Besserer Datenschutz für Verbraucher

Von der Verordnung erfasst ist jede Datenverarbeitung durch ein in der EU ansässiges Unternehmen – unabhängig davon, ob sie tatsächlich in der EU stattfindet. Auch wenn ein Unternehmen nicht in der EU niedergelassen ist, fällt jede Verarbeitung von personenbezogenen Daten von betroffen Personen aus der EU in den Anwendungsbereich der Verordnung, wenn diesen Verbraucherinnen und Verbrauchern  Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird. Auch kostenlose Angebote sind von dieser Regelung erfasst.

Dieser Punkt entspricht langjährigen Forderungen des vzbv.

Hinsichtlich der Einwilligung konnten sich die EU-Kommission und das Europäische Parlament nicht mit ihren Vorschlägen durchsetzen, nach denen eine Einwilligung künftig „ausdrücklich“ hätte eingeholt werden müssen.

Dennoch wurden die Rahmenbedingungen für die Einwilligungshandlung gestärkt: Es muss sich um eine klare bestätigende Handlung handeln, die unmissverständlich und ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erteilt wird. Ein schriftliches Statement, ein Klicken eines Feldes aber auch eine technische Einstellung (wie etwa die „Do Not Track“-Einstellung im Internetbrowser) können als eine solche Einwilligung gelten. Stillschweigen oder Einwilligungen über vorangeklickte Felder sind nicht ausreichend. Auch muss eine Einwilligung genauso einfach zurückgezogen werden können, wie sie erteilt wurde. Positiv ist zu bewerten, dass die Beweispflicht einer gültigen Einwilligungserteilung beim Unternehmen liegt.

Lediglich bei der Verarbeitung von sensiblen Daten oder automatisierten Einzelfallentscheidungen ist zukünftig eine ausdrückliche Einwilligung vorgeschrieben. Außerdem darf ein Vertrag oder Dienstangebot zukünftig nicht mehr an die Einwilligung in Verarbeitungen gekoppelt werden, die für die Erfüllung des Vertrags nicht notwendig sind. Dieses uneingeschränkte Koppelungsverbot könnte sich künftig als wichtiges Instrument erweisen, um die Freiwilligkeit von Einwilligungen zu stärken.

Nicht auszuschließen ist, dass Unternehmen auf Grund dieser strengen Regelung vermehrt auf andere Rechtsgrundlagen zurückgreifen werden.

Eine Datenverarbeitung darf nur in dem Umfang erfolgen, der notwendig ist, um den angestrebten Zweck zu erfüllen. Insbesondere soll der Zeitraum der Datenspeicherung strikt minimiert werden, beispielsweise durch Lösch- und Anonymisierungsfristen oder regelmäßige Überprüfungen, ob die Daten noch notwendig sind.

Hier konnte sich der Rat der Europäischen Union nicht mit seiner Forderung durchsetzen, nach der eine Datenverarbeitung lediglich „nicht exzessiv“ erfolgen sollte, was zu einer deutlichen Absenkung des Datenschutzes geführt hätte.

Die Änderung des Verarbeitungszwecks ist nur erlaubt, wenn der ursprüngliche Zweck mit dem neuen / veränderten Zweck vereinbar ist. Die Kriterien, die für diese Prüfung herangezogen werden müssen, sind die Verbindung zwischen den Verarbeitungszwecken, der Zusammenhang der Datenerhebung (insbesondere das Verhältnis zwischen dem Unternehmen und dem Verbraucher), die Art der Daten (sind es sensible Daten?), die Folgen für den Verbraucher sowie Sicherheitsmaßnahmen (werden die Daten pseudonymisiert oder verschlüsselt?).

Eine Zweckänderung soll aber auch zu unvereinbaren Zwecken möglich sein, wenn der Verbraucher einwilligt. Eine Weiterverarbeitung soll ferner „für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke“ erlaubt sein.
Problematisch aus Sicht des vzbv ist, dass die Kriterien für die Zweckänderung recht unbestimmt sind und erst noch in der Praxis ihre Wirksamkeit beweisen müssen. Außerdem könnte sich insbesondere der letzte Punkt zu einem Einfallstor für unlautere Praktiken entwickeln: Unter dem Deckmantel der Forschung könnten möglicherweise auch Facebook-Experimente, statistische Analyse zu Werbezwecken oder ähnliches durchgeführt werden.

Insgesamt muss man jedoch sagen, dass der Abschnitt zur Zweckänderung weitaus besser ausgefallen ist, als die Position der Mitgliedstaaten hatte erwarten lassen, weil der Grundsatz erhalten bleibt, dass eine Zweckänderung nur bei einer Vereinbarkeit der Zwecke möglich ist.

Das berechtigte Interesse eines Unternehmens oder eines Dritten kann Rechtsgrundlage für eine Verarbeitung von personenbezogenen Daten sein, sofern Inte-ressen des Verbrauchers nicht überwiegen und seine vernünftigen Erwartungen, die auf seinem Verhältnis zum Unternehmen beruhen, erfüllt werden. Dies kann zum Beispiel der Fall sein, wenn die betroffene Person ein Kunde des Unternehmens ist.

Als besonders kritisch wertet der vzbv hier, dass „Direktmarketing“ ein berechtigtes Interesse sein kann, für das somit keine Einwilligung notwendig ist. Stammen Daten (auch sensible persönliche Daten) aus öffentlich zugänglichen Quellen, so dürfen diese auch auf Grundlage des berechtigten Interesses verarbeitet werden.

Insgesamt ist diese Vorschrift also noch auslegungsbedürftig, besonders hinsichtlich des neuen Konstrukts der „vernünftigen Erwartungen des Verbrauchers“ – was zu Missbrauch führen könnte.

Positiv hervorzuheben ist an dieser Stelle, dass der Verbraucher bei der Verarbeitung seiner Daten auf Grundlage eines berechtigten Interesses ein Widerspruchs-recht hat – das gilt auch, falls auf Grundlage eines berechtigten Interesses eine Profilbildung erfolgt. Im Falle des Widerspruchs muss dann das Unternehmen darlegen, warum sein Interesse gegenüber dem des Verbrauchers überwiegt.

Unternehmen sind verpflichtet, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und grundsätzlich kostenlos zu erklären, welche Daten aus welchen Quellen zu welchen Zwecken sie verarbeiten und an wen diese weitergegeben werden. Erfolgt die Verarbeitung auf Basis eines berechtigten Interesses, muss dieses Interesse benannt werden.

Außerdem muss der Verbraucher Informationen darüber erhalten, ob automatisierte Einzelfallentscheidungen (Profilbildung) auf ihn Anwendung finden, welcher Logik sie folgen und welche Folgen sie haben können. Ebenso müssen die Unternehmen Löschfristen und Kriterien benennen und auch über Berichtigungs-, Lösch- und Widerspruchsrechte informieren. Außerdem müssen sie darüber aufklären, ob die Angabe der Daten erforderlich oder freiwillig ist. Wie bisher hat der Verbraucher außerdem das Recht auf Zugang zu seinen Daten und auf eine Kopie dieser.Die Verordnung eröffnet außerdem die Möglichkeit, dass Unternehmen mit standardisierten und maschinenlesbaren Symbolen Datenschutzerklärungen vermitteln.

Der vzbv bedauert, dass der Einsatz der Datenschutz-Symbole lediglich auf freiwilliger Basis erfolgen soll. Sollten sie sich aber dennoch in der Praxis durchsetzen, könnten sie zu einer deutlichen Verbesserung der Transparenz von Datenschutzerklärungen führen.
Fraglich ist, ob die anderen Vorschriften zu einer substantiellen Verbesserung zum Status Quo führen werden. Viele der Vorgaben entsprechen den bestehenden Regelungen, nur an wenigen Stellen wurden diese konkreter gefasst. Insbesondere die Informationspflichten zu automatisierten Einzelfallentscheidungen sind schwach ausgefallen.

Im Fall der Datenverarbeitung auf Basis einer Einwilligung oder zur Erfüllung eines Vertrags haben Verbraucher in Zukunft das Recht, die Daten, die sie zur Verfügung gestellt haben, in einem üblichen Format zu erhalten, um sie an andere Unternehmen zu übertragen. Wo möglich, soll die Übertragung direkt an ein anderes Unternehmen ermöglicht werden.

Diese Vorschriften sollen nicht zur Anwendung kommen, wenn die Datenverarbeitung auf Grundlage eines berechtigten Interesses stattfindet. Auch ist dieses Recht auf diejenigen Daten beschränkt, die der Verbraucher zur Verfügung gestellt hat.

Durch diese Beschränkungen muss sich der tatsächliche Nutzen dieser Vorschriften erst noch erweisen, insgesamt fallen sie aber eher unbefriedigend aus.

Der Verbraucher hat das Recht, keiner automatisierten Einzelfallentscheidung (Profilbildung) zu unterliegen, die rechtliche Wirkung entfaltet oder ihn signifikant beeinträchtigt – es sei denn, es gibt eine gesetzliche Erlaubnis oder sie ist für die Erfüllung eines Vertrags notwendig oder der Verbraucher hat explizit eingewilligt.

Die Bildung von Profilen als solche (und nicht nur die reine Entscheidung, die rechtliche Wirkung entfaltet oder Verbraucher signifikant beeinträchtigt) unterliegt keinem gesonderten Schutz und wird nur als eine „normale“ Datenverarbeitung angesehen.

Der Verbraucher hat zwar ein Recht auf menschliche Intervention, Erklärung und Anfechtung der Entscheidung – in der Praxis dürfte das aber nur eine untergeordnete Rolle spielen.

Die Verordnung schreibt vor, dass Unternehmen geeignete mathematische oder statistische Methoden verwenden und Maßnahmen treffen sollen, um Fehler zu minimieren und Diskriminierung aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu verhindern. Diese Ergänzung findet sich allerdings nur in den Erwägungsgründen der Verordnung, was sie wiederum schwächt.

Insgesamt befürchtet der vzbv an dieser Stelle eine Absenkung des Verbraucherschutzes im Vergleich zum deutschen Status Quo. Bisher war etwa Kreditscoring alleine auf der Grundlage von Adressdaten nicht erlaubt – das könnte sich nun ändern. Hier müssen die Mitgliedsstaaten ihre Spielräume nutzen und dafür sorgen, dass es nicht zu Schutzlücken kommt und das bisherige Datenschutzniveau nicht abgesenkt wird.

Die Verordnung führt ein Verbandsbeschwerde- und klagerecht ein. Nichtregierungsorganisationen, die im öffentlichen Interesse handeln und deren satzungsgemäßes Ziel der Datenschutz ist, können in Zukunft von Verbrauchern beauftragt werden, eine Beschwerde bei einer Datenschutzbehörde einzureichen und gegen Unternehmen klagen. Dies schließt das Erstreiten von Schadensersatz mit ein, wenn es entsprechende nationale Regelungen dafür gibt.

Darüber hinaus können Mitgliedsstaaten Regelungen schaffen, nach denen oben genannte Organisationen aus eigenem Antrieb klagen dürfen. Das Erstreiten von Schadensersatz ist hierbei allerdings ausgeschlossen. Eine solche mitgliedstaatliche Regelung ist die neue Fassung des deutschen Unterlassungsklagengesetzes.

Damit geht die Verordnung nicht nur über den ursprünglichen Vorschlag der EU-Kommission hinaus, sondern erfüllt hier auch eine wichtige Forderung des vzbv.

Die Strafen, die bei Verstößen verhängt werden können, sind durch die Verordnung deutlich erhöht worden. Verstößt ein Unternehmen gegen seine Pflichten, können die Strafen bis zu zehn Millionen Euro oder zwei Prozent des Weltjahresumsatzes des Unternehmens betragen, je nachdem, was im konkreten Fall höher wäre.

Strafen bei Verstößen gegen Grundsätze der Verordnung oder die Rechte von Betroffenen können bis zu 20 Millionen Euro oder vier Prozent des Weltjahresumsatzes des Unternehmens betragen - wieder je nachdem, was im Einzelfall höher ist.