Wenn du eine Website in der EU besuchst, kann die Organisation, die dahinter steht, mit deinen persönlichen Daten nicht einfach machen, was sie will. Sie muss sich an bestimmte Regeln und Verfahren halten, die seit 2008 in der EU-weit geltenden sogenannten Datenschutzgrundverordnung (DSGVO), zusammengefasst sind. Vergleiche: General Data Protection Regulation (GDPR)
Du findest wahrscheinlich, dass die DSGVO nervt, weil du sie mit den Cookie-Bannern identifizierst, die jedes Mal auftauchen, wenn du eine neue Website besuchst. Das sehen wir genauso. Cookie-Banner sind lästig für die Nutzerinnen und Nutzer und sicher nicht der beste Weg, um die Weitergabe von personenbezogenen Daten zu regeln - die EU sollte eine bessere Alternative finden.
Aber bei der DSGVO geht es um weit mehr als um Cookie-Banner.
Was ist die DSGVO? Warum brauchen wir die DSGVO?
Wenn wir das Internet nutzen, können viele unserer persönlichen Daten für diejenigen zugänglich werden, die uns ausspionieren wollen. Dazu können E-Mail-Adressen gehören, die wir beim Einloggen brauchen, unser Standort oder das, was wir in Suchmaschinen eingeben. Diese Daten können viel über uns aussagen - was wir mögen und wie man uns diese Dinge am geschicktesten vermarkten kann - und deshalb sind sie extrem wertvoll für Unternehmen, die uns zum Kauf ihrer Produkte bewegen wollen. Ohne Regulierung können Unternehmen unsere Daten auf eine Art und Weise nutzen, die unseren Interessen entgegenläuft.
Dafür gibt es bereits viele Beispiele. Im Jahr 2021 verkaufte die LGBTQ*-Online-Dating-Plattform Grindr angeblich (re)identifizierbare Standortdaten des US-amerikanischen katholischen Kirchenbeamten Jeffrey Burril, die in den Händen der Redaktion einer katholischen Zeitschrift landeten. Anhand dieser Daten wurde dann eine Story veröffentlicht, in der sie behaupteten, er würde regelmäßig in schwulen Clubs verkehren. Nach der Veröffentlichung musste Burril zurücktreten und sah sich einem Sturm von Debatten über das Zölibat und promiskuitives homosexuelles Verhalten ausgesetzt. Diese Auswirkungen sind schon schlimm genug, aber in anderen Ländern hätte er ins Gefängnis wandern oder sogar getötet werden können.
Um zu verhindern, dass so etwas allen passieren kann, deren Feinde reich (oder schlau) genug sind, um die Spuren, die sie oder er online hinterlässt, zu finden und zu entziffern, bedarf es deutlicher und präziser Vorschriften, die dann auch durchgesetzt werden. Gleiches gilt natürlich auch für die Daten, die wir in bestimmten Situationen offline teilen.
Um unser Recht zu schützen, dass wir selbst entscheiden können, was wir mit anderen teilen, hat die Europäische Union am 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft gesetzt, die neue Standards für den Schutz von Privatsphäre und Daten festlegt. Sie basiert auf einer Reihe von Grundprinzipien, die in der folgenden Tabelle aufgeführt sind:
Rechtmäßigkeit, Fairness und Transparenz |
Die Datenverarbeitung muss rechtmäßig, fair und für die betroffene Person (ja genau, damit bist du gemeint) transparent sein. |
Zweckbindung |
Wenn Daten verarbeitet werden, müssen alle Zwecke vorher erklärt werden. |
Datenminimierung |
Es dürfen nur Daten erhoben werden, die zur Erfüllung des angegebenen Zwecks unbedingt notwendig sind. |
Genauigkeit |
Persönliche Daten müssen korrekt sein |
Speicherbegrenzung |
Daten dürfen nur so lange gespeichert werden, wie sie für den angegebenen Zweck benötigt werden. |
Integrität und Vertraulichkeit |
Wenn Daten verarbeitet werden, muss dies sicher sein und der Verarbeiter muss dafür sorgen, dass die Informationen nicht in die falschen Hände geraten. |
Rechenschaftspflicht |
Der für die Datenverarbeitung Verantwortliche muss in der Lage sein, die Einhaltung der DSGVO für jeden Schritt der Datenverarbeitung nachzuweisen. |
Was gilt laut DSGVO als personenbezogene Daten? Warum ist es so wichtig, sie zu schützen?
Die Terminologie, die bei der Diskussion über die Datenschutzgrundverordnung verwendet wird, kann komplex und abschreckend sein. Aber keine Sorge, dieser Text heißt nicht umsonst "DSGVO für Dummies" - wir erklären dir, warum der Schutz personenbezogener Daten für die Demokratie wichtig ist.
Was genau sind also personenbezogene Daten? In der offiziellen Datenschutzgrundverordnung werden personenbezogene Daten als alle Informationen definiert, die sich auf eine natürliche Person beziehen, die durch diese Informationen identifiziert werden kann. Dazu gehören Faktoren wie Geschlecht, Postanschrift, kulturelle oder soziale Identität. So weit so gut, oder?
Aber warum ist es für Demokratien so wichtig, persönliche Daten in offiziellen Datenschutzgesetzen zu schützen?
Zunächst einmal ist dein Recht auf Privatsphäre ein Grundrecht. Um ein Leben in Würde führen zu können, das wir alle verdienen, musst du frei entscheiden können, was du für dich behältst und was du mit anderen teilst. Schon bevor es das Internet gab, musste dein Recht auf Privatsphäre vor anderen geschützt werden, die deine Daten für ihre eigenen Zwecke nutzen konnten. Aber Informationen zu sammeln war sehr schwierig und kostspielig, vor allem wenn es sich um Daten über große Teile der Gesellschaft handelte.
Da immer mehr Aktivitäten digitalisiert werden, ist das Sammeln von Daten immer einfacher geworden. Da 92 % der Haushalte in der EU einen Internetzugang haben, können wir mit Sicherheit davon ausgehen, dass fast jeder von uns Spuren im Internet hinterlässt, aus denen Unternehmen schließen können, was wir mögen, wofür wir uns interessieren oder wovor wir Angst haben. Das mag zunächst nicht weiter beunruhigend klingen - kann aber tatsächlich sehr gefährlich werden.
Vor allem das politische Targeting stellt eine große Gefahr für die Demokratie und die Meinungsfreiheit dar. Wenn Parteien und Kandidaten einfach Informationen darüber kaufen können, wie sie deine Wählerstimmen beeinflussen können, untergräbt dies den demokratischen Prozess. Das hat nichts mit einem fairen, zugänglichen und gleichberechtigten Wahlkampf zu tun. Donald Trump zum Beispiel hat viel politische Propaganda und Fehlinformationen über soziale Medien und direkte Ansprache verbreitet.
Du solltest die gleichen politischen Anzeigen sehen können wie dein Nachbar, aber dank Microtargeting ist das vielleicht nicht der Fall. Und wenn du schon personalisierte Werbung bekommst, solltest du zumindest das Recht haben, zu erfahren, warum gerade dir bestimmte Informationen angezeigt werden.
Was ist eine Datenschutzverletzung? Warum ist sie gefährlich?
Das schlimmste Szenario ist, wenn deine Daten in die falschen Hände geraten, das sogenannte Danteleck, auch bekannt als Datenschutzverletzung. Eine Datenschutzverletzung liegt vor, wenn Daten gestohlen werden, verloren gehen, zerstört oder von Hackern manipuliert werden. Selbst die größten Unternehmen sind nicht 100%ig sicher - im Jahr 2021 wurden zum Beispiel die Daten von mehr als 500 Millionen Facebook-Nutzern entwendet und ins Internet gestellt.
Aber was kann passieren, wenn meine Daten missbraucht werden?
Während einige Folgen höchstens ärgerlich sind, wie der Verlust des Zugriffs auf deine Social-Media-Konten, sind andere aktiv schädlich und stellen eine echte Gefahr dar. Stell dir zum Beispiel vor, dass persönliche Daten aus einem Online-Sexberatungsforum - in dem Menschen anonym Rat zu persönlichen Themen suchen - durchsickern und die Nutzer/innen offline identifiziert werden können. Dies könnte die psychische Gesundheit einer Person ernsthaft beeinträchtigen oder sie sogar in körperliche Gefahr bringen, etwa wenn ihr Lebensstil gegen die gesellschaftlichen Normen verstößt.
Die DSGVO verringert dieses Risiko, indem sie Datenminimierung und Speicherbegrenzung vorschreibt. Je weniger Daten gespeichert werden, desto weniger können durchsickern und desto schwieriger ist es, Personen zu identifizieren. Außerdem müssen die für die Datenverarbeitung Verantwortlichen eine Datenschutzverletzung spätestens innerhalb von 72 Stunden melden, und gemäß Artikel 25 der DSGVO ("privacy by design") müssen alle Systeme von vornherein so sicher wie möglich gestaltet sein.
DSGVO für Dummies: Wie funktioniert sie eigentlich? Wichtige Fakten und Begriffe
Okay, wir haben es bis hierher geschafft - aber wir müssen noch ein paar komplizierte Formulierungen durchgehen und erklären, wie die DSGVO tatsächlich funktioniert und warum sie für dich wichtig ist:
Was ist ein Datensubjekt? |
Ich bin eins und du bist auch eins. Ein Datensubjekt (oft auch "betroffene Person") ist jede/r, dessen/deren Daten von einer Organisation erfasst werden. Im Grunde sind alle, die jemals das Internet genutzt haben, Datensubjekte. |
Was ist ein "für die Datenverarbeitung Verantwortlicher"? |
Ein für die Datenverarbeitung Verantwortlicher ist jede Stelle, die Daten sammelt und speichert - zum Beispiel ein Unternehmen. |
Was ist ein Datenverarbeiter? |
Das ist derjenige, den ein großes Unternehmen anstellt, um Daten in seinem Namen zu verarbeiten. |
Was ist eine Aufsichtsbehörde? |
Jedes Land in der EU hat seine eigene Aufsichtsbehörde. Wie ein Datenschutz-Sheriff soll sie die Datenschutz-Grundverordnung in ihrer Region durchsetzen und, wenn nötig, hohe Geldstrafen verhängen. |
Was ist ein Datenschutzbeauftragter (DSB)? |
Das ist die Person, die sich um alle DSGVO-Fragen in einer Organisation/einem Unternehmen kümmert. |
Was sind Datenschutz-Folgenabschätzungen (DPIAs)? |
Wenn ein Projekt wahrscheinlich ein hohes Risiko für personenbezogene Daten birgt, müssen die für die Verarbeitung Verantwortlichen darüber nachdenken, welche potenziellen Risiken bestehen und wie sie minimiert werden können. |
Was bedeutet Datenschutzpolitik? |
Eine Datenschutzrichtlinie ist ein öffentliches Dokument, in dem eine Organisation erklärt, wie sie personenbezogene Daten verarbeitet und wie sie die Datenschutzgrundsätze anwendet - damit du weißt, was mit deinen Daten passiert, wenn du mit ihr interagierst. |
Was bedeutet Einwilligung im Sinne der DSGVO? |
Laut DSGVO ist die Einwilligung "jede freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich abgegebene Willensbekundung", dass eine bestimmte Kategorie deiner Daten für bestimmte Zwecke von denjenigen verarbeitet werden darf, die dich um deine Einwilligung bitten. |
Was sind Nutzerrechte? Welche neuen Rechte haben Internetnutzer/innen dank der DSGVO?
Die DSGVO legt 8 grundlegende Nutzerrechte für Internetnutzer in Europa fest. Das gibt dir eine Reihe von Rechten und auch die Möglichkeit, dich zu wehren, wenn diese verletzt werden.
Das Recht, informiert zu werden
Jede Person hat das Recht, darüber informiert zu werden, wer ihre Daten verarbeitet und zu welchem Zweck. Das ist wichtig, denn du musst wissen, an wen du dich wenden kannst, wenn du denkst, dass deine Daten missbraucht werden. Die Datenschutzrichtlinien müssen so verfasst sein, dass sie leicht verständlich sind.
Das Recht auf Auskunft
Wenn du wissen willst, welche persönlichen Daten ein Unternehmen von dir speichert und wie sie verwendet werden, kannst du einfach einen kostenlosen Antrag auf Einsicht stellen. Wenn du zum Beispiel wissen willst, welche Daten dein örtlicher Supermarkt gespeichert hat, kannst du Daten darüber erwarten, wann du die Kundenkarte benutzt hast, was du gekauft hast, ob du Sonderangebote erhalten hast und ob und an wen deine Daten verkauft wurden.
Das Recht auf Berichtigung
Wenn du feststellst, dass jemand unrichtige Daten über dich besitzt, hast du das Recht, diese berichtigen zu lassen. Natürlich müssen auch Dritte, die deine Daten erhalten haben, darüber informiert werden.
Das Recht auf Löschung
Dieses Recht ist besser bekannt als das "Recht vergessen zu werden". Grundsätzlich kannst du verlangen, dass ein Unternehmen die Daten, die es über dich hat, löscht. Deinem Wunsch kann nicht immer entsprochen werden - Banken können zum Beispiel nicht alle deine Daten sofort löschen, weil sie sie laut Gesetz für eine bestimmte Zeit aufbewahren müssen. Wenn du aber auf einer lokalen Website als regionaler Gewinner des lokalen Hotdog-Essenswettbewerbs vorgestellt wurdest und du keine öffentliche Person bist (die Öffentlichkeit hat also kein Interesse daran zu erfahren, wie du deine Zeit verbracht hast), sollte deinem Antrag stattgegeben werden. Es sollte aber auch erwähnt werden, dass es heutzutage sehr schwer ist, Daten vollständig zu löschen, wenn sie erst einmal im World Wide Web veröffentlicht sind. Saftige Clickbaits verbreiten sich im Internet weit und breit - und wenn deine Daten außerhalb der EU verarbeitet werden, ist die Durchsetzung deiner Rechte so gut wie unmöglich.
2019 hat der Gerichtshof der Europäischen Union entschieden, dass die EU ihre Gesetze nicht über ihre Grenzen hinaus ausdehnen kann. Du kannst Google also zwingen, das peinliche Bild, das du vor 12 Jahren auf MySpace gepostet hast, aus den europäischen Suchergebnissen zu löschen - wenn jemand auf einem anderen Kontinent deinen Namen googelt, kann er sich immer noch darüber lustig machen.
Das Recht, die Verarbeitung einzuschränken
Es könnte eine Situation eintreten, in der du möchtest, dass ein Unternehmen deine Daten nicht mehr verwendet. Das erste, was dir in den Sinn kommt, ist: "Ich werde sie bitten, sie zu löschen. Aber das ist vielleicht nicht möglich oder nicht sofort. In solchen Fällen kannst du immer noch von Unternehmen verlangen, dass sie nichts mit deinen Daten machen, was über das hinausgeht, wozu sie gesetzlich verpflichtet sind, z. B. die Daten für eine bestimmte Zeit zu speichern.
Das Recht auf Datenübertragbarkeit
Stell dir vor, du nutzt eine Musikstreaming-Plattform und möchtest zu einer anderen wechseln. Du zögerst jedoch, weil du deine Wiedergabelisten behalten möchtest. Das Recht auf Datenübertragbarkeit soll sicherstellen, dass du nicht bei deinem alten Anbieter hängen bleibst, nur weil du keine Zeit oder Energie hast, diese Listen neu zu erstellen. Da du nach der DSGVO die Eigentümerin bzw. der Eigentümer deiner Daten bist, kannst du verlangen, dass deine Daten von deiner alten Streaming-Plattform in einem Format übertragen werden, das auch für den neuen Anbieter geeignet ist.
Das Recht auf Widerspruch
Wenn du einer Website die Erlaubnis erteilst, Cookie-Daten zu speichern und auszulesen, kann das Unternehmen oder die Organisation deine Daten gemäß ihrer Datenschutzrichtlinie verarbeiten. Aber was ist, wenn du später deine Meinung änderst, weil du von politischer Werbung angesprochen wirst, nachdem du ein Thema in den Nachrichten recherchiert hast? Zumindest theoretisch hast du das Recht, dem zu widersprechen. Die Nachrichtenseite, die du besucht hast, darf deine Daten nicht mehr verarbeiten oder verkaufen. Es gibt zwar einige Ausnahmen von diesem Recht, aber du kannst dich immer gegen Direktmarketing wehren. In der Praxis musst du jedoch möglicherweise andere Wege finden, um sicherzustellen, dass du nicht mit politischer Werbung überschwemmt wirst, denn in der heutigen Online-Umgebung kannst du möglicherweise gar nicht wissen, wer deine Daten verarbeitet. Und ja, das ist ein Verstoß gegen die Datenschutz-Grundverordnung.
Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling
Automatisierte Entscheidungsfindung (Automated Decision-Making, ADM) bezieht sich auf die Entscheidungsfindung durch eine Maschine auf der Grundlage von Daten. Profiling bedeutet, dass du auf der Grundlage von Informationen aus persönlichen Daten in eine bestimmte Kategorie eingeordnet wirst (z. B. ob du für einen Kredit in Frage kommst oder nicht). ADM verspricht, unparteiischer zu sein als menschliche Entscheidungen, aber da es auf dem Lernen anhand von Modellen und Daten beruht, die von Menschen eingegeben werden und die auch falsch sein können, ist wirkliche Objektivität noch in weiter Ferne.
Aufgrund der Möglichkeit, dass Entscheidungen voreingenommen getroffen werden können, stellen ADM und Profiling eine Bedrohung für unsere individuellen Rechte, Freiheiten und Demokratien dar. Wir sollten die Möglichkeit haben, zu erfahren, warum eine Entscheidung getroffen wurde, und sie anzufechten, wenn wir dies wünschen.
Die EU hat dieses Problem erkannt und räumt daher das Recht ein, keiner Entscheidung unterworfen zu werden, die ausschließlich auf automatisierten Mitteln beruht, wenn die Entscheidung rechtliche Folgen oder erhebliche Auswirkungen auf das Leben einer Person hat.
Was sind die Strafen für Verstöße gegen die DSGVO?
Je nachdem, wie genau jemand gegen die DSGVO verstößt, gibt es zwei verschiedene Stufen von Bußgeldern.
Bei weniger schwerwiegenden Verstößen müssen Unternehmen bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes zahlen, je nachdem, welcher Betrag höher ist.
Bei schwerwiegenderen Verstößen können die Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens betragen.
Was ist von der Datenschutz-Grundverordnung zu halten?
Wenn du bis hierher gekommen bist, bist du offiziell kein Dummy mehr, wenn es um die Datenschutzgrundverordnung geht. Was haben wir also gelernt?
Wir haben gelernt, was wir sind (ein Datensubjekt), dass unser Verhalten online verfolgt wird (persönliche Daten sind wertvoll) und dass viele Menschen und Unternehmen an unseren Daten interessiert sind. Wir haben auch gelernt, dass ein mangelnder Schutz der Privatsphäre Demokratien schaden kann.
Natürlich bietet die DSGVO keinen wasserdichten Schutz gegen alle Arten von Datenschutzverstößen - vor allem, weil die Behörden Probleme haben, sie durchzusetzen. Die DSGVO ist zwar ein positives Rechtsinstrument, mit dem wir uns schützen können, aber sie ist nur so nützlich, wie sie durchsetzbar ist. In Zukunft sollte sich die EU darauf konzentrieren, sicherzustellen, dass die DSGVO auch eingehalten wird.
Photocredits:
Naomi Tamar /Unsplash
Jurica Koletić/Unsplash
Omid Armin/Unsplash
Ludvig Wiese/Unsplash
Taylor Hernandez/Unsplash
Alexander Andrews/Unsplash
Derek Story/Unsplash