Datenschutz, das Recht auf Achtung der Privatsphäre und das Recht auf informationelle Selbstbestimmung sind wichtige Bausteine unserer Freiheit. Die EU-Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 anwendbar ist, stärkt diese Prinzipien. Sie regelt sowohl die Verpflichtungen, die Unternehmen und Institutionen haben, wenn sie deine Daten verarbeiten, als auch deine Rechte als betroffene Person. Verarbeiten bedeutet alles, was man mit Daten machen kann: Daten erheben, speichern, auswerten, ordnen, verändern, verbreiten, verwenden, übermitteln, weitergeben, bereitstellen, löschen oder vernichten, etc. und auch das bloße Innehaben der Daten gilt als verarbeiten.

Allgemein gültige Prinzipien, nationale Spielräume

Datenschutzrechtlich ist in den ersten Monaten des Jahres 2018 viel passiert. Die DSGVO ist ab 25. Mai 2018 anzuwenden und das hat einiges ins Rollen gebracht. Die DSGVO ist eine Verordnung der Europäischen Union. Verordnungen sind grundsätzlich unmittelbar anzuwenden, also können sich einzelne direkt auf sie berufen. In der DSGVO sind aber viele „Öffnungsklauseln“ vorgesehen, sie lässt daher in vielen Bereichen den Mitgliedsstaaten einen Gestaltungsspielraum. Ein Beispiel ist, dass die Nationalstaaten das Mindestalter für datenschutzrechtliche Einwilligungen auf 13 Jahre herabsetzen dürfen. Österreich hat von einigen dieser Öffnungsklauseln Gebrauch gemacht, z.B. für die viel kritisierte Datenfreigabe für die Registerforschung. Aber auch abgesehen davon wurden über 100 Gesetze – meist nur begrifflich – an die DSGVO angepasst. 

In diesem Artikel geht es um die Rechte von Einzelpersonen an personenbezogenen Daten, die durch die DSGVO neu geregelt wurden. Einige dieser Rechte gab es bereits vorher, aber die maximalen Strafdrohungen, die in der DSGVO vorgesehen sind, sind höher als bisher. Aber auch diese will die schwarz-blaue Regierung zugunsten der Wirtschaft abschwächen. Da die DSGVO aber direkt anwendbar ist, kann und muss die Datenschutzbehörde auch in Österreich die darin vorgesehenen Strafen erlassen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare (natürliche) Person beziehen; Identifizierbar ist eine Person, die direkt oder indirekt, identifiziert werden kann. Zum Beispiel durch die Zuordnung zu einer Kennnummer (Daten die mit einer Matrikelnummer verknüpft sind) oder durch die Zuordnung von Standortdaten, etc.

Was geschieht mit meinen Daten? Auskunftsrecht – Artikel 15 DSGVO

Du hast das Recht, von einem Unternehmen Auskunft darüber zu erhalten, ob, wie lange und für welchen Zweck es deine Daten speichert. Das Unternehmen muss dich auch darüber informieren, ob es die Daten automatisiert verarbeitet und nach welcher grundsätzlichen Logik dies geschieht. Es muss dich darüber informieren, ob es deine Daten weitergibt und woher es deine Daten hat. Es gibt keinen Formzwang für das Auskunftsbegehren, das heißt, du kannst theoretisch auch mündlich Auskunft über deine Daten verlangen.

Die Auskunft muss innerhalb eines Monats erteilt werden. Nur aus ganz bestimmten Gründen darf die Auskunftserteilung länger dauern oder verweigert werden. Sollte das Unternehmen sich nicht daran halten, kannst du dich an die Datenschutzbehörde in deinem Land wenden. Das Auskunftsbegehren ist grundsätzlich kostenlos, wenn das Recht aber „offenkundig unbegründet oder exzessiv“ ausgeübt wird, kann die Auskunft verweigert oder ein Kostenbeitrag verlangt werden.

Informationspflichten bei der Datenerhebung – Artikel 14 DSGVO

Viele denken, dass ein Unternehmen personenbezogene Daten nur hat, wenn im direkten Kontakt mit der betroffenen Person hat. Daten werden aber oft von anderen Unternehmen zugekauft. Deswegen ist es schwer einzuschätzen, welche Unternehmen deine Daten speichern. Dem soll Art. 14 DSGVO entgegenwirken. Er verpflichtet Unternehmen dazu, dich darüber zu informieren, wenn es deine Daten nicht direkt bei dir erhebt, sondern z.B. kauft. Es gibt hier aber wieder Ausnahmen: Wenn es für ein Unternehmen unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde, muss es dich nicht informieren. Insofern bleibt abzuwarten, wie effektiv diese Informationspflicht tatsächlich ist. Ein sehr ähnliches Recht auf Information hat man nach Art. 13 DSGVO auch dann, wenn man die Daten selbst hergibt.

Informationspflicht bei einem "Data breach" – Artikel 34 DSGVO

Wenn ein Unternehmen die Kontrolle über deine Daten verliert, z.B. weil deine Daten auf einem unverschlüsselten USB-Stick gespeichert sind und dieser verloren geht oder weil es einen Hackerangriff gibt, muss es dich darüber informieren, wenn daraus voraussichtlich ein hohes Risiko für dich entsteht.

Recht auf Richtigstellung deiner Daten – Artikel 16 DSGVO

Auch wenn es dir selbstverständlich vorkommt: Du hast das Recht, mündlich oder schriftlich verlangen, dass unzutreffende Daten von dir berichtigt oder ergänzt werden. Wenn deine Daten berichtigt werden, musst du darüber informiert werden (Art. 19 DSGVO).

Recht auf Löschung – Artikel 17 Abs. 1 DSGVO

Oft wird angenommen, dass Unternehmen nur mit einer Einwilligung personenbezogenen Daten verarbeiten dürfen. Das stimmt so nicht. Du hast daher auch nur unter ganz bestimmten Umständen das Recht, von einem Unternehmen die Löschung deiner Daten zu verlangen. 

Eine komplette Aufzählung der Gründe, aus denen du die Löschung verlangen kannst, findest du in Artikel 17 Abs 1 lit a bis f DSGVO. 

Zum Beispiel kannst du die Löschung verlangen, wenn das Unternehmen deine Daten von vornherein nicht hätte verarbeiten dürfen. Ein Unternehmen darf deine Daten aber verarbeiten, wenn es berechtigte Interessen daran hat und diese deine Interessen überwiegen (Art. 6 Abs. 1 lit f DSGVO). Und jetzt wird es noch eine Spur komplizierter: Behauptet das Unternehmen, dass es ein überwiegendes Interesse an der Verarbeitung deiner Daten hat, kannst du dagegen Widerspruch (gem Art. 21 Abs. 1 DSGVO) einlegen. Wenn du Widerspruch einlegst, bedeutet das aber nicht, dass das Unternehmen dann deine Daten löschen muss, sondern es kommt zu einer erneuten Interessenabwägung. Das Unternehmen darf deine Daten dann aber nur behalten, wenn es sehr triftige Gründe dafür nachweisen kann. 

Wenn das Unternehmen deine Daten verwendet, um Direktwerbung zu schalten oder ein Profil von dir erstellt, um Direktwerbung zu schalten, muss es dies nach einem Widerspruch jedenfalls unterlassen.

Außerdem kann aus folgenden Gründen unter Umständen die Löschung deiner Daten verweigert werden:

• aus Gründen der freien Meinungsäußerung 
• weil das Unternehmen rechtlich dazu verpflichtet ist, deine Daten zu speichern
• weil es notwendig ist, um eine Aufgabe, die im öffentlichen Interesse ist, zu erfüllen
• wegen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• aus Gründen der Forschung und im öffentlichen Interesse liegender Archivzwecke
• zur Geltendmachung von Rechtsansprüchen

Wenn deine Daten gelöscht werden, musst du darüber informiert werden (Artikel 19 DSGVO).

„Recht auf Vergessenwerden“ – Artikel 17 Absatz 2 DSGVO

Die Idee hinter diesem Recht ist, dass deine Daten, die im Internet sind, nicht ewig aufgefunden werden können sollen. 

Ausgestaltet ist dies durch eine Informationspflicht für jenes Unternehmen, das deine Daten öffentlich gemacht hat. Es muss versuchen, all jene, die dadurch in den Besitz deiner Daten gekommen sind oder durch Links auf deine Daten verweisen, darüber informieren, dass du die Löschung verlangst. Die Gründe, aus denen die Löschung verweigert werden kann, gelten aber auch für das „Recht auf Vergessenwerden“.

Recht auf Datenübertragbarkeit – Artikel 20 DSGVO

Diesem Recht liegt der Gedanke zu Grunde, den Wechsel von einem Anbieter (z.B. einem "Sozialen Medium" oder einem E-Mail-Anbieter) zu einem anderen zu ermöglichen.  Du hast das Recht, deine Daten in einem gängigen, strukturierten und maschinenlesbaren Format zu erhalten, wenn das Unternehmen deine Daten automatisiert verarbeitet. Es geht hier aber nur um Daten, die du dem Unternehmen freiwillig oder aufgrund einer vertraglichen Verpflichtung gegeben hast.  Du kannst auch verlangen, dass deine Daten direkt an einen anderen Anbieter übermittelt werden.

Profiling und automatisierte Entscheidungen – Artikel 22 DSGVO

Bestimmte Entscheidungen, die dich betreffen, dürfen nichtvollautomatisiert getroffen werden:

1. Wenn die Entscheidung dir gegenüber eine rechtliche Wirkung entfaltet (z.B. eine Vertragskündigung) oder
2. dich in ähnlicher Weise erheblich beeinträchtigt (z.B. dich von einer Versicherungsleistung ausschließt, oder deine Kreditwürdigkeit stark senkt), darf das nicht ausschließlich auf einem automatisierten Entscheidungsprozess beruhen. 

Die Entscheidung darüber, welche Werbung dir angezeigt wird, darf aber grundsätzlich automatisiert, bzw. durch Profiling erfolgen. Dem kannst du aber widersprechen.

Es gibt im Übrigen wiederum Ausnahmen, wann automatisierte Entscheidungen doch zulässig sind, obwohl sie dich erheblich beeinträchtigen (z.B. wenn du explizit zustimmst oder es für eine Vertragserfüllung erforderlich ist).

Unter Profiling versteht die DSGVO jegliche automatisierte Form der Verarbeitung deiner Daten bei denen persönliche Aspekte bewertet werden. Z.B. wenn deine Daten verwendet werden, um deine Arbeitsleistung, deine wirtschaftliche Lage oder Gesundheit zu analysieren oder zu prognostizieren. Im Wesentlichen bedeutet das die automatisierte Erstellung eines Profils von dir, in dem man z.B. erkennen kann, was deine persönlichen Vorlieben und Interessen sind, wie zuverlässig du bist, wie du dich verhältst oder wo du dich aufhältst.

Alle Bilder im Format 1.200 x 1.200 px zum >>Download. CC-BY 4.0 (Hanna Prykhodzka, epicenter.works)