Die EU-Datenschutz-Grundverordnung (EU-DSGVO) trat am Freitag, 25. Mai 2018 in Kraft. Ab diesem Datum müssen die Neuregelungen des europaweiten Datenschutzes umgesetzt sein.
Alle Unternehmen, die digitale Daten sammeln, verarbeiten oder erheben lassen, müssen dann die erworbenen Daten transparenter und sicherer managen und verwalten.
Sollte ab dem 25. Mai der Änderungsprozess in Unternehmen nicht mit der Verordnung in Einklang stehen, werden die Verstöße erheblich geahndet; Und das bis zu einer Höhe von bis zu vier Prozent des Jahresumsatzes.
Was hat die Neuregelung bewirkt?
Was ist überhaupt Datenschutz?
Die Datenschutzrichtlinien (95/46/EG) regeln den Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten.
Was hat die neue Datenschutzverordnung bewirkt?
Die EU-Datenschutz-Grundverordnung wurde ins Leben gerufen, um vorrangig die großen, meist amerikanische Unternehmen – die viele digitale Daten von Ihren Kunden sammeln, verarbeiten und erheben – in ihre Schranken zu weisen. Aber irgendwie scheint der Schuss nach hinten losgegangen zu sein! Berichte aus den vergangenen Wochen erwecken den Eindruck, dass vorwiegend kleine und mittelständische Unternehmen mit der Umsetzung und überhaupt mit den Inhalten der Datenschutzverordnung große Schwierigkeiten hatten.
Mögliche Auswirkungen
- Fehlende SSL-Zertifizierung: Online-Händler hat seine Webseite nicht verschlüsselt und soll Schmerzensgeld in Höhe von 12.500 Euro zahlen >>Bericht<<
- Kein Datenschutzhinweis: Abmahnwert von ca. 7.500 Euro möglich.
- Verantwortung für Facebook-Fanpage: Betreiber ist für Umsetzung der Datenschutzverordnung mitverantwortlich
- Kopplungsverbot: Unternehmen dürfen die Nutzung eines Dienstes nicht von der Einwilligung in weitere Datenverarbeitung wie zum Beispiel für personalisierte Werbung, Newsletter etc. abhängig machen. Bei Zuwiderhandlung ist mit Abmahnungen zu rechnen. Gerade einige Social Media Unternehmen versuchen dieses Verbot auszuhebeln, um mehr persönliche Daten – als für die Nutzung des Dienstes erforderlich sind – zu sammeln.
- Affiliate Werbung: Hier herrscht regelrechtes Chaos. Was ist erlaubt, was nicht? Hier sollten Sie auf jeden Fall Ihren Datenschutzbeauftragten und/oder Rechtsanwalt konsultieren.
- Benennung Datenschutzbeauftragen: Bereits bei mindestens zehn Personen die im/für Unternehmen ständig mit der automatisierten Verarbeitung personenbezogenen Daten beschäftigt sind, ist eine Benennung eines DSB erforderlich.
Tipp
Sollten Sie bis dato die neue EU-Datenschutz-Grundverordnung nicht umgesetzt haben, finden Sie unten aufgeführt noch einige Hinweise. Wenn Sie keine Zeit oder Lust haben, sich mit der Neuregelung zu befassen, empfiehlt sich eine/n Datenschutzbeauftragte/n hinzuzuziehen – den mittlerweile manche Unternehmen eh schon bereitstellen müssen.
Mehr Details bei der BfDI – Bundesbeauftragte für Datenschutz und Informationsfreiheit
Was änderte sich ab Mai 2018 durch die EU-Datenschutz-Grundverordnung?
Im Wesentlichen ergeben sind folgende Änderungen in den Datenschutzrichtlinien.
-
Marktortprinzip
Das neue Datenschutzrecht gilt ab Mai 2018 für alle Unternehmen, die Waren und Dienstleistungen in der EU anbieten. Das gilt ebenfalls für außereuropäische u.a. Internet/Digital/Technik/Daten Unternehmen wie auch für App-Anbieter, die in Deutschland ihre Dienste anbieten.
-
Datenübertragbarkeit
Zukünftig gibt es das Recht für die Nutzer, ihre personenbezogenen Daten übertragen zu lassen. Gerade bei Strom- und Telefonanbieterwechsel ist diese Möglichkeit für Nutzer von Vorteil, da der bisherige Anbieter zur Herausgabe der Daten verpflichtet wird oder zur Übermittlung zum neuen Anbieter aufgefordert werden kann.
-
Datentransparenz
Unternehmen und Behörden sind verpflichtet, Auskunft über die erhobenen Daten zu geben, zum Beispiel über den Zweck der Datenverarbeitung, die Empfänger, Speicherdauer und die Übermittlung der Daten wie auch über die Herkunft der Daten.
Dieses Auskunftsrecht kann auch nachträglich auf bestehende Daten erhoben und soll -mit wenigen Ausnahmen- kostenfrei gewährt werden. -
Datenlöschung
Das Recht auf „Vergessenwerden“ kann bei berechtigten Anspruch gegen den Datenerheber erwirkt werden. Somit wird zum Beispiel ein Betreiber von Suchmaschinen oder Social-Media-Kanälen zur Löschung der Daten, Links, Verweise etc. verpflichtet.
-
Europaweite Hilfe
Sollte ein Unternehmen das Datenschutzrecht verletzen, so besteht für die geschädigte Person die Möglichkeit, sich an eine für das Bundesland zuständige Datenschutzbehörde zu wenden, auch wenn das Unternehmen in einem anderen europäischen Land ansässig ist.
Elektronisches Dialogmarketing
Die Auswirkungen des deutschen Datenschutzes und der EU-Grundverordnung wird speziell im E-Dialogmarketing zu finden sein. Unternehmen, die sich auf die allgemeine Interessenabwägungsklausel berufen, sollten zwei wichtige Aspekte beachten:
- Die angesprochene Person muss umfassend über den Datenschutz informiert werden und ganz im Speziellen über das Widerspruchsrecht.
- Das implementierte CRM-System muss die Datenschutzrichtlinien, Informationspflicht und das Widerspruchsrecht klar umsetzen.
Kopplungsverbot
Bei dem sogenannten Kopplungsverbot, Art. 7 Abs.4 DSGVO, dürfen Unternehmen die Nutzung eines Dienstes nicht von der Einwilligung in weitere Datenverarbeitung – etwa für personalisierte Werbung, Newsletter etc. – abhängig machen. Das bedeutet zum Beispiel, dass die Teilnahme an einem Gewinnspiel nicht an ein Abonnement eines Newsletters gekoppelt werden darf. Auch das von Unternehmen zu Werbezwecken gern praktizierte Modell „kostenloser Service gegen Daten“ – indem das vermeidlich kostenlose Angebot mit personenbezogenen Daten „bezahlen“ wird – wird damit hinfällig.
Weiter Information zum Kopplungsverbot und Einwilligung.
Zustimmungsmethoden
Explizit
Der Nutzer muss explizit Zustimmung, meist durch das Klicken eines „Einverstanden“-Button. Das ist die einzige Methode, die in Zukunft einer möglichen rechtlichen Überprüfung (ePrivacy-Verordnung) standhält. Zudem ist das Transparenzgebot dem Nutzer gegenüber erfüllt.
Implizit
Hier gilt bereits die weitere Nutzung der Webseite oder das Klicken auf einen Banner oder Content als Zustimmung. Diese Methode hat zwar hohe Zustimmungsraten und beinhaltet wenige Webseiten-Änderungen, jedoch hält diese keiner rechtlichen Überprüfung stand.
DSGVO Maßnahmenplan für Unternehmen
Hier erhalten Sie einen DSGVO Maßnahmenplan der Datenschutzkonferenz (DSK) als Orientierungshilfe, wie die Datenschutz-Grundverordnung angewendet werden soll.
Fazit
Wird die neue Datenschutz-Grundverordnung ein Fluch oder ein Segen für „Big Data“?
Oder wird die Datensammelleidenschaft eingeschränkt?
Das wird sich zeigen! Auf jeden Fall müssen Unternehmen zukünftig ein ausgewogenes Verhältnis zwischen Datenerhebung, -nutzung und -verarbeitung finden und der Datentransparenz und dem Datenschutzbedürfnis ihrer Kunden Rechnung tragen.
Denn finden Unternehmen ab 10 Mitarbeiter keine rechtlich perfekte Lösung, so kann dies im Erstfall strikt ausfallen. Denn mit der Grundverordnung gehen ein Bußgeld von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes einher.
Sie sollten handeln und sich auf die Neuregelungen einzustellen, die eigenen Prozesse zu überprüfen und die Umsetzung abschließen. Insbesondere wenn Sie über eine eigene Webseite, Online-Shop oder Social-Media-Kanäle verfügen, ist die Überprüfung Ihrer Datenschutzerklärung besonders wichtig.
Denn, die Abmahner für die Verstöße gegen das Datenschutzrecht in Deutschland stehen vermutlich schon in den Startlöchern und wittern neue Einnahmequellen.
Ratgeber & Automatische Datenschutzerklärung
Eine Möglichkeit zur schnellen Überprüfung Ihres Online-Auftritts ist die Erststellung einer Datenschutzerklärung mithilfe eines automatischen Generators. Die Rechtsanwaltskanzlei Dr. Schwenke, Berlin bietet hierfür ein entsprechendes Tool an.
Ein guter Ratgeber kann ebenfalls die Plattform eRech24.de sein. Mit vielen Antworten rund um das Thema EU-DSGVO bietet die Plattform Muster, Generatoren und Checklisten an, wie Sie Ihre Webseite oder Ihren Online-Shop datenschutzkonform anpassen und absichern.
Die Nutzung des Datenschutz-Generators ist natürlich auf eigene Gefahr und Risiko!
Weitere und ausführliche Informationen zum Thema Datenschutz-Grundverordnung
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) stellt Unterlagen als erste Orientierungshilfe für die praktische Anwendung zur Verfügung.
Hilfestellung zur Umsetzung von technischen und organisatorischen Maßnahmen bietet das Standard-Datenschutzmodell
Zu folgenden Themen liegen Kurzpapiere zum Abruf bereit:
- Verzeichnis von Verarbeitungstätigkeiten
- Aufsichtsbefugnisse / Sanktionen
- Verarbeitung personenbezogener Daten für Werbung
- Datenübermittlung in Drittländer
- Auskunftsrecht
- Marktortprinzip
- Informationspflicht
- Videoüberwachung
Hinweis
Dieser Beitrag ist keine rechtliche Beratung, er ist lediglich eine persönliche Interpretation der aktuellen Situation – die aber von unterschiedlichen Anwälten und Experten anders interpretiert werden kann. Daher ist jedem zu empfehlen, die aktuelle Situation mit seinem Anwalt und seinem Datenschutzbeauftragten zu besprechen.