Die EU-DSGVO – das Wichtigste auf einen Blick!

Die immer weiter fortschreitende Digitalisierung führte in den letzten Jahren zu einem deutlichen Anstieg des Missbrauchspotentials persönlicher Daten, da Daten nahezu grenzenlos gespeichert und ausgewertet werden können.

Ab dem 25. Mai 2018 sind alle EU-Mitgliedsstaaten dazu verpflichtet, die bereits im Mai 2016 in Kraft getretene EU – Datenschutzgrundverordnung (DSGVO) anzuwenden. Eine nationalgesetzliche Umsetzung ist hierfür nicht mehr erforderlich, da europäische Verordnungen unmittelbare Gesetzeswirkung entfalten. Die DSGVO soll nach dem Willen des Gesetzgebers zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzes führen und die Unterschiede der verschiedenen nationalen Regelungen beseitigen.
Der Hauptzweck der neuen DSGVO besteht im Schutz der Grundrechte natürlicher Personen.
Ob und inwiefern die DSGVO und das neu gefasste Bundesdatenschutzgesetz (BDSG) einen Handlungsbedarf zur Anpassung von Altverhältnissen bzw. bereits laufenden Datenverarbeitungen auslösen, kommt auf den jeweiligen Sachverhalt an. Auch Vertragsanpassungen können angezeigt sein.

Für wen gilt die DSGVO?
Die DSGVO gilt für alle innerhalb der EU ansässigen oder niedergelassenen Unternehmen, die im Rahmen ihres Geschäftsbetriebs personenbezogene Daten erheben und verarbeiten. Der Begriff der personenbezogenen Daten ist weit gefasst und in Art 4 Nr. 1 DSGVO definiert. So werden u.a. E-Mail-Adressen, Telefonnummern, Standortdaten aber auch IP-Adressen oder die Verwendung von sog. „Browsercookies“ als personenbezogene Daten eingestuft. Entgegen der weitläufigen Meinung sind demnach nicht nur Online-Shops oder größere Webportale von der DSGVO betroffen, sondern jede gewerbliche Internetseite.

Diese Grundsätze gelten weiter:
An vielen bestehenden Grundsätzen des Datenschutzrechts ändert sich nichts. Diese sind u.a. das Verbot mit Erlaubnisvorbehalt. So ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten, es sei denn, es besteht eine Erlaubnis aufgrund eines Gesetzes oder der Einwilligung der betroffenen Person.
Außerdem dürfen Daten nach dem Grundsatz der Zweckbindung nur für den Zweck verarbeitet werden, für den sie erhoben wurden.
Weiterhin dürfen nur so viele Daten erhoben und verarbeitet werden, wie tatsächlich für den jeweiligen Geschäftsbetrieb notwendig sind (Datensparsamkeit). Außerdem müssen Daten inhaltlich und sachlich richtig sein (Datenrichtigkeit).

Das ändert sich für Unternehmer:
Zu den bestehenden Grundsätzen treten nun jedoch auch zahlreiche neue Vorschriften:
Neuerungen bei der Einwilligung
Zunächst gilt: Wenn die Einwilligungen bestehender Nutzer den bisherigen gesetzlichen Bestimmungen entsprechen, gelten diese Einwilligungen fort.

Vorsicht ist jedoch bei neuen Einwilligungen geboten. Grundsätzlich bestehen auch in der DSGVO keine Formvorschriften für eine Einwilligung. Sie kann also mündlich, schriftlich oder elektronisch erfolgen. Zu beachten ist jedoch die Dokumentationspflicht gemäß Art. 7 Abs. 1 DSGVO. So muss der Unternehmer auf Nachfrage die Einwilligung des jeweiligen Nutzers nachweisen können. Zu beachten ist auch das deutlich vereinfachte Widerrufsrecht der Einwilligung durch den Nutzer. Art. 7 Abs. 3 S. 4 DSGVO bestimmt, dass der Widerruf der Einwilligung genauso einfach sein muss, wie die Erteilung der Einwilligung.

Datensicherheit:
Explizit aufgenommen in Art. 32 DSGVO ist die Verpflichtung der Unternehmer, die erhobenen personenbezogenen Daten angemessen zu schützen. Grundsätzlich gilt: Je sensibler die gespeicherten Daten sind, desto aufwendigere und somit auch kostspieligere Schutzvorkehrungen sind erforderlich und zumutbar.

Das Recht auf Vergessenwerden/ Recht auf Löschung:
Zwar ist der Anspruch auf Vergessenwerden nicht gänzlich neu, allerdings wurde er bislang hauptsächlich mit großen Suchmaschinen in Verbindung gebracht.

Nach Art. 17 DSGVO gilt nun: Einen Anspruch auf Löschung personenbezogener Daten haben Nutzer gegen jeden, der personenbezogene Daten verarbeitet und somit nicht mehr nur gegen Suchmaschinenbetreiber. Somit können hiervon auch kleine Unternehmen betroffen sein. Die wichtigsten Anlässe für eine Verpflichtung zur Löschung sind nach Art. 17 Abs. 1 a) DSGVO der Wegfall des Erhebungsgrundes (siehe Zweckbindung) und nach Art. 17 Abs. 1 b) DSGVO der Widerruf der Einwilligung durch den Nutzer (siehe Widerrufsrecht der Einwilligung).

Recht auf Datenübertragbarkeit:
Gänzlich neu ist das Recht auf Datenübertragbarkeit nach Artikel 20 DSGVO.
Das neue Recht gibt Nutzern den Anspruch, ihre personenbezogenen Daten in „gängigem maschinenlesbaren Format“ vom ursprünglichen Unternehmen herausverlangen zu können, um sie einem neuen Unternehmen zu übermitteln (Art. 20 Abs. 1 DSGVO). Alternativ hierzu kann eine direkte Übermittlung der Daten an einen anderen Anbieter verlangt werden (Art. 20 Abs. 2 DSGVO).

Indirekt zwingt das Recht auf Datenübertragbarkeit somit die Unternehmen, ihre Datensätze portabel und kompatibel zu gestalten. Denkbare Fallkonstellationen in der Praxis wären der Wechsel des Mobilfunkanbieters, des Kreditinstitutes, des Arbeitsplatzes oder der Umzug in ein neues soziales Netzwerk.

Rechenschaftspflicht:
Art. 5 Abs. 2 DSGVO führt eine Rechenschaftspflicht ein. Demnach sind Unternehmen auf Antrag der Datenschutzbehörden verpflichtet, die Einhaltung der datenschutzrechtlichen Bestimmungen nachzuweisen. Eine lückenlose Dokumentation der Einhaltung der Datenschutzanforderungen ist daher geboten.

Zusätzliche Pflichten für größere Unternehmen:
Andere datenschutzrechtliche Bestimmungen betreffen lediglich größere Unternehmen. Hierzu zählt etwa die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ab einer Betriebsgröße von mehr als 250 Beschäftigten (Art. 30 DSGVO). Weiter kann die Bestellung eines Datenschutzbeauftragten erforderlich sein, wenn das Unternehmen im (sozialen) Profilingbereich tätig ist oder mehr als 9 Beschäftigte mit der Verarbeitung personenbezogener Daten betraut sind (Art 35 Abs. 1 und 3 DSGVO).

Was ist neu für Arbeitgeber?
Auch hier gilt der Grundsatz der Zweckbindung. Grundsätzlich ist die Verarbeitung personenbezogener Daten der Beschäftigten dann zulässig, wenn sie für die Einstellung eines Bewerbers oder zur Durchführung bzw. Beendigung des Arbeitsverhältnisses erforderlich sind (Art. 6 DSGVO). Weiterhin kann von einer Zweckmäßigkeit ausgegangen werden, wenn die Verarbeitung der Umsetzung eines Tarifvertrages oder einer Betriebsvereinbarung dient. Im Streitfall hat der Arbeitgeber jedoch nach dem Grundsatz der Dokumentationspflicht das Erfordernis der Datenverarbeitung nachzuweisen. Möglich ist auch eine Einwilligung des Bewerbers oder Beschäftigten in die Datenverarbeitung, die jedoch im Falle einer gerichtlichen Streitigkeit auf ihre Freiwilligkeit überprüft wird (Art. 7 Abs. 4 DSGVO).

Welche Strafen und Bußgelder drohen bei Verstößen gegen die DSGVO?
Neu sind vor allem die hohen Strafen und Bußgelder, die die die DSGVO vorsieht. Bisher lag der Rahmen des BDSG für Bußgelder bei 50.000 Euro bzw. maximal 300.000 Euro für sehr schwere Verstöße. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.
Dies wird sich aber sehr wahrscheinlich ändern. Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Was muss die neue Datenschutzerklärung beinhalten?
Die ab 25. Mai 2018 erforderlichen Inhalte einer wirksamen Datenschutzerklärung ergeben sich direkt aus Art. 13 DSGVO. Unabhängig von Art und Größe des Unternehmens müssen dem betroffenen Nutzer zum Zeitpunkt der Datenerhebung zwingend folgende Informationen mitgeteilt werden:

  • Den Namen und die Kontaktdaten des für die Erhebung Verantwortlichen: Werden die Daten weitergeleitet, ist der tatsächliche Empfänger zu bezeichnen. Befindet sich der Empfänger außerhalb des Geltungsbereiches der DSGVO, sprich der EU, ist der Nutzer explizit hierauf hinzuweisen. In diesem Falle ist aufzuführen, ob ein Datenschutzabkommen mit der EU besteht.
  • Die Rechtsgrundlage der Datenverarbeitung sowie deren Grund sind darzulegen: Wie oben dargestellt, gilt die personenbezogene Datenverarbeitung grundsätzlich als verboten, außer sie ist durch Gesetz erlaubt oder der Nutzer hat seine Einwilligung nach Art. 6 Abs. 1 a) DSGVO erteilt.
  • Weiterhin ist der Nutzer über die genaue Dauer der Speicherung seiner Daten zu informieren. Ist dies nicht möglich, sind die Kriterien für die Festlegung der Dauer darzulegen.
  • Der Nutzer ist über sein Auskunftsrecht sowie dem Recht auf Datenübertragbarkeit (siehe oben) gegenüber dem Unternehmen hinzuweisen. Insbesondere auch über die Möglichkeit, seine Daten berichtigen bzw. löschen zu lassen oder sein Einverständnis zur Datenverarbeitung zu widerrufen.
  • Auf die Möglichkeit des Nutzers, Beschwerde bei einer zuständigen Behörde erheben zu können, ist gesondert hinzuweisen.

Eine gesetzliche Erlaubnis stellt z.B. Art. 6 Abs. 1 b) DSGVO dar, wonach die Datenverarbeitung zur Erfüllung eines Vertrages erlaubt ist. Insbesondere ist der Nutzer über die Folgen einer Ablehnung der Zustimmung zur Datenerhebung aufzuklären.

Welche Form muss die neue Datenschutzerklärung haben?
Die Formvorschriften der Datenschutzerklärung ergeben sich aus Art. 12 Abs. 1 DSGVO.
Demnach ist die Datenschutzerklärung auf präzise und transparente Art, verständlich in leicht zugänglicher Form und unter Verwendung einer klaren und einfachen Sprache zu erstellen.

Fazit:
Wenngleich die DSGVO teilweise bereits bestehende Regelungen übernimmt oder nur erweitert, stellt sie doch für Unternehmer und Verbraucher eine Zäsur dar.
Einerseits, weil die Rechte von Nutzern und ihre Daten nun europäisch einheitlich einen stärkeren Schutz genießen. Andererseits aber werden Unternehmen vor die große Herausforderung gestellt, den neuen, gestiegenen Anforderungen der DSGVO gerecht zu werden.
Es muss festgehalten werden: Auch kleine Unternehmen mit einer eigenen Webseite werden gezwungen sein, eine neue Datenschutzerklärung fristgerecht bis zum 25. Mai 2018 auf ihrer Homepage einzupflegen. Gerade in Anbetracht der teils drastisch gestiegenen Strafen, ist eine rechtzeitige und auch verordnungskonforme Umsetzung notwendig. Ein Bespiel für eine solche Datenschutzerklärung finden sie hier.

Benötigen auch Sie noch eine neue Datenschutzerklärung für Ihre Firma oder Unternehmen?
Limmer.Reutemann sind Ihre Ansprechpartner bei der Ausgestaltung einer mit der DSGVO konformen Datenschutzerklärung.