Hintergrund

Was ist eigentlich Datenschutz?

Datenschutz ist wichtig, finden die meisten Bundesbürger. Was steckt genau dahinter: Welche Daten sind geschützt, welche Rechte haben Bürger? Ein Überblick.

Veröffentlicht am
Autor
Schlagworte
Datenschutz · Datenschutzerklärung · Tracking
Drucken

Persönliche Daten sind geschützt: Jeder hat das Recht, selbst darüber zu bestimmen, was mit den eigenen Daten geschieht. Das ist in Deutschland ein Grundrecht und heißt „Recht auf informationelle Selbstbestimmung“.

Alle Stellen, die Daten sammeln, müssen transparent machen, welche Daten sie erheben und was mit diesen Daten geschieht – egal ob staatlich oder privatwirtschaftlich. Staatliche Stellen sind dabei an gesetzliche Vorgaben gebunden. Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen von ihren Nutzern eine Erlaubnis einholen, wenn sie personenbezogene Daten speichern und verarbeiten.

Dabei dürfen Anbieter nur die Daten sammeln, die für den jeweiligen Zweck notwendig sind. Ein Online-Schuhhändler darf zum Beispiel ohne Weiteres keine Daten darüber erheben, welches Auto seine Kunden fahren und wo sie am liebsten im Urlaub sind.

Fragt der Anbieter explizit ab, dass er Daten für bestimmte Zwecke benutzt, darf er die wesentlichen Punkte nicht irgendwo in den Nutzungsbedingungen verstecken. Sonst gelten sie nicht und es fehlt an der Rechtsgrundlage für die Nutzung. Nutzer müssen also die Nutzungsbedingungen eines Dienstes anerkennen, bevor Daten erhoben werden. Meistens geschieht das, wenn man sich anmeldet oder die App herunterlädt.

Grundsätzlich haben Nutzer einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen. Ebenso müssen sie die Daten löschen, wenn sie sie nicht mehr brauchen – wenn der Nutzer etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder Fristen verjährt sind.

Was sind personenbezogene Daten?

Datenschutz bezieht sich also nicht nur darauf, Daten vor Verlust zu schützen (dann spricht man eher von Datensicherheit), sondern schützt Menschen davor, dass Firmen und Institutionen diese Daten missbrauchen. Dieser Schutz bezieht sich vor allem auf personenbezogene Daten. Das sind Daten, die mit einer Person in Verbindung gebracht werden können. Dazu gehören zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.

Oft wird auch der Begriff „personenbeziehbare Daten“ verwendet: Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die E-Mail-Adresse. Auch wenn sie nicht den Namen enthält, kann sie doch mit wenig Aufwand einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder IP-Adressen. In der Verbindung mit anderen Daten lässt sich damit leicht ein Personenbezug herstellen.

Besonders geschützt sind Gesundheitsdaten, Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung. Diese Daten dürfen nur in Ausnahmefällen gespeichert und verarbeitet werden.

Die Datenschutzerklärung

Die Datenschutzerklärung bündelt alle relevanten Angaben zum Datenschutz, vor allem welche Daten erhoben werden, wie lange sie gespeichert werden und an wen sie weitergegeben werden. Wenn eine App Daten an andere Dienstleister weitergibt – etwa wenn eine Taxi-App Google Maps dazu benutzt, um den Standort zu bestimmen und anzuzeigen, wo sich das bestellte Taxi befindet –, muss dies explizit in der Datenschutzerklärung stehen.

Die Datenschutzerklärung muss leicht zugänglich sein, so dass Nutzer sie einfach finden können. Außerdem muss sie für die Nutzer verständlich sein. Das heißt, wenn es sich um eine App handelt, die deutsche Kunden anspricht, muss sie auf Deutsch zur Verfügung stehen.

Nur Apps, die gar keine Daten erheben, können auf eine Datenschutzerklärung verzichten. Das bedeutet aber, dass die App keine Verbindung zum Internet aufnehmen darf. Denn selbst wenn man eine Webseite nur anschaut, fallen Daten an, wie die IP-Adresse, welches Betriebssystem und welchen Browser man benutzt.

Der Grundsatz der Zweckbindung gilt immer, auch wenn sich ein Anbieter explizit die Erlaubnis der Nutzerin hat geben lassen. Anbieter können also nicht beliebig Datensammeln, sich das in einer Einverständniserklärung von den Nutzern erlauben lassen und dann mit den Daten machen, was sie wollen – auch wenn das in der Praxis oft der Fall ist. Vor allem die Verbraucherverbände haben dies in der Vergangenheit auch abgemahnt.

Außerdem darf in der Datenschutzerklärung nichts stehen, was für den Nutzer unerwartet ist.

Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 gilt in allen EU-Staaten unmittelbar die neue Datenschutz-Grundverordnung (DSGVO). Sie soll das Recht auf Datenschutz gegenüber dem Recht auf Meinungsäußerung und Informationsfreiheit auf eine neue Basis stellen. Wie genau die Umsetzung stattfinden wird und ob sich die Unternehmen sofort dran halten, ist natürlich noch offen. Allerdings kommen bei Verletzung der Pflichten wesentlich höhere Bußgeldforderungen auf Unternehmen zu – bis zu vier Prozent des Jahresumsatzes.

Im Wesentlichen bleiben die bisherigen Regeln der Bundesdatenschutzverordnung erhalten – Rechtmäßigkeit, Zweckbindung, Datensparsamkeit, zeitliche Beschränkung, Integrität und Vertraulichkeit. Außerdem müssen Unternehmen im Zweifel nachweisen, dass sie diese Grundsätze einhalten. Sie müssen zum Beispiel ab einer gewissen Größe einen Datenschutzbeauftragten benennen.

Daneben werden die Rechte der Nutzer gestärkt: Die Unternehmen sind noch mehr als bisher verpflichtet, Nutzern Zugang zu ihren Daten zu geben und mitzuteilen, wofür sie verwendet werden. Diese Informationspflichten der Unternehmen gab es bisher auch, aber nun dürfen Nutzerinnen zusätzlich eine Kopie der Daten verlangen. Außerdem müssen Unternehmen auf Anfrage sagen können, woher sie die Daten haben und an wen sie übermittelt werden.

Ein neues Recht ist das Recht auf Datenübertragbarkeit, damit Nutzer zum Beispiel von einem sozialen Netzwerk ins andere wechseln können, ohne die Daten, die sie selbst eingegeben haben, zu verlieren.

Die DSGVO kodifiziert auch das Recht auf Vergessenwerden, das 2014 vor dem Europäischen Gerichtshof eingeklagt wurde. Dabei geht es darum, dass Nutzer unter bestimmten Umständen das Recht haben, zu verlangen, dass ihre Daten gelöscht werden, zum Beispiel wenn die Daten unrechtmäßig verarbeitet wurden oder die Speicherung nicht mehr nötig ist.

Datenschutzprobleme im Internet

Soweit die Theorie – aber die digitale Datenverarbeitung und das Internet haben die Möglichkeiten vervielfacht, Daten über Nutzer und ihr Verhalten zu sammeln. Außerdem ist es heutzutage ein Leichtes, verschiedene Datensätze miteinander zu verknüpfen und sich so ein umfassendes Bild über Menschen zu machen. Dadurch können Unternehmen umfangreiche Profile erstellen, die sehr private Daten enthalten.

Das ist nach dem deutschen Datenschutzrecht verboten. In anderen Ländern wie den USA sind die datenschutzrechtlichen Regeln weiter gefasst. Mit dem Internet können allerdings auch Firmen, die ihren Sitz im Ausland haben, ihre Dienste weltweit anbieten. Welches Datenschutzrecht dann gilt, ist rechtlich im Augenblick nicht ganz klar. Es kann passieren, dass man bei Anbietern im Ausland so gut wie keinen Schutz genießt. Man befindet sich dann sozusagen virtuell im Ausland und kann nicht auf den Schutz des deutschen Rechtes vertrauen.

Anders sieht es aus, wenn die Anbieter explizit den europäischen Markt bedienen. Dann müssen sie sich auch an die europäischen Datenschutzregeln halten. Das gilt auch, wenn ein deutscher App-Anbieter Daten an einen ausländischen Dienst weitergibt (um bei dem schon genannten Beispiel zu bleiben: Die Taxi-App bindet Karten von Google Maps ein und schickt damit die Nutzerdaten in die USA). Das Thema Datenweitergabe und -weiterleitung ins Ausland ist höchst umstritten. Die EU-Kommission und die Datenschutzbeauftragten in den EU-Ländern diskutieren im Augenblick intensiv darüber.

Soziale Medien

In sozialen Netzwerken geben Nutzer freiwillig ihre privaten Daten preis. Selbst wenn die Privatsphäre-Einstellungen so festgelegt sind, dass nur die engsten Freunde die eigenen Postings sehen: Welche Daten wie geschützt sind, steht (bestenfalls) in den Nutzungsbedingungen und nicht in den Privatsphäre-Einstellungen, die der Dienstleister immer wieder verändern kann. Je nachdem, was man bei der Anmeldung bestätigt hat, dürfen die Anbieter diese Daten sogar weitergeben.

Auch staatliche Stellen haben ein Interesse an den gesammelten persönlichen Daten, die im Internet umherschwirren. Viele Internet-Dienste schreiben in ihre Nutzungsbedingungen, dass sie staatlichen Behörden auf Anfrage Zugriff auf die Daten gewähren. Gerade die Geheimdienste tauschen Informationen auch über die Staatsgrenzen hinweg miteinander aus. Sie umgehen dadurch die nationalen gesetzlichen Regelungen.

Mobiler Datenschutz

Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als stationäre Computer. Zum Beispiel kommen mehr Bewegungsdaten hinzu: Der Standort eines Gerätes kann ständig festgestellt werden. So werden zum Beispiel die verfügbaren WLAN-Netze zu einer Standortinformation, ohne dass das Gerät mit einem davon verbunden sein muss. Zusammen mit weiteren Daten wie GPS oder der Funkzelle, in der sich das Gerät befindet, können lückenlose Bewegungsprofile angefertigt werden. Im Prinzip ist das Smartphone ein Peilsender.

Die großen Betriebssystem-Anbieter Google und Apple verknüpfen die Geräte in der Regel mit einem Nutzerkonto, damit man seine Daten in der Cloud nutzen kann. Hier versammelt sich das Adressbuch, private Dateien, Musikdateien, Filme und vieles mehr. Zusammen mit den anderen Daten entsteht so ein gläserner Mensch.

Wer datensparsam mit seinem mobilen Geräte umgehen möchte, kann zwar darauf hinarbeiten – aber kompletter Datenschutz ist wohl mit mobilen Geräten nicht erreichbar. Dafür muss man aber auf viele Bequemlichkeiten verzichten. Schaltet man zum Beispiel die Ortungsdienste aus, muss man bei der Suche nach einer Route die Adressen immer per Hand eingeben, die Wetter-App weiß nicht mehr automatisch, welches Wetter sie anzeigen soll, und der Newsfeed ist nicht mehr personalisiert für die Stadt, in der man sich befindet.

Für viele Nutzer ist dies keine Option – hier müssen sich sowohl Politik als auch wir als Gesellschaft fragen, wie wir mit diesen veränderten Nutzungsszenarien umgehen.

Wer sammelt mobile Daten:

  • Hersteller der Handys (Apple, Samsung, HTC, Nokia etc.)
  • Hersteller des Betriebssystems (Apple, Google, Blackberry)
  • Plattformen (Facebook, Twitter, Amazon)
  • App-Hersteller (Spiele-Apps)
  • Tracking-Firmen – Webbrowser
  • Mobilfunkanbieter (T-Mobile, O2, BASE etc.)

Welche Daten werden gesammelt:

  • Verhalten mit dem Telefon: Welche Seiten schaue ich mir an – Webbrowser, Soziale Netzwerke, Streaming Musik, Film, Videos
  • Bewegungsdaten – GPS, Ortung per Bluetooth, WLAN
  • Gesprächsdaten
  • Adressdaten
  • Daten zur Auskunft über das eigene Kaufverhalten

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!