EU-DSGVO – die Datenschutz-Grundverordnung im Überblick

5 Punkte, die sich mit dem neuen Datenschutzgesetz im Mai 2018 für Unternehmen ändern

EU-DSGVO.jpg

Mit der neuen Datenschutz-Grundverordnung (EU-DSGVO) soll der Datenschutz ab Mai 2018 EU-weit harmonisiert und auf einen gemeinsamen Standard gebracht werden. Der folgende Beitrag erklärt anhand von fünf ausgewählten Bereichen, was im Rahmen der EU-DSGVO auf Unternehmen zukommt.

Am 25. Mai 2018 endet die zweijährige Übergangsfrist und die EU-DSGVO tritt direkt in Kraft. Es bedarf keiner Umsetzung in nationales Recht durch die Mitgliedsstaaten. Allerdings geben rund 60 Öffnungsklauseln den Mitgliedsstaaten die Möglichkeit, bestimmte Regelungsbereiche individuell auszugestalten. Davon hat der deutsche Gesetzgeber regen Gebrauch gemacht und das derzeitige Bundesdatenschutzgesetz (BDSG) überarbeitet. Das BDSG-neu konkretisiert und modifiziert zahlreiche Bestimmungen der EU-DSGVO. Lesen Sie hier, was sich durch die DSGVO ändert.

1.      Personenbezogene Daten in der Werbung

Laut dem bisherigen BDSG und dem Telemediengesetz (TMG) ist die Nutzung von personenbezogenen Daten in der Werbung oder im Marketing mit wenigen Ausnahmen grundsätzlich verboten. Legal ist sie, wenn der Betroffene ausdrücklich seine Einwilligung gegeben hat. Außerdem können bis dato die Marketeers beispielsweise allgemein zugängliche Daten wie zum Beispiel aus Branchenverzeichnissen, dem Handelsregister oder Zeitungen verwenden. Es gilt dabei nur die Einschränkung, dass keine schutzwürdigen Interessen des Betroffenen dagegensprechen dürfen.

In der neuen EU-DSGVO gibt es interessanterweise keine detaillierten Regelungen für Werbemaßnahmen. Vielmehr gelten die allgemeinen Bestimmungen, die die Verarbeitung personenbezogener Daten regeln. In Art. 5 Abs. 1 heißt es dazu unter anderem:

  • Die Daten müssen nachvollziehbar verarbeitet werden (Datentransparenz) und dem Zweck angemessen sein.
  • Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden sowie auf das nötigste beschränkt sein (Datenminimierung).

Ansonsten ist für die Werbebranche Art. 6 wichtig, der die Rechtmäßigkeit der Verarbeitung personenbezogener Daten regelt. Dort heißt es sinngemäß: Werbung ist dann zulässig, wenn entweder eine wirksame Einwilligungserklärung vorliegt oder eine Interessenabwägung vorgenommen wurde. In den erläuternden Erwägungsgründen kann man nachlesen, was diese Interessenabwägung für die Werbebranche bedeutet: Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als berechtigtes Interesse gelten.

Zusätzlich wird in Art. 21, der das Widerspruchsrecht regelt, die Direktwerbung ausdrücklich erwähnt. Dort heißt es in Abs. 2: „Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“

2.      Recht auf Löschung

Ein sogenanntes „Recht auf Vergessenwerden“ gibt es im deutschen Recht nicht. Vielmehr leiten sich zum Beispiel aus dem BDSG verschiedene Vorgaben rund um das Löschen von personenbezogenen Daten ab. Mit der DSGVO macht die EU jetzt einen großen Schritt in Richtung „Recht auf Vergessenwerden“. So geht aus Art. 17 DSGVO hervor, dass dieses Recht zwar naturgemäß besonders für das Internet bedeutend ist, aber grundsätzlich auf alle personenbezogenen Datenverarbeitungsprozesse anzuwenden ist.

So müssen Daten gelöscht werden, wenn der Zweck für die Datenverarbeitung weggefallen ist, der Betroffene seine Einwilligung widerruft oder die Daten unrechtmäßig verarbeitet wurden. Das schließt jetzt neu ein, dass ein Unternehmen künftig auch Dritte über die gewünschte Datenlöschung informieren muss. Ausnahmen zu Art. 17 gibt es aber im Rahmen der Pressefreiheit, zu Forschungszwecken oder wenn Interessen der Allgemeinheit zu berücksichtigen sind.

3.      Umgang mit Datenpannen

Werden vertrauliche Nutzerdaten zum Beispiel durch einen Hackerangriff kompromittiert, muss ein Unternehmen nach heutiger Rechtslage nur in bestimmten Fällen eine Meldung dazu machen und den Betroffenen informieren. Zwei Bedingungen sind Voraussetzung: Die Daten enthalten sehr sensible Informationen und dem Betroffenen drohen schwerwiegende Beeinträchtigungen. Dementsprechend wenige Unternehmen sind daher momentan verpflichtet, Datenpannen zu melden.

Mit Art. 33 und 34 DSGVO wird es eine verstärkte Meldepflicht geben. So muss eine Meldung an die Aufsichtsbehörde immer erfolgen, es sei denn, es gibt voraussichtlich kein Risiko für den Betroffenen. Betroffene selbst müssen aber nur dann benachrichtigt werden, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.

Da naturgemäß noch Erfahrungswerte und rechtswirksame Auslegungen zur DSGVO fehlen, bleibt abzuwarten, wie sich diese Vorgaben in der Praxis auswirken werden.

4.      Wann ist ein Datenschutzbeauftragter nötig?

Für Unternehmen und andere Organisationen in Deutschland ergeben sich in Bezug auf den Datenschutzbeauftragten durch die DSGVO kaum neue Regelungen. Ein Datenschutzbeauftragter muss weiterhin bestellt werden, wenn mindestens zehn Personen ständig damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten. Unabhängig von der Mitarbeiteranzahl ist ein Datenschutzbeauftragter unter anderem dann nötig, wenn personenbezogene Daten für Zwecke der Markt- und Meinungsforschung verwendet werden.

5.      Sanktionen durch die DSGVO

Generell lässt sich sagen: Bei Datenpannen und Datenschutzverstößen wird es im Vergleich zum alten BDSG richtig teuer. Art. 83 Abs. 4 bis 6 DSGVO erläutert die Bedingungen für eine Geldstrafe. Im drastischsten Fall sieht die EU-Verordnung einen Bußgeldrahmen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes vor – je nachdem welcher Betrag höher ist.

Besonders interessant ist, dass die DSGVO ausdrücklich betont, dass bei weltweit tätigen Unternehmen tatsächlich der Jahresumsatz der gesamten Unternehmensgruppe gemeint ist.

Erschwerend wirken sich beispielsweise frühere Verstöße aus, mildernd dagegen, wenn ein betroffenes Unternehmen mit der Aufsichtsbehörde zusammenarbeitet und kooperativ Auskünfte im Rahmen einer Untersuchung erteilt.

Die beeindruckenden Sanktionsmöglichkeiten machen eines deutlich – Verstöße gegen den Datenschutz werden in Zukunft EU-weit empfindlich geahndet. Konzerne, mittelständische Unternehmen und Kleinbetriebe sind daher genauso wie Vereine und Verbände gut beraten, sich möglichst schnell mit den neuen Datenschutzvorgaben zu beschäftigen.