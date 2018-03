Die EU-Datenschutzgrundverordnung

Was auf Unternehmen zukommt

Am 25.5.2018 treten die neue EU-Datenschutzgrundverordnung und ein neues Bundesdatenschutzgesetz in Kraft. Unternehmen sollten die verbliebene Zeit dringend nutzen, um die vielen Neuerungen umzusetzen – denn für die verspätete Umsetzung der neuen Vorgaben drohen hohe Bußgelder.

Der Datenschutz sichert das Grundrecht auf „informationelle Selbstbestimmung“. Geschützt sind danach sogenannte „personenbezogene Daten“. Das sind alle Informationen, die irgendwie Rückschlüsse auf eine Person zulassen. Entscheidend ist dabei, dass man die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen kann. Beispiele sind: Name, Telefonnummer, E-Mail-Adresse, KfZ-Kennzeichen, IP-Adresse, IBAN.

Unternehmen dürfen schon jetzt personenbezogene Daten nur erheben, verarbeiten und nutzen, wenn Betroffene eingewilligt haben oder das Gesetz es ausdrücklich erlaubt. Zusätzlich müssen sie im Hinblick auf ihre eigene rechtliche, betriebliche und technisch-organisatorische Struktur eine Vielzahl von Vorgaben beachten, um etwa Transparenz, Kontrolle und Sicherheit der gesammelten Nutzerdaten vor unbefugten Zugriffen Dritter zu gewährleisten.

Warum gibt es jetzt die DSGVO?

Bislang haben alle europäischen Länder basierend auf der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ein eigenes Datenschutzrecht, welches das Grundrecht auf informationelle Selbstbestimmung sichern soll. In Deutschland ist es bis zum 24.5.2018 noch das alte Bundesdatenschutzgesetz (BDSG).

Ab 25.5.2018 werden die Vorgaben dann europaweit in der EU-DSGVO geregelt. Verordnungen haben – anders als Richtlinien, die erst in nationales Recht umgewandelt werden müssen – unmittelbare Wirkung auch in den Mitgliedstaaten der EU. Darum gilt die DSGVO also ab dem 25. Mai auch in Deutschland. Zeitgleich tritt in Deutschland ein dazugehöriges neues BDSG in Kraft, das die DSGVO konkretisiert und zum Teil auch ergänzt.

Das Ziel der DSGVO ist ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU. Die Regeln werden auch für Unternehmen gelten, die ihren Sitz außerhalb der EU haben, ihre Angebote aber an EU-Bürger richten. Das heißt, die DSGVO gilt auch beispielsweise für Facebook oder Google.

Wesentliche Neuerungen durch die DSGVO

Die DSGVO schafft neue Rechtsgrundlagen für die Datenverarbeitung, sie stärkt die Rechte der Betroffenen und intensiviert die Pflichten der Unternehmen, die den Schutz der personenbezogenen Daten sicherstellen sollen. Vor allem müssen sie im Hinblick auf ihre eigene rechtliche, betriebliche und technisch-organisatorische Struktur eine Vielzahl von Vorgaben beachten, um etwa Transparenz, Kontrolle und Sicherheit der gesammelten Nutzerdaten vor unbefugten Zugriffen Dritter zu gewährleisten.

Eine wichtige Neuerung in diesem Zusammenhang ist vor allem der technische Datenschutz. Unternehmen werden schon verpflichtet, technische Schutzvorkehrungen zu treffen, bevor sie überhaupt Daten erheben. Konkret müssen zukünftig elektronische Geräte und Anwendungen immer datenschutzfreundlich voreingestellt werden. Es dürfen auch nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Schließlich muss auch bei der technischen Ausgestaltung der Verarbeitungsvorgänge sichergestellt werden, dass nur so wenige Daten wie absolut nötig erhoben werden.

Unternehmen müssen Betroffenen auch sofort bei Erhebung ihrer Daten einen erheblich erweiterten Katalog an Informationen mitteilen – und zwar früher, als es bisher der Fall war. Und wenn die Daten nicht mehr gebraucht werden, haben Betroffene zukünftig einen erweiterten Anspruch auf Löschung ihrer Daten („Recht auf Vergessenwerden“).

Außerdem erweitert das neue BDSG die Gründe, aus denen Unternehmen einen betrieblichen Datenschutzbeauftragten benennen müssen.

Zukünftig müssen auch „Auftragsverarbeiter“ (externe Stellen, die Daten für andere verarbeiten) ein „Verzeichnis der Verarbeitungstätigkeiten“ führen. Dabei handelt es sich ähnlich dem bisherigen „Verfahrensverzeichnis“ um eine umfangreiche Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Gänzlich neu für Unternehmen ist schließlich die „Datenschutzfolgenabschätzung“. Diese muss immer dann schriftlich (z.B. im o.g. Verzeichnis) durchgeführt werden, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Dies gilt z.B. bei neuen Technologien, die automatisiert, systematisch und umfassend Daten verarbeiten, sodass es möglich ist, vollständige Profile von Betroffenen zu bilden. Hier müssen Unternehmen prüfen, ob die geplanten Maßnahmen und Sicherheitsvorkehrungen reichen, um den Schutz der Daten zu gewährleisten. Bei einem besonders hohen Risiko ist sogar der Bundesbeauftragte für Datenschutz zu konsultieren.

Was kann passieren, wenn man gegen die DSGVO verstößt?

Die zuständigen Aufsichtsbehörden können Bußgelder verhängen. Die Bußgelder können – je nach Verstoß – bis zu 20 Mio. € oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens betragen. Es gilt immer der jeweils höhere Betrag. Dieser erhöhte Bußgeldrahmen richtet sich aber vor allem an Großunternehmen.

Daneben besteht auch weiterhin die Möglichkeit, wegen bestimmten Datenschutzrechtsverstößen wettbewerbsrechtlich abgemahnt zu werden, was – je nach Ausmaß und Zahl der Verstöße – hohe Abmahnkosten verursachen kann.

Neu ist auch, dass im Hinblick auf Schadenersatzansprüche von Betroffenen nun ausdrücklich immateriellen Schäden genannt werden, was zu einer deutlichen Zunahme von Prozessen und entsprechenden Urteilen führen dürfte.

Unternehmen müssen dringend ihre Prozesse anpassen

All diese neuen Pflichten für Unternehmen machen deutlich, dass die rechtskonforme Umsetzung der DSGVO eine intensive Prüfung und einen gewissen Aufwand erfordert. Dabei ist die verbleibende Umsetzungsfrist bis Mai 2018 relativ gering. Umso wichtiger ist es, bereits jetzt die eigenen datenschutzrechtlichen Prozesse anzupassen. Denn die Risiken einer mangelhaften Umsetzung sind aufgrund der Anhebung der Bußgelder sehr hoch.

So muss zunächst die Datenschutzerklärung einer jeden Webseite angepasst werden. Denn nach unserer Erfahrung entspricht nahezu keine der heute verwendeten Datenschutzerklärungen den Vorgaben, die durch die DSGVO künftig statuiert werden. Zukünftig müssen Unternehmen ihre Kunden sehr viel detaillierter darüber informieren, welche Daten sie wie, auf welcher Grundlage und zu welchem Zweck verarbeiten. Darüber hinaus muss im jeweiligen Einzelfall geschaut werden, welche Anpassungen bei der konkreten Webseite notwendig sind – hier sollte man sich gegebenenfalls anwaltlich beraten lassen.

Die Kanzlei WBS bietet als Muster ihren „Datenschutzerklärungsgenerator“ an. Unternehmen haben unter: www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator die Möglichkeit, sich ihre personalisierte Muster-Datenschutzerklärung zu erstellen.

Zur Person

Christian Solmecke hat sich als Rechtsanwalt und Partner der Kölner Medienrechtskanzlei WILDE BEUGER SOLMECKE auf die Beratung der Internet- und IT-Branche spezialisiert. So hat er in den vergangenen Jahren den Bereich Internetrecht/E-Commerce der Kanzlei stetig ausgebaut und betreut zahlreiche Medienschaffende, Web 2.0 Plattformen und App-Entwickler.