Endlich mehr Datenschutz – das verspricht die europäische Datenschutz-Grundverordnung (DSGVO), die am 25. Mai verpflichtend in den EU-Mitgliedstaaten umgesetzt wird. Doch zwei Wochen vor dem Stichtag gibt es noch viele strittige Punkte und reichlich Diskussionen. Was die DSGVO ist und was sich ändert, hatten wir schon in einem ersten Artikel erklärt. In den folgenden FAQ greifen wir einige der wichtigsten Fragen aus Verbrauchersicht auf.

Muss ich die neuen Geschäftsbedingungen von Onlinediensten akzeptieren?

Wer Onlinedienste wie Google, Streamingdienste wie Netflix, Apps wie WhatsApp oder soziale Netzwerke wie Facebook weiter verwenden will, der muss sich weiterhin deren Geschäftsbedingungen fügen. Natürlich können alle Nutzerinnen und Nutzer die neuen AGB pauschal ablehnen, wenn sie ihnen nicht behagen. Aber dann können sie die jeweiligen Dienste ab dem 25. Mai möglicherweise nicht mehr oder nur noch eingeschränkt verwenden.

Nach oben Link zum Beitrag

Ändert sich mit der DSGVO etwas an der Praxis des Datensammelns?

Nicht wirklich. Facebook und andere soziale Netzwerke und Onlineangebote dürfen auch weiterhin persönliche Daten sammeln. Sie dürfen sie weiter verwenden, um auf deren Basis personalisierte Anzeigen zu schalten. Darin willigen die Nutzer und Nutzerinnen mit der Bestätigung der Nutzungsbedingungen ein (auch wenn sie das etwa auf Facebook in den Werbepräferenzen wieder ändern können). Firmen können außerdem Daten weitergeben, wenn ein "berechtigtes Interesse" vorliegt oder die Weitergabe einer Vertragserfüllung dient.

Nach oben Link zum Beitrag

Es ändert sich also nichts?

Ein bisschen ändert sich schon; Unternehmen können nicht alles beim Alten belassen. Sie müssen ihre AGB beispielsweise leicht verständlich und in einfacher Sprache verfassen. Sie müssen erklären, zu welchen Zwecken sie Daten erheben sowie verarbeiten. Sie dürfen die Nutzung eines Dienstes nicht automatisch an eine Newsletteranmeldung knüpfen – bisher ist das gerade bei Onlineshops und Gewinnspielen eine beliebte Praxis. Und sie müssen Daten löschen und zum Download anbieten. Nicht zuletzt überdenken viele Onlinedienste vor dem Start der DSGVO, welche Daten sie mit Dritten teilen. So überprüfen derzeit sowohl Facebook als auch Apple, welche Apps von Dritten eigentlich welche Daten sammeln – und schränken deren Zugriff unter Umständen ein.

Nach oben Link zum Beitrag

Wie kann ich meine Daten mit Hilfe der DSGVO einfordern?

Der Nutzer kann jederzeit die personenbezogenen Daten anfragen, die eine Website über ihn gespeichert hat – egal, ob es sich um einen kleinen Blog, einen Onlineshop wie Zalando, die App der Deutschen Bahn oder Facebook handelt. Die Unternehmen müssen nicht nur die Informationen selbst an den Anfragenden aushändigen, sondern auf Nachfrage auch erklären, zu welchem Zweck die Daten verwendet werden. Vorlagen für Anschreiben bieten beispielsweise die Verbraucherzentralen oder die Website Deine Daten, deine Rechte an,  die vom Bundesjustizministerium gefördert wird. Binnen eines Monats müssen die Firmen die Informationen bereitstellen.

In den Einstellungen können Facebook-Nutzer die über sie gespeicherten Daten einsehen. © Screenshot

Auf Facebook finden die Nutzerinnen und Nutzer diese in den Einstellungen unter Deine Facebook-Informationen. Dort können sie Aktivitäten wie Likes oder die eigene Zahlungshistorie einsehen, ihre Daten herunterladen oder ihr Konto inklusive aller Informationen löschen. Auch Google bietet eine solche Funktion: Unter Mein Konto zeigt die Suchmaschine den Punkt Inhalte kontrollieren an. Ähnliche Einstellungen gibt es bei allen anderen Diensten, sie sind aber teilweise versteckt.

Nach oben Link zum Beitrag

Und wann kann ich die Daten löschen?

Die Löschung der Daten ist ebenfalls eine Neuerung, die durch die DSGVO in Kraft tritt. Nutzerinnen und Nutzer können ihre Informationen entfernen lassen, wenn sie nicht mehr für aktuelle Prozesse verwendet werden. Brauchen würde ein Unternehmen Daten wie Adresse oder Kontonummer beispielsweise noch, wenn der Nutzer über den Onlineshop etwas bestellt hat, das noch nicht ausgeliefert ist. Wenn ein Nutzer aber nicht mehr auf der Website aktiv sein will, müssen die Unternehmen alle bisher gespeicherten Daten von ihren Servern entfernen. Wer schon einmal versucht hat, ein Facebook-Konto zu löschen, weiß, dass das vor Inkrafttreten des neuen Gesetzes nicht so einfach war.

Nach oben Link zum Beitrag

Aber woher weiß ich, ob meine Daten wirklich gelöscht sind?

Wenn ein Unternehmen die Daten einer Nutzerin löscht, muss es sie darüber informieren. Gewöhnlich wird der Anbieter eine E-Mail zur Bestätigung schicken und mitteilen, welche Daten gespeichert waren und nun entfernt wurden. Passiert das nicht innerhalb der Vier-Wochen-Frist, sollte die Betroffene nachhaken oder die Datenschutzbeauftragten informieren (siehe unten).

Ein Problem bleibt allerdings: Ob das Unternehmen die Daten tatsächlich gelöscht hat, lässt sich von außen nicht überprüfen. Das verdeutlichte kürzlich erst der Facebook-Skandal: Zwar hatte das soziale Netzwerk Cambridge Analytica dazu aufgefordert, die illegal erworbenen Daten zu entfernen. Doch obwohl die Datenanalysefirma das Facebook gegenüber bestätigt hatte, nutzte sie die Informationen der Facebook-Nutzer weiter – mutmaßlich bis 2017.

Nach oben Link zum Beitrag

Wie schützt die DSGVO Kinder?

Mehr theoretisch denn praktisch. Die Verordnung erlaubt die Verarbeitung personenbezogener Daten erst ab dem 16. Lebensjahr. Der Messenger WhatsApp hat deshalb gerade erst das Mindestalter für die Nutzung der App von 13 auf 16 Jahre erhöht. Jüngere Menschen können aber trotzdem chatten, sie benötigen dafür bloß eine "Einwilligung durch den Träger der elterlichen Verantwortung". Doch wie Unternehmen tatsächlich überprüfen sollen, ob eine Nutzerin oder ein Nutzer minderjährig ist oder ob es sich um die richtigen Eltern handelt, ist unklar. Im Gesetzestext wird lediglich von "unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen" gesprochen. Möglicherweise genügt es, wenn Dienste ihre App in den App-Stores erst ab 16 Jahren anbieten. Dann läge es an den Eltern, entsprechenden Kinderschutz auf dem Smartphone oder Computer einzurichten – und diesen auch regelmäßig zu überprüfen.

Nach oben Link zum Beitrag

Was bedeutet die DSGVO für Fotografen?

Wenn es um Fotos von Personen geht, ist die Unsicherheit groß. In Deutschland wurden solche Aufnahmen bislang durch das Kunsturhebergesetz (KUG) geregelt. Es beinhaltet das "Recht am eigenen Bild", wonach Bilder von Personen nicht ohne deren Erlaubnis veröffentlicht werden dürfen. Es sei denn, sie befinden sich auf öffentlichen Veranstaltungen oder sind bloß "Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit". Wer den Eiffelturm knipst und dabei ein paar Touristen im Hintergrund als Beifang auf dem Bild hat, kann dieses also trotzdem auf Instagram teilen.

Die neue EU-Verordnung könnte diese Regelung aber trumpfen. Denn klar ist, dass Fotos von Menschen personenbezogene Daten darstellen – und somit auch dem Gesetz unterliegen. Übertrüge man die DSGVO konsequent, hätte jede Person, die auf einem Bild zu sehen ist, datenschutzrechtliche Ansprüche, könnte also Informationen zur Verarbeitung von den Fotografen anfordern oder ein Widerspruchsrecht gültig machen. Um sich abzusichern, müssten sich Fotografinnen schon vor der Aufnahme, also vor der Datenerhebung, eine rechtssichere Einwilligung von allen Abgebildeten abholen. In der Praxis ist das natürlich kaum möglich.

Es gibt Ausnahmen, die jedoch ebenfalls teils unterschiedlich interpretiert werden. Für Privatpersonen besagt der Erwägungsgrund 18, die DSGVO greife nicht bei "Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten". Dazu zählt explizit auch "die Nutzung sozialer Netze und Online-Tätigkeiten". Unklar ist, ob damit nur nichtöffentliche Profile gemeint sind und wo die Grenze zur persönlichen Tätigkeit gezogen wird. Die Tendenz scheint aber dorthin zu gehen, dass rein privat angefertigte Aufnahmen auch künftig keine Probleme verursachen sollten. "Große Panikmache ist unangebracht", schreibt der Rechtsanwalt Florian Wagenknecht dazu auf seiner Website rechtambild.de.

Wer Fotos dagegen gewerblich erstellt und verarbeitet, und dazu kann auch das Instagram-Profil eines Fotografen zählen, muss nach Einschätzung des Medienanwalts Christian Solmecke bald eine Erlaubnisnorm der DSGVO haben. Das müsse aber nicht immer eine schriftliche Einwilligung sein, sondern Fotografen könnten sich auch auf "berechtigte Interessen" beziehen: Auf einem Konzert etwa könnte der Veranstalter ein berechtigtes Interesse an der Aufnahme der Besucher haben. Das könnte eine Datenverarbeitung auch ohne Einwilligung erlauben, sofern an der Eingangstür auf Aufnahmen hingewiesen wird.

Wie das auf der Straße und im Alltag aussieht, ist eine andere Frage, die nicht abschließend geklärt ist. Prinzipiell haben die Mitgliedsländer die Option sogenannter Öffnungsklauseln, worin auch die Datenverarbeitung zu "künstlerischen Zwecken" enthalten ist. Es gäbe die Möglichkeit, sowohl das Kunsturhebergesetz als auch das Medienprivileg einfach weiter anzuwenden, denn auch die Presse genießt eine Ausnahmeregelung. "Leider hat der Bundesgesetzgeber sich hier nicht klar positioniert", schreibt Solmecke. Wie genau künftig persönliche, gewerbliche und künstlerische Aufnahmen anderer Menschen unter die Regeln der DSGVO fallen, müssten seiner Meinung nach die Gerichte entscheiden, um abschließend Rechtssicherheit zu schaffen.

Nach oben Link zum Beitrag

Drohen neue Abmahnwellen?

Wo es Rechtsunsicherheit gibt, sind Abmahnungen nicht weit. Die DSGVO sei "prädestiniert für Abmahner und engstirnige Prinzipienreiter", schrieb der Rechtsanwalt und langjährige DSGVO-Kritiker Niko Härting kürzlich auf Twitter. Es wird unter anderem befürchtet, spezialisierte Kanzleien und Abmahnvereine könnten Websites auf ihre Datenschutzerklärungen hin untersuchen und den Betreibern, sollten sie ihre Website nicht zum 25. Mai DSGVO-konform gemacht haben, eine Abmahnung schicken. Wettbewerber könnten sich somit untereinander anschwärzen und selbst private Websitebetreiber könnten plötzlich in das Netz der Abmahnindustrie geraten.

Wie berechtigt diese Ängste sind, ist schwer zu sagen. Abmahnungen sind nach Ansicht von Anwälten zwar nicht ausgeschlossen, aber inwiefern Datenschutzverstöße etwa unter das Gesetz gegen den unlauteren Wettbewerb (UWG) fallen, muss jeweils im Einzelfall geklärt werden und ist nach Ansicht mancher Experten durchaus strittig. Sollte eine Abmahnung im Briefkasten liegen, ganz gleich, ob es sich um Privatpersonen oder Unternehmen handelt, wird empfohlen, nicht einfach eine Unterlassungserklärung zu unterschreiben, sondern zunächst einen Anwalt zu befragen.

Nach oben Link zum Beitrag

An wen kann ich mich bei Fragen und Problemen wenden?

Für die Umsetzung der DSGVO spielen die Datenschutzbeauftragten eine zentrale Rolle – einmal in Unternehmen und einmal in den Behörden der Länder. Firmen brauchen ihre eigenen Beauftragten, wenn mehr als neun Mitarbeiter Daten automatisiert verarbeiten oder speichern. Die Kontaktinformationen der Personen müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden. Betroffene können auch eine allgemeine Anfrage an das Unternehmen schicken.

Reagieren Unternehmen nicht auf Anfragen oder auf den Hinweis eines Verstoßes gegen die DSGVO, können sich Betroffene an die Datenschutzbeauftragten der Länder oder des Bundes wenden. "Die Datenschutzbehörden sind für uns als Verbraucherinnen und Verbraucher starke Verbündete", sagte Julian Jaursch, Referent des Vereins Digitale Gesellschaft, bei seinem Vortrag auf der re:publica. "Die stehen uns zur Seite, wenn es mal zu Datenverstößen kommt und die Unternehmen beispielsweise nicht auf Kritik reagieren."

Wenn sich der Nutzer oder die Nutzerin nicht an die richtige Behörde wendet, leitet diese die Anfrage an die richtige Stelle weiter. Auch Verbraucherzentralen können eine Anlaufstelle sein, denn laut des neuen Gesetzes dürfen "eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht" im Auftrag der Verbraucher Beschwerde einlegen – oder im Notfall klagen. Die Websites der Datenschutzbeauftragten im Überblick:

Nach oben Link zum Beitrag

Kann sich noch etwas an dem Gesetz ändern?

Vor dem 25. Mai vermutlich nicht. Der Gesetzgebungsprozess auf EU-Ebene ist langwierig und Änderungen und Erweiterungen werden nicht über Nacht entschieden. Am kommenden Dienstag findet im EU-Parlament aber noch eine Sitzung über den aktuellen Stand der Anpassungen statt. Dann können zumindest Vertreter der Mitgliedstaaten noch einmal von Problemen berichten. In der vergangenen Woche klagten etwa 17 der 24 nationalen Datenschutzbehörden nach Berichten der Nachrichtenagentur Reuters über Personalmangel und fehlende Kompetenzen. Wenn es Anpassungen geben sollte, sind sie mittelfristig und zunächst auf Landesebene zu erwarten. So kritisierte die Bundeskanzlerin Angela Merkel am Mittwoch auf einer Kreisvorsitzendenkonferenz der CDU in Berlin die bisherige Umsetzung: Manches sei "wirklich eine Überforderung", sagte Merkel. Sie wolle sich dazu jetzt erst einmal mit Bundesinnenminister Horst Seehofer beraten.

Nach oben Link zum Beitrag