Ratgeber

DSGVO: Datenschutz in Europa verständlich erklärt

Ein Artikel von , veröffentlicht am 14.03.2018, bearbeitet am25.05.2018

Seit 2016 gelten in Europa einheitliche Regeln für den Datenschutz. Sie sind in der Datenschutz-Grundverordnung (DSGVO) festgeschrieben. Wir haben die wichtigsten Punkte aus diesem Gesetzeswerk zusammengestellt und erklären, was das alles mit Ihrem Handy zu tun hat.

Die Regeln und Vorschriften, die wir hier erklären, beziehen sich im Detail auf die Datenschutz-Grundverordnung (DSGVO). Sie ist seit 2016 in Kraft und gilt für die Daten von allen Personen, die sich in Europa befinden - egal, ob diese Daten in Deutschland, den USA oder Hongkong verarbeitet werden. Seit dem 25. Mai 2018 können Verstöße geahndet werden.

DSGVO: Was heißt hier Daten?

Wenn im folgenden Text von „Daten“ die Rede ist, sind personenbezogene Daten gemeint. Darunter versteht man Informationen, die mit einer Person in Verbindung gebracht werden können.

Das sind zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.

Die DSGVO zählt aber auch „personenbeziehbare Daten“ dazu: Das sind Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die IP-Adresse. Auch wenn sie nicht den eigenen Namen enthält, kann sie doch einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder E-Mail-Adressen, aber auch eindeutige Kennnummern von Handys, wie etwa die Geräte-ID.

In der Verbindung mit anderen Daten lässt sich mit diesen Informationen leicht ein Personenbezug herstellen. In Bezug auf IP-Adressen etwa hat der Europäische Gerichtshof 2016 entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten gelten und nur mit Erlaubnis gespeichert werden dürfen.

Noch mehr zum Thema finden Sie hier: Was ist eigentlich Datenschutz?

Besonders geschützt: Gesundheitsdaten und mehr

Besonders geschützt sind Gesundheitsdaten. Auch Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung gehören zu den sensiblen Daten.

Solche Daten können zum Beispiel anfallen, wenn Sie Apps zur Therapie einer bestimmten Erkrankung nutzen, wenn Sie Herzfrequenz oder Gewicht per Handy erfassen oder wenn Sie eine App nutzen, die sich auf eine bestimmte sexuelle Vorliebe bezieht.

Für diese sensiblen Daten gelten noch schärfere Regeln als für normale personenbezogene Daten. In den folgenden Abschnitten haben wir die Unterschiede notiert.

Personenbezogene Daten: viele Ausnahmen

Grundsätzlich ist es verboten, personenbezogene Daten zu erheben und zu speichern. Das gilt für staatliche Stellen ebenso wie für privatwirtschaftliche.

Es gibt aber bestimmte Ausnahmen für diese Regel. Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen Gründe haben, personenbezogene Daten zu speichern.

Ausnahme 1: Vertragserfüllung

Ein zulässiger Grund ist die „Vertragserfüllung“. Sie dürfen also zum Beispiel Daten speichern, wenn sie notwendig sind, um die angebotenen Dienstleistung auszuführen. Über Datenerfassung, die aus diesem Grund stattfinden, muss der Nutzer nicht in der Datenschutzerklärung informiert werden.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht. Hier ist also zusätzlich noch eine Einwilligung nötig.

Ausnahme 2: Berechtigtes Interesse

Ein weiterer zulässiger Grund ist „berechtigtes Interesse“. Datenerhebung zur Marktanalyse, für Direktwerbung und zur Betrugsvermeidung sind in den Erwägungsgründen der DSGVO explizit als mögliche berechtigte Interessen genannt. Ein berechtigtes Interesse muss aber konkret dargelegt werden und es muss für den Nutzer erwartbar sein.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht.

Ausnahme 3: Einwilligung

Eine dritte legale Möglichkeit, personenbezogene Daten zu sammeln ist, wenn Unternehmen dafür vom Nutzer eine Erlaubnis einholen. Dazu muss der Anbieter seine Nutzer darüber informieren, was er erhebt, wofür und ob es gegebenenfalls an Dritte weiterleitet.

Zweckbindung

Anbieter dürfen gesammelte Daten nur für den jeweiligen Zweck verwenden, für den sie gesammelt wurden. Ein Online-Spielehändler darf zum Beispiel die Kundenadresse erfassen, um ein Spiel zuzustellen. Das fällt unter den Grund „Vertragserfüllung“ und bedarf keiner weiteren Information. Er darf die Adresse aber nicht für irgendetwas anderes verwenden, zum Beispiel darf er sie nicht weiterverkaufen.

Einwilligung: Transparent, informiert, freiwillig

Damit eine Einwilligung wirksam ist, müssen bestimmte Regeln erfüllt sein. So muss der Anbieter darüber informieren, welche Daten er für welchen Zweck erhebt. Diese Information darf er nicht irgendwo in den Nutzungsbedingungen verstecken.

Momentan genügt eine Checkbox zum Anklicken, an der steht „Ich habe die Datenschutzerklärung gelesen und erkläre mich einverstanden“ – vorausgesetzt, dass diese verständlich formuliert ist.

Zankapfel: Freiwillige Einwilligung

Die Einwilligung muss darüber hinaus freiwillig erfolgen. Doch was meint der Gesetzgeber mit freiwillig? Die DSGVO selbst (Art 7 Abs. 4) ist hier nicht ganz eindeutig. In den Erwägungsgründen (EG (43)) zur DSGVO steht aber:

Die Einwilligung gilt nicht als freiwillig erteilt, […] wenn die Erfüllung eines Vertrags […] von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Erwägungsgründe sind nicht der eigentliche Gesetzestext, sondern Erläuterungen, in denen der Gesetzgeber verdeutlicht, was er mit dem Gesetz gemeint hat. Legt man die DSGVO danach aus – und einige Datenschutzexpert*innen tun das – würde "freiwillig" bedeuten: Ich kann den Dienst – zum Beispiel Facebook – auch dann nutzen, wenn ich die Einwilligung verweigere. Diese Frage wird sich vermutlich erst in der Zukunft vor Gericht endgültig klären.

Auskunftsanspruch

Grundsätzlich haben Nutzer einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe – wie etwa das Geschäftsgeheimnis – dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen.

Ebenso müssen sie die Daten löschen, wenn sie nicht mehr gebraucht werden – wenn man etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder mögliche Aufbewahrungsfristen, die für bestimmte Zwecke gesetzlich vorgegeben sind, abgelaufen sind.

Profilbildung

Die DSGVO schreibt vor, dass jeder Nutzer entscheiden kann, dass ein Anbieter seine Daten nicht zur Profilbildung erheben darf. Es muss also eine Opt-out-Möglichkeit geben. Profilbildung ist aber nicht grundsätzlich verboten. Wenn es dafür ein berechtigtes Interesse gibt, kann es legitim sein.

Mobiler Datenschutz

Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als Desktop-Computer oder Laptops. Zum Beispiel kommen Bewegungsdaten hinzu: Das Gerät verfolgt ständig, wo sich der Nutzer befindet. So können Bewegungsprofile angefertigt werden.

Geschrieben von

Valie Djordjevic

Valie Djordjevic ist Redakteurin bei mobilsicher.de. Sie arbeitet auch als Dozentin zu den Themen Schreiben, Internet, Urheberrecht. Sie ist Mitbegründerin und Redakteurin von iRights.info, einem Informationsportal zu Recht in der digitalen Welt. Seit sie 1995 selbst eine Modemkarte in ihren PC eingebaut hat, ist sie in verschiedenen Netzprojekten tätig. Bei Mobilsicher interessiert sie sich für iOS, Datenschutz und Trackingdienste.

Weitere Artikel

App-Test 

Wetter-App im Test: wetter.com

Sie ist nicht nur eine der beliebtesten Wetter-Apps der Deutschen, sie geht auch bei Werbung und Tracking in die Vollen: Zehn verschiedene Werbenetzwerke und vier Analysedienste sind in der App versteckt. Alle Details gibt es in unserem Testbericht.

Mehr
YouTube-Video 

Bezahldienst PayPal: Pro und Contra

Der Bezahldienst PayPal erspart Ihnen das Einrichten von Zahlungswegen in unterschiedlichen Online-Shops. Allerdings erhält der Dienstleister dabei auch sehr viele Informationen über Sie. Unser Video bietet eine kurze Pro-und-Contra-Liste als Entscheidungshilfe.

Ansehen
Browser und Suchmaschinen 

Ecosia: Suchen und Bäume pflanzen

Die Suchmaschine Ecosia wird in Berlin entwickelt und setzt auf Umweltschutz. Wer sie nutzt, unterstützt das Pflanzen von Bäumen. In Sachen Datenschutz könnte das Unternehmen aber noch mehr für die Nutzer*innen tun. Die Ecosia-Apps können wir momentan nicht empfehlen.

Mehr
App-Test 

Musikstreaming-App Spotify im Test (Android)

Beinahe 200 Millionen Menschen nutzen den Musikstreaming-Dienst Spotify. Nutzungsdaten gehen dabei nicht nur an Spotify und deren Partnerunternehmen, sondern auch an Facebook, Adjust und etliche andere Tracking-Dienste. Spotifiy klärt aber vergleichweise transparent darüber auf.

Mehr