Datenschutz: Beschwerden verdreifacht

Seit Einführung der Datenschutz-Grundverordnung nutzen immer mehr Menschen die Möglichkeit, Informationen über ihre Daten einzufordern

Die französische Datenschutzbehörde hat kürzlich eine Strafzahlung gegen Google von 50 Millionen Euro verhängt. Der Vorwurf: Der Konzern soll gegen die seit 2018 geltende EU-Datenschutz-Grundverordnung verstoßen. Es ist die erste Strafe in dieser Höhe seit Erlass der DSGVO. Wie ist die Situation in Deutschland? Ein Überblick von Christian Mathea.

Wie oft beschweren sich die Sachsen über Probleme des Datenschutzes?

Seit Inkrafttreten der Verordnung bis Ende 2018 sind beim Sächsischen Datenschutzbeauftragten 2 410 Anfragen eingegangen, teilte die Behörde auf Anfrage mit. Das sind mehr als doppelt so viele wie im gleichen Zeitraum des Vorjahres. Von diesen Anfragen sind 891 Beschwerden. Dies entspricht sogar dem dreifachen Aufkommen im Vergleich zum Vorjahr.

Wo gibt es die meisten Probleme?

Die meisten Beschwerden gebe es zum unerlaubten Zusenden von Werbematerial sowie zu Problemen mit der Auskunftspflicht von Unternehmen und Behörden, sagt Andreas Schneider, Sprecher des Sächsischen Datenschutzbeauftragten. Ein typischer Fall sei, dass sich ein Kunde von einem Unternehmen unzureichend über die Speicherung und Verarbeitung seiner personenbezogenen Daten informiert fühlt.

Wie gehen die Datenschützer bei einer Beschwerde vor?

Zunächst schreiben sie das Unternehmen an und bitten um Stellungnahme. In einigen Fällen wird die Firma direkt besucht, die Aufsichtsbehörde hat dafür Besuchsrechte. Wenn das Unternehmen nicht reagiert, wird eine sogenannte Anordnung ausgestellt mit konkreten Vorgaben zur Problembehebung. Im schlimmsten Fall stehen Sanktionen mit zum Teil empfindlichen Geldstrafen an.

Wurden in Deutschland bereits höhere Geldstrafen ausgesprochen?

Ja. Bisher hat eine größere Geldstrafe für Aufsehen gesorgt. Das soziale Netzwerk Knuddels.de musste im November 2018 ein Bußgeld von 20.000 Euro zahlen, weil Passwörter von Nutzern unverschlüsselt gespeichert wurden. Damit habe das Unternehmen gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink mit. Nach einem Hackerangriff waren 808.000 Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter im Internet veröffentlicht worden. Beim Strafmaß hielt man dem Unternehmen zugute, dass es sich sofort an die Datenschutzbehörde gewandt und die Nutzer informiert hatte.

Wie halten es die Unternehmen mit der Auskunftspflicht?

Kritik gibt es in diesem Punkt an den großen Internetkonzernen - zumindest, was die Nachvollziehbarkeit der Datensammlung angeht. Ein Beispiel ist Amazon. Auf dem Chaos Communication Congress kürzlich in Leipzig hat die Datenschutzaktivistin Katharina Nocu erklärt, wie schwierig es ist, von dem Versandhaus die eigenen Daten zu bekommen. Für den Selbstversuch kaufte Nocu 14 Monate ausgiebig bei Amazon ein. Ihre erste Anfrage zu ihren personenbezogenen Daten wurde von Amazon kurz mit einem Verweis auf die eigene Bestellhistorie im Kundenkonto beantwortet. Die Datenschutzaktivistin forderte daraufhin umfangreichere Auskünfte und bekam mehrere CDs mit der Sammlung aller ihrer Clicks. Mit speziellen Analysetools konnte Katharina Nocu zeigen, dass Amazon jede Interaktion mit der Seite dokumentiert. Daraus ließ sich nicht nur ablesen, was sie eingekauft hat, sondern auch zu welchen Zeiten, von wo aus, wie lange sie jeweils auf der Seite war und vieles mehr. Die Auskunft kann aber auch komplett schieflaufen: So berichtete die Zeitschrift "CT" über einen Kunden, der von Amazon seine Alexa-Daten eingefordert hatte. Bekommen hat er die Daten von einem anderen Kunden, der davon nichts wusste.

Wie sieht es mit der Weitergabe von Daten in der Praxis aus?

Die DSGVO verbietet Unternehmen, Daten an Dritte ohne Erlaubnis des Nutzers weiterzugeben. Doch Android-Apps wie Tripadvisor oder My Fitness Pal tun es trotzdem. Laut einer Analyse von Privacy International teilen die Apps personenbezogene Daten mit Facebook, ohne vorab eine ausdrückliche Zustimmung der Nutzer einzuholen. Demnach sollen von 34 im Zeitraum von August bis Dezember 2018 untersuchten Apps mehr als 60 Prozent persönliche Informationen an Facebook weitergegeben haben.

Stimmt es, dass Vereine keine Geburtstagskarten mehr an Mitglieder schicken dürfen?

Die Verwendung von Mitgliederdaten erfolgt entweder auf Grundlage der Vereinsmitgliedschaft oder einer Interessenabwägung, erklärt Sachsens Datenschutzbeauftrager Andreas Schurig. Geburtstagsglückwünsche können dabei - soweit sich dazu keine ausdrücklichen Regelungen in der Satzung befinden - mit einer Interessenabwägung gerechtfertigt werden. "Solange ein Mitglied einer solchen Datennutzung nicht entgegentritt, kann davon ausgegangen werden, dass entgegenstehende schutzwürdige Betroffeneninteressen nicht bestehen", so Schurig. Beschränkt sei eine solche Datennutzung aber auf den Personenkreis, der gemäß Satzung befugt ist, auf die Mitgliederdaten zuzugreifen - beispielsweise Vereinsvorstände.

Dürfen Fotos von Vereinsfesten veröffentlicht werden?

Der Sächsische Datenschutzbeauftragte verweist hier auf das weiterhin gültige Kunsturheberrechtsgesetz. Danach können Abbildungen von Personen bei Einwilligung verbreitet werden. Ohne Einwilligung veröffentlicht werden dürfen Aufnahmen von Veranstaltungen nur dann, wenn diese repräsentativ sind und nicht einzelne Personen herausgehoben werden.

In Zittau hatte eine Wohnungsgenossenschaft ihre Mieter befragt, ob sie ihre Namensschilder an der Klingel lassen wollen - ansonsten würden sie durch Nummern ersetzt. Was hat das mit Datenschutz zu tun?

Die Beschriftung von Klingelleisten mit Mieter-Namen verstößt nicht gegen die DSGVO. "Berücksichtigt werden muss, dass Dienstleister, Zustelldienste, Rettungsdienste etc. regelmäßig auf die Namensbeschriftungen angewiesen sind, sodass die Beschilderung im Interesse von Vermieter, Hausverwalter und Mieter ist", sagt Andreas Schurig. Wenn Vermieter und Hausverwaltungen einzelnen Mietern entgegenkommen, die sich durch die Schilder in ihrem Persönlichkeitsrecht verletzt sehen, gibt es keine Einwände.

Dürfen Ärzte persönliche Daten von Patienten weitergeben?

Wegen der DSGVO informieren die Praxen in ihren Datenschutzerklärungen über die Weitergabe von personenbezogen Daten. Ärzte leiten diese Daten weiter an die Krankenkasse, an die Wirtschaftsprüfung des Medizinischen Dienstes der Krankenkasse oder an Behörden, die beispielsweise die Qualität der Röntgenbilder überprüfen.. "Der Patient hat zwar das theoretische Recht auf eine Löschung dieser Daten", erklärt Thomas Breyer, Präsident der Sächsischen Zahnärztekammer. Doch dann könne er nicht mehr behandelt werden. Denn das Sozialgesetzbuch schreibe die Erhebung dieser Daten vor. Unterschreiben müssten Patienten nichts, sagt Breyer. Es sei denn, der Zahnarzt nutzt ein Recall-System, will also den Patienten kontaktieren und ihn beispielsweise an Vorsorgetermine erinnern.

Haben Friseure ein Recht, persönliche Daten zu speichern?

In seiner Kundenkartei hinterlegt ein Friseur zum Beispiel, welche Frisuren er bei seinem Kunden bisher schon geschnitten hat, welche Farben verwendet wurden und welche Allergien er beachten muss. "Diese Daten sind für eine professionelle Beratung wichtig. Ansonsten müssten wir immer wieder bei null anfangen", sagt Beatrice Kade, Geschäftsführerin der Friseurinnung Dresden. Sie betont, dass diese Daten nur intern und vertraulich verwendet würden, sodass keine Dritten Zugriff auf die Daten hätten. Mit der DSGVO werden die Kunden in den Friseurgeschäften seit Mai über die Datenspeicherung informiert und zusätzlich befragt, ob die Daten für Terminerinnerung oder Werbung genutzt werden dürfen. Für dieses Kontaktieren musste der Kunde erneut zustimmen.


Einheitliche Regeln in ganz Europa

Die EU-Datenschutz-Grundverordnung (DSGVO) regelt seit 25. Mai 2018 das Datenschutzrecht innerhalb der Europäischen Union einheitlich. Sie gilt auch für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Angebote an EU-Bürger richten. Das gilt auch für Facebook und Google.

Die Ziele der DSGVO sind insbesondere der Schutz personenbezogener Daten - also Daten, die auf die Identität einer Person schließen lassen wie Namen, Adressen, E-Mails und Fotos. Besonders sensible Daten wie Fragen zur Religion oder zur Gesundheit dürfen nur in Ausnahmefällen verarbeitet werden. Unternehmen und Behörden, die personenbezogene Daten verarbeiten, müssen Betroffene laut der DGSVO um Erlaubnis bitten und Auskunft darüber geben, was mit diesen Angaben geschieht.

Das Unternehmen muss auf Widerspruchsrechte hinweisen und die Daten nach Zweckerreichung sofort löschen - z.B. nach Ablauf einer Veranstaltung oder eines Gewinnspieles.

Kontakt zum Sächsischen Datenschutzbeauftragen: Telefonnummer0351/85471101 und E-Mail

saechsdsb@slt.sachsen.de


Kommentar: Reine Panikmache 

Ach, wie schlimm wird es mit der Datenschutzgrundverordnung. Firmen sind überfordert, alles endet im Chaos, und überhaupt, die EU ist sowieso mal wieder Schuld. Von Chaos habe ich allerdings seit Einführung der DSGVO nichts mitbekommen. Das war reine Panikmache. Denn vieles, was in der DSGVO steht, galt vorher in Deutschland ohnehin schon. Und wenn sich Firmen durch die Umsetzung überfordert sahen, dann heißt das auch, dass sie das Thema vorher nicht sonderlich ernst genommen hatten. Was die Einführung der DSGVO erreicht hat: Sie hat ein paar mehr Leuten verdeutlicht, wie wichtig Datenschutz ist und dass sie mittlerweile einige wirksame Instrumente haben, ihre Rechte einzufordern. Wer darüber nur schimpfen kann, der hat offenbar den Kern der Verordnung nicht begriffen.

Das könnte Sie auch interessieren
00 Kommentare

Die Diskussion wurde geschlossen.