Persönliche Daten sind bei uns geschützt: Jede*r hat das Recht, selbst darüber zu bestimmen, was mit den eigenen Daten geschieht. Das ist in Deutschland ein Grundrecht und heißt „Recht auf informationelle Selbstbestimmung“.

Alle Stellen, die Daten sammeln, müssen daher transparent machen, welche Daten sie erheben und was mit diesen Daten geschieht – egal ob staatlich oder privatwirtschaftlich. Staatliche Stellen sind dabei an gesetzliche Vorgaben gebunden.

Wann Daten erhoben werden dürfen

Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen von ihren Nutzer*innen eine Erlaubnis einholen, wenn sie personenbezogene Daten speichern und verarbeiten möchten.

Dabei dürfen Anbieter*innen nur die Daten sammeln, die für den jeweiligen Zweck notwendig sind. Ein Online-Schuhhändler darf zum Beispiel nicht einfach Daten darüber erheben, welches Auto seine Kunden fahren oder wo sie am liebsten Urlaub machen.

Fragt ein*e Firma oder Dienstleister*in explizit ab, Daten für bestimmte Zwecke nutzen zu dürfen, müssen  die wesentlichen Punkte klar in den Nutzungsbedingungen genannt sein. Nutzer*innen müssen diese anerkennen, bevor Daten erhoben werden. Meistens geschieht das, wenn man sich anmeldet oder die App herunterlädt.

Grundsätzlich haben Nutzer*innen einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen. Ebenso müssen sie die Daten löschen, wenn sie sie nicht mehr brauchen – wenn der Nutzer etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder Fristen verjährt sind.

Das sind personenbezogene Daten

Datenschutz bezieht sich nicht nur darauf, Daten vor Verlust zu schützen (dann spricht man eher von Datensicherheit), sondern schützt Menschen davor, dass Firmen und Institutionen diese Daten missbrauchen. Dieser Schutz bezieht sich vor allem auf personenbezogene Daten. Das sind Daten, die mit einer Person in Verbindung gebracht werden können. Dazu gehören zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.

Oft wird auch der Begriff „personenbeziehbare Daten“ verwendet: Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die E-Mail-Adresse. Auch wenn sie nicht den Namen enthält, kann sie doch mit wenig Aufwand einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder IP-Adressen. In der Verbindung mit anderen Daten lässt sich damit leicht ein Personenbezug herstellen.

Als besonders schützenswert gelten Gesundheitsdaten, Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung. Diese Daten dürfen nur in Ausnahmefällen gespeichert und verarbeitet werden.

Regeln für die Datenschutzerklärung

Die Datenschutzerklärung bündelt alle relevanten Angaben zum Datenschutz, vor allem welche Daten erhoben werden, wie lange sie gespeichert werden und an wen sie weitergegeben werden. Wenn eine App Daten an andere Dienstleister weitergibt – etwa wenn eine Taxi-App Google Maps dazu benutzt, um den Standort zu bestimmen und anzuzeigen, wo sich das bestellte Taxi befindet –, muss dies explizit in der Datenschutzerklärung stehen.

Die Datenschutzerklärung muss leicht zugänglich sein, so dass Nutzer*innen sie einfach finden können. Außerdem muss sie verständlich formuliert sein. Wenn es sich um eine App oder einen Dienst für deutsche Kund*innen handelt, muss sie auf Deutsch zur Verfügung stehen.

Nur Apps, die gar keine Daten erheben, können auf eine Datenschutzerklärung verzichten. Das bedeutet aber, dass die App keine Verbindung zum Internet aufnehmen darf. Denn selbst wenn man eine Webseite nur anschaut, fallen Daten an, wie die IP-Adresse, welches Betriebssystem und welchen Browser man benutzt.

Der Grundsatz der Zweckbindung gilt immer, auch wenn sich ein*e Anbieter*in explizit die Erlaubnis der Nutzerin hat geben lassen. Anbieter*innen können also nicht beliebig Daten sammeln, sich das in einer Einverständniserklärung von den Nutzer*innen erlauben lassen und dann mit den Daten machen, was sie wollen – auch wenn das in der Praxis leider oft der Fall ist. Vor allem die Verbraucherverbände haben dies in der Vergangenheit abgemahnt.

Außerdem darf in der Datenschutzerklärung nichts stehen, was für Nutzer*innen unerwartet ist.

Das ist die Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt in allen EU-Staaten unmittelbar die Datenschutz-Grundverordnung (DSGVO). Sie stellt das Recht auf Datenschutz gegenüber dem Recht auf Meinungsäußerung und Informationsfreiheit auf eine neue Basis. Seitdem kommen bei Verletzung der Pflichten wesentlich höhere Bußgeldforderungen auf Unternehmen zu – bis zu vier Prozent des Jahresumsatzes.

Mit der DSGVO müssen Unternehmen im Zweifel nachweisen, dass sie die Grundsätze des Datenschutzes einhalten. Sie müssen zum Beispiel ab einer gewissen Größe einen Datenschutzbeauftragten benennen.

Daneben werden durch die DSGVO die Rechte der Nutzer*innen gestärkt: Die Unternehmen sind noch stärker als bisher verpflichtet, Nutzer*innen Zugang zu ihren Daten zu geben und mitzuteilen, wofür sie verwendet werden. Außerdem müssen Unternehmen auf Anfrage sagen können, woher sie die Daten haben und an wen sie übermittelt werden.

Ein mit der DSGVO neu eingeführtes Recht ist das Recht auf Datenübertragbarkeit (bzw. Datenportabilität), damit Nutzer*innen zum Beispiel von einem sozialen Netzwerk ins andere wechseln können, ohne die Daten, die sie selbst eingegeben haben, zu verlieren.

Die DSGVO kodifiziert auch das Recht auf Vergessenwerden, das 2014 vor dem Europäischen Gerichtshof eingeklagt wurde: Nutzer*innen haben unter bestimmten Umständen das Recht, zu verlangen, dass ihre Daten gelöscht werden. Zum Beispiel, wenn die Daten unrechtmäßig verarbeitet wurden oder die Speicherung nicht mehr nötig ist.

Datenschutz im Internet

Soweit die Theorie – doch die digitale Datenverarbeitung hat die Möglichkeiten vervielfacht, Daten über Nutzer*innen und ihr Verhalten zu sammeln. Außerdem ist es heutzutage ein Leichtes, verschiedene Datensätze miteinander zu verknüpfen und sich so ein umfassendes Bild über Menschen zu machen. Dadurch können Unternehmen umfangreiche Profile erstellen, die sehr private Daten enthalten.

Das ist nach dem deutschen Datenschutzrecht verboten. In anderen Ländern wie den USA sind die datenschutzrechtlichen Regeln weiter gefasst. Mit dem Internet können allerdings auch Firmen, die ihren Sitz im Ausland haben, ihre Dienste weltweit anbieten. Es kann passieren, dass man bei Anbietern im Ausland so gut wie keinen Schutz genießt. Man befindet sich dann sozusagen virtuell im Ausland und kann nicht auf den Schutz des deutschen Rechtes vertrauen.

Anders sieht es aus, wenn die Anbieter explizit den europäischen Markt bedienen. Dann müssen sie sich auch an die europäischen Datenschutzregeln halten. Das gilt auch, wenn ein deutscher App-Anbieter Daten an einen ausländischen Dienst weitergibt (Beispiel: die Taxi-App bindet Karten von Google Maps ein und schickt damit die Nutzerdaten in die USA). Das Thema Datenweitergabe und -weiterleitung ins Ausland ist höchst umstritten. Die EU-Kommission und die Datenschutzbeauftragten in den EU-Ländern diskutieren immer noch intensiv darüber.

Datenschutz in den sozialen Medien

In sozialen Netzwerken geben Nutzer*innen freiwillig ihre privaten Daten preis. Selbst wenn die Privatsphäre-Einstellungen so festgelegt sind, dass nur die engsten Freund*innen die eigenen Postings sehen: Welche Daten wie geschützt sind, steht (bestenfalls) in den Nutzungsbedingungen und nicht in den Privatsphäre-Einstellungen, die das Netzwerk immer wieder verändern kann. Je nachdem, was man bei der Anmeldung bestätigt hat, dürfen die Anbieter*innen diese Daten sogar weitergeben.

Auch staatliche Stellen haben ein Interesse an den gesammelten persönlichen Daten, die im Internet umherschwirren. Viele Online-Dienste schreiben in ihre Nutzungsbedingungen, dass sie staatlichen Behörden auf Anfrage Zugriff auf die Daten gewähren. Geheimdienste tauschen Informationen auch über die Staatsgrenzen hinweg miteinander aus. Sie umgehen dadurch die nationalen gesetzlichen Regelungen.

Datenschutz auf dem Smartphone

Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als stationäre Computer. Zum Beispiel kommen Bewegungsdaten hinzu: Der Standort eines Gerätes kann ständig festgestellt werden. So werden zum Beispiel die verfügbaren WLAN-Netze zu einer Standortinformation, ohne dass das Gerät mit einem davon verbunden sein muss. Zusammen mit weiteren Daten wie GPS oder der Funkzelle, in der sich das Gerät befindet, können lückenlose Bewegungsprofile angefertigt werden. Im Prinzip ist das Smartphone ein Peilsender.

Die großen Betriebssystem-Anbieter Google und Apple verknüpfen die Geräte in der Regel mit einem Nutzerkonto, damit man seine Daten in der Cloud nutzen kann. Hier versammelt sich das Adressbuch, private Dateien, Musikdateien, Filme und vieles mehr. Zusammen mit den anderen Daten kann so ein gläserner Mensch entstehen.

Wer datensparsam mit seinem mobilen Geräte umgehen möchte, kann den Datenfluss zwar beschränken – aber kompletter Datenschutz ist kaum erreichbar. Zudem sind Dienste immer häufiger darauf ausgelegt, viele Daten abzufragen und passen ihre Funktionsweise entsprechend an. Stoppt man die Datenübertragung, leidet meist der Komfort. Schaltet man zum Beispiel die Ortungsdienste aus, muss man bei der Suche nach einer Route die Adressen immer per Hand eingeben.