Ab dem 25. Mai 2018 müssen sich Unternehmen an die europäische Datenschutz-Grundverordnung (DSGVO) halten. Für welche Unternehmen sie gilt, welche Änderungen sie mit sich bringt und was bei Verstößen droht: ROLAND-Partneranwalt und Datenschutz-Experte Frank W. Stroot von der Kanzlei bpl Rechtsanwälte Stroot & Kollegen in Osnabrück kennt die Antworten. Eine DSGVO-Checkliste in zehn Punkten.
1. Prüfen Sie, ob die neue Datenschutz-Grundverordnung für Ihr Unternehmen gilt.
Hin und wieder hört man, dass die europäische Datenschutz-Grundverordnung nur Betreiber von Onlineshops und große Unternehmen betreffe. Das ist jedoch ein Ammenmärchen, wie Rechtsanwalt Frank W. Stroot klarstellt: „Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und mit personenbezogenen Daten arbeiten. Sowohl online als auch offline. Aber auch Unternehmen im Ausland, die ihre Dienste EU-Bürgern anbieten – beispielsweise Facebook oder Google – müssen sich an die Verordnung halten.“
2. Machen Sie sich bewusst, mit welchen personenbezogenen Daten in Ihrem Unternehmen gearbeitet wird.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele für personenbezogene Daten sind Name, Anschrift, Geburtsdatum, E-Mail-Adresse, aber auch IP-Adresse oder Cookies. Der Umgang mit diesen sensiblen Daten von Kunden, Geschäftspartnern und Mitarbeitern wurde bisher vor allem durch das Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG) geregelt.
Die neue EU-Datenschutzgrundverordnung ersetzt in vielen Teilen das BDSG. In einigen Punkten gehen die neuen Regelungen aber auch weit über die alten hinaus. „Darum ist es für Unternehmen unersetzlich, ihren Datenschutz noch einmal umfassend zu überprüfen“, so Frank W. Stroot. Die wichtigsten Änderungen im Hinblick auf Ihre Kunden finden Sie unter den Punkten 3 bis 10 dieser Checkliste.
3. Passen Sie die Datenschutzerklärung auf Ihrer Webseite an.
Laut DSGVO muss die Datenschutzerklärung präzise, transparent, verständlich, leicht zugänglich sowie klar und einfach formuliert sein. Durchaus eine Herausforderung für so manchen Webseite-Betreiber, da die bisherigen Texte oft viele Fachbegriffe und juristische Formulierungen enthalten. Und: Richtet sich die Webseite an Kinder, muss die Datenschutzerklärung so einfach formuliert sein, dass ein Kind sie verstehen kann.
Neu ist zudem, dass die Verantwortlichen nicht nur angeben müssen, zu welchem Zweck sie die Daten verarbeiten, sondern auch, auf welcher Rechtsgrundlage sie dies tun. „Hier gibt es prinzipiell drei Möglichkeiten: Erstens, das Gesetz gestattet die Verarbeitung. Zweitens, die betroffene Person hat ihre Einwilligung gegeben. Oder drittens, das Unternehmen hat ein sogenanntes ‚berechtigtes Interesse‘, zum Beispiel, weil es Direktwerbung betreiben möchte“, erläutert Rechtsanwalt Frank W. Stroot.
Weiterhin muss das Unternehmen darüber informieren, wie lange es die Daten speichert bzw. welche Kriterien es für die Speicherfrist gibt. „Auch wenn Sie die Daten von Dritten bekommen haben, müssen Sie betroffene Personen darüber informieren“, sagt der Rechtsanwalt.
4. Dokumentieren Sie alle Daten-Verarbeitungstätigkeiten.
„Datenverarbeiter müssen neuerdings alle Schritte der Datenverarbeitung schriftlich bzw. elektronisch dokumentieren und dieses ‚Verfahrensverzeichnis‘ der Aufsichtsbehörde auf Verlangen zur Verfügung stellen“, weiß Frank W. Stroot.
5. Kennen Sie die neuen Verbraucher-Rechte.
Die Datenschutz-Grundverordnung räumt Verbrauchern neue Rechte ein. Erstens, das „Auskunftsrecht“: Dieses besagt, das betroffene Personen Informationen darüber verlangen können, ob und vor allem welche persönliche Daten von ihnen zu welchem Zweck wie lange gespeichert werden. „Das verantwortliche Unternehmen muss solche Gesuche unverzüglich, spätestens aber einen Monat nach Erhalt beantworten“, sagt Frank W. Stroot. In Einzelfällen könne die Frist um zwei Monate verlängert werden.
Zweitens, das „Recht auf Löschung“, oft auch „Recht auf Vergessenwerden“ genannt. Danach muss der Verantwortliche die personenbezogenen Daten löschen, wenn diese entweder nicht mehr benötigt werden, sie unrechtmäßig verarbeitet wurden oder wenn die betroffene Person dies verlangt. „Außerdem können Betroffene fordern, dass falsche Daten korrigiert werden“, fügt Rechtsanwalt Stroot hinzu.
Und drittens gibt es das „Recht auf Datenübertragung“. Dieses besagt, dass Unternehmen die Daten eines Nutzers an einen anderen Anbieter übermitteln müssen, wenn der Nutzer dorthin wechselt. „Das ist beispielsweise der Fall, wenn ich meine Bank, meinen Internetanbieter oder meinen Arbeitgeber wechsele“, sagt Frank W. Stroot. Hier müssten alle Daten, die der Nutzer selbst zur Verfügung gestellt hat, ohne Verluste übertragen werden.
6. Beachten Sie die Neuerungen im Hinblick auf Nutzer-Einwilligungen.
Die gute Nachricht vorweg: Die datenschutzrechtlichen Einwilligungen, die ein Unternehmen in der Vergangenheit eingeholt hat, bestehen nach Einführung der DSGVO weiter fort. „Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben“, ergänzt der Datenschutz-Fachmann.
Laut Datenschutz-Grundverordnung gibt es vier neue Regeln hinsichtlich Nutzer-Einwilligungen:
- Einwilligungen dürfen nicht mehr an den Download von bestimmten Inhalten wie whitepaper oder Checklisten gekoppelt werden („Kopplungsverbot“).
- Anbieter müssen die Einwilligung des Nutzers lückenlos nachweisen können, zum Beispiel über das Double-opt-in-Verfahren bei Newslettern.
- Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nur wirksam, wenn die Eltern damit einverstanden sind.
- Für Nutzer muss der Widerruf der Einwilligung grundsätzlich so einfach wie deren Erteilung sein.
7. Entwickeln Sie neue elektronische Geräte oder Software gemäß dem neuen Datenschutzrecht.
Ab Ende Mai 2018 müssen Unternehmen neue Hard- oder Software datenschutzfreundlich entwickeln („Privacy by design“) und die Grundeinstellungen an die neuen Regeln anpassen („Privacy by default“). Das bedeutet, dass Unternehmen bereits bei der Entwicklung und Konfiguration sparsam mit Nutzer-Daten umgehen müssen. „Zudem müssen die Einstellungen zu jeder Zeit durch den Nutzer änderbar sein“, ergänzt der Anwalt.
Sollte ein Unternehmen neue Technologien einsetzen wollen, muss es vorab genau prüfen, ob diese Technologie DSGVO-konform ist oder welche (Sicherheits-)Maßnahmen getroffen werden müssen, um die Rechte und Pflichten der Nutzer ausreichend zu schützen. „Diese 'Datenschutz-Folgenabschätzung' wird meist in Abstimmung mit dem Datenschutzbeauftragten vorgenommen, sofern es einen gibt“, erklärt Frank W. Stroot.
8. Prüfen Sie Ihre Pflichten im Hinblick auf den Datenschutzbeauftragten.
Bisher und auch weiterhin gilt: Unternehmen, in denen mehr als neun Angestellte oder freie Mitarbeiter mit der Verarbeitung personenbezogener Daten befasst sind, sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Neu ist: Dessen Kontaktdaten müssen Seitenbetreiber ab Mai 2018 auf ihrer Webseite veröffentlichen.
9. Wissen Sie, was Sie bei einer Datenpanne tun müssen.
Die EU-Datenschutz-Grundverordnung bestimmt, dass eine Datenpanne innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden muss. „Dazu müssen Sie angeben, wie viele Datensätze betroffen sind, welche Folgen die Panne haben könnte und wie Sie Abhilfe schaffen wollen“, sagt der Datenschutz-Experte. In Deutschland muss man sich dafür an den Datenschutzbeauftragten seines Bundeslandes wenden.
10. Seien Sie sich über die neuen Strafen und Bußgelder im Klaren.
Bisher sah das BDSG für Verstöße gegen den Datenschutz Bußgelder zwischen 50.000 und 300.000 Euro in besonders schweren Fällen vor. Sehr hohe Beträge wurden von den Behörden in der Regel nur selten und bei dauerhaften Verstößen verhängt.
Mit der EU-DSGVO werden Datenschutz-Vergehen wesentlich teurer: „Die neue Verordnung sieht Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes vor. Mit diesen empfindlichen Strafen hat die Europäische Union ein wirksames Mittel zur Herstellung eines angemessenen Datenschutzniveaus geschaffen, das auch große, international tätige Konzerne ernst nehmen müssen“, erklärt Frank W. Stroot.
Doch nicht nur Bußgelder drohen: Nach Art. 82 Abs. 1 DSGVO kann jede Person Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter verlangen, wenn sie durch einen Verstoß gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet. „Das ist ein absolutes Novum, das sieht das BDSG bislang nicht vor“, kommentiert der Datenschutz-Experte. „Zusätzlich gilt in solchen Fällen die Umkehr der Beweislast. Das heißt, es wird davon ausgegangen, dass das Unternehmen den Schaden verschuldet hat – es sei denn, es kann einen rechtmäßigen Datenschutz belegen.“ Die Zukunft werde zeigen, in welcher Höhe den Betroffenen Schmerzensgelder zugesprochen werden. In jedem Fall, zeigen diese neuen Strafen, wie wichtig es für Unternehmen ist, die neuen Standards und Regeln zu kennen und zu befolgen.
Fazit: Die Uhr tickt – ab dem 25. Mai 2018 müssen deutsche Unternehmen die europäische Datenschutz-Grundverordnung umsetzen. Wer sich zuvor schon an das BDSG und TMG gehalten hat, muss keine allzu großen Veränderungen befürchten. Um jedoch ganz sicher zu gehen und hohe Geldstrafen zu vermeiden, sollte man die DSGVO auch nicht auf die leichte Schulter nehmen. Interne und externe Datenschutz-Experten können Unternehmen dabei helfen, die neuen Regeln vollständig und richtig umzusetzen.
Vielen Dank für diesen Gastbeitrag an unseren Kunden ROLAND Rechtsschutz
