Die EU-Datenschutz-Grundverordnung (EU-DSGVO) trat am Freitag, 25. Mai 2018 in Kraft. Ab diesem Datum müssen die Neuregelungen des europaweiten Datenschutzes umgesetzt sein.
Alle Unternehmen, die digitale Daten sammeln, verarbeiten oder erheben lassen, müssen dann die erworbenen Daten transparenter und sicherer managen und verwalten.
Sollte ab den 25. Mai der Änderungsprozess in Unternehmen nicht mit der Verordnung in Einklang stehen, werden die Verstöße erheblich geahndet; Und das bis zu einer Höhe von bis zu vier Prozent des Jahresumsatzes.

Was hat die Neuregelung bewirkt?

bild-achtung_datenschutz

Was ist überhaupt Datenschutz?

Die Datenschutzrichtlinien (95/46/EG) regeln den Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten.

Was hat die neue Datenschutzverordnung bewirkt?

Die EU-Datenschutz-Grundverordnung wurde ins Leben gerufen, um vorrangig die großen, meist amerikanische Unternehmen – die viele digitale Daten von Ihren Kunden sammeln, verarbeiten und erheben – in ihre Schranken zu weisen. Aber irgendwie scheint der Schuss nach hinten los gegangen zu sein! Berichte aus den vergangenen Wochen erwecken den Eindruck, das vorwiegend kleine und mittelständische Unternehmen mit der Umsetzung und überhaupt mit den Inhalten der Datenschutzverordnung große Schwierigkeiten hatten.

Mögliche Auswirkungen

  • Fehlende SSL-Zertifizierung: Online-Händler hat seine Webseite nicht verschlüsselt und soll Schmerzensgeld in Höhe von 12.500 Euro zahlen >>Bericht<<
  • Kein Datenschutzhinweis: Abmahnwert von ca. 7.500 Euro möglich.
  • Verantwortung für Facebook-Fanpages: Betreiber ist für Umsetzung der Datenschutzverordnung mitverantwortlich
  • Kopplungsverbot: Unternehmen dürfen die Nutzung eines Dienstes nicht von der Einwilligung in weitere Datenverarbeitung wie zum Beispiel für personalisierte Werbung, Newsletter etc. abhängig machen. Bei Zuwiderhandlung ist mit Abmahnungen zu rechnen. Gerade einige Social Media Unternehmen versuchen diese Verbot auszuhebeln, um mehr persönliche Daten – als für die Nutzung des Diensten erforderlich sind – zu sammeln.
  • Affiliate Werbung: Hier herrscht regelrechtes Chaos. Was ist erlaubt, was nicht? Hier sollten Sie auf jeden Fall Ihren Datenschutzbeauftragten und/oder Rechtsanwalt konsultieren.
  • Benennung Datenschutzbeauftragen: Bereits bei mindesten zehn Personen die im/für Unternehmen ständig mit der automatisierten Verarbeitung personenbezogenen Daten beschäftigt sind, ist eine Benennung eines DSB erforderlich.

Tipp

Sollten Sie bis dato die neue EU-Datenschutz-Grundverordnung nicht umgesetzt haben, finden Sie unten aufgeführt noch einige Hinweise. Wenn Sie keine Zeit oder Lust haben sich mit der Neuregelung zu befassen, empfiehlt sich eine/n Datenschutzbeauftragte/n hinzu zuziehen – den mittlerweile manche Unternehmen eh schon bereitstellen müssen.

Mehr Details bei der BfDI – Bundesbeauftragte für Datenschutz und Informationsfreiheit

Was änderte sich ab Mai 2018 durch die EU-Datenschutz-Grundverordnung?

Im Wesentlichen ergeben sind folgende Änderungen in den Datenschutzrichtlinien.

  1. Marktortprinzip

    Das neue Datenschutzrecht gilt ab Mai 2018 für alle Unternehmen die Waren und Dienstleistungen in der EU anbieten. Das gilt ebenfalls für außereuropäische u.a. Internet/Digital/Technik/Daten Unternehmen wie auch für App-Anbieter, die in Deutschland ihre Dienste anbieten.

  2. Datenübertragbarkeit

    Zukünftig gibt es das Recht für die Nutzer ihre personenbezogenen Daten übertragen zu lassen. Gerade bei Strom- und Telefonanbieterwechsel ist diese Möglichkeit für Nutzer von Vorteil, da der bisherige Anbieter zur Herausgabe der Daten verpflichtet wird oder zur Übermittlung zum neuen Anbieter aufgefordert werden kann.

  3. Datentransparenz

    Unternehmen und Behörden sind verpflichtet Auskunft über die erhobenen Daten zu geben, zum Beispiel über den Zweck der Datenverarbeitung, die Empfänger, Speicherdauer und die Übermittlung der Daten wie auch über die Herkunft der Daten.
    Dieses Auskunftsrecht kann auch nachträglich auf bestehende Daten erhoben und soll -mit wenigen Ausnahmen- kostenfrei gewährt werden.

  4. Datenlöschung

    Das Recht auf „Vergessenwerden“ kann bei berechtigten Anspruch gegen den Datenerheber erwirkt werden. Somit wird zum Beispiel ein Betreiber von Suchmaschinen oder Social Media Kanälen zur Löschung der Daten, Links, Verweise etc. verpflichtet.

  5. Europaweite Hilfe

    Sollte ein Unternehmen das Datenschutzrecht verletzen, so besteht für die geschädigte Person die Möglichkeit, sich an eine für das Bundesland zuständige Datenschutzbehörde zu wenden, auch wenn das Unternehmen in einem anderen europäischen Land ansässig ist.

Elektronisches Dialogmarketing

Die Auswirkungen des deutschen Datenschutzes und der EU-Grundverordnung wird speziell im E-Dialogmarketing zu finden sein. Unternehmen die sich auf die allgemeine Interessenabwägungsklausel berufen sollten zwei wichtige Aspekte beachten:

  1. Die angesprochene Person muss umfassend über den Datenschutz informiert werden und ganz im speziellen über das Widerspruchsrecht.
  2. Das implementierte CRM-System muss die Datenschutzrichtlinien, Informationspflicht und das Widerspruchsrecht klar umsetzen.

Koppungsverbot

Bei dem dem sogenannten Kopplungsverbot Art. 7 Abs.4 DSGVO, dürfen Unternehmen die Nutzung eines Dienstes nicht von der Einwilligung in weitere Datenverarbeitung – etwa für personalisierte Werbung, Newsletter etc. – abhängig machen. Das bedeutet zum Beispiel, dass die Teilnahme an einem Gewinnspiel nicht an ein Abonnement eines Newsletter gekoppelt werden darf. Auch das von Unternehmen zu Werbezwecken gern praktizierte Modell „kostenloser Service gegen Daten“ – indem das vermeidlich kostenlose Angebot mit personenbezogenen Daten „bezahlen“ wird – wird damit hinfällig.
Weiter Information zum Koppungsverbot und Einwilling.

Zustimmungsmethoden

Explitzit
Der Nutzer muss explizit Zustimmung, meist durch das Klicken eines „Einverstanden“-Button. Das ist die einzige Methode, die in Zukunft einer möglichen rechtlichen Überprüfung (ePricay-Verordnung) standhält. Zudem ist das Transparenzgebot dem Nutzer gegenüber erfüllt.

Implizit
Hier gilt bereits die weitere Nutzung der Webseite oder das Klicken auf einen Banner oder Content als Zustimmung. Diese Methode hat zwar hohe Zustimmungsraten und beinhaltet wenige Webseiten-Änderungen, jedoch hält diese keiner rechtlichen Überprüfung stand.

DSGVO Maßnahmenplan für Unternehmen

Hier erhalten Sie einen DSGVO Maßnahmenplan der Datenschutzkonferenz (DSK) als Orientierungshilfe, wie die Datenschutz-Grundverordnung angewendet werden soll.

Fazit

Wird die neue Datenschutz-Grundverordnung ein Fluch oder ein Segen für „Big Data“?
Oder wird die Datensammelleidenschaft eingeschränkt?
Das wird sich zeigen! Auf jeden Fall müssen Unternehmen zukünftig ein ausgewogenen Verhältnis zwischen Datenerhebung, -nutzung und -verarbeitung finden und der Datentransparenz und dem Datenschutzbedürfnis ihrer Kunden Rechnung tragen.

Denn finden Unternehmen ab 10 Mitarbeiter keine rechtlich perfekte Lösung, so kann dies im Erstfall strikt ausfallen. Denn mit der Grundverordnung gehen ein Bußgeld von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes einher.

Sie sollten handeln und sich auf die Neuregelungen einzustellen, die eigenen Prozesse zu überprüfen und die Umsetzung abschließen. Insbesondere wenn Sie über eine eigene Webseite, Online-Shop oder Social Media Kanäle verfügen ist die Überprüfung Ihrer Datenschutzerklärung besonders wichtig.

Denn, die Abmahner für die Verstöße gegen das Datenschutzrecht in Deutschland stehen vermutlich schon in den Startlöchern und wittern neue Einnahmequellen.

Ratgeber & Automatische Datenschutzerklärung

Eine Möglichkeit zur schnellen Überprüfung Ihres Online-Auftritts, ist die Erststellung einer Datenschutzerklärung mit Hilfe eines automatischen Generators. Die Rechtsanwaltskanzlei Dr. Schwenke, Berlin bietet hierfür ein entsprechendes Tool an.

Ein gute Ratgeber kann ebenfalls die Plattform eRech24.de sein. Mit vielen Antworten rund um das Thema EU-DSGVO bietet die Plattform Muster, Generatoren und Checklisten an, wie Sie Ihre Webseite oder Ihren Online-Shop datenschutzkonform anpassen und absichern.

Die Nutzung des Datenschutz-Generators ist natürlich auf eigene Gefahr und Risiko!

Weitere und ausführliche Informationen zum Thema Datenschutz-Grundverordnung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) stellt Unterlagen als erste Orientierungshilfe für die praktische Anwendung zur Verfügung.

Hilfestellung zur Umsetzung von technischen und organisatorischen Maßnahmen bietet das Standard-Datenschutzmodell

Zu folgenden Themen liegen Kurzpapiere zum Abruf bereit:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Aufsichtsbefugnisse / Sanktionen
  • Verarbeitung personenbezogener Daten für Werbung
  • Datenübermittlung in Drittländer
  • Auskunftsrecht
  • Marktortprinzip
  • Informationspflicht
  • Videoüberwachung

Hinweis

Dieser Beitrag ist keine rechtliche Beratung, er ist lediglich eine persönliche Interpretation der aktuellen Situation – die aber von unterschiedlichen Anwälten und Experten anders interpretiert werden kann. Daher ist jedem zu empfehlen, die aktuelle Situation mit seinem Anwalt und seinem Datenschutzbeauftragten zu besprechen.