Stand:

Jetzt gilt es, das neue EU-Gesetz für Datenschutz. Aber es ist noch vieles unklar. Ihr habt uns geschrieben, was ihr noch wissen wollt. Wir haben eure Fragen mit einem Rechtsexperten im Radio beantwortet.

SWR3-Hörer fragen – Experte antwortet

Auch wenn das neue Datenschutz-Gesetz nun gilt, sind noch viele Fragen offen. Ihr habt uns eure Fragen geschickt. Wir haben sie in der SWR3 Nachmittagsshow mit Marcus Barsch beantwortet, gemeinsam mit einem Experten für Medienrecht, mit dem Rechtsanwalt Christian Solmecke. Viele von euch haben sich nach der Sendung bei uns gemeldet, deshalb haben wir hier die Antworten auf eure Fragen zum Nachhören.

SWR3-Audio: Beitrag anhören; Foto: SWR3.de
1:10

Datenschutz

"Reicht die DSGVO aus?"

SWR3-Audio: Beitrag anhören; Foto: SWR3.de
2:04

Datenschutz

"Warum die DSGVO? / Anwalt oder "kostenlose Generatoren"?

Mehr Beiträge zum Nachhören aus dem Radio gibt's hier.

Das ändert sich jetzt – kurz erklärt!

Wollt ihr es ein bisschen genauer wissen? Wir erläutern euch hier die wichtigsten Punkte ein bisschen ausführlicher:

  1. Altersbeschränkung für Facebook, Whatsapp & Co
  2. Besonders sensible Daten sind tabu
  3. Nutzer können eine umfangreiche Auskunft verlangen
  4. Unternehmen müssen von sich aus informieren
  5. Strafen für Anbieter werden härter
  6. Cookies könnten zum Problem werden
  7. Wir haben ein Recht auf Vergessen – wirklich!

1. Altersbeschränkung für Facebook, Whatsapp & Co

Seit Wochen wird diskutiert über die Altersbeschränkung bei Messenger-Diensten und sozialen Netzwerken. Werden Whatsapp und Facebook für Kinder und Jugendliche unter 16 Jahren bald verboten? Also: Nie wieder Family-Chat mit den Kids? Automatische Löschung des Profils von 15-Jährigen? Nein. Das wird nicht passieren, selbst wenn es mancher Jugendschützer befürworten würde.

Das Mindestalter für die Nutzung zum Beispiel bei Facebook lag bislang bei 13 Jahren und das wird auch weiterhin so bleiben. Drunter darf sich weiterhin theoretisch keiner anmelden (wobei bekannt ist, wie gut das funktioniert...). Spannend ist neuerdings nur die Altersspanne zwischen 13- und 16-Jährigen. Denn sobald die sogenannte Datenschutzgrundverordnung (DSGVO) der EU in Kraft tritt, gilt für Facebook: Wer unter 16 Jahre alt ist, braucht das Einverständnis der Eltern, muss also in irgendeiner Form eine Einwilligung liefern.

Kurz: Keine Verbote, kein Löschen – für Facebook genügt eine Einverständniserklärung der Eltern.

Bei Whatsapp kommt die Altersprüfung mit dem nächsten Update. Wie genau das aussieht, ist noch unklar, das Mindestalter ab 16 Jahren wird aber auch hier gelten. Eine besonders intensive Prüfung der Angaben der User ist allerdings kaum zu erwarten.

Neues Gesetz soll Jugendschutz verbessern

Aber warum machen die das alle mit dieser Altersgrenze? Ganz einfach: Ab dem 25. Mai dürfen Unternehmen nur noch die Daten von jemandem verarbeiten, der über 16 Jahre alt ist. Für Netzwerke wie Facebook oder WhatsApp bedeutet das, dass sie in irgendeiner Form das Alter der Mitglieder konkret abfragen müssen – ob das mit einem einfachen Popup-Fenster funktioniert, nach dem Motto „Klicke hier, wenn du über 16 bist“ oder ob die bislang bereits bestehende Angabe des Alters im Profil genügen soll, ist noch nicht klar.

Facebook will „angemessene“ Anstrengungen unternehmen

Was den Jugendschutz anbelangt, hat Facebook erklärt, dass eine konkrete und stichhaltige Überprüfung von der EU-Verordnung nicht gefordert sei und dass man daher „angemessene“ Anstrengungen unternehmen würde, das Alter der Nutzer festzustellen. Das heißt: Möglichst wenig Aufwand für das Unternehmen, die Initiative muss von den Eltern und den Kindern kommen.

So sollen Kinder und Jugendliche ihre Eltern über deren Facebook-Profile kontaktieren können, um ihnen die Bestätigung der Profil-Einstellungen zu schicken. Kinder können außerdem die E-Mailadresse der Eltern angeben, damit sie einen Überblick darüber bekommen, welche Daten ihrer Kinder in welcher Form weiter verwendet werden. Ob das klappt? Fraglich.

Eltern können mitentscheiden

Falls Eltern aber die Zugriffe einfordern oder die Kinder freiwillig ihre Eltern einbinden, können sie detailliert eingreifen: Facebook hat angekündigt, dass speziell auch darüber entschieden werden kann, ob die Jugendlichen personalisierte Werbung bekommen und ob sie angeben können, an Personen welchen Geschlechts sie interessiert sind.

2. Besonders sensible Daten sind tabu

Ganz grundsätzlich gilt das neue Gesetz für alle Seiten, die mit personenbezogenen Daten arbeiten. Und es umfasst natürlich viel mehr als Jugendschutz. Es geht um alle Informationen, die über eine Person gesammelt werden.

Allgemein gilt: Es ist verboten, dass besonders sensible Daten überhaupt gespeichert und gar verarbeitet werden.

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. Auszug aus der DSGVO

Es gibt nur wenige Ausnahmefälle, bei denen dieser Grundsatz aufgehoben wird. Selbst eine Einverständniserklärung des Nutzers gibt nicht automatisch das Recht, diese sensiblen Daten zu verwenden – im Zweifel muss ein Gericht darüber entscheiden.

Dieser rigorose Umgang ist nicht neu, die EU hat es nun in ihrer Verordnung aber nochmals betont: Es gibt Daten, die wirklich niemand leichtfertig verarbeiten darf. Dazu gehören genetische Daten, Informationen zu unserer sexuellen Orientierung oder ethnischen Herkunft. Das ist besonders spannend für soziale Netzwerke wie Facebook oder auch Dating-Portale, in denen natürlich gerade diese sensiblen, privaten und persönlichen Daten abgefangen werden.

Besonders wichtig für jeden Einzelnen von uns ist: Wenn wir Informationen von uns selbst ins Internet stellen und sie freiwillig öffentlich machen, wird der Schutz durch das Gesetz immer geringer. Es ist also Eigenverantwortung gefragt!

[Der besondere Schutz sensibler Daten kann verfallen, wenn sich] die Verarbeitung bezieht [...] auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat.

Auszug aus der DSGVO

3. Nutzer können eine umfangreiche Auskunft verlangen

Aber woher weiß ich, welche Daten von mir überhaupt gespeichert werden? Jeder, der eine Website anbietet, bei der Daten von den Nutzern erhoben werden, hat künftig eine umfangreiche Informationspflicht. Umgekehrt haben die User ein Recht darauf, umfassend Auskunft zu bekommen. Aber was genau heißt das?

Welche Rechte habe ich als Nutzer eigentlich?

Besondere Informationspflicht, wenn Daten an Dritte gegeben werden

Bislang hat es gereicht, in den Allgemeinen Geschäftsbedingungen (AGB) grob zu erklären, was die Website tut. Künftig soll jeder von uns eine nachvollziehbare und verständliche Auskunft bekommen und vor allem auch selbst die Daten zugesendet bekommen, die eine Seite von uns gesammelt hat. Und zwar als Kopie in Papierform oder auch elektronisch.

Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

Auszug aus der DSGVO

Was aber fast noch wichtiger ist: Die Anbieter müssen uns nicht nur sagen, welche Daten sie von uns haben – sie müssen uns auch erklären, was sie damit tun. Und auch: an wen sie unsere Daten weitergeben – also zum Beispiel an die Schufa.

4. Unternehmen müssen von sich aus informieren

Einerseits können User also nach ihren Datensätzen verlangen, andererseits müssen aber die Unternehmen auch besonders deutlich darüber informieren, was sie mit unseren Daten machen. Unaufgefordert. Heißt, die Website selbst muss erklären, was sie mit den Daten der Nutzer anstellen, was sie speichern und für welche Zwecke – per Newsletter, E-Mail, mit einem Anruf oder einer Angabe auf dem Portal.

Wer sich beispielsweise bei Facebook einloggt, hat in den letzten Wochen deshalb eine ausführliche Erklärung der Nutzungsbedingungen als Popup angezeigt bekommen. Nicht, weil Facebook das will, sondern weil sie müssen.


Ausführliche Datenschutzbedingungen bei Facebook werden angezeigt; Foto: Screenshot Facebook
Screenshot Facebook

Dass nicht ganz klar ist, wie viel das am Ende bringt, hat die Anhörung von Facebook-Chef Mark Zuckerberg im EU-Parlament gezeigt. Hier sollten Fragen auch zum Thema Datenschutz beantwortet werden – viel Konkretes gab es da aber nicht.

Neben den schnellen Informationen, müssen die Nutzerbedingungen aber auch langfristig zur Verfügung stehen, beispielsweise über AGB und ein Impressum. Ob eine Seite den neuen Maßstäben für die Aufklärung der Nutzer entspricht, lässt sich im Internet checken.

Viele Unternehmen und Vereine sind nicht vorbereitet

Das neue Gesetz betrifft natürlich nicht nur die ganz großen Player wie Facebook, Google oder Whatsapp, sondern viele Unternehmen und sogar gemeinnützige Vereine, die in irgendeiner Form Daten von Nutzern erheben. Es betrifft einen kleinen Online-Shop, der Adressdaten von seinen Kunden speichert oder die Personalangaben, die ein Fußball-Verein von seinen Mitgliedern hat.

Und da kommt das Problem: Viele Unternehmen und Vereine in Deutschland haben sich offenbar zu spät mit der neuen Verordnung befasst und müssen deshalb jetzt nach schnellen Lösungen suchen. Eine Studie des Eco-Verbands der Internetwirtschaft hat ergeben, dass nur 10 Prozent der befragten Unternehmen einen Monat vor Inkrafttreten des Gesetzes bereits ihren Umgang mit Kundendaten umgestellt hätten. Auch jetzt, da das Gesetz gilt, gibt es insbesondere für die kleinen Unternehmen und Vereine noch viele Fragen und kaum allgemeingültigen Antworten. Rechtsanwalt Christian Solmecke hat aber einige Tipps.

SWR3-Audio: Beitrag anhören; Foto: SWR3.de
1:56

Datenschutz

"Vereine: Fotos und Mitgliederlisten im Netz?"

Besondere Lage: Selbstständige

Eine besondere Situation haben auch Selbstständige. Tipps gab es auch für sie in der SWR3 Nachmittagsshow von Rechtsanwalt Christian Solmecke.

Immer mehr Anrufe und E-Mails

Auch wegen der kurzfristigen Planung vieler Anbieter bekommen viele User gerade vermehrt E-Mails oder auch Anrufe von Website-Betreibern, bei denen sie registriert sind. Wie gesagt: Die Anbieter müssen uns darüber aufklären, was sie tun und unser Einverständnis einholen. Falls bei euch also Anrufe, Newsletter oder E-Mails eintreffen, die sich auf dieses ominöse neue Gesetz, die DSGVO, berufen: Nehmt euch die Zeit und befasst euch damit – auch wenn es nervig ist, ist es in diesem Fall wichtig. Außerdem ist das die perfekte Gelegenheit um zu merken, wo ihr überall angemeldet seid, welche Newsletter ihr abonniert habt – und was ihr jetzt mit einem Klick ausmisten könnt.

Bundesinnenminister Seehofer wirbt wegen der vielen Unsicherheiten dafür, in der Anfangszeit noch Milde walten zu lassen mit den Anbietern, die große Umstellungen zu leisten haben und diese vielleicht nicht ganz fristgerecht umsetzen können.

5. Strafen für Anbieter werden härter

Um die Unternehmen aber dazu zu bringen, sich bei aller Milde an die neuen Datenschutz-Regeln zu halten, hat die EU außerdem einen verschärften Strafkatalog vorgestellt. Wenn Webseiten-Anbieter gegen die neue Verordnung verstoßen, gibt es zwei Möglichkeiten: Entweder, es handelt sich um eine Ordnungswidrigkeit oder sogar um einen Straftatbestand. Je nachdem werden Strafen bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes fällig. Bei einem Straftatbestand drohen weitere Bußgelder oder sogar bis zu zwei Jahren Freiheitsstrafe.

Hier könnt ihr den gesamten Bußgeldkatalog nachlesen.

6. Cookies könnten zum Problem werden

Besonders harte neue Regelungen sieht die EU für Cookies vor. Bislang war es in Deutschland so, dass die Websites, auf die wir surfen, uns nur über die Verwendung von Cookies informieren mussten. Künftig soll es so sein, dass wir eine Möglichkeit haben müssen, der Verwendung von Cookies zuzustimmen oder zu widersprechen – jedenfalls, wenn diese Cookies nicht nur technisch nötig sind, sondern auch Daten von uns abgreifen können. Was das genau bedeutet, muss sich noch zeigen – denn eigentlich wäre es mit dem neuen Gesetz möglich, dass wir sagen: „Nö, ich will keine Cookies akzeptieren.“ Und wenn wir das tun, dann müssten wir die Website trotzdem sehen und weiter surfen können.

7. Wir haben ein Recht auf Vergessen – wirklich!

Das sogenannte Recht auf Vergessen haben wir schon lange – also, ein Recht auf das Löschen unserer Daten im Internet oder auch die Korrektur von falschen Daten. Bislang war es aber so, dass es zu diesem Recht lediglich ein paar Gerichtsentscheidungen gegeben hat, die Umsetzung und die Löschpflicht seitens der Betreiber von Websites war aber sehr schwammig und unklar. So wurden in den letzten Jahren zwar viele Löschanfragen von Nutzern gestellt (insbesondere bei der Suchmaschine Google), die wurden aber nur zum Teil erfüllt. Einige Nutzer warteten vergeblich darauf, dass veraltete oder sogar falsche Links oder Bilder über ihre Person im Netz zu finden waren.

Die neue EU-Norm hat deshalb vor allem eine Neuerung im Blick: Sie sieht hier eine detaillierte Prozedur vor, die es den Usern erleichtern soll, das ohnehin bereits bestehende Recht auf Vergessen einzufordern.

Fazit: Informiert euch im Einzelfall!

Die Datenschutzgrundverordnung der EU wird vermutlich nicht dafür sorgen, dass das Internet plötzlich zu einer vertrauensvollen Spielwiese voller Datenschützer wird. Wer aber seine Rechte als User kennt, kann sie einfordern und ist mit der neuen Gesetzeslage stärker gestellt als vorher.

Unternehmen ihrerseits müssen sich jetzt beeilen und reagieren, um ihre Websites, Netzwerke und Online-Shops aufzurüsten und für die neuen Richtlinien klarzumachen.

Insbesondere Vereine und kleine Läden müssen sich vor allem auch für den eigenen Einzelfall schlau machen, hier sind noch viele Fragen offen, auf die es keine allgemeingültigen Antworten gibt.

Das Gesetz verlangt insgesamt mehr Verantwortung vom User: Welche Daten gebe ich von mir preis, was veröffentliche ich freiwillig, wo setze ich ein Häkchen? Das sollten wir uns künftig noch besser überlegen. Nur dann profitieren wir auch vom angedachten besseren Schutz die Daten des Einzelnen.

Hier geht's zur Info-Seite der Europäischen Kommission.