Stand:

User sollen wissen, was Websites mit ihren Daten machen. Facebook und Whatsapp führen Altersbeschränkungen ein. Dahinter steckt ein neues EU-Gesetz, das ab dem 25. Mai gilt. Das solltest du darüber wissen.

Das ändert sich jetzt! #kurzerlärt

Natürlich gibt's dazu noch mehr zu wissen. Wir erläutern euch hier die wichtigsten Punkte:

1. Altersbeschränkung für Facebook, Whatsapp & Co

2. Nutzer können eine umfangreiche Auskunft verlangen

3. Unternehmen müssen von sich aus informieren

4. Strafen für Anbieter werden härter

5. Besonders sensible Daten sind tabu

6. Cookies könnten zum Problem werden

7. Wir haben ein Recht auf Vergessen – wirklich!

Habt ihr noch Fragen? Schreibt uns, wir antworten gemeinsam mit einem Datenschutz-Experten in der SWR3 Nachmittagsshow mit Marcus Barsch, am 23. Mai ab 15 Uhr.

1. Altersbeschränkung für Facebook, Whatsapp & Co

Seit Wochen wird diskutiert über die Altersbeschränkung bei Messenger-Diensten und sozialen Netzwerken. Werden Whatsapp und Facebook für Kinder und Jugendliche unter 16 Jahren bald verboten? Also: Nie wieder Family-Chat mit den Kids? Automatische Löschung des Profils von 15-Jährigen? Nein. Das wird nicht passieren, selbst wenn es mancher Jugendschützer befürworten würde.

Das Mindestalter für die Nutzung zum Beispiel bei Facebook lag bislang bei einem Mindestalter von 13 Jahren und das wird auch weiterhin so bleiben. Drunter darf sich weiterhin theoretisch keiner anmelden (wobei bekannt ist, wie gut das funktioniert...). Spannend ist neuerdings nur die Altersspanne zwischen 13- und 16-Jährigen. Denn sobald die sogenannte Datenschutzgrundverordnung (DSGVO) der EU in Kraft tritt, gilt für Facebook: Wer unter 16 Jahre alt ist, braucht das Einverständnis der Eltern, muss also in irgendeiner Form eine Einwilligung liefern.

Kurz: Keine Verbote, kein Löschen – für Facebook genügt eine Einverständniserklärung der Eltern.

Bei Whatsapp ist die Altersprüfung noch sehr unklar, das Mindestalter ab 16 Jahren wird aber auch hier gelten. Eine besonders intensive Prüfung ist allerdings kaum zu erwarten.

Neues Gesetz soll Jugendschutz verbessern

Grund dafür ist das besagte neue EU-Gesetz, das auch den Jugendschutz im Internet verbessern soll. Ab dem 25. Mai dürfen Unternehmen nämlich nur noch die Daten von jemandem verarbeiten, der über 16 Jahre alt ist. Für Netzwerke wie Facebook oder WhatsApp bedeutet das, dass sie in irgendeiner Form das Alter der Mitglieder konkret abfragen müssen – ob das mit einem einfachen Popup-Fenster funktioniert, nach dem Motto „Klicke hier, wenn du über 16 bist“ oder ob die bislang bereits bestehende Angabe des Alters im Profil genügen soll, ist noch nicht klar.

Facebook will „angemessene“ Anstrengungen unternehmen

Was den Jugendschutz anbelangt, hat Facebook erklärt, dass eine konkrete und stichhaltige Überprüfung von der EU-Verordnung nicht gefordert sei und dass man daher „angemessene“ Anstrengungen unternehmen würde, das Alter der Nutzer festzustellen. Das heißt: Möglichst wenig Aufwand für das Unternehmen, die Initiative muss von den Eltern und den Kindern kommen.

So sollen Kinder und Jugendliche ihre Eltern über deren Facebook-Profile kontaktieren können, um ihnen die Bestätigung der Profil-Einstellungen zu schicken. Kinder können außerdem die E-Mailadresse der Eltern angeben, damit sie einen Überblick darüber bekommen, welche Daten ihrer Kinder in welcher Form weiter verwendet werden. Ob das klappt? Fraglich.

Eltern können über den Datenschutz ihrer Kinder entscheiden

Falls Eltern aber die Zugriffe einfordern oder die Kinder freiwillig ihre Eltern einbinden, können sie detailliert eingreifen: Facebook hat angekündigt, dass speziell auch darüber entschieden werden kann, ob die Jugendlichen personalisierte Werbung bekommen und ob sie angeben können, an Personen welchen Geschlechts sie interessiert sind.

2. Nutzer können eine umfangreiche Auskunft verlangen

Aber die Altersbeschränkungen sind nur ein kleiner Teil der Auswirkungen, die das EU-Gesetz zum Datenschutz hat. Jeder, der eine Website anbietet, bei der Daten von den Nutzern erhoben werden, hat künftig eine umfangreiche Informationspflicht. Umgekehrt haben die User ein Recht darauf, umfassend Auskunft zu bekommen. Aber was genau heißt das?

Besondere Informationspflicht, wenn Daten an Dritte gegeben werden

Bislang hat es gereicht, in den Allgemeinen Geschäftsbedingungen (AGB) grob zu erklären, was die Website tut. Künftig soll jeder von uns eine nachvollziehbare und verständliche Auskunft bekommen und vor allem auch selbst die Daten zugesendet bekommen, die eine Seite von uns gesammelt hat. Und zwar als Kopie in Papierform oder auch elektronisch.

Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

Auszug aus der DSGVO

Was aber fast noch wichtiger ist: Die Anbieter müssen uns nicht nur sagen, welche Daten sie von uns haben – sie müssen uns auch erklären, was sie damit tun. Und auch: an wen sie unsere Daten weitergeben – also zum Beispiel an die Schufa.

Hier geht's zum DSGVO: Welche Rechte habe ich eigentlich?

3. Unternehmen müssen von sich aus informieren

Einerseits können User also nach ihren Datensätzen verlangen, andererseits müssen aber die Unternehmen auch besonders deutlich darüber informieren, was sie mit unseren Daten machen. Unaufgefordert. Heißt, die Website selbst muss erklären, was sie mit den Daten der Nutzer anstellen, was sie speichern und für welche Zwecke – per Newsletter, E-Mail, mit einem Anruf oder einer Angabe auf dem Portal.

Wer sich beispielsweise bei Facebook einloggt, hat in den letzten Wochen deshalb eine ausführliche Erklärung der Nutzungsbedingungen als Popup angezeigt bekommen. Nicht, weil Facebook das will, sondern weil sie müssen.


Ausführliche Datenschutzbedingungen bei Facebook werden angezeigt; Foto: Screenshot Facebook
Screenshot Facebook

Langfristig müssen diese Informationen aber auch zur Verfügung stehen, beispielsweise über AGB und ein Impressum. Ob eine Seite den neuen Maßstäben für die Aufklärung der Nutzer entspricht, lässt sich im Internet checken.

Viele Unternehmen sind nicht vorbereitet

Das neue Gesetz betrifft natürlich nicht nur die ganz großen Player wie Facebook, Google oder Whatsapp, sondern viele Unternehmen, die in irgendeiner Form Daten von Nutzern erheben. Das kann durch einen kleinen Online-Shop sein oder auch durch einen regelmäßig verschickten Newsletter, für den die User Namen und Adresse angeben müssen.

Und da kommt das Problem: Viele Unternehmen in Deutschland befassen sich offenbar zu spät mit der neuen Verordnung und müssen deshalb jetzt nach schnellen Lösungen suchen. Eine Studie des Eco-Verbands der Internetwirtschaft hat ergeben, dass nur 10 Prozent der befragten Unternehmen einen Monat vor Inkrafttreten des Gesetzes bereits ihren Umgang mit Kundendaten umgestellt hätten.

Immer mehr Anrufe und E-Mails

Auch wegen der kurzfristigen Planung vieler Anbieter bekommen viele User gerade vermehrt E-Mails oder auch Anrufe von Website-Betreibern, bei denen sie registriert sind. Wie gesagt: Die Anbieter müssen uns darüber aufklären, was sie tun und unser Einverständnis einholen. Falls bei euch also Anrufe, Newsletter oder E-Mails eintreffen, die sich auf dieses ominöse neue Gesetz, die DSGVO, berufen: Nehmt euch die Zeit und befasst euch damit – auch wenn es nervig ist, ist es in diesem Fall wichtig.

Bundesinnenminister Seehofer wirbt deshalb dafür, gerade in der Anfangszeit noch Milde walten zu lassen mit den Anbietern, die große Umstellungen zu leisten haben.

4. Strafen für Anbieter werden härter

Um die Unternehmen aber dazu zu bringen, sich bei aller Milde an die neuen Datenschutz-Regeln zu halten, hat die EU außerdem einen verschärften Strafkatalog vorgestellt. Wenn Webseiten-Anbieter gegen die neue Verordnung verstoßen, gibt es zwei Möglichkeiten: Entweder, es handelt sich um eine Ordnungswidrigkeit oder sogar um einen Straftatbestand. Je nachdem werden Strafen bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes fällig. Bei einem Straftatbestand drohen weitere Bußgelder oder sogar bis zu zwei Jahren Freiheitsstrafe.

Hier könnt ihr den gesamten Bußgeldkatalog des DSGVO nachlesen.

5. Besonders sensible Daten sind tabu

Ganz grundsätzlich gilt das neue Gesetz für alle Seiten, die mit personenbezogenen Daten arbeiten. Es gilt aber weiterhin ein striktes Verbot, dass besonders sensible Daten überhaupt eingesammelt werden – nur in Ausnahmefällen ist das gestattet. Das ist nicht neu, die EU hat es nun in ihrer Verordnung aber nochmals betont: Es gibt Daten, die wirklich niemand leichtfertig verarbeiten darf. Dazu gehören genetische Daten, Informationen zu unserer sexuellen Orientierung oder ethnischen Herkunft. Das ist besonders spannend für soziale Netzwerke wie Facebook oder auch Dating-Portale, in denen natürlich gerade diese sensiblen, privaten und persönlichen Daten abgefangen werden.

6. Cookies könnten zum Problem werden

Besonders harte neue Regelungen sieht die EU für Cookies vor. Bislang war es in Deutschland so, dass die Websites, auf die wir surfen, uns nur über die Verwendung von Cookies informieren mussten. Künftig soll es so sein, dass wir eine Möglichkeit haben müssen, der Verwendung von Cookies zuzustimmen oder zu widersprechen – jedenfalls, wenn diese Cookies nicht nur technisch nötig sind, sondern auch Daten von uns abgreifen können. Was das genau bedeutet, muss sich noch zeigen – denn eigentlich wäre es mit dem neuen Gesetz möglich, dass wir sagen: „Nö, ich will keine Cookies akzeptieren.“ Und wenn wir das tun, dann müssten wir die Website trotzdem sehen und weiter surfen können.

7. Wir haben ein Recht auf Vergessen – wirklich!

Das sogenannte Recht auf Vergessen haben wir schon lange – also, ein Recht auf das Löschen unserer Daten im Internet oder auch die Korrektur von falschen Daten. Bislang war es aber so, dass es zu diesem Recht lediglich ein paar Gerichtsentscheidungen gegeben hat, die Umsetzung und die Löschpflicht seitens der Betreiber von Websites war aber sehr schwammig und unklar. So wurden in den letzten Jahren zwar viele Löschanfragen von Nutzern gestellt (insbesondere bei der Suchmaschine Google), die wurden aber nur zum Teil erfüllt. Einige Nutzer warteten vergeblich darauf, dass veraltete oder sogar falsche Links oder Bilder über ihre Person im Netz zu finden waren.

Die neue EU-Norm hat deshalb vor allem eine Neuerung im Blick: Sie sieht hier eine detaillierte Prozedur vor, die es den Usern erleichtern soll, das ohnehin bereits bestehende Recht auf Vergessen einzufordern.

Fazit: Informiert euch!

Die Datenschutzgrundverordnung der EU wird vermutlich nicht dafür sorgen, dass das Internet plötzlich zu einer vertrauensvollen Spielwiese voller Datenschützer wird. Wer aber seine Rechte als User kennt, kann sie einfordern und ist mit der neuen Gesetzeslage stärker gestellt als vorher.

Unternehmen ihrerseits müssen sich jetzt beeilen und reagieren, um ihre Websites, Netzwerke und Online-Shops aufzurüsten und für die neuen Richtlinien klarzumachen.

Weitere Infos gibt's auch hier, von der Europäischen Kommission.

Autor
Kira Urschinger
Autor
SWR3