Die Regeln und Vorschriften, die wir hier erklären, beziehen sich im Detail auf die Datenschutz-Grundverordnung (DSGVO). Sie ist seit 2016 in Kraft und gilt für die Daten von allen Personen, die sich in Europa befinden - egal, ob diese Daten in Deutschland, den USA oder Hongkong verarbeitet werden. Seit dem 25. Mai 2018 können Verstöße geahndet werden.
DSGVO: Was heißt hier Daten?
Wenn im folgenden Text von „Daten“ die Rede ist, sind personenbezogene Daten gemeint. Darunter versteht man Informationen, die mit einer Person in Verbindung gebracht werden können.
Das sind zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.
Die DSGVO zählt aber auch „personenbeziehbare Daten“ dazu: Das sind Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die IP-Adresse. Auch wenn sie nicht den eigenen Namen enthält, kann sie doch einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder E-Mail-Adressen, aber auch eindeutige Kennnummern von Handys, wie etwa die Geräte-ID.
In der Verbindung mit anderen Daten lässt sich mit diesen Informationen leicht ein Personenbezug herstellen. In Bezug auf IP-Adressen etwa hat der Europäische Gerichtshof 2016 entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten gelten und nur mit Erlaubnis gespeichert werden dürfen.
Besonders geschützt: Gesundheitsdaten und mehr
Besonders geschützt sind Gesundheitsdaten. Auch Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung gehören zu den sensiblen Daten.
Solche Daten können zum Beispiel anfallen, wenn Sie Apps zur Therapie einer bestimmten Erkrankung nutzen, wenn Sie Herzfrequenz oder Gewicht per Handy erfassen oder wenn Sie eine App nutzen, die sich auf eine bestimmte sexuelle Vorliebe bezieht.
Für diese sensiblen Daten gelten noch schärfere Regeln als für normale personenbezogene Daten. In den folgenden Abschnitten haben wir die Unterschiede notiert.
Personenbezogene Daten: viele Ausnahmen
Grundsätzlich ist es verboten, personenbezogene Daten zu erheben und zu speichern. Das gilt für staatliche Stellen ebenso wie für privatwirtschaftliche.
Es gibt aber bestimmte Ausnahmen für diese Regel. Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen Gründe haben, personenbezogene Daten zu speichern.
Ausnahme 1: Vertragserfüllung
Ein zulässiger Grund ist die „Vertragserfüllung“. Sie dürfen also zum Beispiel Daten speichern, wenn sie notwendig sind, um die angebotenen Dienstleistung auszuführen. Über Datenerfassung, die aus diesem Grund stattfinden, muss der Nutzer nicht in der Datenschutzerklärung informiert werden.
Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht. Hier ist also zusätzlich noch eine Einwilligung nötig.
Ausnahme 2: Berechtigtes Interesse
Ein weiterer zulässiger Grund ist „berechtigtes Interesse“. Datenerhebung zur Marktanalyse, für Direktwerbung und zur Betrugsvermeidung sind in den Erwägungsgründen der DSGVO explizit als mögliche berechtigte Interessen genannt. Ein berechtigtes Interesse muss aber konkret dargelegt werden und es muss für den Nutzer erwartbar sein.
Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht.
Ausnahme 3: Einwilligung
Eine dritte legale Möglichkeit, personenbezogene Daten zu sammeln ist, wenn Unternehmen dafür vom Nutzer eine Erlaubnis einholen. Dazu muss der Anbieter seine Nutzer darüber informieren, was er erhebt, wofür und ob es gegebenenfalls an Dritte weiterleitet.
Zweckbindung
Anbieter dürfen gesammelte Daten nur für den jeweiligen Zweck verwenden, für den sie gesammelt wurden. Ein Online-Spielehändler darf zum Beispiel die Kundenadresse erfassen, um ein Spiel zuzustellen. Das fällt unter den Grund „Vertragserfüllung“ und bedarf keiner weiteren Information. Er darf die Adresse aber nicht für irgendetwas anderes verwenden, zum Beispiel darf er sie nicht weiterverkaufen.
Einwilligung: Transparent, informiert, freiwillig
Damit eine Einwilligung wirksam ist, müssen bestimmte Regeln erfüllt sein. So muss der Anbieter darüber informieren, welche Daten er für welchen Zweck erhebt. Diese Information darf er nicht irgendwo in den Nutzungsbedingungen verstecken.
Momentan genügt eine Checkbox zum Anklicken, an der steht „Ich habe die Datenschutzerklärung gelesen und erkläre mich einverstanden“ – vorausgesetzt, dass diese verständlich formuliert ist.
Zankapfel: Freiwillige Einwilligung
Die Einwilligung muss darüber hinaus freiwillig erfolgen. Doch was meint der Gesetzgeber mit freiwillig? Die DSGVO selbst (Art 7 Abs. 4) ist hier nicht ganz eindeutig. In den Erwägungsgründen (EG (43)) zur DSGVO steht aber:
Die Einwilligung gilt nicht als freiwillig erteilt, […] wenn die Erfüllung eines Vertrags […] von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
Erwägungsgründe sind nicht der eigentliche Gesetzestext, sondern Erläuterungen, in denen der Gesetzgeber verdeutlicht, was er mit dem Gesetz gemeint hat. Legt man die DSGVO danach aus – und einige Datenschutzexpert*innen tun das – würde "freiwillig" bedeuten: Ich kann den Dienst – zum Beispiel Facebook – auch dann nutzen, wenn ich die Einwilligung verweigere. Diese Frage wird sich vermutlich erst in der Zukunft vor Gericht endgültig klären.
Auskunftsanspruch
Grundsätzlich haben Nutzer einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe – wie etwa das Geschäftsgeheimnis – dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen.
Ebenso müssen sie die Daten löschen, wenn sie nicht mehr gebraucht werden – wenn man etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder mögliche Aufbewahrungsfristen, die für bestimmte Zwecke gesetzlich vorgegeben sind, abgelaufen sind.
Profilbildung
Die DSGVO schreibt vor, dass jeder Nutzer entscheiden kann, dass ein Anbieter seine Daten nicht zur Profilbildung erheben darf. Es muss also eine Opt-out-Möglichkeit geben. Profilbildung ist aber nicht grundsätzlich verboten. Wenn es dafür ein berechtigtes Interesse gibt, kann es legitim sein.
Mobiler Datenschutz
Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als Desktop-Computer oder Laptops. Zum Beispiel kommen Bewegungsdaten hinzu: Das Gerät verfolgt ständig, wo sich der Nutzer befindet. So können Bewegungsprofile angefertigt werden.