Sicherheit personenbezogener Daten

Datenschutz ist Verbraucherschutz

| Autor / Redakteur: Kai Zobel / Peter Schmitz

Die DSGVO enthält etliche Regelungen, die den Verbraucherschutz innerhalb der EU stärken sollen.
Die DSGVO enthält etliche Regelungen, die den Verbraucherschutz innerhalb der EU stärken sollen. (Bild: Pixabay / CC0)

In den letzten Jahren häufen sich Fälle von Datenschutzverletzungen und Datenklau wie zum Beispiel Yahoo!, eBay, Equifax und zuletzt Uber, die es bis in die täglichen Nachrichten geschafft haben. Verbraucher machen sich zu Recht Sorgen um ihre personenbezogenen Daten, auch wenn der Zusammenhang zwischen Datenschutz und Verbraucherschutz rein juristisch betrachtet eher eine Neuerung ist.

Gerade Fälle von Datenschutzverletzung wie der von Uber, bei dem ein schwerwiegender Vorfall längst bekannt war, aber trotz bestehender Meldepflicht nicht angezeigt wurde, wirken unter Konsumenten nicht gerade als vertrauensbildende Maßnahme. Und dieser Vertrauensverlust seitens der Verbraucher ist teilweise drastisch. Laut einer jüngst von Thales veröffentlichten Umfrage gab die Hälfte der befragten Verbraucher im Vereinigten Königreich (50 Prozent) und rund ein Drittel der Befragten in Deutschland (35 Prozent) an, niemandem zu vertrauen, wenn es um den Schutz personenbezogener Daten geht. Bei der digitalen Privatsphäre sieht es ähnlich aus. 49 Prozent der britischen und 45 Prozent der deutschen Verbraucher glauben, dass Unternehmen ihre digitale Privatsphäre weitgehend gleichgültig ist.

Der Zusammenhang zwischen Datenschutz und Verbraucherschutz scheint natürlich, rein juristisch betrachtet ist er aber eher eine Neuerung. Erst im Februar des letzten Jahres wurde das entsprechende Gesetz dahingehend geändert. Am 24. Februar 2016 trat das Gesetz zu Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft. So die gewohnt sperrige juristische Formulierung. Damit wird das Unterlassungsklagengesetz auf bestimmte datenschutzrechtliche Verstöße von Unternehmen erweitert. Im Klartext: Datenschutz ist nun ein Verbraucherschutzrecht. Allerdings ist nicht jeder einzelne Verbraucher anspruchsberechtigt sondern nur Interessenvertretungen, wie Verbraucherschutzorganisationen und Verbände. Sie sind es, die im Falle eines Verstoßes juristisch nach dem Unterlassungsklagengesetz vorgehen können. In diesem Gesetz sind allerdings nicht alle datenschutzrechtlichen Verstöße abgedeckt, was nicht zuletzt daran liegt, dass das Datenschutzgesetz nicht in allererster Linie auf den Schutz des Verbrauchers abzielt. Für den Endverbraucher selbst hat sich folglich noch nichts geändert, er profitiert aber von den kürzeren juristischen Wegen. Und wie nach Verabschiedung des Gesetzes nicht anders zu erwarten, haben sich die Verbraucherschutzverbände mit dem Verbandsklagerecht gegenüber Unternehmen in Stellung gebracht.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Verbraucherdatenschutzrecht in der EU-Datenschutz-Grundverordnung

Aber wie sieht es mit den Rechten der Verbraucher an ihren personenbezogenen Daten betrachtet im Licht der EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) aus? Was ändert sich für den Einzelnen beim Schutz seiner personenbezogenen Daten?

Zahl, Art, Ausmaß und der Kreis der von Datenschutzverletzungen Betroffenen haben das öffentliche Bewusstsein verändert. Neben IT-Sicherheitsexperten, Juristen und Unternehmen diskutieren gerade in Deutschland und UK verstärkt die Verbraucher, welche Veränderungen die EU-DSGVO konkret mit sich bringt.

Trotz einiger Bedenken wie sich die teilweise doch recht vagen Vorgaben der DSGVO konkret umsetzen lassen, werden die kommenden Regulierungen grundsätzlich positiv aufgenommen. Die Negativschlagzeilen der letzten Monate haben dabei vor allem das Vertrauen in Gesundheitswesen, die Banken- und Finanzbranche aber auch den Online-Handel erschüttert. Nicht ganz unberechtigt wie eine frühere Umfrage von Thales zu IT-Sicherheitsbedrohungen 2017 ergeben hat: Im vergangenen Jahr wurden zwei von fünf Einzelhandelsunternehmen weltweit Opfer eines Datensicherheitsvorfalls. Ein Drittel unter ihnen sogar mehrfach.

Mehr Kontrolle dank DSGVO

Die EU-DSGVO enthält etliche Regelungen, die den Verbraucherschutz innerhalb der EU stärken. Unternehmen haben inzwischen riesige Mengen an personenbezogenen Daten gespeichert, die sie Dank intelligenter Systeme und Analyse-Tools immer besser und schneller auswerten, aber auch zueinander in Beziehung setzen können. Das wiederum ermöglicht es, umfassende Persönlichkeitsprofile zu erstellen und auf Vorlieben und Verhaltensweisen von Verbrauchern zurückzuschließen. Ein Thema, das derzeit bereits verschiedene Gutachten beschäftigt, weil hier gegebenenfalls Persönlichkeitsrechte verletzt werden. Privacy bei Design und Privacy bei Default sollen Abhilfe schaffen. Auch die, verankert in der DSGVO.

Wenn aber bei einem Datenschutzvorfall bereits personenbezogene Daten gestohlen wurden, was dann? Dann sorgt nämlich nicht nur der Diebstahl als solcher für Verunsicherung. 80 Prozent der deutschen Verbraucher sind zusätzlich überzeugt davon, dass ihre Daten von Cyberkriminellen online zum Verkauf angeboten werden. Versetzt die DSGVO also tatsächlich jeden einzelnen Verbraucher (und damit Kunden und potenzielle Kunden eines Unternehmens) in die Lage, die eigenen Daten besser kontrollieren zu können?

Davon jedenfalls ist die Mehrheit der im Rahmen der genannten Studie Befragten überzeugt. Vier Fünftel der ohnehin als besonders sicherheitsaffin geltenden deutschen Verbraucher (83 Prozent) sind der Meinung, dass die zunehmende Regulierung den Schutz ihrer Daten verbessert und sie weitreichendere Kontrollmöglichkeiten haben. „Weitreichend“ ist hier durchaus wörtlich zu nehmen, denn im Vergleich zur Datenschutzrichtlinie 95/46/EG hat die DSGVO nach Art. 3 einen deutlich weiteren räumlichen Anwendungsbereich.

Denn der räumliche Anwendungsbereich der DSGVO richtet sich nach dem Marktortprinzip: „Das Markortprinzip stellt eine Neuerung, der ab Mai 2018 geltenden DSGVO dar und ist in Art. 3 II DSGVO i.V.m. Erwägungsgrund 23 der DSGVO geregelt. Die Regelung betrifft vor allem Unternehmen, die sich außerhalb der Union befinden. Danach findet die DSGVO unter anderem auch „Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht“. Wendet sich beispielsweise ein Online-Angebot an europäische Verbraucher, ist die DSGVO hinsichtlich der Verarbeitung personenbezogener Daten anwendbar. Dabei spielt es keine Rolle, ob das betreffende Unternehmen eine Niederlassung im jeweiligen Land hat oder nicht. Zudem gilt sie für alle europäischen Bürger und Bürgerinnen unabhängig wo sie sich befinden.

Was man bei der DSGVO erst später richtig angehen kann

Fragen zur Datenschutz-Grundverordnung

Was man bei der DSGVO erst später richtig angehen kann

26.01.18 - Viele Unternehmen schaffen es nicht, die Anforderungen der DSGVO fristgerecht umzusetzen. Das liegt an Unklarheiten in der Verordnung, aber oft auch an mangelnder Vorbereitung. Es hilft nichts, die Datenschutz-Grundverordnung muss dennoch zum Stichtag 25. Mai 2018 vollständig umgesetzt sein. Bei einigen Punkten gilt es trotzdem, auf weitere Informationen zu warten. lesen

Personenbezogene Daten unter besonderem Schutz

Das Marktortprinzip sorgt definitiv für einen stärkeren Rechtsschutz der Verbraucher. Auch die Definition dessen was personenbezogene Daten sind, wird deutlich erweitert. Das eröffnet in Bezug auf die Auslegung des Gesetzes allerdings ausreichenden Interpretationsspielraum. Online-Kennungen wie IP-Adressen, Cookies und Funkfrequenzkennzeichnungen (RFID-Tags) können zwar natürlichen Personen zugeordnet werden, und sie können mit anderen Kennungen kombiniert dazu benutzt werden Profile von natürlichen Personen zu erstellen und diese zu identifizieren.

Aber diese Daten sind nicht notwendigerweise personenbezogen und sie lassen sich nicht einfach einer natürlichen Person zuordnen. Jedenfalls nicht, ohne einen erheblichen Aufwand zu betreiben. Eindeutigere Daten mit denen man einen Personenbezug herstellen kann, sind Namen, Telefonnummern, Adressen, Kreditkarten- und Sozialversicherungsnummern, Kundennummern und so weiter. Sie alle zählen zu den personenbezogenen Daten, die dem besonderen Schutz unterliegen. Wenn bestimmte Daten jetzt und in Zukunft als personenbezogene Informationen eingeordnet werden, hat das entsprechend weitreichende Konsequenzen.

Dazu kommt ein erweiterter Erlaubnisvorbehalt. Das heißt, die Verarbeitung personenbezogener Daten ist nur zulässig, wenn der Verbraucher in die Verarbeitung seiner Daten eingewilligt hat. Art. 4 Nr. 11 DSGVO definiert Einwilligung als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Der ursprüngliche Vorschlag, dass jede Einwilligung „ausdrücklich“ sein muss, wurde nur für bestimmte sensible Daten übernommen.

Der Anwendungsbereich der DSGVO ist räumlich und materiell sehr weit gefasst, und das sorgt in Europa für stärkeren Verbraucherschutz. Dazu kommt, dass viele Daten als personenbezogen bestimmbar sind und damit in den Geltungsbereich der Verordnung fallen. Entsprechend gut sind die Konsumenten informiert, was die kommenden Änderungen anbelangt. Unter den Befragten, die bereits von der DSGVO gehört hatten, geben im Vereinigten Königreich 57 Prozent und in Deutschland sogar 66 Prozent an die Verordnung bis zu einem gewissen Grad erklären zu können. Und mehr noch: Verbraucher sind sich nicht nur ihrer Rechte bewusst, sie ziehen sogar juristische Konsequenzen in Betracht, sollten Firmen sich nicht an die Vorgaben halten.

Soviel artikulierte Entschlossenheit war selten: die Mehrheit der deutschen Verbraucher (87 Prozent) erwarten eine Benachrichtigung, falls Firmen die Frist für die Umsetzung der DSGVO nicht einhalten können. Zwei Drittel der Befragten aus Deutschland (68 Prozent) würden zumindest in Betracht ziehen, rechtliche Schritte gegen ein Unternehmen einzuleiten, das beim Umgang mit ihren personenbezogenen Daten gegen die DSGVO verstößt.

Um die Kundenbindung zu erodieren ist keine schwere Datenschutzverletzung nötig: 85 Prozent der deutschen Kunden erwägen schon dann einen Wechsel zu einem anderen Unternehmen, wenn der Anbieter die Verordnung nicht einhält, 64 Prozent würden bei Verstößen gegebenenfalls die zuständige Aufsichtsbehörde informieren. Im günstigsten Fall hinterließe ein Verstoß gegen die DSGVO einen bitteren Nachgeschmack bei 84 Prozent der deutschen Verbraucher. Zwar gehören Anonymisierung und Verschlüsselung zu den in der DSGVO empfohlenen Best Practices. Trotzdem hätte man sicher noch bessere Anreize schaffen können, um die informationelle Selbstbestimmung der Verbraucher umfassender zu schützen.

Fazit

Die EU-DSGVO tritt am 25. Mai 2018 in Kraft. Unternehmen hatten dann rund zwei Jahre Zeit sich auf die Anforderungen vorzubereiten. Jetzt, nur wenige Monate bis zum Stichtag ergibt sich ein noch uneinheitliches Bild. Fakt ist, dass die DSGVO eine ganze Reihe von Regelungen enthält, die den Datenschutz von Verbrauchern stärken. Der weite territoriale und materielle Anwendungsbereich sorgt für einen besseren Schutz der personenbezogenen Daten, unabhängig vom Standort des Unternehmens. Und was vielleicht noch schwerer wiegt: diese Rechte sind für jeden Einzelnen durchsetzbar. Auch wenn die vielen nationalen Öffnungsklauseln nachdenklich stimmen, ob hier nicht EU-Recht durch nationales Recht ausgehebelt oder mindestens entschärft werden kann. So sehen es zumindest einige Gutachter. Aus den sogenannten Öffnungsklauseln ergeben sich bei der Umsetzung der DSGVO nationale Handlungsspielräume. Das EU-Recht gilt aber als Primärrecht. Die Handlungsspielräume zu nutzen birgt also ebenfalls Risiken. Und obwohl personenbezogene Daten entgegen dem Auskunftsrecht längst einen hohen kommerziellen Wert haben, ist das Gesetz doch ein Erfolg für die Verbraucher in punkto mehr informationelle Selbstbestimmung und Kontrolle. Und so wird es überwiegend wahrgenommen.

Über den Autor: Kai Zobel ist Regional Director bei Thales eSecurity.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45181286 / Compliance und Datenschutz )