Fragen und Antworten zur Datenschutzgrundverordnung

Fragen und Antworten zur Datenschutzgrundverordnung

Von Ildiko Holderer

  • EU-weite Änderungen im Datenschutz
  • Sanktionen seit dem 25. Mai 2018 möglich
  • Verordnung stärkt den Verbraucher

Seit 25. Mai 2018 können Verstöße gegen die Datenschutzgrundverordnung mit Bußgeldern sanktioniert werden. Viele Vereine und Unternehmen haben sich dieses Datum deshalb rot angestrichen. Was bedeutet die neue Verordnung für mich persönlich als User? Unser FAQ beantwortet Alltagsfragen.

Dürfen Facebook, Google, Whatsapp und Co. meine Daten noch sammeln, auswerten und der Werbeindustrie zur Verfügung stellen?

Ja, eine Weitergabe der Daten an Dritte ist nach wie vor möglich. Allerdings müssen die Unternehmen User darüber informieren, welche Daten sie erheben und zu welchem Zweck die Daten von wem verarbeitet werden (Art. 15 der DSGVO). User können außerdem verlangen, über die Dauer der Speicherung informiert zu werden.

Recht auf Kopie der Daten

"Zusätzlich zum Auskunftsrecht haben Betroffene das Recht, von dem Verantwortlichen eine kostenlose Kopie aller verarbeiteten Daten zu verlangen", so Datenschutzexperte Jan Rensinghoff.

Dieses Recht hat allerdings auch seine Schranken, erklärt Rensinghoff: "Nach Art. 15 Abs. 4 EU-DSGVO darf dieses Recht die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Dem Recht auf Herausgabe einer Kopie können zum Beispiel Geschäftsgeheimnisse entgegenstehen."

Wenn ich ein Foto mache, auf dem Passanten zu sehen sind – muss ich da mehr beachten als bisher?

Wenn ich ein Foto mache, auf dem Passanten zu sehen sind – muss ich da mehr beachten als bisher?

Auch Fotos sind personenbezogene Daten im Sinne der DSGVO, denn abgelichtete Personen können in der Regel leicht identifiziert werden. Außerdem können die Fotos Auskunft darüber geben, wo sich eine Person wann aufgehalten hat. Streng genommen gilt nach der DSGVO schon das Fotografieren als Datenerhebung, für die es grundsätzlich eine Einwilligung vom Fotografierten braucht – allerdings gibt es eine Ausnahme für "persönliche oder familiäre Tätigkeiten".

Was aber ist mit der Veröffentlichung von Fotos? Hier gilt nach wie vor das Kunsturhebergesetz. Demnach müssen Personen der Veröffentlichung eines Fotos von sich grundsätzlich einwilligen – mit ein paar Ausnahmen. Eine davon: Die Personen im Bild erscheinen nur als "Beiwerk", zum Beispiel neben Sehenswürdigkeiten oder einer Landschaft.

Auch die DSGVO sieht Ausnahmen vor, in denen eine Einwilligung aller fotografierten Personen zur Veröffentlichung nicht zwingend notwendig ist, beispielsweise zu journalistischen oder künstlerischen Zwecken (Artikel 85).

Ob das Kunsturhebergesetz nun im Widerspruch zur DSGVO steht, wird von Juristen unterschiedlich bewertet. Einige Juristen sind der Ansicht, dass private Fotografen nicht unter das Medienprivileg der DSGVO fallen. „Nach dieser Ansicht wäre eine Einwilligung des Abgelichteten praktisch immer erforderlich“, so  Jurist und Datenschutzexperte Jan Rensinghoff von der Technischen Universität Dortmund. Laut Bundesinnenministerium jedoch sind in Bezug auf das Kunsturhebergesetz "keine Änderungen oder gar eine Aufhebung mit Blick auf die Datenschutzgrundverordnung vorgesehen". Man wird vermutlich die Urteile abwarten müssen, die sich mit dem Thema befassen.

Muss ich etwas Besonderes beachten, wenn mein 14-jähriges Kind Apps nutzt oder im Internet recherchiert?

Grundsätzlich sind es eher die Unternehmen, die hier etwas beachten müssen. Denn personenbezogene Daten dürfen von Kindern und Jugendlichen unter 16 Jahren nicht mehr erhoben werden, außer die Erziehungsberechtigten stimmen dem zu. Jeder EU-Staat kann die Altersgrenze außerdem bis auf 13 Jahre heruntersetzen.

Unternehmen müssen sich vergewissern, dass wirklich die Eltern oder andere Erziehungsberechtigte ihre Einwilligung gegeben haben (Art. 8, Abs. 1).

Muss mein Arzt jetzt sorgfältiger mit meinen Daten umgehen?

Auch vor der Datenschutzgrundverordnung musste Ihr Arzt sorgfältig mit Ihren Daten umgehen. Denn Krankendaten gehören zu den besonders sensiblen Daten und sind auch gemäß dem Bundesdatenschutzgesetz vor Missbrauch geschützt.

"Ein Arzt ist nach Artikel 9 Absatz 2 der DSGVO zur Verarbeitung von Gesundheitsdaten berechtigt. Allerdings fällt ein Missbrauch dieser Daten natürlich unter das neue Sanktionsregime der DSGVO, das sehr scharf ausgestaltet wurde", sagt Jan Rensinghoff von der Technischen Universität Dortmund.

Gilt mein "Recht auf Vergessenwerden“ auch uneingeschränkt für soziale Medien?

Das "Recht auf Vergessenwerden" bedeutet, dass jede betroffene Person von Datenverarbeitern verlangen kann, ihre personenbezogenen Daten zu löschen. Dieses Recht "gilt grundsätzlich auch für personenbezogene Daten, die bei sozialen Netzwerken erhoben oder verarbeitet werden – sofern einer der Gründe des Artikel 17 Absatz 1 EU-DSGVO zutrifft", so Datenschutzexperte Jan Rensinghoff.

Einer dieser Gründe wäre beispielsweise, dass die personenbezogenen Daten für die ursprünglichen Zwecke nicht mehr benötigt werden (Art. 17, Abs. 3). Allerdings gibt es auch hier Einschränkungen: Zum Beispiel, wenn die Verarbeitung zur Ausübung auf die Meinungsfreiheit erforderlich ist oder für im öffentlichen Interesse liegende Archivzwecke (s. Art. 17, Abs. 3 der DSGVO).

Wie kann ich überprüfen, was Unternehmen oder Behörden mit meinen Daten machen?

"Nach Artikel 15 Absatz 1 der DSGVO hat jeder das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden", sagt Datenschutzexperte Jan Rensinghoff.

Sei dies der Fall, so habe die Person ein Recht auf Auskunft über diese personenbezogenen Daten und die Zwecke der Verarbeitung. Allerdings gilt das zum Beispiel nicht für Behörden, die Daten verarbeiten um Straften zu verhüten oder zu verfolgen oder um Gefahren für die öffentliche Sicherheit abzuwehren (Art. 2, Abs. 2).

Eine bestimmte Form, in der User die Auskunft verlangen können, sieht das Gesetz nicht vor. Theoretisch kann man also beim Unternehmen telefonisch, schriftlich, per Mail, mündlich oder per Fax anfragen. "Das Problem ist, dass man als Verbraucher nur schwer nachhalten kann, ob wirklich alle Daten herausgegeben wurden", so Rensinghoff. Inwiefern die Datenschutzbehörden das in Zukunft überprüfen, ist derzeit noch unklar.

Muss ich jetzt auch die Daten von anderen schützen, zum Beispiel meine Telefon-Kontakte vor Facebook und Co.?

Jeder kann nur für die Verarbeitung seiner eigenen Daten eine Einwilligung geben. "Insofern sehe ich die Verantwortlichkeit bei einer Verarbeitung der eigenen Kontakte bei den sozialen Netzen selbst", sagt Datenschutzexperte Jan Rensinghoff. Natürlich kann man aber durch Voreinstellungen darauf achten, dass Apps auf möglichst wenige Smartphone-Daten Zugriff haben.

Ich betreibe eine Homepage. Was muss ich beachten?

Ob privater Blog oder Unternehmenswebsite: Betreiber einer Homepage müssen aufgrund der DSGVO einige Punkte beachten. Unter anderem sind das:

Technikgestaltung und datenschutzfreundliche Voreinstellungen: Webseiten müssen technisch so organisiert sein, dass sie so wenige Daten wie möglich erheben und speichern (Art. 25). Mit "Daten" sind dabei auch schon die IP-Adressen der Nutzer gemeint, die die Seite aufgerufen haben. Als Nachweis darüber können genehmigte Zertifizierungsverfahren dienen (Art. 42).

Grundsatz der Transparenz: Informationen über die Datenverarbeitung müssen in verständlicher, klarer und einfacher Sprache formuliert sein (Art. 58).

Datenschutzerklärung: Webseiten-Anbieter sind verpflichtet, eine DSGVO-konforme Datenschutzerklärung bereitzustellen. Auch ein Hinweis auf Cookies sollte nicht fehlen, sofern diese eingesetzt werden.

"Außerdem müssen Betreiber auf den Einsatz von Google Analytics und die Erfassung der persönlichen Daten hinweisen. Auf die Verwendung von Social Media Angeboten (Social Plugins) ist ebenfalls in der Datenschutzerklärung hinzuweisen", sagt Jan Rensinghoff von der Technischen Universität Dortmund. Hier können zum Beispiel Datenschutzerklärungs-Generatoren aus dem Internet hilfreich sein.

Auch private Betreiber können haften

"Auch als privater Anbieter kann ich haften, wenn ich eine Website betreibe, die nicht ausschließlich privaten oder familiären Zwecken dient", sagt Datenschutzexperte Rensinghoff. Sobald also auch nur teilweise kommerzielle Interessen hinter der Webseite stehen, müssen Betreiber auf die DSGVO-Vorgaben achten. Das ist schon der Fall, wenn Werbung geschaltet wird.

Was passiert, wenn ich bei Verstößen erwischt werde?

"Datenschutzbehörden honorieren es erfahrungsgemäß, wenn sie merken, dass sich ein Unternehmer bemüht", sagt Rechtsanwalt Henning Krieg. Zunächst stehen die Datenschutzbehörden der Länder den Unternehmen auch in beratender Funktion zur Seite, kleinere Verstöße können abgemahnt werden.

Wenn es zu einer Geldbuße kommt, ist unter anderem die Art, Schwere, Dauer und der vorsätzliche Charakter des Verstoßes entscheidend für die Höhe der Strafe. Eine einzelne Geldbuße kann bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Jahresumsatzes eines Unternehmens betragen (Art. 83).

Wie geht der WDR mit dem Thema DSGVO um?

Die Datenschutzgrundverordnung wirkt auf viele Bereiche im WDR. Dabei gelten speziell im Online-Angebot des WDR auch die gleichen Regeln, wie für andere Unternehmen und private Website-Betreiber. Der WDR hat sein Angebot technisch grundsätzlich so organisiert, dass so wenige personenbezogene Daten wie möglich erhoben und gespeichert werden. Da das WDR-Angebot frei von Werbung und kommerziellen Interessen ist, benötigt der WDR auch kein ausführliches Profil seiner Nutzerinnen und Nutzer. Trotzdem müssen einige Daten beim Aufruf von WDR-Seiten mit dem abrufenden Browser ausgetauscht werden, um einen reibungslosen Betrieb sicherzustellen.

Anonym surfen beim WDR?

In sogenannten Logfiles speichert der WDR automatisiert Daten, die für den WDR keine eindeutigen Rückschlüsse auf die jeweilige Person ergeben:

  • IP-Adresse des anfragenden Geräts,
  • Datum und Uhrzeit des Zugriffs,
  • Name und URL der abgerufenen Datei,
  • Website, von der aus der Zugriff erfolgt,
  • verwendeter Browser und ggf. das Betriebssystem des Geräts sowie der Name des Providers.

Die genannten Daten werden durch den WDR ausschließlich zu folgenden Zwecken verarbeitet:

  • Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,
  • Gewährleistung einer komfortablen Nutzung der Website, Webanalyse und Webstatistik
  • Zur Optimierung des redaktionellen Inhaltes bzw. zur Planung des in Zukunft angezeigten Inhalts einschließlich der Konzeption der Benutzerführung
  • Auswertung der Systemsicherheit und Systemstabilität sowie
  • zu weiteren administrativen Zwecken.

Diese Logfiles sind vor Zugriff besonders geschützt.

Inhalte von Drittplattformen wie Twitter, Instagram & Co

Einige Seiten im WDR-Angebot beinhalten zusätzlich Tweets oder Posts von Drittanbietern. Diese Anbieter speichern dabei Daten, wie z.B. IP-Adressen, auf ihren eigenen Servern. Bei einem ersten Aufruf solcher WDR-Seiten werden diese zusätzlichen Einbettungen unterdrückt. Per Klick können sie bei Einverständnis freigegeben werden. Diese Einstellungen merkt der WDR sich über sogenannte Cookies.

Cookies

Ein sogenannter Cookie ist eine kleine Datei, die im abrufenden Browser hinterlegt wird und den Abruf einzelner Seiten sinnvoll steuern kann. Der WDR setzt solche Cookies aus technischen Gründen ein, um den Betrieb komfortabler machen. Eine Nutzung der WDR-Angebote ist aber auch ohne Cookies möglich. Es gibt entweder im Browser oder auf der Seite der Datenschutzerklärung die Möglichkeit, dem Einsatz der einzelnen Cookies zu widersprechen.

Eindeutige personenbezogene Daten

Eindeutige personenbezogene Daten werden nur mit Einverständnis abgefragt. Bei Programmaktionen, kleinen Gewinnspielen oder Anfragen und Kontaktmöglichkeiten fragt der WDR auch nach Name und E-Mail-Adresse. Für die Speicherung dieser Daten wird in der jeweiligen Nutzungsbedingung das Einverständnis auf Speicherung abgefragt. Diese Daten werden nicht an Dritte weitergeben sondern ausschließlich für diesen Zweck innerhalb des WDR genutzt.

Sicherheitsmaßnahmen

Der WDR trifft organisatorische und technische Maßnahmen, um sicherzustellen, dass die im WDR verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen geschützt sind.

Transparenz, Auskunft und Beschwerden

Ausführliche Informationen zum WDR Datenschutz gibt es auf der Seite der Dateschutzerklärung. Auf schriftliche Anfrage informiert der WDR über die gespeicherten personenbezogenen Daten. Diese werden auf Antrag geändert oder gelöscht. Bei Beschwerden hilft die Datenschutzbeauftragte des WDR.

Stand: 15.05.2018, 06:00