DSGVO – Welche Rechte und Pflichten für Privatpersonen gibt es?

Im Mai 2018 trat die neue DSGVO in Kraft. Im Zuge dessen erhielten unzählige Privatpersonen E-Mails von Firmen, die darum baten, den neuen Richtlinien der Datenschutz-Grundverordnung zuzustimmen, damit sie weiterhin Newsletter & Co. verschicken dürfen. Aber was bedeutet die neue EU-Datenschutzverordnung überhaupt? Muss man sich als Privatperson damit auseinandersetzen oder ist es vielleicht sogar in Bezug auf die Datensicherheit gefährlich, überall den Haken bei „ich stimme zu“ zu setzen?

Was ist die DSGVO? Einfach erklärt!

Die bis 2018 geltende Richtlinie für den Datenschutz innerhalb der EU hatte rund zwei Jahrzehnte auf dem Buckel – sie war von 1995, einer Zeit, wo Facebook und Instagram noch gar nicht geboren waren, und bedurfte dringend einer Überholung. DSGVO steht als Abkürzung für die Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft trat und Regeln zur Datensicherheit für alle EU-Länder gleichermaßen festschreibt. Die Verordnung enthält 99 Artikel, die den Umgang mit personenbezogenen Daten einheitlich regelt.

Warum müssen personenbezogene Daten geschützt werden?

Um diese Frage zu beantworten sollte klar sein, was „personenbezogene Daten" überhaupt sind. Nach Definition der DSGVO (Art. 4 DSGVO) sind das alle Daten zu einer Person, die sich zuordnen lassen wie z.B. Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in den sozialen Medien, Angaben zum Wohnort, medizinische Daten oder IP-Adressen. Gerade über Social-Media-Plattformen ist es leicht, die politische Gesinnung einer Privatperson zu deuten oder Informationen zu deren Gesundheit bzw. Sexualität zu erfahren. Dieser Eingriff in die Privatsphäre geht vielen zu weit.

DSGVO – Privatpersonen und ihre Rechte

Die DSGVO als gesetzliche Grundlage erhebt den Datenschutz innerhalb der EU zum Grundrecht eines jeden einzelnen Bürgers. Privatpersonen erhalten so die Möglichkeit zu kontrollieren, ob ihre Daten zu rein kommerziellen Zwecken gespeichert werden und dieses, wenn gewünscht, zu unterbinden.

Dafür ergeben sich folgende Rechte (eine Auswahl):

• Auskunftsrecht

Kunden können Auskunft dahingehend verlangen, welche ihrer Personendaten von Unternehmen gespeichert und zu welchen Zwecken diese genutzt werden. Auch, ob Daten eventuell weitergegeben wurden, muss wahrheitsgemäß offengelegt werden. (Art. 15 DSGVO)

• Löschung/“Vergessenwerden“

Privatpersonen, die keine Speicherung ihrer Daten wünschen, können auf Löschung bestehen. Allerdings besteht nur dann ein Löschungsanspruch, wenn die verantwortliche Stelle die Daten nicht etwa noch zur Vertragsabwicklung oder Rechnungsstellung benötigt oder wenn die Daten nicht, z. B. innerhalb steuerlicher Aufbewahrungsfristen aufgrund gesetzlicher Verpflichtung, gespeichert werden müssen. (Art. 17 DSGVO)

• Korrektur

Falsche oder veraltete Daten müssen unverzüglich berichtigt werden, wenn es der Wunsch ist. (Art. 16 DSGVO)

• Datenübertragung

Gespeicherte Daten müssen problemlos von einem Anbieter zum nächsten übertragen werden können. Wenn jemand den Mobilfunkanbieter wechselt, muss sichergestellt sein, dass Daten wie Kontakte oder in einer Cloud gespeicherte Fotos übertragbar sind. (Art 44-50 DSGVO)

• Benachrichtigung

Sollte die Datensicherheit aufgrund eines Hackerangriffs oder Datenlecks verletzt worden sein, muss die betroffene Privatperson innerhalb von 72 Stunden darüber informiert werden. (Art. 34 DSGVO)

• Information und Widerspruch

Bevor Daten gesammelt werden, muss die betreffende Person darüber informiert werden. Ebenfalls über den Zweck, wie lange die Daten gespeichert werden sollen und über die eventuelle Rechtsgrundlage. Dieses muss ausdrücklich erlaubt werden. Außerdem kann man der Sammlung bzw. Speicherung widersprechen oder diese einschränken – die Daten dürfen dann nicht – oder nur bedingt – verwendet werden. (Art. 6 DSGVO)

DSGVO: Wie lange dürfen Daten gespeichert werden?

Laut Art, 5 DSGVO dürfen personenbezogene Daten grundsätzlich nur für einen bestimmten Verarbeitungszweck und nur so lange gespeichert werden, wie es für diesen Zweck nötig ist. Dieser Verarbeitungszweck ist schon vor Beginn der Verarbeitung mit der Datenschutzerklärung festzulegen. Die betroffene Person hat aber auch immer das Recht auf Löschung, wenn bestimmte Voraussetzungen dafür erfüllt sind (Vgl. Art, 17 DSGVO).

DSGVO Bußgeld: Verstoß bei Datenschutz von Privatpersonen

Bei Verstößen gegen die DSGVO drohen Unternehmen drastische Bußgelder – bis hin zu 10 Millionen Euro  oder bis zu vier Prozent des weltweit erwirtschafteten Umsatzes im Jahr. Privatpersonen können bei Schädigung durch Datenmissbrauch, welche durch ein Unternehmen verursacht wurde, Schadensersatz verlangen.

Ausnahmen zur Speicherung von Personendaten bestätigen wie immer die Regel: Bei Gefährdung der nationalen Sicherheit, zur Gewährleistung der Landesverteidigung oder aber zur Sicherung der Unabhängigkeit der Justiz dürfen Daten von Privatpersonen gesammelt werden.

DSGVO-Verstoß: Wo kann ich Datenschutzverstöße melden?

Was sollte man bei einem Datenschutzverstoß tun? Laut Art. 33 DSGVO müssen Betroffene den DSGVO Verstoß melden  – und zwar innerhalb von 72 Stunden. Wenn es sich um einen nicht-öffentlichen Bereich handelt, kann sich die betroffene Person an den Datenschutzbeauftragten des Unternehmens oder an die Aufsichtsbehörde wenden. Ist der Verstoß gegen den Datenschutz auf Bundesebene geschehen, muss der Bundesbeauftragte für den Datenschutz benachrichtigt werden. In der Regel müssen Datenschutzverstöße je nach Bundesland bei den zuständigen Landesdatenschutzbeauftragten gemeldet werden:

• Baden-Württemberg
• Bayern
• Berlin
• Brandenburg
• Bremen
• Hamburg
• Hessen
• Mecklenburg-Vorpommern
• Niedersachsen
• Nordrhein-Westfalen
• Rheinland-Pfalz
• Saarland
• Sachsen
• Sachsen-Anhalt
• Schleswig-Holstein
• Thüringen
   

DSGVO – Privatpersonen und ihre Pflichten

Auch für Privatpersonen gelten im Umgang mit der neuen DSGVO einige Regeln, die beachtet werden sollten. Nach wie vor besteht das Recht am eigenen Bild. Sollte also jemand ein Selfie in einem Café machen und im Hintergrund ist eine andere Person eindeutig zu erkennen, darf dieses Foto nicht ohne Erlaubnis dieser Person auf die eigene Facebook-Seite gestellt werden. Sonst werden Persönlichkeitsrechte verletzt. Selbst ein Foto von einem nahen Verwandten darf nicht bei Instagram oder Twitter veröffentlicht werden, solange dieser nicht ausdrücklich zugestimmt hat.

Die offizielle Version der Datenschutz-Grundverordnung findet sich unter dsgvo-gesetz.de.