Riesenaufwand, Verlust von Lebenszeit, niemand versteht, um was es geht, alle sind genervt – nur Datenschützer, die jubeln: Die DS-GVO ist seit einem Monat in Kraft. Und jetzt?
Eine Frage an die MAINZER-LeserInnen vorab: Haben Sie von amazon oder facebook die Aufforderung erhalten zu bestätigen, dass diese Unternehmen Ihre Daten »verarbeiten« dürfen? Nicht? Dann geht es Ihnen so, wie den meisten KundInnen dieser Konzerne.
Ob diese Konzerne überhaupt eine Erlaubnis brauchen, bevor sie die Daten ihrer KundInnen verarbeiten, war die erste Frage, die DER MAINZER dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, stellte.
Kugelmann: »Üblicherweise erfolgt die Inanspruchnahme der genannten Dienste und Plattformen durch die NutzerInnen freiwillig, d.h. aufgrund einer Einwilligung bzw. im Rahmen einer Nutzungsvereinbarung. Für Beides müssen die Anforderungen der Datenschutz-Grundverordnung aus Art. 6 – 8 eingehalten werden. Voraussetzung für eine wirksame Einwilligung ist weiterhin, dass die NutzerInnen gemäß Art. 13 DS-GVO unterrichtet werden, u.a. über die Zwecke der Verarbeitung, eine etwaige Weitergabe der Daten an Dritte, eine etwaige Übermittlung in Länder außerhalb der EU, die Dauer der Speicherung sowie über die den Nutzern zustehenden Rechte. In aller Regel erfolgt dies über Nutzungs-/Datenschutzbedingungen, die im Rahmen der Registrierung akzeptiert werden müssen. Diesen Anforderungen unterliegen alle in Europa mit einer Niederlassung vertretenen Unternehmen (z.B. Facebook, Amazon). Außerdem gilt dies mit dem durch die DS-GVO eingeführten ›Marktortprinzip‹ auch für außereuropäische Unternehmen, wenn diese sich mit ihren Diensten an europäische Nutzer richten.«
Wie können sich NutzerInnen wehren, wenn Behörden, Institutionen und Unternehmen die DS-GVO missachten?
Kugelmann: »Sie können eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einlegen. Möglich ist das bei der für das Unternehmen zuständigen Aufsichtsbehörde, bei der Aufsichtsbehörde in deren Bereich der/die NutzerIn wohnt, oder auch jeder anderen europäischen Aufsichtsbehörde. Davon unabhängig können die NutzerInnen ihre Einwilligung widerrufen oder von ihrem Recht auf Datenübertragbarkeit Gebrauch machen und ggf. zu einem anderen Anbieter wechseln.«
Für den Versand von Newslettern bedurfte es bislang bereits einer Einwilligung, ist dies auch unter der DS-GVO der Fall?
Kugelmann: «Entsprechen die erteilten Einwilligungen den Anforderungen der DS-GVO, gelten sie fort. Beruhte der bisherige Versand von Newslettern bzw. die Erhebung der dazu genutzten E-Mail-Adressen auf einer sauberen Grundlage, kann darauf zurückgegriffen werden. In diesen Fällen muss lediglich den erweiterten Informationspflichten nach der DS-GVO Rechnung getragen werden. Ist fraglich, ob für die vorliegenden (E-Mail)-Adressen eine wirksame Einwilligung eingeholt wurde, soll dies nachgeholt werden. Wurden aber z.B. Adressen aus Teilnehmerlisten übernommen, ohne über deren Verwendung zu unterrichten, oder ist gar die Herkunft der E-Mail-Adressen oder die Grundlage für deren Verarbeitung zweifelhaft, soll im nächsten Newsletter die ausdrückliche Einwilligung für die weitere Nutzung der Adressen angefragt werden. NutzerInnen, die dem nicht folgen, sind aus dem Verteiler zu löschen.«
Müssen sowohl private Unternehmen als auch staatliche Institutionen eine Einverständniserklärung zur Nutzung personenbezogener Daten einholen?
Kugelmann: »Soweit eine Einwilligung Grundlage der Verarbeitung personenbezogener Daten ist, sind Behörden und Unternehmen in gleicher Weise an die Vorgaben der DS-GVO gebunden. Unterschiede ergeben sich z.B. dort, wo eine Datenverarbeitung im öffentlichen Interesse oder im Rahmen der Ausübung öffentlicher Gewalt erfolgt (öffentliche Stellen) oder der Datenverarbeitung Verträge oder ein berechtigtes Interesse zugrunde liegen.«
Warum sollten sich BürgerInnen dafür interessieren, ob die Unternehmen mit denen sie zusammenarbeiten, von denen sie beliefert werden und die sie für Dienstleistungen in Anspruch nehmen, die DS-GVO einhalten?
Kugelmann: »Die zunehmend alle Lebensbereiche erfassende Digitalisierung führt dazu, dass wir bei vielem was wir tun, digitale Spuren hinterlassen und nahezu jeder von uns einen digitalen Zwilling hat, der potentiell unsere persönlichen Verhältnisse, Verhaltensweisen, Gewohnheiten, Interessen und Vorlieben erkennen lässt. Vielfach werden diese Daten genutzt, um Profile zu bilden und Kategorisierungen vorzunehmen. Unser digitales Abbild hat zunehmend Bedeutung dafür, was einem angeboten wird oder welche Möglichkeiten einem zur Verfügung stehen, insbesondere dort, wo Algorithmen dieses auswerten oder automatisierte Entscheidungen getroffen werden. Daher sollte es jedem ein Anliegen sein, dass die Daten, die man preisgibt datenschutzkonform verarbeitet werden.«
| SOS