15.03.2017 von

Welche Rechte die Datenschutz-Grundverordnung den Betroffenen gibt

Die Datenschutz-Grundverordnung weitet die Rechte von Betroffenen deutlich aus. Unser dritter Videoblog erklärt, wie Sie damit umgehen können.

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler (Leiter des Wiener Teams für IT-Recht und Autor des ersten österreichischen Kommentars zur Datenschutz-Grundverordnung)

 

Ungekürzte Langfassung des Interviews

Ein wesentlicher Eckpfeiler der Datenschutz-Grundverordnung ist, dass Betroffene sehr früh und sehr intensiv darüber informiert werden müssen, was mit ihren Daten passiert. Was heißt das konkret?

Lukas Feiler: Für Betroffene heißt das, dass sie noch mehr Informationen bekommen werden als bisher. Wann immer jemand bei jemandem personenbezogene Daten direkt erhebt, also wenn man zum Beispiel im Internet ein Formular ausfüllt, dann muss man bereits zu diesem Zeitpunkt darüber informiert werden, zu welchen Zwecken die Daten verarbeitet werden oder an wen sie übermittelt werden. Wenn sie ins EU-Drittland (also außerhalb der Europäischen Union) übermittelt werden, muss auch bekannt gegeben werden, in welche Länder die Daten gehen. Man muss auch darüber informiert werden, wie lange die Daten aufbewahrt werden.

Es ist eine lange Liste von insgesamt 13 Informationspunkten, die ein Verantwortlicher liefern muss. Hinter dieser Fülle von Informationen steckt die Idee, dass der Betroffene eine wirklich informierte Entscheidung darüber treffen können soll, wie er sich verhält: Ob er mit diesem Unternehmen seine Daten teilen will oder nicht.

Wenn die Daten nicht direkt beim Betroffenen, sondern bei einem Dritten (zum Beispiel bei einem anderen Unternehmen) erhoben werden, dann muss ebenfalls der Betroffene informiert werden. Allerdings gibt man hier dem Unternehmen ein bisschen mehr Zeit, den Betroffenen zu informieren, im Normalfall einen Monat. Aber auch hier muss volle Transparenz hergestellt werden. Der Betroffene hat ein Recht auf „informationelle Selbstbestimmung“ – und das kann er nur dann sinnvoll ausüben, wenn er wirklich weiß: Was passiert mit meinen Daten?

„Layered Privacy Notice“ als Hilfe für Betroffene

Ich verstehe ja durchaus die Intention, die dahinter steckt, aber was heißt das ganz praktisch? Muss man sich das vorstellen wie am Bankschalter, wo ich vor der Eröffnung eines Kontos 20 Seiten Kleingedrucktes unterschreiben muss? Werde ich so in Zukunft vor dem Ausfüllen eines Internetformulars zuerst 25 Seiten durchscrollen müssen, eine Checkbox anhaken müssen und bestätigen müssen: Alles verstanden und alles wunderbar für mich?

Lukas Feiler: Es wird in jenen Fällen, wo die Unternehmen wirklich sämtliche Informationspflichten auf einmal erfüllen, tatsächlich für den Betroffenen nicht einfacher. Bisher waren „Privacy Notices“ oder „Privacy Policies“, wie sie oft genannt werden, ja auch schon Mehrseiter. Nach der Datenschutz- Grundverordnung werden es typischerweise nicht Ein- oder Zweiseiter, sondern eher Vier- oder Fünfseiter werden, weil über so viele Dinge aufgeklärt werden muss. Ob das dann tatsächlich der Informiertheit der Betroffenen zuträglich ist, oder diese nicht noch viel öfter als bisher einfach derartige Erklärungen mit „Ja, gelesen“ wegklicken, sei dahingestellt.

In jenen Fällen, wo man als Unternehmen wirklich bemüht ist, tatsächliche, faktische Transparenz zu erzeugen, also wirklich will, dass die Kunden tatsächlich verstehen, was sich hier tut, muss man sich überlegen, wie man diese doch sehr umfangreichen Informationen präsentiert. Eine Technik, die sich in der Praxis sehr etabliert hat, ist die „Layered Privacy Notice“. Sie fängt an mit einem ganz kurzen Text, nicht länger als ein Absatz, wo ganz kurz beschrieben wird, was denn mit meinen Daten grundsätzlich passiert. Wenn man dann auf „More“ oder „Weitere Informationen“ klickt, erhält man weitergehende Informationen. Und erst wenn man dann noch einmal klickt auf „Jetzt will ich wirklich alles wissen“, erst dann kommt man zu dem berühmt-berüchtigten Fünfseiter. Aber man kann selber entscheiden, wie viel man sich zumuten will.

Das heißt, es ist auch erst diese dritte Informationsstufe dann die, die im knallharten Juristendeutsch oder knallharten Juristenenglisch formuliert ist?

Lukas Feiler: Selbst auf dieser dritten Ebene ist von einem Juristendeutsch abzuraten, weil die Datenschutzmitteilung für die Betroffenen leicht verständlich sein muss. Flüchtet man sich hier in Juristendeutsch, sodass man erst recht nicht verstanden wird, dann ist diese Datenschutzmitteilung rechtlich nicht wirksam: Wer nicht verstanden wird, der hat seine Rechtspflicht an der Stelle nicht erfüllt.

Betroffene haben Recht auf Auskunft und Löschung

Was sind weitere Rechte, die Betroffene haben aufgrund der Datenschutz-Grundverordnung?

Lukas Feiler: Insbesondere haben Betroffene ein „Recht auf Auskunft“, also Auskunft darüber zu erhalten, welche Daten zu welchen Zwecken über einen verarbeitet werden. Das beinhaltet auch das Recht, eine Kopie dieser Daten zu bekommen. Ein weiteres Recht ist beispielsweise das „Recht auf Löschung“, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden, oder auf Richtigstellung, wenn die Daten nicht mehr den Tatsachen entsprechen.

Betroffene können Daten übertragen lassen

Besonders interessant habe ich gefunden, dass es jetzt neuerdings ein Recht auf Datenübertragbarkeit geben soll. Wenn ich vom Dienst A zum Dienst B wechsle, kann ich dem Dienst A sagen: Bitte schicke alle meine Daten direkt an den Dienst B, damit der damit nahtlos weiterarbeiten kann. Aber wie soll das in der Praxis funktionieren, da ja jeder Anbieter die Daten anders strukturiert?

Lukas Feiler: Das, was Sie ansprechen, ist das neue „Recht auf Datenübertragbarkeit“ oder „Data Portability“ in der englischen Fassung. Es ist ähnlich ausgestaltet wie das Recht auf Auskunft, aber von seinem Anwendungsbereich viel kleiner. Es gilt nämlich nur dort, wo die Rechtsgrundlage der Datenverarbeitung eine Einwilligung des Betroffenen ist oder die Datenverarbeitung zur Erfüllung eines Vertrages erfolgt. In allen anderen Fällen hat man kein Recht auf Datenübertragbarkeit.

Man hat das Recht, die Daten in einer strukturierten, wiederverwendbaren Form zu erhalten. Allerdings hat man bei Online-Services oft mehrere Gigabyte an Daten gespeichert – dann kann es fast ein Ding der Unmöglichkeit sein, diese herunterzuladen und bei einem alternativen Anbieter wieder hinaufzuladen. Deshalb sieht die Verordnung das Recht vor zu verlangen, dass die Daten direkt von dem einen Anbieter zum neuen Anbieter übertragen werden – soweit dies unter Berücksichtigung der technischen Möglichkeiten angemessen ist.

Und genau hier liegt das Problem begraben. In der Praxis wird es eine erhebliche Herausforderung darstellen, entsprechende technische Schnittstellen zu schaffen zwischen doch sehr proprietären Datenformaten –in vielen Fällen werden diese Schnittstellen daher in den nächsten Jahren noch nicht vorhanden sein. Es wird sich also teilweise als schwierig herausstellen, die Übertragung der eigenen Daten zu einem neuen Anbieter praktisch durchzusetzen.

Aber es gibt keine konkreten Vorgaben über die Datenstruktur, die bei der Übergabe bestehen muss?

Lukas Feiler: So ist es, in relativ wenigen Bereichen gibt es offene Standards dafür, wie Daten aussehen sollen. Deshalb wird jeder Anbieter eigene Datenformate entwickeln, die dann andere Anbieter entsprechend interpretieren werden müssen. Insofern sind hier noch einige ganz erhebliche technische Hürden noch vorhanden. Dieses Thema ist vielleicht auch ein gutes Beispiel dafür, dass die Idee manchmal besser ist, als es die Möglichkeiten der Umsetzung sind.

Betroffene können Widerspruch einlegen

Welche Möglichkeiten habe ich denn als Betroffener konkret, mich gegen die Verarbeitung meiner Daten zur Wehr zu setzen?

Lukas Feiler: Das naheliegendste ist, ein „Recht auf Widerspruch“ auszuüben und die Löschung dieser Daten zu begehren. In vielen Fällen haben Verantwortliche grundsätzlich ein überwiegendes berechtigtes Interesse einer Datenverarbeitung – im konkreten Einzelfall können aber bestimmte Umstände vorliegen, die zu einer anderen Beurteilung führen.

Was seit Jahren schon ein ganz großes Thema ist beim Datenschutz, ist der Bereich Direktmarketing – ändert sich hier etwas durch die Datenschutz-Grundverordnung?

Lukas Feiler: Die Datenschutz-Grundverordnung sieht im Bereich Direktmarketing für den Widerspruch ein bisschen eine Sonderregelung vor: Wenn die Daten zu Zwecken das Marketings verarbeitet werden, hat man jedenfalls ein Recht auf Widerspruch, das heißt, hier ist keine Interessensabwägung vorzunehmen. Man kann in diesem Fall jedenfalls seine Daten dem Verantwortlichen entziehen.

Vollautomatische Entscheidungen sind verboten

Die Daten, die ein Unternehmen sammelt, werden ja oft auch herangezogen, um konkrete Einzelfall-Entscheidungen zu treffen. Ich denke zum Beispiel an die Daten, die ein Mitarbeiter in einem Unternehmen produziert und die dann als Grundlage für eine Bonus-Bemessung dienen. Sind diese Aspekte auch durch die Datenschutz-Grundverordnung mitgedacht?

Lukas Feiler: Die Grundverordnung greift dort sehr hart ein, wo derartige Entscheidungen voll automatisiert getroffen werden. Ein konkretes Beispiel: Ein Big-Data-System analysiert das Fahrverhalten eines Fahrers und stellt nach bestimmten statistischen Kriterien fest, das ist ein riskanter Fahrer. Daraufhin produziert es vollautomatisch ein Schreiben, mit dem es dem Versicherungsnehmer mitteilt, dass sich die Versicherungsprämie gerade um das Zweifache erhöht hat.

Derartige Szenarien sind durchaus denkbar, weil man durch die Automatisierung derartiger Prozesse sehr hohe Effizienzgewinne erzielen kann. Sie bringen aber für Betroffene den entscheidenden Nachteil mit sich, ein Gefühl der Entmenschlichung zu erleben, weil man einer Maschine ausgesetzt ist. Man kann niemandem erklären, dass das wohl ein Fotos sein mag, wo jemand abgebildet ist, der so aussieht wie ich im betrunkenen Zustand, aber trotzdem meine Versicherungsprämie nicht zu erhöhen ist, weil man einen Zwillingsbruder hat, dem man das Auto geborgt hat.

Aber das sind Dinge, die man nur einem Menschen erklären kann und keiner Maschine – und genau deswegen greift hier die Datenschutz-Grundverordnung regulatorisch ein. Sie sagt, dass vollautomatisierte Entscheidungen, die rechtliche Folgen haben oder eine erhebliche Beeinträchtigung für den Betroffenen mit sich bringen, grundsätzlich unzulässig sind. Ausnahme: Der Betroffene willigt zu einer solchen automatisierten Entscheidung ein. Wer beim Abschluss des Versicherungsvertrages bewusst zugunsten einer niedrigeren Versicherungsprämie einwilligt, dass sie dynamisch angepasst werden kann, der weiß, worauf er sich hier einlässt.

Grundverordnung kein Feind digitaler Geschäftsmodelle

Wenn ich es richtig verstehe, richtet sich die Kritik der Europäischen Kommission nicht gegen den Punkt, dass ich solche Daten erhebe, analysiere und daraus etwas lerne, sondern sie richtet sich dagegen, dass der Einzelne vollautomatisch einer Konsequenz unterworfen wird?

Lukas Feiler: So ist es. Die Datenschutz-Grundverordnung ist kein Feind digitaler Geschäftsmodelle. Vielmehr setzt sie Regeln für derartige datengetriebene Unternehmungen fest – und wenn man sich an diese Regeln hält, lassen sich sehr wohl hochinnovative Geschäftsmodelle realisieren. Das heißt, hier ist das Datenschutzrecht nicht gänzlich innovationsfeindlich, sondern legt einfach einen gewissen Rahmen für derartige Innovationen fest.

Betroffene haben Recht auf Schadenersatz

Wir haben sehr intensiv darüber gesprochen, dass Betroffene falsche Daten richtig stellen können, löschen können, dass sie sich gegen die Verarbeitung ihrer Daten wehren können. Aber wenn dann doch einmal etwas passiert ist und ein Schaden eingetreten ist: Regelt die Datenschutz-Grundverordnung auch ein Recht auf Schadenersatz?

Lukas Feiler: Ja, in der Tat. Die Datenschutz-Grundverordnung sieht vor, dass man als Betroffener Schadenersatz begehren kann – und zwar nicht nur den Ersatz des materiellen Schadens, sondern auch des immateriellen Schaden.

Wenn man beispielsweise aufgrund der Veröffentlichung der eigenen Krankheitsgeschichte einen Job nicht bekommen und daher einen Verdienstentgang erlitten hat, handelt es sich um einen materiellen Schaden. Wenn aber beispielsweise Informationen über die eigene sexuelle Orientierung im Internet landen und man dadurch schlicht in seiner Persönlichkeit beeinträchtigt ist, handelt es sich um einen immateriellen Schaden, der mit der Datenschutz-Grundverordnung ebenfalls ersatzfähig wird. Es wird sehr spannend zu beobachten sein, wie in der Rechtsprechung diese immaterielle Schäden schlussendlich bewertet werden.

Wir haben hier bislang nur wenige Erfahrungswerte, weil nach geltendem Datenschutzrecht immaterielle Schäden nur dann ersatzfähig waren, wenn es gleichsam zu einer Bloßstellung gekommen ist. Aber alles, was an Schaden darunter geblieben ist, war bisher nicht ersatzfähig. Schlussendlich wird uns der Europäische Gerichtshof irgendwann einmal sagen, welche Höhen wir hier anzusetzen haben.

Datenschutz-NGOs können Sammelklagen führen

Jetzt stelle ich mir vor, dass Verletzungen der Datenschutz-Grundverordnung typischerweise Serienverletzungen sind, wo nicht nur eine einzelne Person betroffen ist. Wenn beispielsweise gewisse Formerfordernisse wie beispielsweise Informationsverpflichtungen nicht erfüllt waren, betrifft das dann ja oft zehntausende Menschen gleichzeitig. Kommt mit der Datenschutz-Grundverordnung jetzt auch eine Form der Sammelklage?

Lukas Feiler: Die Datenschutz-Verordnung erlaubt es den nationalen Gesetzgebern, Datenschutz-NGOs die Durchsetzung von Schadenersatzansprüchen zu ermöglichen. Diese könnten also die Ansprüche Tausender Betroffener in einem einzigen Verfahren einklagen und damit quasi eine Class-Action, also eine Art Sammelklage führen. Das würde eine wesentlich leichtere Rechtsdurchsetzung mit sich bringen.

Und der Schaden bemisst sich natürlich nach dem jeweiligen Einzelfall, das heißt das multipliziert sich dann brutal hinauf?

Lukas Feiler: So ist es. Selbst wenn der Schaden mit 100 Euro pro Person bemessen würde und es auch nur 1000 betroffene Personen gibt, sind wir bereits bei einem Schadensbetrag von 100.000 Euro. Wie man in jüngster Vergangenheit bei diversen Sicherheitsverletzungen, sogenannten Security-Breaches, gesehen hat, gehen die Zahlen der Betroffenen aber tatsächlich oft in die Millionen.

Einführung in die Datenschutz-Grundverordnung

Weitere Videoblogs zur Datenschutz-Grundverordnung

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.