Was sich 2018 im Datenschutz ändert. Und warum das für Sie wichtig ist.

Die neue EU Datenschutzgrundverordnung: Das müssen Händler und Unternehmer wissen

Lernen Sie die Datenschutzgrundverordnung – DSGVO kennen. [Erstellt von https://www.erklaerhelden.de/]

Datenschutz ist für alle Unternehmer wie Shopbetreiber und Dienstleister bereits heute ein wichtiges Thema. Kundenbestellungen, E-Mail Kampagnen oder Nutzertracking: überall spielt der Datenschutz eine Rolle.

2018 kommen auf alle Unternehmen weitreichende Änderungen zu: Seit dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland verbindlich. Diese stellt viele Grundsätze des Datenschutzrechts nach dem alten BDSG auf den Kopf.

Vor allem die hohen Bußgelder von bis zu 20 Millionen Euro und viele offene Fragen bereiten vielen Unternehmen Kopfschmerzen. Wir erklären, was Sie beachten müssen, damit Sie bald mit der Umsetzung anfangen können.

1. Was ist die DSGVO und was hat das mit mir zu tun?

Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung –  also eine Vorschrift, die in der ganzen EU gilt. Die Vorschrift regelt das Datenschutzrecht – also den Umgang von Unternehmen mit personenbezogenen Daten – einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst..

Was ist das Ziel der DSGVO?

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt auch für Unternehmen mit Sitz ausserhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten.

Zweites Ziel der Verordnung: Das Datenschutzrecht soll datenschutzfreundlicher für die betroffenen Nutzer werden. Der Bürger soll die Hoheit über seine Daten soweit wie Möglich zurück erhalten.  Zusammen mit deutlich höheren Bußgeldern soll so sicher gestellt werden, dass sich auch Cloud Dienste oder soziale Netzwerke etwa aus den USA an die Regeln halten müssen.

Was hat das mit mir als Unternehmer zu tun, werden sich nun viele Fragen?

…die neue Verordnung betrifft doch nur Shops, wirklich große Unternehmen mit tausenden Kundendaten oder Auftragsverarbeiter. Leider nicht, die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.

 

2.  Ab wann gilt die EU-DSGVO?

Über die DSGVO wurde schon überall gesprochen, Irritation gab es aber über den offiziellen Start.

Die DSGVO trat schon am 25. Mai 2016 in Kraft. ABER: Unternehmen und Webseitenbetreiber in den  EU-Mitgliedstaaten müssen die Datenschutzgrundverordnung erst seit dem dem 25. Mai 2018 verbindlich anwenden.

 

Muss die Verordnung nicht erst umgesetzt werden?

Manche Webseitenbetreiber fragen sich vielleicht: Muss Deutschland die EU- Gesetze nicht noch im nationalen Recht umsetzen? Die Datenschutzgrundverordnung ist eine Verordnung. Verordnungen müssen die Mitgliedstaaten nicht extra umsetzen. Sie gelten direkt (anders ist das aber bei EU-Richtlinien). Allerdings haben die Mitgliedstaaten in einigen Bereichen auch Gestaltungsspielräume, sodass es keine 100%ig einheitliche Rechtslage geben wird.

Die DSGVO wird in vielen Teilen dann das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Das BDSG wird derzeit auch deswegen noch angepasst.

 

3. Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für:

alle Unternehmen, die in der EU ansässig sind.

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie:

  • Eine Niederlassung in der EU haben oder
  • personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung: personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. „Identifizierbar“´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind z.B.:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

4. An wen wendet man sich bei Verstößen?

Wenn bald in der ganzen EU das gleiche Recht gilt, wer ist denn dann für Datenschutzverstöße im Zusammenhang mit der Datenschutzgrundverordnung zuständig? Gibt es vielleicht eine zentrale Aufsichtsbehörde?

Wer beispielsweise als Online-Händler international verkauft, hat in diesem Zusammenhang vielleicht schon etwas vom neuen „One-Stop-Shop“ gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

 

5. Welche Strafen und Bußgelder drohen bei Verstößen gegen die DSGVO? Was ist mit Abmahnungen?

Strafen und Bußgelder

Neu sind vor allem die immens hoben Strafen und Bußgelder, die die DSGVO vorsieht. Bisher lag der Rahmen des Bundesdatenschutzgesetzes für Bußgelder bei 50.000 Euro bzw. maximal 300.000 Euro für sehr schwere Verstöße. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Das wird sich aber sehr wahrscheinlich ändern. Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Wichtig: Anfragen/ Beschwerden von Nutzern ernst nehmen.
Noch wichtiger: Anfragen/ Beschwerden von Datenschutzbehörden ernst nehmen.
Ziel: Bußgelder nach DSGVO möglichst vermieden

One-Stop-Shop und Zuständigkeiten

Noch nicht abschließend geklärt sind jedoch die Zuständigkeiten der jeweiligen Behörden. Also die Frage, ob nun ein Landesdatenschutzbeauftragter, der Bundesdatenschutzbeauftragte oder  Datenschutzbeauftragte in anderen Ländern der EU zuständig ist bzw. diese Zuständigkeiten ggf. auch wechseln können. Um dieses Durcheinander zu vehindern sieht die Verordnung ein „One-Stop-Shop“ genanntes Prinzip in Artikel 56 Abs. 1 EU-DSGVO vor.

Bei grenzüberschreitendem Datenverkehr soll dann allein die Aufsichtsbehörde am Sitz bzw. Hauptsitz eines Unternehmens bei Datenschutzverstößen zuständig sein. Dabei stellt sich aber zum Beispiel die Frage, wie sich die verschiedenen Zuständigkeiten verschiedener Behörden zum Beispiel auf die Höhe der Bußgelder auswirken werden.

Hier muss mann wohl abwarten, ob die in der Verordnung geregelten Zuständigkeiten tatsächlich zu einer datenschutzfreundlicheren und gleichzeitig einfachereren Umsetzung führen.

Abmahnungen und die DSGVO

Datenschutzverstöße können – wie von den Gerichten schon in den letzen Jahren immer wieder entschieden – auch nach der DSGVO abgemahnt werden.

Bei Verstößen gegen die DSGVO drohen also Abmahnungen und Gerichtsverfahren, denn:

  • Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
  • Verstöße können auch nach der DSGVO abgemahnt werden!

Die Datenschutzgrundverordnung ändert zwar einiges am Datenschutzrecht. Da in Deutschland aber bereits bisher ein recht hohes Datenschutzniveau galt, kommen auf Händler hier nicht so viele Änderungen zu wie in einigen anderen EU-Mitgliedstaaten. Die Unternehmer aus Deutschland sind hier also im Vorteil, wenn Sie sich bisher schon um den Datenschutz gekümmert haben.

a) Neue und alte Grundsätze

An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts. Folgende Grundsätze sollten Sie kennen:

Verbot mit Erlaubnisvorbehalt

Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:

  • Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
  • Einwilligung der betroffenen Person

 Datensparsamkeit

Im Klartext: Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.

Zweckbindung

Im Klartext: Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.

 Datenrichtigkeit

Im Klartext: Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.

Es gibt allerdings auch neue (bzw. neu niedergeschriebene) Grundsätze:

Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Im Klartext: Das Schutzniveau, dass Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann „angemessen“ sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Den genauen Wortlaut mit allen Anforderungen können Sie auch noch einmal hier nachlesen:
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-32

b) Recht auf Vergessenwerden (Recht auf Löschung)

Viele Unternehmen wissen: Das Recht auf Vergessenwerden ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden.
Das Recht auf Vergessenwerden ist also ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

 

Achtung: Das Recht auf Vergessenwerden können die Nutzer aber nicht nur gegen Suchmaschinenbetreiber geltend machen! Der Anspruch kann man nämlich gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet.

In der DSGVO gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17.

Darin sind auch die konkreten Gründe aufgezählt, wann Sie als Datenverarbeiter dann die Daten löschen müssen. Die wichtigsten Fälle sind:

  • Der Zweck für die Datenverarbeitung ist weggefallen (Art. 17 Buchstabe a)
  • Der Betroffene hat seine Einwilligung widerrufen (Art. 17 Buchstabe b)
  • Die Datenverarbeitung war unrechtmäßig (Art. 17 Buchstabe d)

Hier können Sie die alle gesetzlichen Bestimmung abrufen:
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-17

c) Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter „mitzunehmen“. Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Die Datenportabilität ist zum Beispiel wichtig für:

  • Wechsel zu anderen (sozialen) Netzwerken
  • Wechsel der Bank
  • Wechsel des Arbeitgebers

Die Umsetzung dieses neuen Rechts kann es aber in sich haben. Lassen Sie sich hierzu am besten individuell beraten!

d) Auch neu: Die Rechenschaftspflicht

Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können.

Praxis-Tipp:

Richten Sie also ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen.

Achtung: Die drohenden Bußgelder sind deutlich höher als früher!

Bußgelder von bis zu 20 Millionen Euro können die Aufsichtsbehörden verhängen. Bei großen Unternehmen und Konzernen drohen sogar noch größere Geldbußen: bis zu 4 % vom weltweiten Konzernumsatz des Vorjahres.

Lassen Sie sich also unbedingt beraten!

 

Einwilligungen einholen

Einwilligungen der Nutzer spielen für Händler und Unternehmer eine größere Rolle, als viele vielleicht glauben. Denken Sie zum Beispiel an die Einwilligung zur Newsletter-Zusendung.

Aber wie muss eine Einwilligung aussehen? Wir haben Ihnen hier die wichtigsten Anforderungen zusammengestellt:

Form:

Die Einwilligung im Datenschutz ist nicht an besondere Formerfordernisse gebunden. Mündliche, schriftliche und elektronische Einwilligungen sind nach der Datenschutzgrundverordnung erlaubt.

Achtung: Bei Einwilligungen müssen Sie immer auch an die Dokumentation denken. Mündliche Einwilligungen können hier natürlich schneller zum Problem werden, als wenn Sie die schriftliche oder elektronische Einwilligung im System vermerkt und gespeichert haben.

Opt-In oder Opt-Out:

Lassen Sie sich die Einwilligung mit einem Opt-In Kästchen geben! Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

Freiwillig:

Besonders wichtig ist auch das Gebot der Freiwilligkeit. Das heißt: Die Vertragserfüllung Ihrerseits dürfen Sie nicht davon abhängig machen, dass die betroffene Person die Einwilligung erteilt, wenn die Einwilligung nicht für die Vertragserfüllung erforderlich ist.

Inhaltliche Anforderungen:

Die Einwilligung müssen Sie immer zweckgebunden einholen und die Verarbeitungszwecke dabei aufführen. Generaleinwilligungen sind also auch weiterhin nicht erlaubt.

Nachweisbarkeit:

Sie müssen nachweisen können, dass Ihnen die Einwilligung zur Datenverarbeitung erteilt wurde! Denken Sie hier im Zusammenhang mit der EU-Datenschutzgrundverordnung immer auch an eine  umfassende Dokumentation.

Widerruf:

Wie bisher hat der Betroffene ein Widerrufsrecht. Er muss deswegen die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Neu ist: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Was passiert mit „alten“ Einwilligungen? Müssen Sie jetzt alle Kunden neu auffordern?

Hier können Händler aufatmen. Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wenn die Einwilligung bisher nicht wirksam erteilt wurde, wird sie auch nicht durch die DSGVO wirksam.

Wichtig in diesem Zusammenhang ist,dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist. Wer beispielsweise Newsletter versendet, muss nun nach der DSGVO die Einwilligung des Empfängers per double opt in auch nachweisen können. Das war bisher ein reines Beweisprobblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU- DSGVO geregelt.

Einwilligung bei Minderjährigen

Achtung: Neu ist auch, dass die Datenschutzgrundverordnung in Artikel 7 nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

7. Müssen Webseitenbetreiber ihre Datenschutzerklärungen anpassen? Wo gibt es Muster, Checklisten und Generatoren?

Die kurze Antwort: Ja.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.