Menü

DSGVO: So nutzen Sie Ihre Auskunftsrechte

Mit der DSGVO haben Sie bessere Möglichkeiten, Auskunft über die Verarbeitung Ihrer Daten von Unternehmen, Behörden und Vereinen in ganz Europa zu verlangen.

Lesezeit: 5 Min.
In Pocket  speichern vorlesen Drucken Kommentare lesen 100 Beiträge

(Bild: Ivan Marc / shutterstock.com)

Von

Inhaltsverzeichnis

Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu. Vor einem Jahr war es dann soweit: Die DSGVO trat nach einer zweijährigen Übergangsfrist endgültig in Kraft. Im Schwerpunkt Ein Jahr DSGVO: eine erste Bilanz ziehen wir ein erstes Fazit über die Auswirkungen und stellen die Änderungen auf den Prüfstand.

Nicht jedes Recht, das mit der Datenschutz-Grundverordnung (DSGVO) kommt, ist wirklich neu. So konnte man in Deutschland nach der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) bereits Auskunft über die Datenverarbeitung verlangen. Dieses Recht war jedoch gegenüber der neuen Regelung deutlich eingeschränkter und nur bei Institutionen mit Sitz in Deutschland möglich. Wer beispielsweise von Unternehmen mit Sitz in einem anderen EU-Mitgliedsstaat Auskunft über die Art und Weise der Verarbeitung seiner Daten verlangte, hatte aufgrund der uneinheitlichen Gesetzeslage große Mühe, an die gewünschten Informationen zu gelangen.

Schwerpunkt: Ein Jahr DSGVO – eine Bilanz

(Bild: mixmagic / shutterstock.com)

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung endgültig in Kraft - und löste trotz zwei Jahren Zeit für Vorbereitungen große Unsicherheit bei Anbietern und Nutzern aus. Nach einem Jahr zeigt die Bilanz, welche Auswirkungen die DSGVO hatte und was sich eigentlich Entscheidendes geändert hat.

Das neue Auskunftsrecht nach Artikel 15 DSGVO ist zu deutlich mehr in der Lage als Verbraucher mit ein paar zusätzlichen Informationen auszustatten. Vielmehr stellt dieses Recht nun das wirksamste Werkzeug gegen die Datensammelwut großer Unternehmen dar. Um den Ansatz der Datenmaximierung zu verstehen, muss zunächst jedoch ein Schritt zurückgegangen werden.

Anfang dieses Jahrzehnts wurde das massenhafte Speichern von Daten zum neuen Trend auserkoren. Vor allem das Speichern von personenbezogenen Daten ist eine typische Anwendung für Big Data. Die Idee: Wenn man von einer ausreichend großen Masse an Personen möglichst viele Daten speichert und diese anschließend auswertet, lassen sich das Konsumverhalten, Vorlieben und politische Entscheidungen vorhersagen und sogar beeinflussen.

Dass dies kein weit hergeholtes Science-Fiction-Szenario ist, zeigen jüngste Datenskandale wie der um das britische Datenanalyse-Unternehmen Cambridge Analytica. Es nutzte einen Exploit in der App-Struktur von Facebook aus, um an die Daten von bis zu 87 Millionen Facebook-Nutzern zu gelangen. Diese Daten wiederum spielten eine große Rolle im Social-Media-Wahlkampf des republikanischen Präsidentschaftskandidaten Donald Trump. Wie groß der Anteil von Cambridge Analytica an dessen Sieg ist, lässt sich nicht mehr nachvollziehen. Dass der Wahlkampf in den sozialen Netzwerken von Trump gewonnen wurde, ist jedoch unbestritten.

Das c't-Sonderheft zur DSGVO

Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

mehr anzeigen

Das Erfolgsgeheimnis von Big Data besteht also in der Speicherung und Auswertung von möglichst vielen Nutzerdaten. Die DSGVO hingegen soll das genaue Gegenteil bezwecken und schreibt Datenverarbeitern die größtmögliche Sparsamkeit bei der Erhebung von Daten vor.

Mit dem neuen Auskunftsrecht aus der DSGVO besteht nun die Möglichkeit, aktiv zu überprüfen, ob der Grundsatz der Datensparsamkeit und viele andere Vorschriften eingehalten werden. Denn jeder Betroffene kann nun erfragen, welche Kategorien personenbezogener Daten gespeichert und verarbeitet werden, also beispielsweise der Name, die Anschrift oder das Geburtsdatum und sich diese Daten kostenfrei als Kopie zur Verfügung stellen lassen. Ein Augenmerk sollte dabei stets auf die besonderen Kategorien personenbezogener Daten gelegt werden. Das sind äußerst sensible Daten wie medizinische Befunde, die sexuelle Orientierung oder die Zugehörigkeit zu Religionsgemeinschaften. Diese Daten dürfen nur unter sehr engen Voraussetzungen gespeichert und verarbeitet werden.

Doch nicht nur die Einhaltung der Datensparsamkeit lässt sich mit dem Auskunftsrecht überprüfen. Datenverarbeiter müssen auch Auskünfte erteilen, die einen Einblick in die Einhaltung vieler gesetzlicher Pflichten aus der DSGVO gewähren. Dazu gehört unter anderem, wer personenbezogene Daten bislang empfangen hat und in Zukunft noch empfangen wird, die geplante Dauer der Speicherung der Daten sowie deren Herkunft.

Personenbezogene Daten dürfen nur von dazu berechtigten Bearbeitern empfangen werden. Daten sämtlichen Personen innerhalb derselben Institution zur Verfügung zu stellen, wäre ein Verstoß gegen das Gebot der Datenminimierung. Bei dem Rückgriff auf externe Datenverarbeiter schreibt die DSGVO den Abschluss eines Vertrages über die Auftragsverarbeitung vor. Zuletzt muss für die Betroffenen die Herkunft der Daten nachvollziehbar sein, da für jede Erhebung oder Speicherung von Daten eine Einwilligung oder anderweitige Rechtfertigung vorliegen muss.

Darüber hinaus ermöglicht das Auskunftsrecht tiefe Einblicke in den geschäftlichen Betrieb der Datenverarbeiter und lässt damit auch Rückschlüsse auf das Verantwortungsbewusstsein beim Umgang mit personenbezogenen Daten zu. Verbraucher können sich daher auch über die Zwecke der Verarbeitung ihrer Daten informieren lassen. Online-Shops müssen entsprechend ihren Kunden Auskunft erteilen, ob sie deren Daten lediglich zur Abwicklung von Bestellungen nutzen oder ob sie diese beispielsweise automatisiert auswerten.

Bei der Verwendung von automatisierten Entscheidungsfindungen, unter anderem dem Profiling, müssen Datenverarbeiter Informationen über die verwendete Logik und die angestrebte Auswirkung zur Verfügung stellen. Wenn Online-Kaufhäuser wie Amazon ihre Kunden bestimmten Konsumgruppen zuordnen, um Kaufvorschläge zu unterbreiten und damit künftige Kaufentscheidungen zu beeinflussen, muss dies ab sofort transparent gemacht werden.

Auch dürfen Kundendaten nicht ohne Weiteres an Geschäftspartner weitergegeben werden. Ebenso widerspricht das unerlaubte Weiterreichen von E-Mail-Adressen zum Zweck der Newsletter-Versendung der DSGVO. Eine weitere Pflicht der DSGVO für Datenverarbeiter betrifft die Speicherung der Daten. Sobald der Zweck der Datenverarbeitung erfüllt wurde und die weitere Speicherung nicht durch gesetzliche Pflichten vorgeschrieben wird, müssen die Daten unverzüglich gelöscht werden.

Transparent muss nun auch die Weiterleitung von personenbezogenen Daten in Drittstaaten oder an internationale Organisationen sein. Unter Drittstaaten sind hierbei sämtliche Staaten außerhalb der europäischen Union zu verstehen, die demzufolge nicht von der Datenschutz-Grundverordnung betroffen sind.

Weil in den Drittstaaten zumeist ein geringeres Datenschutzniveau existiert, müssen Datenverarbeiter benennen, wohin sie Daten weiterleiten, und Datenschutzgarantien von dem Empfänger der Daten einholen. Erlaubt ist die Übermittlung an Datenverarbeiter in Drittstaaten nur dann, wenn nahezu das gleiche Niveau an Datenschutz beibehalten wird. Damit unternimmt die DSGVO den Versuch, für die Daten von EU-Bürgern einen Schutz über das Territorium der EU hinaus durchzusetzen. Selbstverständlich müssen die Betroffenen auch über diese Garantien informiert werden.