Was euch die DSGVO wirklich bringt – und wie ihr euch jetzt gegen Datensammler wehrt

Neue EU-Regeln krempeln gerade das Internet um. Ein Datenschützer erklärt, wie ihr jetzt eure Daten von Unternehmen einfordern könnt – und was ihr gegen Werbung und die Schufa tun könnt.

|
Mai 22 2018, 12:14pm

Bild: Imago | Mart Klein

Es klingt wie ein Zungenbrecher, könnte aber ein Meilenstein in der Geschichte des Internets sein: Die Datenschutzgrundverordnung (DSGVO) soll die Macht der Tech-Konzerne beschneiden. Längst schieben auch normale Nutzer Panik, die neuen Regeln versehentlich zu verletzen.

Ab 25. Mai gilt das EU-Gesetz für alle Unternehmen, die Daten von Menschen in der EU-verarbeiten. Aber was können Nutzerinnen wirklich mit diesem Gesetz anfangen? Der Datenschützer Julian Jaursch vom Verein Digitale Gesellschaft hat sich genau mit der DSGVO beschäftigt. Er erklärt im Gespräch mit Motherboard, wie ihr Tech-Konzernen jetzt die Stirn bieten könnt – und sie dazu bringt, eure Daten rauszurücken.

Motherboard: Ab dem 25. Mai gilt die DSGVO: Dürfen die Unternehmen mit meinen Daten jetzt weniger machen als vorher?

Julian Jaursch: Das deutsche Datenschutzrecht hatte auch schon vorher einen hohen Standard. Aber jetzt vereinheitlicht die DSGVO den Datenschutz in der EU. Sie gilt sogar für Firmen, die gar nicht in der EU sitzen. Etwa, wenn ein Onlineshop Daten von Personen aus Europa verarbeitet, aber das Unternehmen in Asien sitzt.

Unternehmen müssen uns jetzt ausführlicher informieren, zum Beispiel an wen sie meine Daten weitergeben und wie lange sie die speichern. Ganz neu für Deutschland ist vor allem das Recht auf Datenübertragbarkeit, das jeder in Anspruch nehmen darf.

Was passiert, wenn ich auf das neue Recht poche?

Das Recht verhindert, dass du in einem bestimmten sozialen Netzwerk sozusagen eingeschlossen bist. Es hilft dir, den Anbieter zu wechseln. Zum Beispiel muss dir dein Mailanbieter deine ganzen Daten in einem gängigen, automatisch auslesbaren Dateiformat zum Runterladen zur Verfügung stellen. Oder du kannst die Daten direkt von einem Anbieter zum anderen übertragen lassen.

Das soll sogenannte Lock-in-Effekte überwinden. Es wäre nämlich viel zu mühsam, alle Daten über dich per Hand zusammenzusuchen und woanders wieder einzugeben.

Was genau bringt mir das in der Praxis? Ich könnte zwar Facebook verlassen und meine Daten mitnehmen – aber ich könnte nirgendwo hin, weil all meine Freunde noch bei Facebook sind.

Die Regelung gilt ja nicht nur für soziale Netzwerke. Sie hilft dir auch, wenn du deinen Mailanbieter, deine Bank oder deine Versicherung wechselst. Stell dir vor, du willst einen anderen Musik-Streaming-Dienst als bisher nutzen und würdest gerne deine Playlists mitnehmen. Da ist es schon realistisch, dass du mit diesen Daten auch praktisch was anfangen kannst.

Wegen der DSGVO bitten mich gerade zig Newsletter um Bestätigung, dass ich sie weiterhin bekommen möchte. Heißt das, ich werde auch nervige Newsletter los?

Das ist eine heiß diskutierte Frage. Viele schätzen, es sei nötig, eine neue Einwilligung einzuholen. Andere vermuten das Gegenteil. Der Grund, warum wir alle gerade viele E-Mails und sogar SMS und Briefe bekommen, ist einfach, dass sich die Unternehmen gerade generell auf die DSGVO einstellen. Alle Anbieter, bei denen du angemeldet bist, müssen dich darauf hinweisen, welche neuen Rechte du jetzt hast.

Jetzt mal ehrlich, sind diese neuen Rechte eher juristische Finessen oder hat wirklich jeder Nutzer etwas davon?

Aus Verbrauchersicht ist es ein großer Fortschritt, dass es jetzt einheitliche Regeln gibt. Es gibt überall das gleiche Beschwerderecht und Datenschutzbehörden haben echte Sanktionsmaßnahmen.

Eine Hoffnung ist auch, dass die DSGVO Menschen und Unternehmen für den Datenschutz sensibilisiert und ihnen klar macht, warum sie sich damit auseinandersetzen sollten. Viele klicken die Mails zu neuen Datenschutzregeln wohl weg, vielleicht fragt sich jetzt aber auch die eine oder andere: "Welche Daten werden von mir erhoben? Wer die kriegt die und wer speichert die wie lange?"

Wenn ich nun möchte, dass eine Firma meine Daten rausrückt, wie kompliziert ist das?

Das ist ganz einfach: Es reicht, wenn du den Unternehmen eine formlose Mail oder einen Brief schickst – am besten an deren Datenschutzbeauftragten, wenn es einen gibt. Du musst einfach sagen, dass du dein Auskunftsrecht wahrnehmen möchtest. Am besten packst du noch den entsprechenden DSGVO-Artikel, Artikel 15, dazu. Bei unserem Projekt "Deine Daten. Deine Rechte" gibt es dazu auch Musterschreiben.

Die Unternehmen müssen dir dann innerhalb von vier Wochen antworten oder zumindest sagen, wie der Stand ist. Wenn sich nach den vier Wochen niemand gemeldet hat, kannst du dich an eine Datenschutzbehörde wenden und dich beschweren. Alles in allem ist das also ziemlich einfach.

Okay, und bei welcher Datenschutzbehörde beschwere ich mich dann genau?

Der erste Ansprechpartner ist erstmal der Datenschutzbeauftragte des Unternehmens. Wenn das nicht klappt, kannst du dich an jede Datenschutzbehörde in Europa wenden. Das ist neu: Vorher musstest du dich an die Behörde in dem Land wenden, wo das Unternehmen seine Niederlassung hat. Jetzt kannst du auch direkt zur nächsten Datenschutzbehörde in deinem Bundesland gehen. Falls die nicht zuständig ist, leitet sie das automatisch weiter. Darum musst du dich gar nicht mehr kümmern.

Das heißt, ich könnte mich zum Beispiel einfach von Berlin aus in Frankreich über Amazon beschweren?

Ja, jede Datenschutzbehörde in der EU ist Ansprechpartner!

Aber was genau hab ich eigentlich davon, wenn ich von einem Konzern meine Daten kriege? Lerne ich daraus etwas für mein Leben?

Für viele ist es eine Offenbarung, welche Daten über sie vorliegen. Bei einem Onlineshop ist allen klar, dass ihre Adresse und ihre Bankverbindung gespeichert sind – sonst würde ja die Bestellung nicht funktionieren. Manche Shops speichern aber noch viel mehr: Vergangene Bestellungen, wie lange man auf einer Produktseite war, was man gesucht hat, was man in den Warenkorb gepackt hat und dann vielleicht wieder herausgelöscht.


Ebenfalls auf Motherboard: Dieser Schönheitschirurg operiert auf Snapchat


Außerdem ist das Auskunftsrecht die Grundlage für viele andere Rechte. Erst wenn du weißt, dass über dich falsche oder veraltete Daten gespeichert sind oder dass sie gar nicht erhoben werden durften, kannst du sie berichtigen oder löschen lassen.

Muss mir jetzt eigentlich auch die Schufa sagen, warum sie mich für nicht kreditwürdig hält?

Leider nein. Die genaue Berechnung der Scores ist weiterhin ein Geschäftsgeheimnis. Die DSGVO schafft trotzdem ein bisschen mehr Transparenz: Du kannst jetzt verlangen, dass ein Mensch in die automatisierten Scoring-Entscheidungen eingreift. Du darfst auch deinen eigenen Standpunkt in die automatisierte Entscheidung einbringen und kannst so die Entscheidung der Schufa anfechten. Gerade wenn es darum geht, falsche Daten zu korrigieren, ist das wichtig.

Dürfen die Firmen meine Daten noch immer für Werbung benutzen?

Nein, das kannst du verhindern. Du kannst ohne Wenn und Aber widersprechen, dass deine Daten für Werbezwecke genutzt werden. Das ist auch einfach umzusetzen: Einfach eine E-Mail ans Unternehmen schicken oder bei einer Online-Bestellung ins Kommentarfeld schreiben: "Ich widerspreche der Verarbeitung meiner personenbezogenen Daten für Werbezwecke".

Kann so ein Online-Shop nicht einfach sagen, ich darf nur dann einkaufen, wenn meine Daten auch für Werbung genutzt werden?

So einfach geht das nicht. Es gibt nämlich das sogenannte Kopplungsverbot. Demnach ist es nicht erlaubt, dass ich einen Dienst nur nutzen kann, wenn ich dafür auch etwas ganz anderem zustimme. Zum Beispiel ist es verboten, wenn meine Bestellung in einem Shop daran geknüpft ist, dass ich zusätzlich den Newsletter bestelle oder erlaube, dass meine Daten auch für Werbung genutzt werden.

Wo kommt denn die DSGVO an ihre Grenzen – wann können Konzerne doch noch meine Daten nutzen?

Es gibt tatsächlich Ausnahmen, etwa das sogenannte berechtigte Interesse. Unternehmen können demnach unsere Daten auch ohne unsere Einwilligung bearbeiten, wenn sie etwa vermuten, dass wir den Dienst für Betrug nutzen. Noch ist unklar, ob es auch ein "berechtigtes Interesse" ist, Kunden durch Werbung zu binden oder zu gewinnen. Dann wäre Werbung ohne Einwilligung erstmal doch erlaubt, bis der Nutzer selbstständig widerspricht.

Muss ich als Privatperson Angst vor der DSGVO haben? Nutzer haben das Gerücht verbreite, man dürfe keine Fotos mehr auf Facebook posten.

An dem Gerücht ist nichts dran. Wenn du für rein private oder familiäre Zwecke Daten verarbeitest, gilt die DSGVO gar nicht. Bei Fotos für solche rein privaten Zwecke ist also nichts Neues zu beachten.

Viele kleine Firmen haben jetzt Angst vor Geldstrafen, wenn sie gegen die DSGVO verstoßen. Wie gefährlich ist das?

Die Maximalstrafen sind tatsächlich sehr hoch. Das sind für Unternehmen 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Aber das Maximum gilt nur bei Verstößen, die systematisch und langanhaltend sind und viele Nutzer betreffen. Deshalb vermute ich, dass sich zum Beispiel Betreiberinnen von kleineren Blogs erstmal nicht groß sorgen müssen.

Es wird sich zeigen, wie Verstöße in der Praxis geahndet werden. Die Behörden haben in den vergangenen Wochen oft darauf hingewiesen, dass es nicht ihr primäres Interesse ist, den kleinen Verein oder die kleine Blogbetreiberin für Verstöße zu belangen. Wenn es Probleme gibt, geht es wohl erstmal um Beratung statt Bestrafung.

Folgt Anna auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter