GDPR und Ihre Rechte als EU-Verbraucher – in verständlicher Sprache

Die Datenschutz-Grundverordnung ist eines der meistzitierten und missverstandensten Gesetze des letzten Jahrzehnts. Die meisten Beiträge dazu verfallen in eines von zwei Lagern: alarmistisches „Jeder Händler versteckt etwas vor Ihnen“ oder selbstgefälliges „Es geht meist um Cookie-Banner“. Beides ist falsch. Die GDPR ist ein klares Set an Rechten, das Sie ohne Zahlung irgendjemandes ausüben können – und das jeder halbwegs seriöse Online-Händler ohne Gegenwehr respektieren sollte.

Ihre Rechte, geordnet nach Häufigkeit der Nutzung

• Auskunft. Sie können von jedem Verantwortlichen eine Kopie der bei ihm gespeicherten personenbezogenen Daten verlangen. Sie haben 30 Tage Zeit, diese zu liefern (60 Tage in komplexen Fällen, mit einem Hinweis bis zum 30. Tag).
• Berichtigung. Falls unrichtige Daten über Sie gespeichert sind, können Sie deren Korrektur verlangen.
• Löschung (Recht auf Vergessenwerden). Sie können die Löschung beantragen. Es gibt Ausnahmen – für Händler insbesondere die AML-bedingte Aufbewahrungspflicht von Identitätsnachweisen für den gesetzlich vorgeschriebenen Zeitraum – doch diese Ausnahmen sind eng gefasst und müssen Ihnen gegenüber begründet, nicht bloß behauptet werden.
• Einschränkung. Sie können den Verantwortlichen auffordern, die Verarbeitung auszusetzen, während ein Streit über Richtigkeit oder Rechtmäßigkeit geklärt wird.
• Datenübertragbarkeit. Von Ihnen bereitgestellte Daten müssen in einem maschinenlesbaren Format exportierbar sein.
• Widerspruch. Sie können der auf berechtigten Interessen gestützten Verarbeitung, einschließlich Profiling, widersprechen.

So machen Sie Ihre Rechte geltend – ohne Anwalt

Eine schriftliche Anfrage an den Verantwortlichen genügt. Die Datenschutzerklärung jeder ordentlich geführten Website nennt die Kontaktadresse – bei uns [email protected]. Formulieren Sie Ihr Anliegen konkret (Kopie aller Daten? Löschung einer bestimmten Bestellung? Korrektur einer Adresse?) und geben Sie genug Informationen an, damit der Verantwortliche Ihre Identität verifizieren kann.

Sie müssen keinen Grund für eine Auskunfts- oder Löschanfrage angeben. Sie müssen Ihre Identität nachweisen – das ist ein Schutz für Sie, keine unnötige Hürde.

Wenn Sie mit der Antwort unzufrieden sind, bearbeitet die Aufsichtsbehörde Ihres Landes (oder das UK ICO, wenn der Verantwortliche dort ansässig ist) Beschwerden kostenfrei. Kein Gerichtsgeld, kein Anwalt erforderlich.

Wo die GDPR nicht hilft

Die GDPR betrifft personenbezogene Daten. Sie ist keine Rückgaberegelung (das ist die EU-Verbraucherrechterichtlinie, die separat umgesetzt wird – siehe die Rückgabe- und Erstattungsrichtlinie) und auch kein Erstattungsmechanismus für Dinge, die nichts mit Daten zu tun haben.

Die GDPR hindert einen Händler auch nicht daran, Daten zu speichern, zu deren Aufbewahrung er durch andere Gesetze verpflichtet ist. Das Geldwäscherecht schreibt Händlern und anderen regulierten Unternehmen vor, Identitätsnachweise für eine Mindestanzahl von Jahren nach Ende der Kundenbeziehung aufzubewahren. Eine Löschanfrage kann eine parallele gesetzliche Pflicht nicht aushebeln; der Händler muss Ihnen das mit Verweis auf das jeweilige Gesetz mitteilen.