Verbraucherdatenschutzrecht

Die Datenschutz-Grundverordnung (EU-DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Sie enthält zahlreiche Regelungen, die den Verbraucherschutz stärken. Unternehmen haben inzwischen riesige Mengen an personenbezogenen Daten gespeichert, die sie Dank intelligenter Systeme und Analyse-Tools immer besser und schneller auswerten, aber auch zueinander in Beziehung setzen können. Das wiederum ermöglicht es, umfassende Persönlichkeitsprofile zu erstellen und auf Vorlieben und Verhaltensweisen von Verbrauchern zurückzuschließen. Ein Thema, das sowohl Verbraucherschützer als auch die Gesetzgeber beschäftigt, weil hier unter Umständen auch Persönlichkeitsrechte verletzt werden. Die neuen Regelungen sollen in Zukunft Abhilfe schaffen. Eine Übergangsregelung läuft bereits seit knapp zwei Jahren. Ab dem 25. Mai gilt die EU-DSGVO für alle. Zeitgleich tritt eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft, in dem die EU-Vorgaben umgesetzt wurden.

Was ändert sich für Nutzer?

Verbraucher müssen viel umfassender als bisher darüber informiert werden, welche Daten in welcher Form über sie gespeichert sind – und wie diese verwendet werden. Neu eingeführt wird mit der DSGVO beispielsweise auch ein "Recht auf Vergessen werden", das Bürger in bestimmten Fällen einfordern können. Zudem müssen strenge Datenschutzeinstellungen in Zukunft der Standard sein. Das "Recht auf Datenübertragbarkeit" sichert Verbrauchern insbesondere bei digitalen Diensten wie Apps die Möglichkeit, ihre Daten von einem Anbieter zum nächsten mitzunehmen. Bei der Umsetzung des erhöhten Datenschutzes sollen „Privacy bei Design“ und „Privacy bei Default“ Abhilfe schaffen. So sieht es die DSGVO vor. Aber was bedeutet das?

• Privacy by Design: Das bedeutet so viel wie „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt somit durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen im Entwicklungsstadium.
• Privacy by Default: Das ist der „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Es bedeutet, dass die Werkseinstellungen datenschutzfreundlich auszugestalten sind. Dadurch sollen auch Nutzer geschützt werden, die weniger technikaffin und eher nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen.

Was ändert sich für Anbieter, die Daten sammeln und verarbeiten?

Wichtig sind die verschärften Dokumentations- und Rechenschaftspflichten: Hat etwa ein Kunde seine ausdrückliche Zustimmung dazu gegeben, dass seine Daten gespeichert und verwendet werden dürfen? In diesem Fall muss das ein Unternehmen nachweisen können. Wie personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt werden, müssen Unternehmen mit der DSGVO in einem „Verzeichnis von Verarbeitungstätigkeiten“ festhalten. Nötig ist dieses zum Beispiel, wenn ein Betrieb Personalakten elektronisch verwaltet oder eine Kundendatei führt. Künftig ist es zudem noch wichtiger, Daten nur zweckgebunden zu verwenden: Hat ein Kunde etwa seine E-Mail-Adresse nur für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür verwendet werden und nicht für andere Zwecke.