« DSGVO » – Was sollte ich über die neue "Datenschutz-Grundverordnung" wissen?

Was ist die "DSGVO"?

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (auch noch „DSGVO“, „GDPR = General Data Protection Regulation “ oder „RGPD = Règlement général sur la protection des données“ genannt) in Kraft.

Was ist eine europäische Verordung?

Eine europäische Verordnung ist ein Gesetz, welches von der europäischen Union erlassen wird und in allen Mitgliedsstaaten, sowie auch in Luxemburg, befolgt werden muss.

Inwiefern betrifft mich die Verordnung?

Haben Sie sich schon einmal gefragt, wieso Sie immer die gleiche Werbung verfolgt oder wie Unternehmen an Ihre persönliche Handynummer kommen?

Wir hinterlassen jederzeit und überall Spuren, die es ermöglichen, uns zu identifizieren: beim Online-Shopping, durch „Like“-Buttons, durch Treuekarten in Geschäften, ... Man spricht dabei von "personenbezogenen Daten" welche geschützt werden sollten. Daher betrifft diese Verordnung jeden Menschen in Europa.

Was bringt die Verordnung an Neuem mit sichund wieso war sie notwendig?

Die Verordnung ist nicht das erste Gesetz in Bezug auf Datenschutz. Jedes Land hatte vorher bereits seine eigenen Gesetze, welche die Hauptgrundsätze einer europäischen Richtlinie von 1995 berücksichtigten. In Luxemburg war es ein Gesetz von 2002, welches fast 20 Jahre angewandt wurde und nun am 25. Mai außer Kraft tritt.

Je nach Land galten also bisher in Europa verschiedene Gesetze. Dies verlockte zum Beispiel einige Unternehmen dazu, sich in dem Land niederzulassen, welches ihnen das aus ihrer Sicht „beste“ Gesetz anbot (Forum Shopping genannt).
Zudem waren die Gesetze nicht mehr zeitgemäß und enthielten nicht unbedingt Lösungen zu neuen Technologien und Entwicklungen im IT Bereich.

Schließlich waren auch die Strafen nicht mehr angemessen, sodass das Gesetz von vielen Akteuren nicht wirklich beachtet wurde. Für große, multinationale Unternehmen sind beispielsweise Geldstrafen von um die 150.000 Euro oft nicht abschreckend genug. Die neue Verordnung ändert dies, indem sie den Betrag erheblich erhöht.

Im Allgemeinen wird zudem durch die Verordnung das gleiche Gesetz in allen Ländern der europäischen Union gelten und somit der Datenschutz für normale Nutzer/Innen verbessert werden. So wird der Verantwortliche, d.h. derjenige, der unsere Daten sammelt und benutzt (eine Firme, eine Verwaltung, ein Verein, ...), mehr Pflichten haben. Nutzer/innen hingegen bekommen mehr und verstärkte Rechte.

 

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, welche sich auf eine identifizierte oder identifizierbare private Person beziehen. Eine Person ist identifizierbar wenn sie direkt oder indirekt mittels Informationen ausfindig gemacht werden kann.

Es kann sich beispielsweise um folgende Informationen handeln:

  • Die Adresse/E-Mail Adresse
  • Das Geburtsdatum
  • Der genetische Fingerabdruck
  • Die Telefonnummer
  • Die Nummer der Kreditkarte
  • Die Sozialversicherungsnummer
  • Die Schüler-ID
  • Die IP Adresse
  • Das Bild (Foto oder Video) einer Person
  • Die GPS-Daten: eine Information, die es ermöglicht eine Person zu orten

Einige Informationen (z.B. ein Nachname) reichen nicht, um eine Person zu identifizieren. Man kann allerdings von personenbezogenen Daten sprechen, wenn die Kombination mehrerer solcher Information es wiederum ermöglicht, eine Person zu identifizieren (z.B. der Vorname und der Nachname). Ausschlaggebend ist die Möglichkeit eine Person klar zu identifizieren.

! Achtung! Wenn eine private Person personenbezogene Daten für einen ausschließlich privaten oder familiären Zweck sammelt oder benutzt (z.B. eine unveröffentlichte Gästeliste), gilt die Verordnung nicht.

Und was ist mit Metadaten - sind die auch persönlich?

Metadaten sind Zusatzinformationen zu Daten. Diese Informationen beschreiben die Datei und erleichtern somit das Archivieren und Aufrufen der Daten.
Beispiel: Metadaten in Bezug auf ein Foto wären z.B. das Datum und der Ort der Aufnahme, das Modell der Kamera, technische Daten zur Kamera etc.

Tatsächlich können Metadaten personenbezogene Daten sein.

Das Kriteriumpersonenbezogener Daten ist die Identifikation. Ist eine Person nicht bestimmt, kann sie durch die Verbindung mehrerer Daten trotzdem identifiziert werden. So können „normale“ Datenzu personenbezogenen Daten werden.

Beispiel: Die GPS-Daten zu einer Parzelle an sich sind eindeutig keine personenbezogenen Daten. Wenn diese Daten allerdings mit einem Nachnamen und einer Gemeinde in Verbindung gebracht werden, wird es möglich, den Besitzer ausfindig zu machen. Diese Informationen werden dann, vereint, zu personenbezogenen Daten.

Nach dem gleichen Prinzip können auch Metadaten zu personenbezogenen Daten werden, sofernsie es ermöglichen, eine Person zu identifizieren.

gdpr-picto-de.png

Was sind meine Rechte?

Recht auf Information

Artikel 13 der Verordnung

Bevor personenbezogene Daten von Ihnen gesammelt werden dürfen, müssen Sie über diese Sammlung und Ihre daraus folgenden Rechte in Kenntnis gesetzt werden. Diese Information muss klar und für jeden verständlich sein, vor allem für Kinder.

Auskunftsrecht

Artikel 15 der Verordnung

Sie haben das Recht zu jedem beliebigen Zeitpunkt und kostenfrei eine Kopie Ihrer personenbezogenen Daten beim Verantwortlichen anzufragen (z.B. Patientenakte, Kundenakte, Konto eines sozialen Netzwerkes, ...). Hierzu genügt es, mit dem Verantwortlichen Kontakt aufzunehmen und einen Antrag zu stellen.

! Achtung! Im Falle ungerechtfertigter Anträge (z.B. wenn Sie jeden Monat eine Kopie anfragen), kann der Verantwortliche den Antrag ablehnen oder Kosten beanspruchen.

Recht auf Berichtigung

Artikel 16 der Verordnung

Wenn Sie feststellen (z.B. Wenn Sie Ihr Auskunftsrecht ausüben), dass ihre personenbezogenen Daten falsch oder unvollständig sind, können Sie den Verantwortlichen bitten, diese zu korrigieren oder zu ergänzen.

Recht auf Vergessen werden: Löschung und Auslistung

Artikel 17 der Verordnung

Wenn Sie auf eine Information stoßen, welche nicht (mehr) gerechtfertigt ist oder wenn Sie ganz einfach wünschen, dass personenbezogene Daten gelöscht werden, haben Sie zwei Möglichkeiten:

- Sie bitten die Suchmaschine (z.B. Google) um eine sogenannte Auslistung.

Dies bedeutet, dass die Information nicht mehr in den Suchergebnissen zu finden sein wird. Dabei wird sie allerdings nicht vollständig gelöscht.

Beispiel: Sie geben Ihren Namen in die Suchmaschine ein und entdecken ein altes Foto aus ihrer Studentenzeit, welches auf der Seite der Universität veröffentlicht wurde. Nun können Sie die Suchmaschine um eine Auslistung bitten. Wenn Sie nun Ihren Namen erneut in die Suchmaschine eingeben, werden Sie das Foto nicht mehr in den Resultaten finden. Gehen Sie allerdings direkt auf die genannte Internetseite, werden Sie das Foto dort immer noch sehen können. Es wurde nicht von der Internetseite gelöscht; eben nur aus den Resultaten der Suchmaschine.

Die meisten Suchmaschinen stellen Ihnen Formulare zur Verfügung, die Sie online ganz einfach ausfüllen können:
https://www.google.com/webmasters/tools/legal-removal-request?complaint_type=rtbf&visit_id=0-636558362364829420-2556796504&rd=1
(Beispiel eines Formulars von Googles Suchmaschine)

- Sie bitten den Verantwortlichen Ihre Daten zu löschen (z.B. anhand eines Briefes oder eines Formulars). Die Daten werden in diesem Fall tatsächlich gelöscht.

Kann ich alle meine Daten löschen lassen?

Nein. Das Recht auf Vergessen werden ist begrenzt.

- Man darf nie vergessen, dass Daten im Internet von jedermann kopiert werden können bevor sie eventuell gelöscht werden. Es gilt also immer zu beachten, welche Daten, Texte, Fotos, sonstige Inhalte man ins Internet stellt. Nicht umsonst heißt es: "Das Internet vergisst nie".
- Es gibt Ausnahmen. Es ist zum Beispiel nicht möglich die Presse- und Meinungsfreiheit einzuschränken.

Beispiel: Peter wird wegen Raubes verurteilt. Einige Jahre später möchte er sich „googlen“ und stößt dabei auf einen Zeitungsartikel über sein Urteil. Natürlich wird er darin nicht namentlich genannt. Allerdings wird sein Name in der Suchmaschine eindeutig mit dem Fall in Verbindung gebracht. Peter beschwert sich beim Herausgeber der Zeitung und möchte, dass die Information über das Urteil im Zeitungsartikel entfernt wird. Der Herausgeber kann ihm allerdings rechtmäßig seine Pressefreiheit entgegenstellen und darf den Artikel so belassen, wie er war.

Sie waren minderjährig, als personenbezogene Daten von Ihnen veröffentlicht wurden (z.B. Ihre Eltern haben ein Foto von Ihnen auf einem sozialen Netzwerk geteilt)?

Dieser Fall wird durch die GDPR besonders hervorgehoben. Somit ist davon auszugehen, dass die Bedingungen zur Ausübung dieses Rechtes in Bezug auf Minderjährige besonders leicht erfüllbar sind, und damit die Löschung solcher Daten einfacher zu veranlassen ist als vorher.

Recht auf Einschränkung der Verarbeitung

Artikel 18 der Verordnung

Dieses Recht wird oft gleichzeitig mit anderen Rechten benutzt.
Es ermöglicht Ihnen, dem Verantwortlichen vorübergehend die weitere Nutzung Ihrer personenbezogenen Daten zu verbieten, insbesondere bis der Verantwortliche die Genauigkeit Ihrer Daten (cf. Berichtigung), Ihren Grund zur Löschung (cf. Vergessen werden) oder Ihren Einspruchsgrund (cf. Widerspruchsrecht) geprüft hat.

! Achtung! Die Daten werden nicht gelöscht. Sie werden schlichtweg „blockiert“.

Recht auf Datenübertragbarkeit

Artikel 20 der Verordnung

Sie haben das Recht den Verantwortlichen zu bitten, Ihnen Ihre Daten in einem geläufigen und lesbaren Format (z.B. .pdf) zu geben. Sie können ebenfalls vom Verantwortlichen verlangen, dass er Ihre Daten an einen anderen Verantwortlichen Ihrer Wahl weiterleitet (z.B. wenn Sie einen Anbieter wechseln möchten).
Dieses Recht gilt nur für Daten, welche Sie dem Verantwortlichen freiwillig gegeben haben oder wenn die Verarbeitung der Daten auf einem Vertrag beruht.

! Achtung! Dies bedeutet nicht, dass Ihre Daten im Nachhinein gelöscht werden. Der Verantwortliche kann diese weiter verarbeiten und Sie können natürlich weiterhin Ihre Rechte ausüben.

Widerspruchsrecht

Artikel 21 der Verordnung

In manchen Situationen (z.B. wenn Daten für statistische oder Vermarktungszwecke genutzt werden), können Sie sich gegen die Sammlung oder Nutzung Ihrer Daten wehren.

Was heiβt das konkret?

- Die Sammlung personenbezogener Daten erfordert oft Ihr Einverständnis. In diesem Fall können Sie sich schlichtweg weigern Ihre Daten zu übergeben.

Mein Einverständnis ist also nicht immer erforderlich? Nein. Der Verantwortliche kann Daten nur dann sammeln und nutzen, wenn dies auf einer von sechs Rechtsgrundlagen beruht. Dies kann ihr Einverständnis sein, aber auch die Erfüllung eines Vertrags, die Erfüllung einer rechtlichen Verpflichtung, lebenswichtige Interessen einer betroffenen Person, die Erfüllung einer Aufgabe von öffentlichem Interesse oder sogenannte „berechtige Interessen“ des Verantwortlichen.

! Achtung!

Hat eine Internetseite ein Kästchen mit einem Häkchen gekennzeichnet (z.B. „Ich habe die AGBs gelesen und akzeptiere diese“ oder „Ich möchte den Newsletter erhalten“)? In diesem Fall ist ihr Einverständnis nicht bindend. Sie können der Nutzung Ihrer Daten noch einfacher widersprechen, da Sie gesetzlich nie einverstanden waren.

Sind Sie jünger als 16 und eine Internetseite bietet Ihnen direkt einen Online-Dienst an? In diesem Fall genügt Ihr Einverständnis nicht. Der Verantwortliche muss die Zustimmung der Eltern erhalten. (cf. Erwachsensein ab 16)
- Wenn Sie dem Verantwortlichen Ihre Daten schon mitgeteilt haben, können Sie Ihr Einverständnis zurückziehen, indem sie den Verantwortlichen über Ihre Entscheidung informieren. Sie können somit z.B. verlangen, keinen Newsletter mehr zu erhalten.

Widerspruchsrecht im Rahmen von Profiling

Artikel 22 der Verordnung

Profiling ist eine automatische Erstellung eines Verhaltensmuster einer Person, um weitere Informationen davon abzuleiten (z.B. ihre finanzielle Lage, den Gesundheitszustand, ihre Vorlieben, ...).
Sobald das Profiling oder andere automatische Entscheidungen Sie betreffen (z.B. ein System verweigert Ihnen einen Kredit), haben Sie in manchen Situationen das Recht, diese Entscheidung abzulehnen und zu verlangen, dass ein Mensch (und keine Maschine) die Entscheidung trifft.

! Achtung ! Profiling sollte Minderjährige (unter 18) nicht betreffen.

 

Wie steht es um das Erwachsensein ab 16 Jahren?

Die neue Verordnung sieht einen verbesserten Schutz für Minderjährige vor.

Bin ich nun immer ab 16 Jahren volljährig im Internet?

Nein.

Die Verordnung verlangt in manchen Fällen das Einverständnis, um Daten zu sammeln. In diesem einzigen Fall, kann eine Person unter 16 keinem, direkt an ihn gerichteten, Online-Dienst, zustimmen. Der Verantwortliche (Anbieter) muss die Zustimmung der Eltern erhalten.
Ein Online-Dienst kann ein Online-Shop, eine Streaming-Plattform, ein soziales Netzwerk, etc. sein.
! Achtung! Wenn ein Kind ein Forum oder einen Onlinechat anonym besucht, sind keine personenbezogenen Daten betroffen und die Verordnung dürfte nicht angewandt werden. Demzufolge ist die Einwilligung der Eltern, unabhängig vom Alter des Kindes, nicht mehr erforderlich. Inwiefern allerdings die Benutzung eines Pseudonyms dies ändert, ist noch nicht vollständig geklärt.

Gilt diese Altersbegrenzung in allen EU-Ländern?

Die Verordnung ermöglicht allen EU-Mitgliedsstaaten, die Begrenzung bis zu einem Alter von 13 Jahren zu senken. Wenn Sie also jünger sind als 13, wird in allen EU-Ländern zwingend das Einverständnis Ihrer Eltern verlangt.
Zum heutigen Zeitpunkt haben viele Länder noch kein definitives Gesetz verabschiedet. Es zeichnet sich allerdings ab, dass viele Länder (sowie auch Luxemburg) die Altersgrenze von 16 Jahren beibehalten werden.

Wie werden Internetanbieter diese Begrenzung befolgen?

Die Verordnung ist nachgiebig und verlangt lediglich vom Verantwortlichen, dass er das Alter und das Einverständnis anhand „angemessener Anstrengungen“ und „unter Berücksichtigung der verfügbaren Technik“ überprüft.
Zum jetzigen Zeitpunkt, ist es schwer vorherzusehen, wie und ob überhaupt die Internetanbieter das Alter der Nutzer und gegebenenfalls die Einwilligung der Eltern prüfen werden.
Was allerdings sicherlich in den angemessenen Anstrengungen berücksichtig wird, ist das Risiko für das Kind. Je höher das Risiko, desto höher liegt der Anspruch.

 

Was kann ich tun, wenn meine Rechte nicht beachtet werden?

Wenden Sie sich an den Verantwortlichen oder die Suchmaschine

Es ist immer besser eine einvernehmliche Lösung zu finden.

  • Klären Sie den Verantwortlichen über Ihre Rechte und seine Pflichten auf. Nicht jeder hat Kenntnis von der neuen Verordnung genommen.  Oft stellen größere Firme sogar online Formulare zur Verfügung, die es vereinfachen Ihre Rechte auszuüben.

Beispiel vom Facebook Formular zum Auskunftsrecht:
https://fr-fr.facebook.com/help/226281544049399

  • Kontaktieren Sie Suchmaschinen (z.B. Google, Yahoo, …), wenn Sie einfach nur wünschen, dass eine Information unauffindbar werden soll. Die Suchmaschinen sind prinzipiell sehr kooperativ und stellen ebenfalls online Formulare für solche Anträge zur Verfügung.

Beispiel von Googles Auslistung-Formular: https://www.google.com/webmasters/tools/legal-removal-request?complaint_type=rtbf&visit_id=0-636558362364829420-2556796504&rd=1

Reichen Sie eine Beschwerde bei der CNPD ein

Wenn Ihr Vorgehen ergebnislos bleibt, können Sie bei der CNPD (commission nationale pour la protection des données) eine Beschwerde einreichen.
Auf deren Internetseite finden Sie ein Formular, welches Ihnen behilflich ist:
https://cnpd.public.lu/de/particuliers/faire-valoir/formulaire-plainte.html

Holen Sie sich den Rat von einem Rechtsanwalt ein (und legen Sie rechtliche Schritte ein) :

Zu guter Letzt können Sie rechtliche Schritte in die Wege leiten, um die Einhaltung Ihrer Rechte zu erzwingen und gegebenenfalls Schadensersatz zu verlangen.
! Achtung! Bevor Sie einen Rechtsanwalt einschalten, stellen Sie sicher, alle anderen Maβnahmen ausgeschöpft zu haben. Ein Rechtsstreit kann kostspielig und langwierig sein.

 

Weitere Pflichten der Anbieter/Verantwortlichen

Die Verordnung hat nicht nur unsere Rechte als NutzerInnen sondern auch die Pflichten der Verantwortlichen gestärkt.
Die Pflichten der Verantwortlichen/Anbieter drehen sich hauptsächlich um drei neue Konzepte.

Accountability:

„Accountability“, wie Verantwortlichkeit, bedeutet dass der Verantwortliche mehr Verantwortung in Bezug auf ihre personenbezogenen Daten übernehmen muss.

Um das Konzept besser zu verstehen, ist es nicht unwichtig die Lage vor dem Inkrafttreten der Verordnung zu kennen. Wenn eine Firma bisher Daten sammeln wollte, musste sie oftmals Formalitäten erledigen oder eine offizielle Genehmigung erhalten. Oft glaubten die Firmen, auf der sicheren Seite zu sein und berücksichtigten ihre Pflichten nicht mehr zwingend.

Mit der neuen Verordnung muss eine Firma prinzipiell keine offizielle Genehmigung mehr anfragen. Allerdings muss sie zu jedem Zeitpunkt vorweisen können, dass sie die Verordnung beachtet. Konkret bedeutet das, dass ein Verantwortlicher nicht nur Ihr Einverständnis als Nutzer haben muss, sondern dieses Einverständnis zu jedem Zeitpunkt nachweisen müssen kann.

Privacy by design:

Der Verantwortliche muss Ihre personenbezogenen Daten ab der Erstellung und der Bereitstellung seiner Internetseite schützen.
Konkret bedeutet das, dass er das Design der Internetseite an den Datenschutz anpassen muss. Dazu muss er im Voraus beispielsweise überlegen, wie er Funktionen erstellt, die nach dem Einverständnis fragen, die Sie über Ihre Rechte aufklären und weitere Vorkehrungen treffen.

Privacy by default:

Personenbezogene Daten sollen durch datenschutzfreundliche Grundeinstellungen geschützt werden, ohne dass zuerst eine Maßnahme des Betroffenen notwendig ist.
Eine Internetseite, welche im Voraus angekreuzte Kästchen verwendet, verstößt somit gegen das Gesetz. Der Betroffene muss nämlich in diesem Fall selbst handeln (das Häkchen entfernen), um seine Daten zu schützen (sogenanntes "Opt-Out"). Stattdessen sollte "Opt-In" genutzt werden (Das Kästchen ist leer und der/die NutzerIn muss aktiv das Häkchen zur Zustimmung setzen).

Die Verordnung hat allerdings auch bereits existierende Regeln übernommen. So darf der Verantwortliche zwar Daten sammeln, muss allerdings einige Grundsätze befolgen:

  • Rechtmäßigkeit, Loyalität und Transparenz: Der Verantwortliche muss Ihre Rechte einhalten, wenn er Daten sammelt und benutzt.
    Beispiel: Ihre Daten dürfen nicht unwissentlich gesammelt werden (cf. Recht auf Information).
  • Zweckbindung: Der Verantwortliche muss Sie über den Zweck der Sammlung informieren und darf die Daten nur für diesen angegebenen Zweck benutzen.
    Beispiel: Eine Schule sammelt Fotos von ihren Schülern, um eine Schülerakte anzulegen. Die Schule darf diese Fotos später nicht verwenden, um sie in einem Zeitungsartikel zu veröffentlichen.
  • Minimisierung: Der Verantwortliche darf nicht mehr Daten sammeln, als er braucht, um seine Zwecke zu erfüllen.
    Beispiel: Amazon darf Sie nicht nach Ihrer Sozialversicherungsnummer fragen, wenn Sie einen einfachen Einkauf tätigen.
  • Speicherbegrenzung: Der Verantwortliche darf Ihre Daten nicht länger aufbewahren und benutzen, wenn der angegebene Zweck erfüllt ist.
    Beispiel: Eine Schule darf eine Schülerakte nicht 30 Jahre nach dem Verlassen des Schülers immer noch aufbewahren.

Was passiert, wenn der Verantwortliche sich nicht an seine Pflichten hält?

Eine große Neuigkeit der Verordnung besteht in der Erhöhung der Strafen, welche gegen den Verantwortlichen ergriffen werden können. Sie wurde von etwa 150.000 Euro auf bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erhöht.
Dieses hohe Strafmaß soll dazu beitragen, dass große, multinationale Unternehmen noch mehr in die Pflicht genommen werden.

Nützliche Links

Um weitere Information zu erhalten, können Sie die Seite de CNPD besuchen oder sich an deren Handbuch wenden.

… Internetseite der CNPD: https://cnpd.public.lu/de.html
… Handbuch: https://cnpd.public.lu/fr/publications/brochures/brochures/brochure-rt-st1/brochre-rt-st-en.html

Auf der Internetseite der französischen commission nationale de l’informatique et des libertés (CNIL), finden Sie Muster von Briefen, welche Ihnen helfen, Ihre Rechte auszuüben. Diese Muster müssen allerdings noch an die Verordnung angepasst werden (Stand April 2018).

https://www.cnil.fr/modeles/courrier

Für weitere Erklärungen der DSGVO anhand von Videos:
https://cnpd.public.lu/fr/dossiers-thematiques/Reglement-general-sur-la-protection-des-donnees.html
https://www.youtube.com/watch?v=u4M5lVYv3UI
https://www.youtube.com/watch?v=KRZACR6GPVA

Für ein pädagogisches Arbeitsheft:
https://www.jedecide.be/sites/default/files/2018-01/Fiche%20p%C3%A9dagogique_0.pdf

Für eine einfache und schematische Erklärung der DSGVO :
https://eugdprcompliant.com/

https://cnpd.public.lu/de/particuliers/faire-valoir/formulaire-plainte.html

Download

 

pubthumb-BIG-DATA-GDPR-DE.png

 

Themen (new) : 

Datenschutz

Deutsch
Pictogramm: 
pictos-themen-datenschutz.png