Können Sie sich noch erinnern, als vor etwa einem halben Jahr ständig E-Mails im Postfach landeten? Die Absender baten (es klang oft wie ein Flehen) darum, ob man doch bitte, bitte bestätigen möge, dass man den Newsletter oder die Angebotsmails weiterhin beziehen wolle? Grund dafür war das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 (nach einer zweijährigen Übergangsfrist). Unternehmen, Vereine, Ärzte, viele Selbstständige kamen kurz vor Stichtag ins Schwitzen, Mails wurden hektisch verschickt, Websites angepasst, Datenschutzbeauftragte benannt und konsultiert.
Ein halbes Jahr leben wir jetzt mit der DSGVO. Sie hat zur Folge, dass der Umgang mit Daten für die Unternehmen jetzt strenger ist und die Datenschutzrechte innerhalb der EU vereinheitlicht wurden. Ende November haben deutsche Behörden die erste Geldbuße gegen ein Unternehmen nach dem neuen Gesetz verhängt. Sie fällt niedriger aus, als weithin befürchtet wurde: 20.000 Euro muss das soziale Netzwerk Knuddels abdrücken. Knuddels hat die Passwörter seiner Kunden nicht ausreichend geschützt. Hacker stahlen im Sommer personenbezogene Daten von fast zwei Millionen Nutzern, darunter E-Mail-Adressen und ebenjene Passwörter, die im Klartext – also unverschlüsselt – gespeichert waren.
Wir haben mit dem Datenschutzbeauftragten der Brabbler AG (Entwickler der Kommunikationslösung „ginlo“), Jörg Böhme, über die DSGVO und ihre Folgen gesprochen:
Warum haben wir im Mai diese vielen Mails erhalten?
Um auch weiterhin Newsletter oder E-Mails mit (Werbe-)Angeboten zu versenden, benötigt jede Firma seit dem 25.05.2018 die explizite Zustimmung des Empfängers, die dieser auch jederzeit widerrufen kann. Um in diesem Punkt konform zur DSGVO zu sein, kam es zur beschriebenen Mail-Flut. Außerdem muss das Unternehmen nun nachweisen, dass die Zustimmung freiwillig abgegeben wurde. In der Praxis (Internet) wird dazu empfohlen, eine Bestätigungsbox anzuklicken. Doch das ist noch nicht alles …
… damit kommen wir gleich zur nächsten Frage: Welche Rechte hat eigentlich der Verbraucher, wenn es um seine personenbezogenen Daten geht?
Das ist eine der großen Neuerungen, die sich vorteilhaft für den Verbraucher auswirkt:
Grundsätzlich muss zum Zeitpunkt der zweckbestimmten Erhebung personenbezogener Daten ein Hinweis „in transparenter Form“ zu den Rechten des Betroffenen, das heißt in unserem Fall des Verbrauchers, gegeben werden.
Im Einzelnen sind dies:
– das Auskunftsrecht: Wurden Daten über mich erhoben und falls ja – welche?
– das Recht auf Berichtigung: Darunter versteht man die Korrektur falscher Daten.
– das Recht auf Löschung: Wenn der Zweck der Datenerhebung nicht mehr relevant ist und es keine andere Rechtsgrundlage gibt, sind personenbezogene Daten umgehend zu löschen.
– das Recht auf Einschränkung der Verarbeitung: Im Streitfall, ob Daten rechtmäßig erworben und verarbeitet wurden oder ob diese Daten richtig oder falsch sind, hat der Betroffene einen Anspruch auf Einschränkung der Verarbeitung. Das Unternehmen darf die Daten dann zwar noch speichern, aber nicht mehr verwenden oder gar weitergeben zum Beispiel für Werbezwecke.
– das Widerrufsrecht zu einer gegebenen Einwilligung: Der Verbraucher hat jederzeit das Recht, seine gegebene Einwilligung zur Verarbeitung seiner Daten ohne Angabe von Gründen ab sofort für die Zukunft zu widerrufen. Ab diesem Zeitpunkt muss zum Beispiel der Versand von Newslettern eingestellt werden.
– das Recht auf Datenübertragbarkeit: Wechselt man etwa den Telefonanbieter, die Kfz-Versicherung , den Zahnarzt oder den Onlineshop, hat der Verbraucher das Recht, seine zuvor freiwillig beziehungsweise im Zuge eines Vertrages notwendiger Weise übergebenen Daten in einem „gängigen (auch maschinenlesbaren) Format“ zur Verfügung gestellt zu bekommen oder diese Daten direkt an den neuen Vertragspartner übermitteln zu lassen. Dass ist komplett neu und stellt an die Verarbeiter personenbezogener Daten nicht nur eine technische Herausforderung!
Wichtig in dem Zusammenhang ist der Hinweis, dass das Datenübertragbarkeitsrecht sich ausschließlich auf die personenbezogenen Daten der betroffenen Person und nicht um die Erkenntnisse des Verarbeiters daraus bezieht. Bleiben wir beim Beispiel Online-Shop, sind das beispielsweise bestimmte Kaufvorlieben, die der Shop-Betreiber herausgefunden hat.
– das Recht auf Widerspruch: „Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung […] Widerspruch einzulegen“. Das gilt dann, wenn die personenbezogenen Daten zuvor „zur Wahrung der berechtigten Interessen des Verantwortlichen“ erhoben wurden.
– das Beschwerderecht: Jede betroffene Person hat das Recht, sich bei einer Aufsichtsbehörde innerhalb der EU zu beschweren.
Bei einer Zweckänderung der Verarbeitung personenbezogener Daten muss wiederum ein Hinweis auf diese Rechte gegeben werden!
Und was sind personenbezogene Daten?
Dazu zählen zum Beispiel Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer und in gewisser Weise IP-Adressen. Mit solchen Daten können konkrete digitale Profile einer bestimmten Person erstellt werden.
Wir fürchten uns besonders vor den großen Datensammlern Facebook, Amazon, Google. Sind wir mit der DSGVO davor geschützt?
Jein! Diese Unternehmen haben sich bei der Verarbeitung der Daten von EU-Bürgern der DSGVO zu unterwerfen. Tun sie aber (noch?) nicht. Im Idealfall wäre damit schon mal ein guter Schutz gewährleistet.
Wenn wir als Verbraucher allerdings auch künftig so sorglos mit der Weitergabe unserer Daten umgehen, kann uns auch die DSGVO nicht helfen.
Ganz gleich ob WhatsApp, Twitter, Facebook, Alexa & Co. – ja, sie sind bequem, nützlich und für viele Menschen wichtig. Aber diese scheinbar kostenlosen Dienste bezahlen wir mit unseren Daten. In der nächsten Stufe geht es um Alltagsgegenstände wie Autos, Kühlschränke oder Spielsachen, die mit dem Internet verbunden sind. Die verraten noch mehr über uns.
Oft ist aber das scheinbar Umständliche oder mit geringen Kosten Verbundene im Nachhinein einfach preiswerter! Daher sollte jeder Einzelne genau überlegen, wem er welche Daten zu welchem Zweck überlässt und welche Alternativen es dazu gibt.
Im Übrigen hat der Bayerische Verwaltungsgerichtshof erst kürzlich im Eilverfahren die Auffassung des Bayerischen Landesamtes für Datenschutz zum Einsatz von „Facebook Custom Audience“, einem Marketing-Tool, bestätigt. Unternehmen, die dieses Tool einsetzen, geben dabei Daten ihrer Nutzer ungefragt an Facebook weiter, um dort gezielte Werbung schalten zu lassen und das verstößt ohne Einwilligung des Nutzers gegen das Datenschutzrecht.
20.000 Euro Strafe für das Netzwerk Knuddels klingt jetzt nicht sehr hoch. Wie werden die Strafen bemessen?
Gemäß Artikel 83 DSGVO müssen gegen den Datenschutz verstoßende Unternehmen mit Geldbußen bis zu 20 Mio. € oder mit bis zu vier Prozent ihres weltweiten Jahresumsatzes des Vorjahres rechnen.
Momentan beschränken sich die Datenschutzaufsichtsbehörden in Deutschland auf stichprobenartige Kontrollen oder gehen konkreten Hinweisen auf Missbrauch nach. Zunächst geht es um die Sensibilisierung der Unternehmen im Zusammenhang mit Datenschutz. Bei offensichtlichen Verstößen oder im Wiederholungsfall werden natürlich Geldbußen verhängt.
Im vorliegenden „Knuddels-Fall“ kam es zu einer meldepflichtigen Datenpanne, denn die Login-Daten vieler Nutzer konnten im Klartext entwendet werden. Damit liegt ein Verstoß gegen Artikel 32, Absatz 1 DSGVO vor. Offenbar wurden die Daten weder verschlüsselt noch pseudonymisiert abgelegt. Die technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten wurden nicht ausreichend eingesetzt.
Die Höhe des Strafmaßes richtet sich nach dem angenommenen Schaden und liegt im Ermessen der Behörde.
Interessant in diesem Zusammenhang ist die Pressemitteilung des Bayerischen Landesamtes für Datenschutz vom 07.11.18.
Wo können Verbraucher Ihre Daten einsehen, einfordern, widersprechen?
All dies können die Verbraucher bei dem jeweiligen Unternehmen, welches die Daten verarbeitet, veranlassen. Innerhalb eines Monates muss entweder eine Antwort oder eine Begründung für eine spätere Bearbeitung vorliegen. Grundsätzlich sollte umgehend geantwortet werden.
Bei fruchtloser Fristverstreichung kann der Verbraucher von seinem Beschwerderecht Gebrauch machen. Eine Beschwerde sollte bei einem der zuständigen Landesämter für Datenschutzaufsicht erfolgen.
Eine Liste mit diesen Einrichtungen! (WICHTIG: Bis zum Punkt „Aufsichtsbehörden für den nicht-öffentlichen Bereich“ scrollen!)
Hier geht es zur Newsletter-Anmeldung!
2 Kommentare