Was ist GDPR und für wen gilt es?

GDPR (General Data Protection Regulation) ist ein Datenschutzgesetz der Europäischen Union aus dem Jahr 2018, das regelt, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Es gilt für jede Organisation weltweit, die Daten von EU-Einwohnern verarbeitet, unabhängig davon, wo dieses Unternehmen seinen physischen Sitz hat.

Wie wirkt sich das GDPR auf VPN-Anbieter aus?

VPN-Anbieter, die EU-Kunden bedienen, müssen das GDPR einhalten, indem sie transparente Datenschutzrichtlinien pflegen, ihre Datenerhebungspraktiken rechtfertigen und Nutzerrechte wie Datenlöschungsanfragen respektieren. Viele seriöse VPN-Dienste verfolgen unter anderem deshalb strenge No-Log-Richtlinien, um die von ihnen gehaltenen personenbezogenen Daten zu minimieren und damit ihren GDPR-Compliance-Aufwand erheblich zu reduzieren.

Welche Rechte räumt das GDPR Einzelpersonen über ihre personenbezogenen Daten ein?

Das GDPR gewährt EU-Einwohnern mehrere weitreichende Rechte, darunter das Recht auf Auskunft über ihre Daten, die Berichtigung von Unrichtigkeiten, die Anforderung der Löschung („Recht auf Vergessenwerden"), die Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit. Nutzer können bestimmten Verarbeitungsaktivitäten außerdem widersprechen und ihre Einwilligung jederzeit widerrufen, wodurch Organisationen gezwungen werden, die Nutzung ihrer Informationen einzustellen.

Welche Strafen können Unternehmen bei einem Verstoß gegen das GDPR drohen?

Verstöße gegen das GDPR haben ernsthafte finanzielle Konsequenzen. Regulierungsbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängen — je nachdem, welcher Betrag höher ist. Große Unternehmen wie Meta und Google wurden mit Bußgeldern in Milliardenhöhe belegt, was das GDPR zu einer der am strengsten durchgesetzten Datenschutzregelungen weltweit macht.

GDPR — VPN-Glossar

GDPR erklärt: Was es für Ihre Privatsphäre im Internet bedeutet

Was es ist

Die Datenschutz-Grundverordnung — nahezu allgemein bekannt als GDPR — ist ein umfassendes Datenschutzgesetz, das im Mai 2018 in der gesamten Europäischen Union in Kraft trat. Es ersetzte ein Flickwerk älterer, schwächerer nationaler Datenschutzregeln durch einen einheitlichen, durchsetzbaren Standard, der für jede Organisation gilt, die personenbezogene Daten von EU-Einwohnern verarbeitet – unabhängig davon, wo diese Organisation ihren Sitz hat.

Vereinfacht ausgedrückt: Wenn ein Unternehmen irgendwo auf der Welt Daten über Menschen in Europa erhebt, gilt das GDPR für dieses Unternehmen. Dieser Geltungsbereich machte es zu einer der weitreichendsten Datenschutzregelungen, die je erlassen wurden, und es hat seitdem Datenschutzgesetze auf der ganzen Welt beeinflusst.

Wie es funktioniert

Das GDPR basiert auf einigen grundlegenden Prinzipien. Organisationen müssen eine Rechtsgrundlage für die Verarbeitung Ihrer Daten haben — beispielsweise Ihre ausdrückliche Einwilligung, eine vertragliche Notwendigkeit oder ein berechtigtes Interesse. Sie müssen außerdem transparent darüber sein, welche Daten sie erheben, warum sie diese erheben und wie lange sie diese aufbewahren.

Aus der Perspektive der Nutzer gewährt das GDPR mehrere bedeutsame Rechte:

Auskunftsrecht — Sie können eine vollständige Kopie der personenbezogenen Daten anfordern, die ein Unternehmen über Sie gespeichert hat.
Recht auf Löschung („Recht auf Vergessenwerden") — Sie können eine Organisation unter bestimmten Voraussetzungen auffordern, Ihre Daten zu löschen.
Recht auf Datenübertragbarkeit — Sie können Ihre Daten in einem maschinenlesbaren Format anfordern, um sie andernorts zu übertragen.
Widerspruchsrecht — Sie können bestimmten Arten der Datenverarbeitung widersprechen, einschließlich Direktwerbung.

Unternehmen, die gegen das GDPR verstoßen, müssen mit ernsthaften Konsequenzen rechnen. Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Diese Zahlen haben selbst große Technologieunternehmen dazu veranlasst, ihren Umgang mit personenbezogenen Daten grundlegend zu überdenken.

Warum es für VPN-Nutzer wichtig ist

Das GDPR berührt die VPN-Nutzung auf mehrere wichtige Weisen.

VPN-Anbieter selbst unterliegen dem GDPR. Wenn ein VPN-Dienst Kunden in der EU hat, muss er die Vorschriften einhalten — das bedeutet Transparenz darüber, welche Daten protokolliert werden, wie lange diese Daten aufbewahrt werden und ob sie an Dritte weitergegeben werden. Deshalb veröffentlichen seriöse VPN-Anbieter detaillierte Datenschutzrichtlinien und lassen sich unabhängig prüfen. Ein GDPR-konformer VPN-Anbieter sollte Ihnen genau mitteilen können, was er über Ihre Sitzungen speichert — und im Idealfall speichert er sehr wenig.

Das GDPR stärkt die Argumentation für No-Log-Richtlinien. Da die Verordnung die Aufbewahrungsdauer personenbezogener Daten begrenzt und einen klaren Grund für deren Speicherung verlangt, haben VPN-Anbieter, die unter das GDPR fallen oder sich daran orientieren, zusätzlichen rechtlichen Druck, die Datenerhebung zu minimieren. Ein Anbieter mit Sitz in der EU oder mit EU-Kunden kann Verbindungsprotokolle nicht ohne weiteres unbegrenzt und ohne Rechtfertigung aufbewahren.

Es gibt Ihnen Möglichkeiten zur Gegenwehr, wenn etwas schiefläuft. Wenn ein VPN-Dienst eine Datenpanne erleidet und Ihre personenbezogenen Daten offengelegt werden, verpflichtet das GDPR das Unternehmen dazu, Sie und die zuständige Aufsichtsbehörde innerhalb von 72 Stunden zu benachrichtigen. Sie haben außerdem das Recht zu erfahren, was genau offengelegt wurde, und können Abhilfemaßnahmen fordern.

Praktische Beispiele

Stellen Sie sich vor, was passiert, wenn Sie sich für einen VPN-Dienst anmelden. Gemäß GDPR muss das Unternehmen klar erläutern, welche E-Mail-Adresse, Zahlungsinformationen oder Nutzungsdaten es erhebt. Sie sollten in der Lage sein, Ihre Einwilligung zu widerrufen, die Löschung Ihrer Kontodaten zu beantragen und eine Bestätigung zu erhalten, dass diese gelöscht wurden.

Ein weiteres häufiges Beispiel: Cookie-Einwilligungsbanner. Diese Pop-ups, die Ihre Erlaubnis einholen, bevor sie Sie tracken, gibt es größtenteils aufgrund des GDPR. Auch wenn sie oft lästig sind, stellen sie eine echte Veränderung darin dar, wie Websites mit Ihren Daten umgehen müssen — sie benötigen zuerst Ihre Erlaubnis, anstatt hinterher um Verzeihung zu bitten.

Das GDPR ist auch dann relevant, wenn Sie ein VPN nutzen, um grenzüberschreitend auf Dienste zuzugreifen. Daten, die zwischen Ländern übertragen werden, müssen unter dem GDPR bestimmte Angemessenheitsstandards erfüllen, was sich darauf auswirkt, wie VPN-Anbieter den Datenverkehr leiten und wo sie Server-Protokolle speichern.

Das große Ganze

Das GDPR hat nicht jedes Datenschutzproblem im Internet gelöst, aber es hat einen Mindeststandard etabliert, der personenbezogene Daten als etwas Schutzwürdiges betrachtet — und nicht bloß als ein weiteres zu vermarktendes Gut. Für alle, denen Online-Datenschutz wirklich am Herzen liegt, hilft das Verständnis des GDPR dabei, den Diensten, denen Sie Ihre Daten anvertrauen — einschließlich Ihres VPN-Anbieters — die richtigen Fragen zu stellen.

GDPRFortgeschritten