DATENSCHUTZ-GRUNDVERORDNUNG
DSGVO
Die DSGVO soll den Datenschutz für Verbraucher verbessern. Ohne Zustimmung dürfen die Daten nicht mehr verwendet werden und Firmen müssen Auskunft geben. Rechtsanwalt Michael Voltz fasst die wichtigsten Änderungen für Verbraucher zusammen.
Bis zum 25. Mai 2018 müssen sich Unternehmer auf eine neue Rechtslage einstellen. Denn ab diesem Datum wird die EU-Datenschutz-Grundverordnung, kurz DSGVO, wirksam. Diese ersetzt unser bisheriges Bundesdatenschutzgesetz, welches zeitgleich komplett neu gefasst wird und künftig ergänzend nationale Regelungen zum Gegenstand hat. Den grundlegenden Datenschutz bestimmt jedoch nun die DSGVO. Das Datenschutzrecht, wie wir es bisher gekannt haben, wird also durch ein neues ersetzt.
Wenngleich uns auf den ersten Blick viele Aspekte bereits bekannt, also nicht wirklich neu sind (z.B. der Grundsatz der Datenminimierung und der Zweckbindung), so handelt es sich aber jedenfalls nun um eine einheitliche Verordnung, die für und in allen Mitgliedsstaaten der EU gilt. Daran haben sich im Übrigen auch die großen Medienunternehmen, z.B. Google und Facebook zu halten, selbst wenn deren Sitz außerhalb der EU in einem so genannten Drittstaat liegt.
Zusammenfassung: Welche Änderungen die DSGVO für Verbraucher bringt
Doch was bezweckt die DSGVO eigentlich? Grundlage der Überlegungen ist zunächst der Umstand, dass der Begriff „Datenschutz“ eigentlich falsch gewählt ist. Nicht die Daten sollen geschützt werden, sondern die Person, um deren Daten es geht. Demzufolge verspricht sich die EU von der Regelung eine Umkehr der gängigen Praxis, wonach die betroffenen Personen längst nicht mehr Herr ihrer eigenen Daten sind und häufig nicht einmal wissen, wer welche Daten über sie gespeichert hat. Der jüngste Datenskandal im Zusammenhang mit Facebook ist ein gutes Beispiel.
Zur Person
Rechtsanwalt Michael Voltz ist Inhaber der Kanzlei VOLTZ | RECHTSANWALT in München und auf das Urheber- und Medienrecht sowie den Gewerblichen Rechtsschutz spezialisiert.
Verbraucher müssen künftig einwilligen
Datenschutz bedeutet künftig effektiv Grundrechtsschutz. So sieht es die EU zwar schon lange vor. Es fehlte jedoch an wirksamen Regelungen zur Durchsetzung dieses Rechts. Die DSGVO sieht in ihren Regelungen daher vor, dass die Nutzung personenbezogener Daten grundsätzlich verboten ist, wenn sie nicht ausnahmsweise erlaubt ist.Wichtigster Erlaubnistatbestand ist natürlich die Einwilligung der Person selbst. Dabei muss das Unternehmen, das die Daten nutzen möchte, die Person umfassend über den Zweck, die Rechtsgrundlage und die Dauer der Nutzung aufklären. Umfangreiches Profiling, also das automatisierte Ansammeln von Daten über eine Person, um so dessen Interessen, sein Verhalten und andere Eigenschaften herauszufinden, ohne Zustimmung desjenigen ist somit künftig nicht mehr erlaubt.
Unternehmen müssen informieren, wofür sie die Daten verwenden
Außerdem muss das Unternehmen darauf hinweisen, dass und auf welche (einfache) Weise, die Person der künftigen Nutzung seiner Daten widersprechen kann. Auch ohne Widerruf müssen die personenbezogenen Daten nach Zweckerreichung sofort gelöscht werden. Wenn also beispielsweise personenbezogene Daten einer Person für die Durchführung einer Veranstaltung oder eines Gewinnspiels benötigt werden, so sind diese nach Ablauf der Veranstaltung bzw. des Gewinnspiels zu löschen. Damit wird das „Recht auf Vergessenwerden“ Realität. Unternehmen wie Facebook, die in der Vergangenheit unter dem Ruf standen, Nutzerdaten nicht zu löschen, müssen diese Möglichkeit künftig einrichten.
Nicht jede Einwilligung ist wirksam. So gilt z.B. der Grundsatz des Kopplungsverbotes. Das bedeutet, die Einwilligung zur Nutzung personenbezogener Daten darf nicht mit anderen Erklärungen verknüpft, insbesondere nicht von der Zustimmung zu einer anderen Sache abhängig gemacht werden. Die Einwilligung darf also z.B. auch nicht irgendwo in den AGB versteckt oder so unklar formuliert sein, dass sie nicht verstanden oder überhaupt gelesen werden kann. In der Regel werden sie optisch hervorgehoben werden müssen, z.B. durch Fettschrift.
Eltern müssen Nutzung der Daten ihrer Kinder bis 16 Jahren zustimmen
Darüber hinaus bedürfen Einwilligungserklärungen von Personen unter 16 Jahren der Zustimmung der Erziehungsberechtigten. Soziale Netzwerke, wie z.B. WhatsApp, haben daher bereits damit begonnen, das Alter ihrer Benutzer abzufragen. Wer das 16. Lebensjahr noch nicht vollendet hat, muss jetzt damit rechnen, von WhatsApp künftig ausgeschlossen zu werden. Denn eine Einwilligung der Eltern fragt WhatsApp (zumindest nach heutigem Wissen) nicht ab. Eine Überprüfung des Alters, z.B. mittels Video-Ident-Verfahren, sieht die DSGVO jedoch nicht vor. Man darf hier gespannt sein, ob es wirklich ausreicht, die Nutzer lediglich nach ihrem Alter zu fragen. Dem Sinn und Zweck der Regelung läuft dies jedenfalls zuwider.
Was sind personenbezogene Daten?
Daten sind dann personenbezogen, wenn sie auf die Identität einer Person schließen lassen. Neben dem Namen, der Adresse, der E-Mail, Telefon usw. gehören hierzu auch Ausweisnummern, Abbildungen auf Fotografien und IP-Adressen. Besonders sensible Daten, also solche, von denen man vermuten darf, dass sie niemanden etwas angehen, wie etwa religiöse Überzeugungen, sexuelle Ausrichtung und Fragen der Gesundheit oder ethnischer Herkunft, dürfen überhaupt nur in Ausnahmefällen verarbeitet werden. Wenn sie es dürfen, so unterliegt die verarbeitende Stelle besonders hohen Sicherheitsvorkehrungen.
Welche konkreten Rechte haben Verbraucher künftig noch?
Neben dem „Recht auf Vergessenwerden“ haben Verbraucher künftig das Recht auf Auskunft innerhalb weniger Tage. Hierbei ist von den Unternehmen umfassend mitzuteilen, welche Daten gespeichert wurden und an wen diese ggf. weiter gegeben wurden. Verbraucher können überdies künftig die über sie gespeicherten Daten an einen anderen Anbieter übertragen, also quasi mitnehmen, z.B. beim Wechsel der Bank oder eines Internetanbieters. Der Verbraucher kann damit z.B. seine gesamten gespeicherten E-Mails zu seinem neuen Provider mitnehmen.
Welche Strafen drohen?
Der nach bisherigem Recht mögliche Sanktionsrahmen für Verstöße gegen den nationalen Datenschutz war mit maximal 300.000 Euro sehr beschränkt. Weltweit agierende Unternehmen hat dies nicht abgeschreckt. Gemäß Art. 83 der DSGVO müssen gegen den Datenschutz verstoßende Unternehmen künftig mit Geldbußen von bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Jahresumsatzes rechnen. Außerdem können sie auf Schadenersatz in Anspruch genommen werden.
Fazit
Auch wenn für eine gewisse Zeit rechtliche Unklarheiten über die Anwendung der DSGVO bestehen und insbesondere die Frage, wie restriktiv die einzelnen Mitgliedsstaaten dies überwachen, so ist die Verordnung jedenfalls ein Schritt in die richtige Richtung. Die Person wird wieder „Herr über ihre Daten“, das Datenschutzrecht insgesamt berücksichtigt die technologische Entwicklung und schafft eine einheitliche Rechtsgrundlage für alle Mitgliedsstaaten und solche, die als Drittland hier Geschäfte machen.
Copyright: Focus Online
https://www.focus.de/digital/experten/voltz/strengere-auflagen-wie-die-dsgvo-den-datenschutz-verbessert_id_8969659.html
Bis zum 25. Mai 2018 müssen sich Unternehmer auf eine neue Rechtslage einstellen. Denn ab diesem Datum wird die EU-Datenschutz-Grundverordnung, kurz DSGVO, wirksam. Diese ersetzt unser bisheriges Bundesdatenschutzgesetz, welches zeitgleich komplett neu gefasst wird und künftig ergänzend nationale Regelungen zum Gegenstand hat. Den grundlegenden Datenschutz bestimmt jedoch nun die DSGVO. Das Datenschutzrecht, wie wir es bisher gekannt haben, wird also durch ein neues ersetzt.
Wenngleich uns auf den ersten Blick viele Aspekte bereits bekannt, also nicht wirklich neu sind (z.B. der Grundsatz der Datenminimierung und der Zweckbindung), so handelt es sich aber jedenfalls nun um eine einheitliche Verordnung, die für und in allen Mitgliedsstaaten der EU gilt. Daran haben sich im Übrigen auch die großen Medienunternehmen, z.B. Google und Facebook zu halten, selbst wenn deren Sitz außerhalb der EU in einem so genannten Drittstaat liegt.
Zusammenfassung: Welche Änderungen die DSGVO für Verbraucher bringt
Doch was bezweckt die DSGVO eigentlich? Grundlage der Überlegungen ist zunächst der Umstand, dass der Begriff „Datenschutz“ eigentlich falsch gewählt ist. Nicht die Daten sollen geschützt werden, sondern die Person, um deren Daten es geht. Demzufolge verspricht sich die EU von der Regelung eine Umkehr der gängigen Praxis, wonach die betroffenen Personen längst nicht mehr Herr ihrer eigenen Daten sind und häufig nicht einmal wissen, wer welche Daten über sie gespeichert hat. Der jüngste Datenskandal im Zusammenhang mit Facebook ist ein gutes Beispiel.
Zur Person
Rechtsanwalt Michael Voltz ist Inhaber der Kanzlei VOLTZ | RECHTSANWALT in München und auf das Urheber- und Medienrecht sowie den Gewerblichen Rechtsschutz spezialisiert.
Verbraucher müssen künftig einwilligen
Datenschutz bedeutet künftig effektiv Grundrechtsschutz. So sieht es die EU zwar schon lange vor. Es fehlte jedoch an wirksamen Regelungen zur Durchsetzung dieses Rechts. Die DSGVO sieht in ihren Regelungen daher vor, dass die Nutzung personenbezogener Daten grundsätzlich verboten ist, wenn sie nicht ausnahmsweise erlaubt ist.Wichtigster Erlaubnistatbestand ist natürlich die Einwilligung der Person selbst. Dabei muss das Unternehmen, das die Daten nutzen möchte, die Person umfassend über den Zweck, die Rechtsgrundlage und die Dauer der Nutzung aufklären. Umfangreiches Profiling, also das automatisierte Ansammeln von Daten über eine Person, um so dessen Interessen, sein Verhalten und andere Eigenschaften herauszufinden, ohne Zustimmung desjenigen ist somit künftig nicht mehr erlaubt.
Unternehmen müssen informieren, wofür sie die Daten verwenden
Außerdem muss das Unternehmen darauf hinweisen, dass und auf welche (einfache) Weise, die Person der künftigen Nutzung seiner Daten widersprechen kann. Auch ohne Widerruf müssen die personenbezogenen Daten nach Zweckerreichung sofort gelöscht werden. Wenn also beispielsweise personenbezogene Daten einer Person für die Durchführung einer Veranstaltung oder eines Gewinnspiels benötigt werden, so sind diese nach Ablauf der Veranstaltung bzw. des Gewinnspiels zu löschen. Damit wird das „Recht auf Vergessenwerden“ Realität. Unternehmen wie Facebook, die in der Vergangenheit unter dem Ruf standen, Nutzerdaten nicht zu löschen, müssen diese Möglichkeit künftig einrichten.
Nicht jede Einwilligung ist wirksam. So gilt z.B. der Grundsatz des Kopplungsverbotes. Das bedeutet, die Einwilligung zur Nutzung personenbezogener Daten darf nicht mit anderen Erklärungen verknüpft, insbesondere nicht von der Zustimmung zu einer anderen Sache abhängig gemacht werden. Die Einwilligung darf also z.B. auch nicht irgendwo in den AGB versteckt oder so unklar formuliert sein, dass sie nicht verstanden oder überhaupt gelesen werden kann. In der Regel werden sie optisch hervorgehoben werden müssen, z.B. durch Fettschrift.
Eltern müssen Nutzung der Daten ihrer Kinder bis 16 Jahren zustimmen
Darüber hinaus bedürfen Einwilligungserklärungen von Personen unter 16 Jahren der Zustimmung der Erziehungsberechtigten. Soziale Netzwerke, wie z.B. WhatsApp, haben daher bereits damit begonnen, das Alter ihrer Benutzer abzufragen. Wer das 16. Lebensjahr noch nicht vollendet hat, muss jetzt damit rechnen, von WhatsApp künftig ausgeschlossen zu werden. Denn eine Einwilligung der Eltern fragt WhatsApp (zumindest nach heutigem Wissen) nicht ab. Eine Überprüfung des Alters, z.B. mittels Video-Ident-Verfahren, sieht die DSGVO jedoch nicht vor. Man darf hier gespannt sein, ob es wirklich ausreicht, die Nutzer lediglich nach ihrem Alter zu fragen. Dem Sinn und Zweck der Regelung läuft dies jedenfalls zuwider.
Was sind personenbezogene Daten?
Daten sind dann personenbezogen, wenn sie auf die Identität einer Person schließen lassen. Neben dem Namen, der Adresse, der E-Mail, Telefon usw. gehören hierzu auch Ausweisnummern, Abbildungen auf Fotografien und IP-Adressen. Besonders sensible Daten, also solche, von denen man vermuten darf, dass sie niemanden etwas angehen, wie etwa religiöse Überzeugungen, sexuelle Ausrichtung und Fragen der Gesundheit oder ethnischer Herkunft, dürfen überhaupt nur in Ausnahmefällen verarbeitet werden. Wenn sie es dürfen, so unterliegt die verarbeitende Stelle besonders hohen Sicherheitsvorkehrungen.
Welche konkreten Rechte haben Verbraucher künftig noch?
Neben dem „Recht auf Vergessenwerden“ haben Verbraucher künftig das Recht auf Auskunft innerhalb weniger Tage. Hierbei ist von den Unternehmen umfassend mitzuteilen, welche Daten gespeichert wurden und an wen diese ggf. weiter gegeben wurden. Verbraucher können überdies künftig die über sie gespeicherten Daten an einen anderen Anbieter übertragen, also quasi mitnehmen, z.B. beim Wechsel der Bank oder eines Internetanbieters. Der Verbraucher kann damit z.B. seine gesamten gespeicherten E-Mails zu seinem neuen Provider mitnehmen.
Welche Strafen drohen?
Der nach bisherigem Recht mögliche Sanktionsrahmen für Verstöße gegen den nationalen Datenschutz war mit maximal 300.000 Euro sehr beschränkt. Weltweit agierende Unternehmen hat dies nicht abgeschreckt. Gemäß Art. 83 der DSGVO müssen gegen den Datenschutz verstoßende Unternehmen künftig mit Geldbußen von bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Jahresumsatzes rechnen. Außerdem können sie auf Schadenersatz in Anspruch genommen werden.
Fazit
Auch wenn für eine gewisse Zeit rechtliche Unklarheiten über die Anwendung der DSGVO bestehen und insbesondere die Frage, wie restriktiv die einzelnen Mitgliedsstaaten dies überwachen, so ist die Verordnung jedenfalls ein Schritt in die richtige Richtung. Die Person wird wieder „Herr über ihre Daten“, das Datenschutzrecht insgesamt berücksichtigt die technologische Entwicklung und schafft eine einheitliche Rechtsgrundlage für alle Mitgliedsstaaten und solche, die als Drittland hier Geschäfte machen.
Copyright: Focus Online
https://www.focus.de/digital/experten/voltz/strengere-auflagen-wie-die-dsgvo-den-datenschutz-verbessert_id_8969659.html