Die DSGVO - das bedeutet sie für Unternehmen
Seit Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO), die das bisherige Bundesdatenschutzgesetz (BDSG) sowie alle nationalen Datenschutzgesetze ablöste. Die DSGVO gilt für alle EU-Mitgliedsstaaten.
Für viele Bestimmungen wurde das deutsche Recht zum Vorbild genommen, da hier der Datenschutz auch schon bisher besonders hoch gewertet wurde. Deshalb änderte sich in manchen Rechtsgebieten hier wenig. Doch auch in Deutschland gab es grundlegende Änderungen, die für Unternehmen wichtig sind, besonders, wenn der Markt nicht auf Deutschland beschränkt ist.
Angleichung des Datenschutzes der EU-Mitglieder
Die DSGVO gilt einheitlich für alle EU-Mitgliedstaaten. Zuvor gab es Länder, in denen der Datenschutz umgangen bzw. nicht so streng genommen wurde; das ist nun nicht mehr möglich. Die Anforderungen haben (hoffentlich) mittlerweile alle Unternehmen erfolgreich umgesetzt.
Der EU-Gleichheitsgrundsatz wird durch 50 Öffnungsklauseln jedoch ein wenig aufgeweicht. Diese ermöglichen, dass Mitgliedsstaaten in diversen Punkten nationale Sonderregelungen schaffen können. Diese müssen im Zweifel im Einzelfall geklärt werden.
Die Neuerungen
- Verbot mit Erlaubnisvorbehalt:
Der Umgang mit personenbezogenen Daten ist wie in Deutschland bisher verboten, außer der Gesetzgeber hat ihn ausdrücklich erlaubt bzw. der Betroffene willigt ein. Dies muss freiwillig sein. Außerdem gilt ein strenges Kopplungsverbot, d.h. dass vertragliche Zusatzleistungen, aber auch Gewinnspiele o.ä. nicht an die Verarbeitung von Daten gebunden sein dürfen, die mit der erbrachten Leistung oder dem Produkt nichts zu tun haben.
- Recht auf Vergessen:
Wer persönliche Daten z.B. aus Accounts gelöscht haben möchte, kann dies durchsetzen. Bekannt geworden ist dieses Recht vor allem beim Thema Suchmaschinen: Der Europäische Gerichtshof hat entschieden, dass ein EU-Bürger von einem Suchmaschinenbetreiber unter bestimmten Voraussetzungen verlangen kann, dass dieser bestimmte mit seinem Namen verknüpfte Suchergebnisse nicht mehr anzeigt. Auch bei Firmen-Blogs oder Facebook-Einträgen kann das Gesetz greifen.
- Recht auf Datenportabilität:
Wer z.B. seinen Dienstleister wechseln möchte, kann jetzt seine Daten anfordern. Anbieter haben die Pflicht, die Kunden- bzw. Nutzerdaten auf elektronischem Weg und in einem gängigen Format zur Verfügung zu stellen – selbstverständlich ohne Berechnung. Das macht Kunden flexibler.Unternehmen sollten sich auf entsprechende Forderungen und Anfragen einstellen.
- Einsichtsrechte, Transparenz- und Dokumentationspflichten:
Nutzer können genauere Auskunft über die Datenverarbeitung verlangen. Die Datenschutzerklärungen müssen – anders als häufig bisher üblich - auch für Nichtjuristen zu verstehen sein. Bisher musste auch der Nutzer den Nachweis über eine fehlerhafte Verarbeitung der Daten erbringen. Jetzt besteht eine Rechenschaftspflicht des Unternehmens. D.h. die datenverarbeitende Stelle bzw. der Dienstleister hat die Nachweispflicht. Bei Datenschutzverletzungen gibt es nach neuer Rechtslage erweiterte Melde- und Benachrichtigungspflichten.
- Konkreter Zweck für Nutzung der Daten:
Alle Informationen - direkt bzw. indirekt einer Person zuordenbar - müssen als personenbezogene Daten geschützt werden. Es muss für die Nutzung der Daten auch ein konkreter Zweck bestehen. Dies soll z.B. einer prophylaktischen Sammlung von Daten wie z.B. von GPS-Daten von Handynutzern oder unspezifischer Big-Data-Erfassung entgegenwirken.
- Privacy by Design (Datenvermeidung und Datensparsamkeit):
Hardware, Software und Dienste müssen so gestaltet sein, dass sie möglichst wenig bzw. nur die nötigsten Daten des Nutzers verlangen.
- Privacy by Default (datenschutzfreundliche Voreinstellungen):
Produkte (z. B. Kundenaccounts…) müssen mit den datenschutzfreundlichen Voreinstellungen angeboten werden, in denen der Nutzer z.B. bestimmte persönliche Informationen bzw. deren Weitergabe oder Sichtbarkeit deaktivieren kann. Das könnte z.B. solche persönlichen Daten wie die oft übliche Lesebestätigung im Nachrichtenaustausch oder die Info "Wann war mein Kontakt zuletzt online" o.ä. betreffen.
- Datenschutzbeauftragter:
Bisher benötigten datenverarbeitende Unternehmen ab 10 Mitarbeitern einen Datenschutzbeauftragten. Jetzt ist es Pflicht, dass EU-weit alle Behörden, öffentliche Stellen und Unternehmen, die regelmäßig mit umfangreicheren Daten umgehen, einen Datenschutzbeauftragen bestellen.
- Auftragsdatenverarbeitung:
Bei der Auftragsdatenverarbeitung (ADV) geht es um die Verarbeitung von Daten durch externe Unternehmen. Nach altem Recht ist allein der Auftraggeber für die gesetzeskonforme Datenverarbeitung verantwortlich. Jetzt sind Auftraggeber und Auftragnehmer für die Datenverarbeitung gleichermaßen zuständig. Bußgelder können somit auch für beide verhängt werden. Außerdem kann der ADV-Vertrag nun auch elektronisch gefasst werden. Vorher war die Schriftform Pflicht.
- Marktortprinzip:
Nach altem Recht galt das „Sitzlandprinzip“. Rechtsstreitigkeiten um Datenschutzverstöße hatten als Gerichtsstand das Sitzland des Unternehmens und es galt das dortige Recht. Beim „Marktortprinzip“ gilt das Recht des Zielmarktes, für das die Leistungen angeboten werden. D.h. bieten außereuropäische Datenverarbeiter Dienste oder Waren im und für den europäische Markt an, gilt im Rechtsstreit um den Datenschutz das europäische Recht bzw. das Recht des Landes (Öffnungsklauseln), in dem der Verbraucher bestellt bzw. die Ware/Dienstleistung ausgeliefert wurde. Da dann z.B. für US-Unternehmen erschwerte Bedingungen herrschen, klammern manche europäischen Dienstleister nun US-Unternehmen von der Nutzung ihrer Dienste aus.
- Erhöhte Bußgelder:
Die Höchstsumme war vor der DSGVO-Refom in festen Werten benannt. Nun hängen Bußgelder auch vom Umsatz des Unternehmens ab (bis zu 4 Prozent des Weltjahresumsatzes eines Unternehmens oder bis zu 20 Mio. EUR – es gilt immer der höhere Wert).
- Einheitliche Rechtsdurchsetzung:
Ein europäischer Datenschutzausschuss, bestehend aus den nationalen Aufsichtsbehörden, überwacht nach neuem Recht die einheitliche Anwendung des Datenschutzrechts.
Fazit
Mit dem Grobüberblick über die DSGVO-Verordnungen können Sie Ihren Umgang mit dem Datenschutz überprüfen bzw. sich im Einzelfall bzw. bei Fragen rechtzeitig juristisch beraten lassen, so dass bei Ihnen alles in „trockenen Tüchern“ ist.
Gerne unterstützen wir Sie beim Erstellen und Versenden Ihrer E-Mailings - datenschutzkonform. Rufen Sie uns an unter Tel.: +49-(0)7 11-4 90 90-82 oder kontaktieren Sie uns.
Alle Angaben ohne Gewähr und ohne Anspruch auf Vollständigkeit.