Ratgeber

DSGVO: Datenschutz in Europa verständlich erklärt

Ein Artikel von , veröffentlicht am 14.03.2018, bearbeitet am25.05.2018

Seit 2016 gelten in Europa einheitliche Regeln für den Datenschutz. Sie sind in der Datenschutz-Grundverordnung (DSGVO) festgeschrieben. Wir haben die wichtigsten Punkte aus diesem Gesetzeswerk zusammengestellt und erklären, was das alles mit Ihrem Handy zu tun hat.

Die Regeln und Vorschriften, die wir hier erklären, beziehen sich im Detail auf die Datenschutz-Grundverordnung (DSGVO). Sie ist seit 2016 in Kraft und gilt für die Daten von allen Personen, die sich in Europa befinden - egal, ob diese Daten in Deutschland, den USA oder Hongkong verarbeitet werden. Seit dem 25. Mai 2018 können Verstöße geahndet werden.

DSGVO: Was heißt hier Daten?

Wenn im folgenden Text von „Daten“ die Rede ist, sind personenbezogene Daten gemeint. Darunter versteht man Informationen, die mit einer Person in Verbindung gebracht werden können.

Das sind zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.

Die DSGVO zählt aber auch „personenbeziehbare Daten“ dazu: Das sind Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die IP-Adresse. Auch wenn sie nicht den eigenen Namen enthält, kann sie doch einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder E-Mail-Adressen, aber auch eindeutige Kennnummern von Handys, wie etwa die Geräte-ID.

In der Verbindung mit anderen Daten lässt sich mit diesen Informationen leicht ein Personenbezug herstellen. In Bezug auf IP-Adressen etwa hat der Europäische Gerichtshof 2016 entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten gelten und nur mit Erlaubnis gespeichert werden dürfen.

Noch mehr zum Thema finden Sie hier: Was ist eigentlich Datenschutz?

Besonders geschützt: Gesundheitsdaten und mehr

Besonders geschützt sind Gesundheitsdaten. Auch Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung gehören zu den sensiblen Daten.

Solche Daten können zum Beispiel anfallen, wenn Sie Apps zur Therapie einer bestimmten Erkrankung nutzen, wenn Sie Herzfrequenz oder Gewicht per Handy erfassen oder wenn Sie eine App nutzen, die sich auf eine bestimmte sexuelle Vorliebe bezieht.

Für diese sensiblen Daten gelten noch schärfere Regeln als für normale personenbezogene Daten. In den folgenden Abschnitten haben wir die Unterschiede notiert.

Personenbezogene Daten: viele Ausnahmen

Grundsätzlich ist es verboten, personenbezogene Daten zu erheben und zu speichern. Das gilt für staatliche Stellen ebenso wie für privatwirtschaftliche.

Es gibt aber bestimmte Ausnahmen für diese Regel. Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen Gründe haben, personenbezogene Daten zu speichern.

Ausnahme 1: Vertragserfüllung

Ein zulässiger Grund ist die „Vertragserfüllung“. Sie dürfen also zum Beispiel Daten speichern, wenn sie notwendig sind, um die angebotenen Dienstleistung auszuführen. Über Datenerfassung, die aus diesem Grund stattfinden, muss der Nutzer nicht in der Datenschutzerklärung informiert werden.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht. Hier ist also zusätzlich noch eine Einwilligung nötig.

Ausnahme 2: Berechtigtes Interesse

Ein weiterer zulässiger Grund ist „berechtigtes Interesse“. Datenerhebung zur Marktanalyse, für Direktwerbung und zur Betrugsvermeidung sind in den Erwägungsgründen der DSGVO explizit als mögliche berechtigte Interessen genannt. Ein berechtigtes Interesse muss aber konkret dargelegt werden und es muss für den Nutzer erwartbar sein.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht.

Ausnahme 3: Einwilligung

Eine dritte legale Möglichkeit, personenbezogene Daten zu sammeln ist, wenn Unternehmen dafür vom Nutzer eine Erlaubnis einholen. Dazu muss der Anbieter seine Nutzer darüber informieren, was er erhebt, wofür und ob es gegebenenfalls an Dritte weiterleitet.

Zweckbindung

Anbieter dürfen gesammelte Daten nur für den jeweiligen Zweck verwenden, für den sie gesammelt wurden. Ein Online-Spielehändler darf zum Beispiel die Kundenadresse erfassen, um ein Spiel zuzustellen. Das fällt unter den Grund „Vertragserfüllung“ und bedarf keiner weiteren Information. Er darf die Adresse aber nicht für irgendetwas anderes verwenden, zum Beispiel darf er sie nicht weiterverkaufen.

Einwilligung: Transparent, informiert, freiwillig

Damit eine Einwilligung wirksam ist, müssen bestimmte Regeln erfüllt sein. So muss der Anbieter darüber informieren, welche Daten er für welchen Zweck erhebt. Diese Information darf er nicht irgendwo in den Nutzungsbedingungen verstecken.

Momentan genügt eine Checkbox zum Anklicken, an der steht „Ich habe die Datenschutzerklärung gelesen und erkläre mich einverstanden“ – vorausgesetzt, dass diese verständlich formuliert ist.

Zankapfel: Freiwillige Einwilligung

Die Einwilligung muss darüber hinaus freiwillig erfolgen. Doch was meint der Gesetzgeber mit freiwillig? Die DSGVO selbst (Art 7 Abs. 4) ist hier nicht ganz eindeutig. In den Erwägungsgründen (EG (43)) zur DSGVO steht aber:

Die Einwilligung gilt nicht als freiwillig erteilt, […] wenn die Erfüllung eines Vertrags […] von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Erwägungsgründe sind nicht der eigentliche Gesetzestext, sondern Erläuterungen, in denen der Gesetzgeber verdeutlicht, was er mit dem Gesetz gemeint hat. Legt man die DSGVO danach aus – und einige Datenschutzexpert*innen tun das – würde "freiwillig" bedeuten: Ich kann den Dienst – zum Beispiel Facebook – auch dann nutzen, wenn ich die Einwilligung verweigere. Diese Frage wird sich vermutlich erst in der Zukunft vor Gericht endgültig klären.

Auskunftsanspruch

Grundsätzlich haben Nutzer einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe – wie etwa das Geschäftsgeheimnis – dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen.

Ebenso müssen sie die Daten löschen, wenn sie nicht mehr gebraucht werden – wenn man etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder mögliche Aufbewahrungsfristen, die für bestimmte Zwecke gesetzlich vorgegeben sind, abgelaufen sind.

Profilbildung

Die DSGVO schreibt vor, dass jeder Nutzer entscheiden kann, dass ein Anbieter seine Daten nicht zur Profilbildung erheben darf. Es muss also eine Opt-out-Möglichkeit geben. Profilbildung ist aber nicht grundsätzlich verboten. Wenn es dafür ein berechtigtes Interesse gibt, kann es legitim sein.

Mobiler Datenschutz

Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als Desktop-Computer oder Laptops. Zum Beispiel kommen Bewegungsdaten hinzu: Das Gerät verfolgt ständig, wo sich der Nutzer befindet. So können Bewegungsprofile angefertigt werden.

Geschrieben von

Valie Djordjevic

Valie Djordjevic ist Redakteurin bei mobilsicher.de. Sie arbeitet auch als Dozentin zu den Themen Schreiben, Internet, Urheberrecht. Sie ist Mitbegründerin und Redakteurin von iRights.info, einem Informationsportal zu Recht in der digitalen Welt. Seit sie 1995 selbst eine Modemkarte in ihren PC eingebaut hat, ist sie in verschiedenen Netzprojekten tätig. Bei Mobilsicher interessiert sie sich für iOS, Datenschutz und Trackingdienste.

Weitere Artikel

Ratgeber 

­Voice over IP – Telefonieren über das Internet

VoIP steht für „Voice over IP“ und übersetzt sich ins Deutsche sinngemäß etwa in „Sprachübertragung über das Internet“. Es ist ein Sammelbegriff für verschiedene technische Ansätze, das Telefonieren über die Internetverbindung zu realisieren.

Mehr
Ratgeber 

Das steckt hinter heimtückischen Pop-ups

Neue iPhones, Playstations, Amazon-Gutscheine – mit angeblichen Sofort-Gewinnen versuchen Betrüger insbesondere Smartphone-Nutzer auf dubiose Websites zu locken. Dahinter steckt ein schwungvoller Adressenhandel.

Mehr
Ratgeber 

Fünf Irrtümer über Seltene Erden in Handys

Neodym, Praseodym und ihre Verwandten sorgen oft für Verwirrung. Fängt schon damit an, dass die Seltenen Erden nicht selten sind.

Mehr
Ratgeber 

Coronavirus und Handy-Überwachung: Risiken und Nebenwirkungen

Viele Länder nutzen im Kampf gegen die Corona-Epidemie Handydaten, um Infizierte zu überwachen und Kontaktpersonen zu ermitteln. Auch in Deutschland wird der Ruf nach solchen Methoden lauter. Zeit, sich die Vorreiter näher anzusehen – samt Risiken und Nebenwirkungen.

Mehr