bald der König seiner Daten

Das alles sind Auswirkungen im Zuge der europäischen Datenschutzgrundverordnung, die am 25. Mai wirksam wird und die Rechte des einzelnen Bürgers stärken soll. Denn „Meine Daten gehören mir!“ ist das eher europäische Verständnis vom Umgang mit personenbezogenen Daten und dem Recht auf Privatheit. In den USA – der Heimat von Amazon, Facebook und Co. – gibt es eine grundsätzlich andere Wertung des Umgangs mit Daten. Während dort Informationen über andere Menschen Eigentum desjenigen sind, der sie sammelt, steht in Europa der Schutz des Einzelnen an erster Stelle.

Dessen Wille und Selbstbestimmung wird durch die neuen Regeln noch einmal besonders betont. Gesetze von Land und Bundesländern wurden in den vergangenen Monaten entsprechend angepasst. Von Online-Shopping über Marketingaktionen bis hin zur Mitgliederwerbung – vieles ist auch mit der neuen Gesetzgebung noch möglich. Doch müssen sich Unternehmen, Behörden, Vereine und Verbände beim Umgang mit personenbezogenen Daten in der Regel immer das Einverständnis des Betroffenen einholen. Das darf er auch jederzeit wieder zurückziehen. Erlaubt sind aber auch Aktivitäten, für die die Verantwortlichen ein berechtigtes Interesse nachweisen können. Die neue Verordnung mit ihrem weitreichenden Auswirkungen wird vor allen Verbraucherschützern als Revolution gefeiert. „Das ist das digitale Grundgesetz“, meinte dazu kürzlich Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands, bei einer Veranstaltung im Mainzer Landtag. Die bei schweren Datenschutzverstößen möglichen Geldstrafen hält er für „relevant, angemessen“.

Die wichtigsten Verbraucherrechte auf einen Blick

Grundsatz der Einwilligung: Die Verarbeitung personenbezogener Daten – wie Namen, Adressen und E-Mail-Kontakte, Telefon- und Kontonummern oder andere Daten, die Rückschlüsse auf Personen zulassen – ist immer nur zulässig wenn die betroffene Person ausdrücklich eingewilligt hat oder eine gesetzliche Vorschrift das erlaubt.

Recht auf Information: Jeder hat das Recht darauf, zu wissen, welche ihn betreffenden Daten zu welcher Verwendung von öffentlichen oder privaten Stellen gespeichert und weiterverarbeitet werden, was weitergegeben und von Dienstleistern genutzt wird und wann die Daten wieder gelöscht werden. Ausführlich ist das künftig unter anderem in der Datenschutzerklärung auf den Internetseiten von Unternehmen, Vereinen und Verbänden nachzulesen.

Recht auf Auskunft: Jeder Einzelne darf künftig nachfragen, ob in einem Betrieb oder einem Verein seine persönlichen Daten verarbeitet werden. Ist dies der Fall, kann er weitere darüber Auskunft verlangen, welche Daten betroffen sind, zu welchem Zweck sie verarbeitet und wie lange sie gespeichert werden. Wer zum Beispiel Kundenkarten nutzt, kann sich nun nach der Datenspur erkundigen, die er hinterlassen hat. Solche Fragen waren auch früher schon legitim, nur kann der Verbraucher ihnen jetzt durch eine Frist mehr Nachdruck verleihen. Die Anfrage muss innerhalb eines Monats beantwortet werden.

Aber Achtung: Unternehmen, Behörden oder Vereine müssen nicht automatisch Auskunft erteilen, sondern nur, wenn ein konkreter Antrag vorliegt. Und der Verantwortliche kann diese Informationen auch nur demjenigen herausgeben, der nachweist, dass er der wirkliche „Eigentümer“ dieser personenbezogenen Daten ist.

Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung: Darüber hinaus hat der Verbraucher das Recht, eine Korrektur zu verlangen, wenn die über ihn gespeicherten Daten nicht richtig sind. Sofern die Datenhaltung nicht oder nicht mehr notwendig ist, kann er auch auf eine Löschung bestehen oder und die Verarbeitung einschränken lassen. Ist eine Löschung zum Beispiel aus technischen Gründen nicht möglich, kann zumindest eine Sperrung der Daten gefordert werden.

Recht auf Datenübertragbarkeit: Die neuen Rechte sehen vor, dass der Verbraucher die Herausgabe seiner gebündelten Daten in einem gängigen Format einfordern kann. Als Beispiel für einen solchen „Datenrucksack“ nennen die Initiatoren dieser Verordnung die Übergabe von Daten beim Wechsel eines Mobilfunkanbieters. Wie sich diese Regel auswirkt, ist – nach Ansicht von Professor Dieter Kugelmann, der rheinland-pfälzische Landesbeauftragte für den Datenschutz – „spannend und in seinen Auswirkungen unabsehbar“.

Recht auf Widerspruch gegen die Verarbeitung und automatisierte Entscheidungsfindung: Die Verbraucher können dem Umgang mit ihren personenbezogenen Daten auch widersprechen, wenn sie plausible Gründe dafür nennen. Wenn es keine anderslautenden Vorschrift gibt, ist es nicht erlaubt, aufgrund von personenbezogenen Daten Entscheidungen zu treffen, die allein auf automatisierte Verfahren (Scoring) beruhen.

Wer gibt Auskunft? Wer informiert? In erster Linie wenden sich die Verbraucher konkret an die Datenschutzbeauftragten der Unternehmen, Behörden, Vereine oder Verbände, deren Kontaktdaten – zumindest die E-Mail-Adresse – idealerweise im Internet veröffentlicht werden sollte. Falls das Unternehmen sich entschließt, die Art der Verarbeitung zu verändern oder zu erweitern, sollte es dem Nutzer darüber Bescheid geben. Passieren große oder kleinere Datenpannen – auch wenn zum Beispiel ein Versicherungsvertreter ein Laptop mit Kundendaten im Zugabteil vergessen hat – muss nicht nur die Aufsichtsbehörde informiert werden, sondern unter Umständen auch der betroffene Kunde.

Wer hat die Aufsicht? Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz im jeweiligen Bundesland, der unter Umständen auch die Rechte der Verbraucher gegenüber den Verantwortlichen in anderen europäischen Ländern durchsetzt. Der Einfluss des Landesbeauftragten ist auch deshalb groß, weil er empfindliche Geldbußen und andere Sanktionen verhängen kann. Regina Theunissen