Wenn mit 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, wird sich auch das Verhältnis zwischen Kunden und Firmen verändern.

Gewinnspiele, Mitgliedskarten oder Newsletter-Abos: Bisher war es für Unternehmen selbstverständlich, Daten wie etwa Telefonnummer, E-Mail-Adresse, Wohnadresse, Alter und Beruf von Kunden zu sammeln, ja regelrecht zu horten. Wozu eigentlich? Darauf haben vor allem kleine und mittelständische Unternehmen oft gar keine Antwort. Für nimmersatte Datenkraken wie Facebook oder Google hingegen ist Big Data längst ein sehr erfolgreiches Geschäftsmodell. Welche Auswirkungen der neue Datenschutz auf Konsumenten hat.

Was ist der Unterschied zwischen sensiblen und personenbezogenen Daten?

Personenbezogene Daten sind Informationen, mit denen die Identität einer Person bestimmt werden kann. Dazu zählen etwa der Name, die Adresse, Kontonummer oder die IP-Adresse. Sensible Daten (künftig: besondere Kategorien von personenbezogenen Daten) geben Auskunft über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder über die Gewerkschaftszugehörigkeit. Dazu zählt auch die Verarbeitung von genetischen, biometrischen und gesundheitsbezogenen Daten oder Daten zum Sexualleben.

Dürfen Unternehmen sensible Daten speichern?

Die Verarbeitung solcher Daten ist nur zulässig, wenn die Verarbeitung unbedingt erforderlich ist und wirksame Maßnahmen zum Schutz getroffen wurden beziehungsweise wenn Daten gespeichert werden, welche die betroffene Person selbst öffentlich gemacht hat. Unternehmen können sich auch das ausdrückliche Einverständnis des Kunden holen.

Welche Rechte haben Konsumenten?

Betroffene haben ein Recht auf Information. Wer personenbezogene Daten verarbeitet, muss dem Betroffenen neben dem Namen und den Kontaktdaten des Verantwortlichen auch den Zweck der Datenerhebung nennen. Darüber hinaus ist über das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung aufzuklären.

Was bedeutet Widerrufsrecht?

Als Kunde hat man das Recht, ein bereits erteiltes Einverständnis für die Zukunft zu widerrufen. In diesem Falle darf der Unternehmer die personenbezogenen Daten grundsätzlich nicht mehr verarbeiten.

Wann müssen meine Daten gelöscht werden?

Wird ein entsprechendes Begehren gestellt, sind die Daten unverzüglich zu löschen, jedenfalls binnen eines Monats. Der Unternehmer darf beziehungsweise muss die Daten trotz Löschungsbegehren länger behalten, wenn gesetzliche Aufbewahrungsfristen dies vorschreiben.

Wann kann ein Auskunftsbegehren gestellt werden?

Jeder hat das Recht, vom Unternehmer eine Information darüber zu erhalten, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, muss der Verantwortliche dem Betroffenen Auskunft zum Zweck, zur Rechtsgrundlage, den Kategorien personenbezogener Daten, zu allfälligen Empfängern, zur Speicherdauer und zur Herkunft der Daten geben. Betroffene sind auch dann zu informieren, wenn keine Daten gespeichert werden. Dabei handelt es sich um eine sogenannte Negativauskunft. Weiters hat der Unternehmer über die sonstigen Rechte aufzuklären, insbesondere auch über das Beschwerderecht bei der Datenschutzbehörde.

Wie ist das Begehren zu stellen?

Für Anträge bestehen keine Formvorschriften. Sie können sowohl schriftlich als auch mündlich gestellt werden. Allerdings muss der Unternehmer, bevor er eine Auskunft erteilt, die Identität des Auskunftswerbers klären. Konsumenten, die Auskunft zu ihren Daten haben wollen, sind daher zur Mitwirkung verpflichtet.

Muss die Identität immer nachgewiesen werden?

Hat der Verantwortliche begründete Zweifel an der Identität der betroffenen Person, die den Antrag stellt, kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität erforderlich sind. Zweifelhaft ist die Identität vor allem bei Telefonanfragen und nicht signierten E-Mails. Ein ausreichender Nachweis kann in Form einer Ausweiskopie oder einem persönlichen Vorsprechen erbracht werden.

Wann muss die Auskunft erteilt werden?

Sobald die Identität geklärt ist, sind Anträge unverzüglich zu beantworten, längstens aber binnen eines Monats ab Eingang. Nur wenn die Beantwortung des Antrages komplex ist und mehrfache Anträge vorliegen, kann die Frist um zwei weitere Monate verlängert werden. In diesem Fall muss der Betroffene innerhalb eines Monats über die Fristverlängerung und die Gründe für die Verzögerung informiert werden.

Wie viel kostet die Auskunftsanfrage?

Für die Auskunftserteilung darf das Unternehmen grundsätzlich nichts verrechnen. Eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, muss der Verantwortliche dem Betroffenen kostenlos zur Verfügung stellen. Für weitere Kopien kann ein angemessenes Entgelt verlangt werden. Auch bei offenkundig unbegründeten oder exzessiven Anträgen dürfen Verwaltungskosten verrechnet oder Auskünfte verweigert werden.

Was sollte ich als Konsument beachten?

Wer sich dafür interessiert, welche Daten zu welchem Zweck erhoben werden und was mit ihnen passiert, kann sich künftig über mehr Transparenz freuen. Besonders im Netz, wo sich unsere Vorlieben und unser Privates am besten durchleuchten lassen, wird das neue Datenschutzrecht in den kommenden Jahren eine gewisse Sensibilisierung bewirken. In den Datenschutzerklärungen und Cookie-Richtlinien vieler Anbieter finden sich inzwischen Checkboxen, die es dem Nutzer per Klick ermöglichen, darüber zu entscheiden, welche Programme, die sein Nutzerverhalten analysieren, er aktivieren möchte und welche nicht. Auf diese Weise wird der Konsument wieder Herr seiner Daten – er bestimmt, ob er speziell auf sein Nutzungsverhalten zugeschnittene Werbung erhalten möchte oder nicht. Das ist fair. Fragt sich nur, wie lange das neue Recht mit dem Internet und der Kreativität der Marketingbranche Schritt halten wird.

STEPHAN KLIEMSTEIN