Ratgeber

DSGVO: Datenschutz in Europa verständlich erklärt

Ein Artikel von , veröffentlicht am 14.03.2018, bearbeitet am25.05.2018

Seit 2016 gelten in Europa einheitliche Regeln für den Datenschutz. Sie sind in der Datenschutz-Grundverordnung (DSGVO) festgeschrieben. Wir haben die wichtigsten Punkte aus diesem Gesetzeswerk zusammengestellt und erklären, was das alles mit Ihrem Handy zu tun hat.

Die Regeln und Vorschriften, die wir hier erklären, beziehen sich im Detail auf die Datenschutz-Grundverordnung (DSGVO). Sie ist seit 2016 in Kraft und gilt für die Daten von allen Personen, die sich in Europa befinden - egal, ob diese Daten in Deutschland, den USA oder Hongkong verarbeitet werden. Seit dem 25. Mai 2018 können Verstöße geahndet werden.

DSGVO: Was heißt hier Daten?

Wenn im folgenden Text von „Daten“ die Rede ist, sind personenbezogene Daten gemeint. Darunter versteht man Informationen, die mit einer Person in Verbindung gebracht werden können.

Das sind zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.

Die DSGVO zählt aber auch „personenbeziehbare Daten“ dazu: Das sind Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die IP-Adresse. Auch wenn sie nicht den eigenen Namen enthält, kann sie doch einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder E-Mail-Adressen, aber auch eindeutige Kennnummern von Handys, wie etwa die Geräte-ID.

In der Verbindung mit anderen Daten lässt sich mit diesen Informationen leicht ein Personenbezug herstellen. In Bezug auf IP-Adressen etwa hat der Europäische Gerichtshof 2016 entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten gelten und nur mit Erlaubnis gespeichert werden dürfen.

Noch mehr zum Thema finden Sie hier: Was ist eigentlich Datenschutz?

Besonders geschützt: Gesundheitsdaten und mehr

Besonders geschützt sind Gesundheitsdaten. Auch Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung gehören zu den sensiblen Daten.

Solche Daten können zum Beispiel anfallen, wenn Sie Apps zur Therapie einer bestimmten Erkrankung nutzen, wenn Sie Herzfrequenz oder Gewicht per Handy erfassen oder wenn Sie eine App nutzen, die sich auf eine bestimmte sexuelle Vorliebe bezieht.

Für diese sensiblen Daten gelten noch schärfere Regeln als für normale personenbezogene Daten. In den folgenden Abschnitten haben wir die Unterschiede notiert.

Personenbezogene Daten: viele Ausnahmen

Grundsätzlich ist es verboten, personenbezogene Daten zu erheben und zu speichern. Das gilt für staatliche Stellen ebenso wie für privatwirtschaftliche.

Es gibt aber bestimmte Ausnahmen für diese Regel. Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen Gründe haben, personenbezogene Daten zu speichern.

Ausnahme 1: Vertragserfüllung

Ein zulässiger Grund ist die „Vertragserfüllung“. Sie dürfen also zum Beispiel Daten speichern, wenn sie notwendig sind, um die angebotenen Dienstleistung auszuführen. Über Datenerfassung, die aus diesem Grund stattfinden, muss der Nutzer nicht in der Datenschutzerklärung informiert werden.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht. Hier ist also zusätzlich noch eine Einwilligung nötig.

Ausnahme 2: Berechtigtes Interesse

Ein weiterer zulässiger Grund ist „berechtigtes Interesse“. Datenerhebung zur Marktanalyse, für Direktwerbung und zur Betrugsvermeidung sind in den Erwägungsgründen der DSGVO explizit als mögliche berechtigte Interessen genannt. Ein berechtigtes Interesse muss aber konkret dargelegt werden und es muss für den Nutzer erwartbar sein.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht.

Ausnahme 3: Einwilligung

Eine dritte legale Möglichkeit, personenbezogene Daten zu sammeln ist, wenn Unternehmen dafür vom Nutzer eine Erlaubnis einholen. Dazu muss der Anbieter seine Nutzer darüber informieren, was er erhebt, wofür und ob es gegebenenfalls an Dritte weiterleitet.

Zweckbindung

Anbieter dürfen gesammelte Daten nur für den jeweiligen Zweck verwenden, für den sie gesammelt wurden. Ein Online-Spielehändler darf zum Beispiel die Kundenadresse erfassen, um ein Spiel zuzustellen. Das fällt unter den Grund „Vertragserfüllung“ und bedarf keiner weiteren Information. Er darf die Adresse aber nicht für irgendetwas anderes verwenden, zum Beispiel darf er sie nicht weiterverkaufen.

Einwilligung: Transparent, informiert, freiwillig

Damit eine Einwilligung wirksam ist, müssen bestimmte Regeln erfüllt sein. So muss der Anbieter darüber informieren, welche Daten er für welchen Zweck erhebt. Diese Information darf er nicht irgendwo in den Nutzungsbedingungen verstecken.

Momentan genügt eine Checkbox zum Anklicken, an der steht „Ich habe die Datenschutzerklärung gelesen und erkläre mich einverstanden“ – vorausgesetzt, dass diese verständlich formuliert ist.

Zankapfel: Freiwillige Einwilligung

Die Einwilligung muss darüber hinaus freiwillig erfolgen. Doch was meint der Gesetzgeber mit freiwillig? Die DSGVO selbst (Art 7 Abs. 4) ist hier nicht ganz eindeutig. In den Erwägungsgründen (EG (43)) zur DSGVO steht aber:

Die Einwilligung gilt nicht als freiwillig erteilt, […] wenn die Erfüllung eines Vertrags […] von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Erwägungsgründe sind nicht der eigentliche Gesetzestext, sondern Erläuterungen, in denen der Gesetzgeber verdeutlicht, was er mit dem Gesetz gemeint hat. Legt man die DSGVO danach aus – und einige Datenschutzexpert*innen tun das – würde "freiwillig" bedeuten: Ich kann den Dienst – zum Beispiel Facebook – auch dann nutzen, wenn ich die Einwilligung verweigere. Diese Frage wird sich vermutlich erst in der Zukunft vor Gericht endgültig klären.

Auskunftsanspruch

Grundsätzlich haben Nutzer einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe – wie etwa das Geschäftsgeheimnis – dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen.

Ebenso müssen sie die Daten löschen, wenn sie nicht mehr gebraucht werden – wenn man etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder mögliche Aufbewahrungsfristen, die für bestimmte Zwecke gesetzlich vorgegeben sind, abgelaufen sind.

Profilbildung

Die DSGVO schreibt vor, dass jeder Nutzer entscheiden kann, dass ein Anbieter seine Daten nicht zur Profilbildung erheben darf. Es muss also eine Opt-out-Möglichkeit geben. Profilbildung ist aber nicht grundsätzlich verboten. Wenn es dafür ein berechtigtes Interesse gibt, kann es legitim sein.

Mobiler Datenschutz

Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als Desktop-Computer oder Laptops. Zum Beispiel kommen Bewegungsdaten hinzu: Das Gerät verfolgt ständig, wo sich der Nutzer befindet. So können Bewegungsprofile angefertigt werden.

Geschrieben von

Valie Djordjevic

Valie Djordjevic ist Redakteurin bei mobilsicher.de. Sie arbeitet auch als Dozentin zu den Themen Schreiben, Internet, Urheberrecht. Sie ist Mitbegründerin und Redakteurin von iRights.info, einem Informationsportal zu Recht in der digitalen Welt. Seit sie 1995 selbst eine Modemkarte in ihren PC eingebaut hat, ist sie in verschiedenen Netzprojekten tätig. Bei Mobilsicher interessiert sie sich für iOS, Datenschutz und Trackingdienste.

Weitere Artikel

Ratgeber 

Navi-Apps im Check: Komoot – Fahrrad, Wander & Mountainbike Navi

Komoot berechnet Routen speziell für Radfahrer, Wanderer und Läufer. Die Basisversion der App ist kostenlos, weitere Funktionen können dazu gekauft werden. In Sachen Datenschutz schneidet die App aber nicht gut ab: Standortdaten speichert der Dienst dauerhaft und auch Facebook erhält Nutzerdaten.

Mehr
Ratgeber 

iCloud: Praktischer Speicher oder Datensauger?

Mit der iCloud will Apple die Smartphone-Nutzung bequemer und sicherer machen. Der Dienst erstellt Backups, bietet Speicherplatz und hält Daten auf verschiedenen Apple-Geräten synchron. Welche Daten in Ihrer iCloud landen und wie privat sie dort sind, fassen wir hier zusammen.

Mehr
Ratgeber 

Die ICE-Erpresser

Es sind nicht immer bösartige Hacker mit spezieller Schadsoftware, die Mobilgerät-Nutzern Geld aus der Tasche ziehen. Auch ganz normale „Kleinkriminelle“, wie Diebe und Erpresser, haben Smartphones und Tablets als Angriffsziel für sich entdeckt.

Mehr
Ratgeber 

Lern-App Socrative im Test

Mit Socrative können Lehrer*innen für ihre Klassen Tests aus verschiedenen Fragetypen zusammenstellen. Die App funktioniert für Schüler*innen ohne Registrierung, bindet keine Werbung ein und ist auch ansonsten datensparsam.

Mehr