Ratgeber

DSGVO: Datenschutz in Europa verständlich erklärt

Ein Artikel von , veröffentlicht am 14.03.2018, bearbeitet am25.05.2018

Seit 2016 gelten in Europa einheitliche Regeln für den Datenschutz. Sie sind in der Datenschutz-Grundverordnung (DSGVO) festgeschrieben. Wir haben die wichtigsten Punkte aus diesem Gesetzeswerk zusammengestellt und erklären, was das alles mit Ihrem Handy zu tun hat.

Die Regeln und Vorschriften, die wir hier erklären, beziehen sich im Detail auf die Datenschutz-Grundverordnung (DSGVO). Sie ist seit 2016 in Kraft und gilt für die Daten von allen Personen, die sich in Europa befinden - egal, ob diese Daten in Deutschland, den USA oder Hongkong verarbeitet werden. Seit dem 25. Mai 2018 können Verstöße geahndet werden.

DSGVO: Was heißt hier Daten?

Wenn im folgenden Text von „Daten“ die Rede ist, sind personenbezogene Daten gemeint. Darunter versteht man Informationen, die mit einer Person in Verbindung gebracht werden können.

Das sind zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.

Die DSGVO zählt aber auch „personenbeziehbare Daten“ dazu: Das sind Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die IP-Adresse. Auch wenn sie nicht den eigenen Namen enthält, kann sie doch einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder E-Mail-Adressen, aber auch eindeutige Kennnummern von Handys, wie etwa die Geräte-ID.

In der Verbindung mit anderen Daten lässt sich mit diesen Informationen leicht ein Personenbezug herstellen. In Bezug auf IP-Adressen etwa hat der Europäische Gerichtshof 2016 entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten gelten und nur mit Erlaubnis gespeichert werden dürfen.

Noch mehr zum Thema finden Sie hier: Was ist eigentlich Datenschutz?

Besonders geschützt: Gesundheitsdaten und mehr

Besonders geschützt sind Gesundheitsdaten. Auch Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung gehören zu den sensiblen Daten.

Solche Daten können zum Beispiel anfallen, wenn Sie Apps zur Therapie einer bestimmten Erkrankung nutzen, wenn Sie Herzfrequenz oder Gewicht per Handy erfassen oder wenn Sie eine App nutzen, die sich auf eine bestimmte sexuelle Vorliebe bezieht.

Für diese sensiblen Daten gelten noch schärfere Regeln als für normale personenbezogene Daten. In den folgenden Abschnitten haben wir die Unterschiede notiert.

Personenbezogene Daten: viele Ausnahmen

Grundsätzlich ist es verboten, personenbezogene Daten zu erheben und zu speichern. Das gilt für staatliche Stellen ebenso wie für privatwirtschaftliche.

Es gibt aber bestimmte Ausnahmen für diese Regel. Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen Gründe haben, personenbezogene Daten zu speichern.

Ausnahme 1: Vertragserfüllung

Ein zulässiger Grund ist die „Vertragserfüllung“. Sie dürfen also zum Beispiel Daten speichern, wenn sie notwendig sind, um die angebotenen Dienstleistung auszuführen. Über Datenerfassung, die aus diesem Grund stattfinden, muss der Nutzer nicht in der Datenschutzerklärung informiert werden.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht. Hier ist also zusätzlich noch eine Einwilligung nötig.

Ausnahme 2: Berechtigtes Interesse

Ein weiterer zulässiger Grund ist „berechtigtes Interesse“. Datenerhebung zur Marktanalyse, für Direktwerbung und zur Betrugsvermeidung sind in den Erwägungsgründen der DSGVO explizit als mögliche berechtigte Interessen genannt. Ein berechtigtes Interesse muss aber konkret dargelegt werden und es muss für den Nutzer erwartbar sein.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht.

Ausnahme 3: Einwilligung

Eine dritte legale Möglichkeit, personenbezogene Daten zu sammeln ist, wenn Unternehmen dafür vom Nutzer eine Erlaubnis einholen. Dazu muss der Anbieter seine Nutzer darüber informieren, was er erhebt, wofür und ob es gegebenenfalls an Dritte weiterleitet.

Zweckbindung

Anbieter dürfen gesammelte Daten nur für den jeweiligen Zweck verwenden, für den sie gesammelt wurden. Ein Online-Spielehändler darf zum Beispiel die Kundenadresse erfassen, um ein Spiel zuzustellen. Das fällt unter den Grund „Vertragserfüllung“ und bedarf keiner weiteren Information. Er darf die Adresse aber nicht für irgendetwas anderes verwenden, zum Beispiel darf er sie nicht weiterverkaufen.

Einwilligung: Transparent, informiert, freiwillig

Damit eine Einwilligung wirksam ist, müssen bestimmte Regeln erfüllt sein. So muss der Anbieter darüber informieren, welche Daten er für welchen Zweck erhebt. Diese Information darf er nicht irgendwo in den Nutzungsbedingungen verstecken.

Momentan genügt eine Checkbox zum Anklicken, an der steht „Ich habe die Datenschutzerklärung gelesen und erkläre mich einverstanden“ – vorausgesetzt, dass diese verständlich formuliert ist.

Zankapfel: Freiwillige Einwilligung

Die Einwilligung muss darüber hinaus freiwillig erfolgen. Doch was meint der Gesetzgeber mit freiwillig? Die DSGVO selbst (Art 7 Abs. 4) ist hier nicht ganz eindeutig. In den Erwägungsgründen (EG (43)) zur DSGVO steht aber:

Die Einwilligung gilt nicht als freiwillig erteilt, […] wenn die Erfüllung eines Vertrags […] von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Erwägungsgründe sind nicht der eigentliche Gesetzestext, sondern Erläuterungen, in denen der Gesetzgeber verdeutlicht, was er mit dem Gesetz gemeint hat. Legt man die DSGVO danach aus – und einige Datenschutzexpert*innen tun das – würde "freiwillig" bedeuten: Ich kann den Dienst – zum Beispiel Facebook – auch dann nutzen, wenn ich die Einwilligung verweigere. Diese Frage wird sich vermutlich erst in der Zukunft vor Gericht endgültig klären.

Auskunftsanspruch

Grundsätzlich haben Nutzer einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe – wie etwa das Geschäftsgeheimnis – dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen.

Ebenso müssen sie die Daten löschen, wenn sie nicht mehr gebraucht werden – wenn man etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder mögliche Aufbewahrungsfristen, die für bestimmte Zwecke gesetzlich vorgegeben sind, abgelaufen sind.

Profilbildung

Die DSGVO schreibt vor, dass jeder Nutzer entscheiden kann, dass ein Anbieter seine Daten nicht zur Profilbildung erheben darf. Es muss also eine Opt-out-Möglichkeit geben. Profilbildung ist aber nicht grundsätzlich verboten. Wenn es dafür ein berechtigtes Interesse gibt, kann es legitim sein.

Mobiler Datenschutz

Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als Desktop-Computer oder Laptops. Zum Beispiel kommen Bewegungsdaten hinzu: Das Gerät verfolgt ständig, wo sich der Nutzer befindet. So können Bewegungsprofile angefertigt werden.

Geschrieben von

Valie Djordjevic

Valie Djordjevic ist Redakteurin bei mobilsicher.de. Sie arbeitet auch als Dozentin zu den Themen Schreiben, Internet, Urheberrecht. Sie ist Mitbegründerin und Redakteurin von iRights.info, einem Informationsportal zu Recht in der digitalen Welt. Seit sie 1995 selbst eine Modemkarte in ihren PC eingebaut hat, ist sie in verschiedenen Netzprojekten tätig. Bei Mobilsicher interessiert sie sich für iOS, Datenschutz und Trackingdienste.

Weitere Artikel

Kinder und Jugendliche 

Handy für Kinder einrichten (Android)

Wer seinem Kind ein Smartphone schenken möchte, sollte das Gerät vorher unbedingt richtig konfigurieren. So werden die Weichen in Sachen Privatsphäre gleich richtig gestellt. Wir führen Sie durch die wichtigsten Schritte - von den Grundeinstellungen über App-Auswahl bis zum Einrichten verschiedener Nutzerkonten.

Mehr
Ratgeber 

Was Sie über die Google-Suche wissen sollten

Google ist die mit Abstand meistgenutzte Suchmaschine. Sie ist auf fast allen Android-Geräten vorinstalliert und in vielen Browsern Standard. Die guten Suchergebnisse sprechen für sie - doch was man sucht, wird von Google genau ausgewertet.

Mehr
App-Test 

Telefon-App Truecaller: Privatsphäre light (Android)

Die Telefon-App Truecaller ist mit 250 Millionen Nutzern extrem beliebt. Wichtigste Funktion: Unbekannte Anrufer können dank einer riesigen Datenbank mit Namen angezeigt werden. Dafür sammelt der Dienst nicht nur die eigene Nummer, sondern auch Nummern von Dritten, die Nutzer hochladen. Für reinen Spamschutz gibt es bessere Alternativen.

Mehr
App-Test 

App-Test: Kindersicherung Screen Time for Kids

Mit der App können Eltern das Smartphone ihres Kindes überwachen und die Nutzung einschränken. Allerdings landen dabei sehr viele Daten beim Anbieter, das Nutzerkonto ist schlecht gesichert und es gehen Informationen an Facebook.

Mehr