Valie Djordjevic, Datenschutz in Deutschland: Grundsätze und Regeln (2018)

Persönliche Daten sind geschützt: Jeder hat das Recht, selbst darüber zu bestimmen, was mit den eigenen Daten geschieht. Das ist in Deutschland ein Grundrecht und heißt "Recht auf informationelle Selbstbestimmung“.

Die Regeln und Vorschriften, die wir hier erklären, beziehen sich im Detail auf die Datenschutz-Grundverordnung, DSGVO. Sie ist seit 2016 in Kraft, wird aber erst ab dem 25. Mai 2018 angewendet. Die meisten Sachverhalte waren aber zumindest in Deutschland so oder so ähnlich schon vorher gültig.

Was sind personenbezogene Daten?

Wenn im folgenden Text von "Daten“ die Rede ist, sind personenbezogene Daten gemeint. Darunter versteht man Informationen, die mit einer Person in Verbindung gebracht werden können.

Das sind zunächst die direkten Informationen über eine Person: der Name, das Geburtsdatum, die Adresse.

Die DSGVO zählt aber auch "personenbeziehbare Daten“ dazu: Das sind Daten, die nicht unmittelbar auf eine Person verweisen, die aber sehr einfach mit ihr in Verbindung gebracht werden können. Ein Beispiel ist die IP-Adresse. Auch wenn sie nicht den eigenen Namen enthält, kann sie doch einer Person zugeordnet werden. Weitere Beispiele sind Telefonnummern oder E-Mail-Adressen, aber auch eindeutige Kennnummern von Handys, wie etwa die Device-ID oder Android-ID.

In der Verbindung mit anderen Daten lässt sich mit diesen Informationen leicht ein Personenbezug herstellen. In Bezug auf IP-Adressen etwa hat der Europäische Gerichtshof 2016 entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten gelten und nur mit Erlaubnis gespeichert werden dürfen.

Besonders geschützt: Sensible Daten und Gesundheitsdaten

Besonders geschützt sind Gesundheitsdaten. Auch Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung gehören zu den sensiblen Daten.

Für sensible Daten gelten noch schärfere Regeln als für normale personenbezogene Daten. In den folgenden Abschnitten haben wir die Unterschiede notiert.

Personenbezogene Daten darf man nicht erheben – es sei denn, es ist erlaubt

Grundsätzlich ist es verboten, personenbezogene Daten zu erheben und zu speichern. Das gilt für staatliche Stellen ebenso wie für privatwirtschaftliche.

Es gibt aber bestimmte Ausnahmen für diese Regel. Private Unternehmen – also auch Internet-Plattformen, soziale Netzwerke oder App-Hersteller – müssen Gründe haben, personenbezogene Daten zu speichern.

Ausnahme 1: Vertragserfüllung

Ein zulässiger Grund ist die "Vertragserfüllung“. Sie dürfen also zum Beispiel Daten speichern, wenn sie notwendig sind, um die angebotenen Dienstleistung auszuführen. Über Datenerfassung, die aus diesem Grund stattfinden, muss der Nutzer nicht in der Datenschutzerklärung informiert werden.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht.

Ausnahme 2: Berechtigtes Interesse

Ein weiterer zulässiger Grund ist "berechtigtes Interesse“. Datenerhebung zur Marktanalyse, für Direktwerbung und zur Betrugsvermeidung sind in den Erwägungsgründen der DSGVO explizit als mögliche berechtigte Interessen genannt. Ein berechtigtes Interesse muss aber konkret dargelegt werden und es muss für den Nutzer erwartbar sein.

Für besonders geschützte Daten, zum Beispiel Gesundheitsdaten, gilt diese Ausnahme nicht.

Ausnahme 3: Einwilligung

Eine dritte legale Möglichkeit, personenbezogene Daten zu sammeln ist, wenn Unternehmen dafür vom Nutzer eine Erlaubnis einholen. Dazu muss der Anbieter seine Nutzer darüber informieren, was er erhebt, wofür und ob es gegebenenfalls an Dritte weiterleitet.

Sensible Daten, zum Beispiel Gesundheitsdaten, dürfen nur mit einer ausdrücklichen Einwilligung erhoben werden. Ausnahmen gelten in der Gesundheitsversorgung.

Zweckbindung

Anbieter dürfen gesammelte Daten nur für den jeweiligen Zweck verwenden, für den sie gesammelt wurden. Ein Online-Schuhhändler darf zum Beispiel die Kundenadresse erfassen, um die Schuhe zuzustellen. Das fällt unter den Grund "Vertragserfüllung“ und bedarf keiner weiteren Information. Er darf die Adresse aber nicht für irgendetwas anderes verwenden, zum Beispiel darf er sie nicht weiterverkaufen.

Einwilligung: Transparent, informiert, freiwillig

Damit eine Einwilligung wirksam ist, müssen bestimmte Regeln erfüllt sein. So muss der Anbieter darüber informieren, welche Daten er für welchen Zweck erhebt. Diese Information darf er nicht irgendwo in den Nutzungsbedingungen verstecken. Vermutlich ist es aber gültig, wenn man zum Beispiel in einer Checkbox anklicken muss, an der steht "Ich habe die Datenschutzerklärung gelesen und erkläre mich einverstanden.“ – vorausgesetzt, dass diese verständlich formuliert ist.

Zankapfel: Freiwillige Einwilligung

Die Einwilligung muss darüber hinaus freiwillig erfolgen. Doch was meint der Gesetzgeber mit freiwillig? Die DSGVO selbst (Art 7 Abs. 4) ist hier nicht ganz eindeutig. In den Erwägungsgründen (EG (43)) zur DSGVO steht aber:

Die Einwilligung gilt nicht als freiwillig erteilt, [...] wenn die Erfüllung eines Vertrags [...] von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Erwägungsgründe sind nicht der eigentliche Gesetzestext, sondern Erläuterungen, in denen der Gesetzgeber verdeutlicht, was er mit dem Gesetz gemeint hat. Legt man die DSGVO danach aus – und einige Datenschutzexperten tun das – würde freiwillig bedeuten: Ich kann den Dienst – zum Beispiel Facebook – auch dann nutzen, wenn ich die Einwilligung verweigere. Diese Frage wird sich vermutlich erst vor Gericht endgültig klären.

Auskunftsanspruch

Grundsätzlich haben Nutzer einen Auskunftsanspruch: Sie können fragen, welche Daten über sie gespeichert sind. Sprechen keine gesetzlichen Gründe - wie etwa das Geschäftsgeheimnis - dagegen, müssen die datensammelnden Stellen diese Auskunft erteilen.

Ebenso müssen sie die Daten löschen, wenn sie nicht mehr gebraucht werden – wenn man etwa den Dienst nicht mehr nutzt, wenn der Zweck des Sammelns wegfällt oder mögliche Aufbewahrungsfristen, die für bestimmte Zwecke gesetzlich vorgegeben sind, abgelaufen sind.

Die Datenschutzerklärung

Immer wenn personenbezogene Daten erhoben werden, müssen Anbieter über darüber informieren: Welche Daten für welchen Zweck erhoben werden, wie lange sie gespeichert werden und an wen sie weitergegeben werden. Das kann in Form einer Datenschutzerklärung erfolgen.

Die Datenschutzerklärung muss leicht zugänglich sein, so dass Nutzer sie einfach finden können. Online hat sich hier die "Drei-Klick-Regel“ etabliert, das heißt, etwas gilt als "leicht zu finden“ wenn es mit drei Klicks erreichbar ist.

Außerdem muss die Datenschutzerklärung für die Nutzer verständlich sein. Ein hartes Kriterium dafür ist die Sprache: Wenn eine App deutsche Kunden anspricht, zum Beispiel mit deutschem Begleittext und Menü, muss auch die Datenschutzerklärung auf Deutsch zur Verfügung stehen.

Profilbildung

Es ist heutzutage ein Leichtes, verschiedene Datensätze aus verschiedenen Quellen miteinander zu umfangreichen Profilen zu verknüpfen. Daraus können dann sehr sensible Informationen hervorgehen.

So stellt ein Tracking-Modul in meiner Wetter-App vielleicht fest, wo ich mich Nachts befinde, und dass auf meinem Handy eine App gegen Depressionen installiert ist. Ein Web-Tracker stellt fest, auf welcher Facebook-Seite ich mich einlogge und erfährt dadurch meinen Namen.

Mehr dazu, wie Firmen Sie im Netz verfolgen, finden Sie unter anderem in unserem Text "Identifier: So erkennen Tracking-Firmen Sie im Netz“.

Diese Informationen kombiniert ergeben schon mehr, als jedem Nutzer lieb sein kann. Große Internet-Konzerne wie etwa Facebook ergänzen ihre Nutzerprofile regelmäßig durch zugekaufte Daten aus anderen Quellen.

Die DSGVO schreibt vor, dass jeder Nutzer entscheiden kann, dass ein Anbieter seine Daten nicht zur Profilbildung erheben darf. Es muss also eine Opt-out-Möglichkeit geben. Profilbildung ist aber nicht grundsätzlich verboten. Wenn es dafür ein berechtigtes Interesse gibt, zum Beispiel Werbung, kann es legitim sein.

Mobiler Datenschutz

Mobile Geräte wie Smartphones und Tablets sammeln potentiell noch viel mehr Daten als Desktop-Computer oder Laptops. Zum Beispiel kommen Bewegungsdaten hinzu: Das Gerät verfolgt ständig, wo sich der Nutzer befindet. So können Bewegungsprofile angefertigt werden.

Dabei sind ganz unterschiedliche Parteien beteiligt, die zum Teil sehr weitreichenden Zugriff auf das Gerät haben.

Wer sammelt mobile Daten:

  • Hersteller der Handys (Apple, Samsung, HTC, Nokia etc.)
  • Hersteller des Betriebssystems (Apple, Google, Blackberry)
  • Plattformen (Facebook, Twitter, Youtube)
  • App-Hersteller (Spiele-Apps)
  • Tracking-Firmen – (Appsflyer, Crashlytics, integriert in Apps und Webseiten)
  • Mobilfunkanbieter (T-Mobile, O2, BASE etc.)

Welche Daten werden gesammelt:

  • Verhalten mit dem Telefon: Welche Seiten schaue ich mir an – Webbrowser, Soziale Netzwerke, Streaming Musik, Film, Videos
  • Bewegungsdaten – GPS, Ortung per Bluetooth, WLAN
  • Gesprächsdaten
  • Adressdaten
  • Daten zur Auskunft über das eigene Kaufverhalten

Mehr zum Thema im Internet

Quelle

Dieser Text ist unter der Creative Commons Lizenz by-nd/3.0/ veröffentlicht.