Bereits vor einem guten Jahr wurde die neue Datenschutz-Grundverordnung (DSGVO) durch die Europäische Kommission festgelegt. Sie ist für alle ab dem 25.05.2018 gültig und regelt einen EU-weiten einheitlichen Datenschutz. Die DSGVO gilt für alle Unternehmen und Personen, die digitale Daten sammeln und verarbeiten (lassen). Eine Übergangsfrist gibt es nicht, wer die neue Verordnung bis dato noch nicht umgesetzt hat, dem drohen hohe Bußgelder in Höhe von bis zu 20 Mio € bzw. 4 % des Jahresumsatzes. Höchste Zeit also, sich die Änderungen und deren Folgen anzusehen. Auch wenn es noch fast ein Jahr dauert, bis die EU Datenschutzgrundverordnung gültig ist, sollten sich Unternehmen wie auch Freiberufler mit den Neuerungen vertraut machen, Prozesse und Abläufe zum Datenschutz prüfen und bei Bedarf den neuen Regelungen anpassen.
Alles neu macht der Mai: Was ändert sich in der neuen DSGVO?
Das wichtigste vornweg: Der Datenschutz wird ab Mai für die gesamte EU einheitlich. Bisher waren die nationalen Gesetze der einzelnen Mitgliedsstaaten zum Datenschutz mehr oder weniger streng. Deutschland hatte bereits schon ein recht strenges Datenschutzgesetz, wohingegen Portugal den Datenschutz deutlich lockerer sah. Dadurch entstand deutschen Unternehmen oftmals ein Nachteil zum Beispiel bei Marketingaktivitäten gegenüber portugiesischen Unternehmen. Doch dies ist jetzt vorbei.
Bisher galten auch immer die Datenschutzgesetze des Landes, in denen die Unternehmen ihren Sitz haben. Praktisch war dies zum Beispiel für Facebook mit Firmensitz in Irland und einem eher lockeren Datenschutzgesetz. Künftig gilt das Datenschutzgesetz des Landes, in dem der Betroffene lebt. Hier zeigt sich eine für die EU einheitliche Datenschutzverordnung positiv.
Sammeln und Speichern von Daten
Das Sammeln und Speichern von Daten unterliegt strengeren Regeln. Früher mussten Nutzer dem Sammeln und Speichern von Daten ausdrücklich widersprechen, nun dürfen Daten nur noch gesammelt und gespeichert werden, wenn Betroffene ausdrücklich zustimmen und einwilligen. Da die Einwilligung aktiv erfolgen muss, sind bereits vorangeklickte Checkboxen nicht mehr erlaubt. Die Einwilligung von Betroffenen muss außerdem nachweisbar sein und mit einer Belehrung der Betroffenen einhergehen. Diese Belehrung informiert über ihr Widerrufsrecht, zu welchem Zweck ihre Daten erhoben werden und wer dafür verantwortlich ist.
Die Erhebung von Daten ist auch dann zulässig, wenn sie zur Erfüllung von Verträgen notwendig ist. Bestellt jemand zum Beispiel in einem Online-Shop eine Flasche Wein und möchte diese zu sich nach Hause geliefert bekommen, muss der Bestellende seine Adresse und eine Altersverifikation angeben. Diese Angaben sind erforderlich, um den Vertrag zu erfüllen. Diese Angaben dürfen allerdings nicht ohne ausdrückliche Genehmigung des Bestellenden für andere Zwecke verwendet werden. Zum Beispiel um zu ermitteln, in welchen Altersgruppen bevorzugt welcher Wein getrunken wird.
Das Sammeln und Speichern von Daten muss auch einem ersichtlichen/berechtigten Zweck dienen. Es liegt auf der Hand, dass jemand der Schuhe in einem Online-Shop bestellt, seinen Namen und seine Postadresse angeben muss. Wer einen Newsletter von einem Unternehmen zugeschickt bekommen möchte, muss seine E-Mail-Adresse angeben, weitere Angaben wie Postanschrift oder Geburtsdatum sind zu diesem Zweck nicht zwingend erforderlich. Sind Angaben zu Postanschrift und Geburtsdatum bei einer Newsletter-Anmeldung Pflicht, handelt das Unternehmen entgegen der neuen DSGVO. Auch wenn sich jemand weigert, seine Adresse und sein Geburtsdatum preiszugeben, darf derjenige nicht vom Erhalt des Newsletters ausgeschlossen werden. Dies regelt das sogenannte Kopplungsverbot in der neuen Datenschutzverordnung. Konkret heißt dies, dass Unternehmen die Ausführung eines Auftrags bzw. Vertrags nicht verweigern dürfen, wenn Kunden personenbezogene Daten nicht offenlegen möchten, die nicht zur Ausführung des Auftrags erforderlich sind.
Viele Unternehmen sammeln Daten auch zu Werbezwecken. Ist dies nach der neuen DSGVO noch zulässig? Kann dies als berechtigter Zweck angesehen werden? Die neue Verordnung sagt ja. Personalisierte Werbung, die nur auf vorab gesammelten Daten beruhen kann, stellt für kommerziell agierende Unternehmen einen berechtigten Grund dar, Daten zu erheben. Aber auch hier muss vorab ausdrücklich die Zustimmung der Nutzer eingeholt werden einschließlich deren Information, zu welchem Zweck die Daten gesammelt werden.
Laut der neuen DSGVO bestehen Dokumentationspflichten, wenn Daten erhoben werden. Solche Dokumentationsprozesse müssen bei vielen Unternehmen noch etabliert werden. Dokumentiert werden muss zum Beispiel, dass der Nutzer eingewilligt hat und welche Daten vom Nutzer konkret zu welchem Zweck gespeichert werden. Fraglich ist allerdings, wie mit den Bestandsdaten umgegangen wird, für die solche Einwilligungen nicht vorliegen.
Stärkere Rechte für Nutzer/Betroffene
In der neuen EU Datenschutzverordnung haben Nutzer und Betroffene deutlich mehr Rechte. Diese umfassen strenge Informationspflichten seitens der Unternehmen, das Recht auf vergessen werden sowie Recht auf Datenportabilität.
Unternehmen müssen Betroffene ausreichend informieren. Diese Informationspflicht umfasst:
- welche Daten gespeichert werden
- den Zweck der Datenspeicherung
- Übertragung der Daten an Dritte
- wie lange die Daten gespeichert werden
- welche Rechte Betroffene haben
- dass Unternehmen vertraglich oder gesetzlich zur Datenspeicherung verpflichtet sind
Des Weiteren haben Betroffene auch das Recht jederzeit darüber Auskunft zu erhalten, welche Daten ein Unternehmen von Ihnen gesammelt und gespeichert hat. Die Nutzer dürfen Ihrer Einwilligung zur Datenerhebung auch widersprechen und sogar verlangen, dass Daten gelöscht werden.
Betroffene haben ebenfalls ein Recht auf Löschung und vergessen werden. Betroffene können jederzeit die Löschung ihrer Daten beantragen. Sofern es keinen gesetzlichen Widerspruch gibt, müssen Unternehmen dieser Aufforderungen nachkommen. In der Regel haben sie dazu 1 Monat Zeit. Doch damit nicht genug, Unternehmen müssen sogar Dritte, die diese Daten ebenfalls verarbeiten, über den Löschungswunsch informieren.
Zu guter Letzt haben Betroffene auch ein Recht auf Datenportabilität. Dies bedeutet, dass Betroffene die Daten, die Unternehmen von ihnen gesammelt haben, in einem „strukturierten, gängigen und maschinenlesbaren Format“ erhalten und sie diese dann an ein anderes Unternehmen übergeben können. Das Recht auf Datenportabilität geht noch einen Schritt weiter: Soweit technische Möglichkeiten bestehen, müssen Unternehmen die Daten direkt an ein anderes Unternehmen auf Verlangen von Betroffenen direkt übermitteln.
Datenschutzbeauftragter und Rechenschaftspflicht
In der neuen DSGVO gilt es viele Regeln zu beachten. Damit diese auch alle umgesetzt und befolgt werden, empfiehlt es sich, einen Mitarbeiter mit dem Datenschutz zu beauftragen oder dies von einer externen Stelle übernehmen zu lassen. Laut neuer Datenschutzverordnung sind alle Unternehmen, in denen mindestens 10 Personen mit den erfassten Daten arbeiten, dazu verpflichtet, einen Datenschutzbeauftragten anzustellen bzw. die Tätigkeit auszulagern. Dies gilt auch bei geringerer Personenzahl für Unternehmen, bei denen die Verarbeitung von Daten für Betroffene ein hohes Risiko darstellt, zum Beispiel in Arztpraxen.
Die neue Datenschutzverordnung beinhaltet auch eine so genannte Rechenschaftspflicht. Diese besagt, dass jedes Unternehmen sicherstellt, dass die erhobenen Daten nachweislich in Einklang mit der neuen DSGVO erhoben wurden. Dafür hat die DSGVO Maßnahmen bereit gestellt wie zum Beispiel Zertifizierungen.
IP-Adressen sind auch personenbezogene Daten
Mit der neuen DSGVO wird nun auch endlich der alter Zwist geklärt, ob IP-Adressen nun personenbezogene Daten sind oder nicht. Die DSGVO sieht auch IP-Adressen als personenbezogene Daten an. Diese Feststellung wird weitere Auswirkungen auf Cookie-Richtlinien und Online-Marketing haben. Hierfür wird die EU eine eigene E-Privacy-Richtlinie etablieren. Wie genau diese aussehen wird, bleibt abzuwarten. Im zweiten Teil erfahren Sie einige grobe Ideen.
Unsere Übersicht und Zusammenfassung der Änderungen für die neue DSGVO erhebt keinen Anspruch auf Vollständigkeit. Es gibt noch weitere Punkte, die neu geregelt werden. Für detailliertere Informationen empfiehlt sich die Lektüre der Datenschutzgrundverordnung, die online unter folgendem Link zu finden ist: https://www.datenschutz-grundverordnung.eu/.
Im zweiten Teil zur neuen EU Datenschutzverordnung haben wir die Vor- und Nachteile der Neuerungen zusammengefasst und geben einen kurzen Leitfaden, wie sich Unternehmen an besten auf die Änderungen vorbereiten und diese schrittweise umsetzen.