Datenschutz und Privatsphäre im Online-Umfeld

Die EU-Datenschutzvorschriften gewährleisten bei jeder Form der Datenerfassung den Schutz Ihrer personenbezogenen Daten – z. B. wenn Sie online einkaufen, sich für eine Stelle bewerben oder ein Bankdarlehen beantragen. Diese Vorschriften gelten für Unternehmen und Organisationen (öffentlich und privat) in der EU sowie für Unternehmen und Organisationen mit Sitz außerhalb der EU, die Waren oder Dienstleistungen in der EU anbieten, wie etwa Facebook oder Amazon, wenn diese Unternehmen personenbezogene Daten von natürlichen Personen in der EU anfordern oder weiterverwenden.

Dabei kommt es nicht darauf an, in welchem Format die Daten vorliegen. Ob online auf einem Computersystem oder in strukturierten manuell geführten Dateien: Sobald Informationen, die direkt oder indirekt Rückschlüsse auf Sie als Person zulassen, gespeichert oder verarbeitet werden, müssen Ihre Datenschutzrechte gewahrt werden.

Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?

Den EU-Datenschutzvorschriften, auch als EU-Datenschutz-Grundverordnung bezeichnet, sehen bestimmte Fälle vor, in denen ein Unternehmen oder eine Organisation Ihre personenbezogenen Informationen erfassen oder weiterverwenden darf:

  • zur Erfüllung eines mit Ihnen abgeschlossenen Vertrags – zum Beispiel zur Bereitstellung von Waren oder Dienstleistungen (d. h., wenn Sie etwas im Internet kaufen), oder zur Erfüllung eines Arbeitsvertrags
  • zur Erfüllung einer rechtlichen Verpflichtung – zum Beispiel, wenn die Verarbeitung Ihrer Daten gesetzlich vorgesehen ist, etwa Ihr Arbeitgeber Informationen über Ihr Monatsgehalt an die Sozialversicherungsbehörde weitergibt, um Ihren Sozialversicherungsschutz zu gewährleisten
  • wenn die Datenverarbeitung in Ihrem lebenswichtigen Interesse liegt – zum Beispiel zum Schutz Ihres Lebens
  • zur Wahrnehmung von Aufgaben im öffentlichen Interesse – vor allem im Zusammenhang mit Aufgaben der öffentlichen Verwaltung, etwa Schulen, Krankenhäusern und Gemeinden
  • wenn berechtigte Interessen vertreten werden – wenn zum Beispiel Ihre Bank Ihre personenbezogenen Daten verwendet, um Ihren Anspruch auf ein Sparkonto mit höheren Zinsen zu prüfen

In allen anderen Fällen muss das Unternehmen oder die Organisation Ihre Zustimmung („Einwilligung") einholen, bevor Ihre personenbezogenen Daten erfasst oder weiterverwendet werden dürfen.

Zustimmung zur Datenverarbeitung – Einwilligung

Wenn ein Unternehmen oder eine Organisation Sie um Ihre Einwilligung bittet, müssen Sie diese durch eine eindeutige bestätigende Handlung erteilen, zum Beispiel durch die Unterzeichnung einer Einwilligungserklärung oder durch Auswählen von „Ja" in einem eindeutigen Ja/Nein-Auswahlmenü auf einer Website.

Eine einfache Abwahl, zum Beispiel durch Anklicken eines Kästchens, das besagt, dass Sie keine Werbemails mehr erhalten möchten, reicht in diesem Fall nicht aus. Sie müssen eine eindeutige Wahl treffenund der Speicherung und/oder Weiterverwendung Ihrer personenbezogenen Daten zu einem bestimmten Zweck zustimmen.

Vor der Zustimmung sollten Sie außerdem folgende Informationen erhalten:

  • Informationen über das Unternehmen/die Organisation, das bzw. die Ihre Daten verarbeitet, einschließlich der Kontaktdaten, sowie die Kontaktdaten des zuständigen Datenschutzbeauftragten, sofern zutreffend
  • der Grund der Verwendung Ihrer personenbezogenen Daten durch das Unternehmen/die Organisation
  • wie lange Ihre personenbezogenen Daten gespeichert werden sollen
  • genaue Angaben über andere Unternehmen und Organisationen, die Ihre personenbezogenen Daten erhalten werden
  • Informationen über Ihre Datenschutzrechte (Auskunft, Berichtigung, Löschung, Beschwerde, Widerruf der Einwilligung)

Diese Informationen sollten in klarer und verständlicher Sprache verfügbar sein.

Widerruf der Einwilligung zur Verwendung von personenbezogenen Daten und Widerspruchsrecht

Falls Sie Ihre Einwilligung zur Verwendung Ihrer personenbezogenen Daten durch ein Unternehmen oder eine Organisation bereits gegeben haben, können Sie den Verantwortlichen (die Person oder Stelle, die Ihre personenbezogenen Daten verwaltet) kontaktieren und Ihr Einverständnis jederzeit widerrufen. Sobald Sie Ihr Einverständnis widerrufen haben, darf das Unternehmen oder die Organisation Ihre personenbezogenen Daten nicht länger verwenden.

Falls eine Organisation Ihre personenbezogenen Daten auf der Grundlage ihres eigenen berechtigten Interesses oder im Rahmen einer Aufgabe im öffentlichen Interesse verarbeitet, haben Sie möglicherweise ein Widerspruchsrecht. In bestimmten Fällen kann das öffentliche Interesse überwiegen und das Unternehmen oder die Organisation darf Ihre personenbezogenen Daten weiterverwenden. Dies kann zum Beispiel bei wissenschaftlichen Forschungsprojekten und Statistiken der Fall sein, die einen Teil der offiziellen Aufgaben öffentlicher Behörden darstellen.

Wenn Sie Direktwerbung erhalten, etwa E-Mail-Werbung für bestimmte Marken oder Produkte, ist Ihre vorherige Zustimmung erforderlich. Wenn Sie allerdings bereits Kunde/Kundin eines bestimmten Unternehmens sind, kann dieses Ihnen per E-Mail Direktwerbung über ähnliche eigene Produkte oder Dienstleistungen schicken. Sie haben jederzeit das Recht, dem Empfang solcher Direktwerbung zu widersprechen; das Unternehmen muss die Verwendung Ihrer Daten dann mit sofortiger Wirkung einstellen.

Grundsätzlich sollten Sie immer bei der ersten Kontaktaufnahme durch das Unternehmen oder die Organisation genaue Informationen über Ihr Recht, der Verwendung Ihrer personenbezogenen Daten zu widersprechen, erhalten.

Fallbeispiel

Sie können der Verwendung Ihrer Daten für Direktwerbung widersprechen

Anatolios kaufte online zwei Tickets für ein Livekonzert seiner Lieblingsband. Seit dem Kauf der Tickets erhielt Anatolios E-Mail-Werbung für Konzerte und Veranstaltungen, die ihn nicht interessierten. Er kontaktierte den Online-Ticketverkäufer und bat ihn, ihm keine E-Mail-Werbung mehr zu schicken. Das Unternehmen entfernte ihn umgehend aus den Listen für Direktwerbung. Anatolios war froh, keine E-Mail-Werbung mehr von dem Unternehmen zu erhalten.

Besondere Vorschriften für Kinder

Wenn Ihre Kinder Onlinedienste wie z. B. soziale Medien oder Downloadportale für Musik und Spiele nutzen wollen, benötigen sie meist Ihre Zustimmung als Elternteil oder Erziehungsberechtigte, da die Dienste die personenbezogenen Daten Ihrer Kinder verwenden. Ab dem Alter von 16 Jahren (in manchen EU-Ländern liegt die Altersgrenze schon bei 13 Jahren) benötigen Ihre Kinder keine Einwilligung der Eltern mehr. Kontrollmaßnahmen zur Überprüfung der Einwilligung der Eltern müssen effektiv sein, zum Beispiel durch die Verwendung einer Validierungsnachricht, die an die E-Mail-Adresse der Eltern geschickt wird.

Auskunft zu Ihren personenbezogenen Daten

Sie können Auskunft zu den personenbezogenen Daten verlangen, die ein Unternehmen oder eine Organisation über Sie speichert, und Sie haben das Recht, kostenfrei und in einem zugänglichen Format eine Kopie Ihrer Daten zu erhalten. Sie sollten innerhalb eines Monats eine Antwort und eine Kopie Ihrer personenbezogenen Daten sowie sämtlicher einschlägiger Informationen darüber, wie die Daten verwendet wurden oder werden, erhalten.

Fallbeispiel

Sie haben ein Recht, zu erfahren, welche Daten über Sie gespeichert werden und wie sie verwendet werden.

Maciej aus Polen willigte kürzlich in die Teilnahme am Treueprogramm seines örtlichen Supermarktes ein. Kurz nach Erteilung seiner Einwilligung bemerkte er, dass er bessere Rabattcoupons für seine Einkäufe erhielt. Er fragte sich, ob dies mit dem Treueprogramm zusammenhing, und verlangte vom Datenschutzbeauftragten seines Supermarktes Auskunft darüber, welche Informationen über ihn gespeichert und wie diese verwendet wurden. Maciej erfuhr, dass der Supermarkt Daten darüber speicherte, welche Produkte er jede Woche kaufte und ihm daraufhin Ermäßigungen für die Produkte, die er gerne kaufte, anbot.

Berichtigung Ihrer personenbezogenen Daten

Falls ein Unternehmen oder eine Organisation personenbezogene Daten über Sie speichert, die nicht korrekt oder unvollständig sind, können Sie verlangen, dass diese berichtigt oder vervollständigt werden.

Fallbeispiel

Sie haben das Recht, falsche Daten über Sie selbst berichtigen zu lassen

Alison wollte ein neues Haus in Irland kaufen und beantragte ein Hypothekendarlehen bei ihrer Bank. Als sie das Antragsformular ausfüllte, machte sie einen Fehler bei ihrem Geburtsdatum und die Bank gab ihr Alter falsch ins System ein.

Als Alison die Angebote für ihr neues Hypothekendarlehen und die damit verbundene Lebensversicherung erhielt, bemerkte sie den Fehler, da die Versicherungsprämie wesentlich höher ausfiel als ihre aktuelle Prämie. Sie kontaktierte die Bank und bat darum, ihre personenbezogenen Daten im System zu berichtigen. Sie erhielt daraufhin ein neues Versicherungsangebot, das ihr korrektes Geburtsdatum enthielt.

Übermittlung von personenbezogenen Daten (Recht auf Datenübertragbarkeit)

In bestimmten Fällen können Sie von einem Unternehmen oder einer Organisation verlangen, Ihre Daten an Sie zurückzugeben oder sie direkt an ein weiteres Unternehmen zu übermitteln, sofern dies technisch möglich ist. Dies wird als „Datenübertragbarkeit" bezeichnet. Sie können sich zum Beispiel auf dieses Recht berufen, wenn Sie sich entscheiden, von einem Dienstleister zu einem ähnlichen Dienstleister zu wechseln – zum Beispiel beim Wechsel von einem Anbieter für soziale Medien zu einem anderen – und Sie Ihre personenbezogenen Informationen schnell und einfach zum neuen Dienstleister mitnehmen möchten.

Löschung Ihrer personenbezogenen Daten (Recht auf Vergessenwerden)

Falls Ihre personenbezogenen Daten nicht länger benötigt oder unrechtmäßig verwendet werden, können Sie die Löschung Ihrer Daten verlangen. Dies ist als „Recht auf Vergessenwerden" bekannt.

Die Vorschriften gelten auch für Suchmaschinen wie Google, da diese auch als Verantwortliche im Sinne der Datenschutz-Grundverordnung gelten. Sie können verlangen, dass Links zu Websites, die Ihren Namen beinhalten, aus den Ergebnissen von Suchmaschinen entfernt werden, wenn die Daten sachlich unrichtig sind, nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen.

Wenn ein Unternehmen Ihre personenbezogenen Daten online verfügbar gemacht hat und Sie die Löschung verlangen, muss das Unternehmen auch alle anderen Websites, auf denen ihre Daten geteilt wurden, darüber informieren, dass Sie die Löschung Ihrer Daten und die darauf verweisenden Links verlangt haben.

Aufgrund des Schutzes anderer Rechte, etwa des Rechts auf freie Meinungsäußerung, kann es sein, dass manche Daten nicht automatisch gelöscht werden. Kontroverse Aussagen von Personen des öffentlichen Lebens werden beispielsweise nicht gelöscht, wenn die Löschung dem öffentlichen Interesse entgegensteht.

Fallbeispiel

Sie können die Löschung oder Entfernung Ihrer Daten von anderen Websites verlangen.

Alfredo entschied sich, dass er keine sozialen Medien mehr nutzen wollte, und löschte seine Profile bei den von ihm verwendeten sozialen Medien. Einige Wochen später suchte er in einer Internetsuchmaschine nach seinem Namen und sah, dass alte Profilfotos seiner Konten bei den sozialen Medien immer noch sichtbar waren. Alfredo kontaktierte die Unternehmen der sozialen Medien und verlangte, dass seine Fotos endgültig entfernt werden. Als er einen Monat später noch einmal eine Suche durchführte, waren die Fotos entfernt worden und erschienen nicht mehr in den Suchergebnissen.

Unerlaubter Zugriff auf Ihre Daten (Verletzung des Schutzes personenbezogener Daten)

Wenn personenbezogene Daten gestohlen werden, verloren gehen oder wenn unrechtmäßig auf sie zugegriffen wird („Verletzung des Schutzes personenbezogener Daten"), muss der Verantwortliche (die Person oder Stelle, die Ihre personenbezogenen Daten verwaltet) dies der nationalen Datenschutzbehörde melden. Außerdem muss der Verantwortliche Sie unmittelbar informieren, wenn aufgrund einer solchen Verletzung Risiken bezüglich Ihrer personenbezogenen Daten oder Ihrer Privatsphäre bestehen.

Beschwerde einlegen

Falls Sie der Meinung sind, dass Ihre Datenschutzrechte nicht gewahrt wurden, können Sie direkt bei Ihrer nationalen Datenschutzbehörde Beschwerde einlegen; diese ist verpflichtet, Ihre Beschwerde zu prüfen und innerhalb von drei Monaten darauf zu antworten.

Sie haben auch die Möglichkeit, direkt gerichtlich gegen das Unternehmen oder die Organisation vorzugehen, anstatt zunächst Ihre nationale Datenschutzbehörde zu kontaktieren.

Falls Ihnen aufgrund der Verletzung der EU-Datenschutzvorschriften durch ein Unternehmen oder eine Organisation materielle Schäden wie finanzielle Verluste oder immaterielle Schäden wie psychologischer Stress entstanden sind, haben Sie möglicherweise einen Anspruch auf Schadenersatz.

Was ist mit Cookies?

Cookies sind kleine Textdateien, die beim Besuch einer Website auf Ihrem Rechner oder mobilen Gerät abgelegt werden. Cookies werden weithin genutzt, damit Internetpräsenzen effizienter funktionieren, indem sie Ihre Einstellungen speichern. Sie werden auch verwendet, um Ihre Internetnutzung beim Surfen zu verfolgen, Nutzerprofile zu erstellen und dann gezielte, auf Ihre Vorlieben gestützte Online-Werbung anzuzeigen.

Alle Webpräsenzen, die Cookies verwenden möchten, müssen Sie um Ihre Zustimmung bitten, bevor sie einen Cookie auf Ihrem Rechner oder mobilen Gerät ablegen. Es reicht nicht aus, dass Sie lediglich über die Verwendung von Cookies informiert werden oder Ihnen erläutert wird, wie Sie Cookies deaktivieren können.

Die Webpräsenzen sollten erklären, wie die Cookie-Informationen genutzt werden. Sie sollten auch Ihre Zustimmung widerrufen können.. Wenn Sie dies tun möchten, muss die Webpräsenz Ihnen dennoch weiterhin einen Mindestservice bieten, z. B. den Zugang zu einem Teil der Website ermöglichen.

Nicht alle Cookies benötigen Ihre Zustimmung. Cookies, die lediglich für die technische Übertragung einer Nachricht verwendet werden, sind nicht zustimmungspflichtig. Dazu gehören z. B. Cookies für die sogenannte Lastverteilung (Verteilung von Server-Anfragen auf mehrere Geräte anstelle eines einzigen Geräts). Auch Cookies, die unbedingt erforderlich sind für eine Online-Dienstleistung, die Sie ausdrücklich angefordert haben, sind nicht zustimmungspflichtig. Dazu zählen z. B. Cookies für das Ausfüllen eines Online-Formulars oder die Nutzung eines Warenkorbs beim Online-Shopping.

Siehe auch

Europäischer Datenschutzausschuss

Fragen und Antworten

EU-Recht

Benötigen Sie Unterstützung durch unsere Hilfsdienste?

Wenden Sie sich an unsere spezialisierten Hilfsdienste:

Zuletzt überprüft: 04/11/2024
Seite weiterempfehlen