Die neue EU Datenschutzgrundverordnung kommt – Was Sie wissen müssen!

Dabei bleibt vieles, was bereits aus der alten Datenschutz-Richtlinie der EU und dem Bundesdatenschutzgesetz (BDSG) bekannt ist, wie es war. Dennoch müssen ab dem nächsten Jahr eine Vielzahl neuer Vorschriften beachtet und vor allem umgesetzt werden. Gerade die hohen Bußgelder, die im Einzelfall bis zu 20 Millionen Euro betragen können, lassen Unternehmen aufhorchen – denn von der neuen EU-DSGVO sind alle Unternehmen betroffen, die Online tätig sind.
Die EU macht also im Datenschutz ernst. Im Folgenden ein Überblick, was mit dem neuen DSGVO zu beachten ist.

Wenn Sie in Deutschland oder einem anderen Staat der EU ansässig sind und mit der Verarbeitung personenbezogener Daten zu tun haben, gilt für Sie die EU-DSGVO. Unternehmen, die nicht aus der EU kommen, müssen die neue EU-DSGVO einhalten, wenn sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

Personenbezogene Daten sind solche Angaben, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Die DSGVO erweitert diese bislang gültige Definition, wonach gemäß Art. 4 Ziffer 1 EU-DSGVO

„ „personenbezogene Daten“ alle Informationen [sind], die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind[.]“

Zu den personenbezogenen Daten gehören zum Beispiel neben Name, Anschrift, E-Mail-Adresse auch Standortdaten, IP-Adressen und Cookies.

Was bleibt wie es ist?

Mit der neuen DSGVO wird das Rad nicht neu erfunden – zumindest gilt das für all diejenigen, die das hohe Schutzniveau des BDSGs verinnerlicht haben. Alte und bereits bekannte Prinzipien des Datenschutzes bleiben weiterhin

• Datensparsamkeit
• Verbot der Datenverarbeitung mit Erlaubnisvorbehalt
• Zweckbindung personenbezogener Daten und
• Richtigkeit der Daten.

Was ist neu?

• Datensicherheit
• Recht auf Löschung
• Recht auf Datenübertragbarkeit
• Rechenschaftspflicht bezüglich der Einhaltung des Datenschutzes und
• Neue Anforderungen an die Einwilligung.

Datensicherheit

Die Datensicherheit, die bislang nicht ausdrücklich geregelt war, soll sich nach der EU-DSGVO an der Schutzbedürftigkeit der personenbezogenen Daten orientieren. Heißt: je sensibler die personenbezogenen Daten, desto intensiver die Maßnahmen, die zu deren Schutz zu treffen sind. Welche Vorkehrungen angemessen sind, richtet sich dann unter anderem danach, in welchem Verhältnis die technische Machbarkeit zu den Kosten steht.

Recht auf Löschung

Das Recht auf Löschung – auch bekannt als Recht auf Vergessenwerden – ist nun Bestandteil der neuen DSGVO. Erstmals wurde einem Kläger 2014 vom Europäischen Gerichtshofe (EuGH) in einem Verfahren gegen Google das Recht auf Löschung auf sich bezogener Daten zugesprochen. Nach dem Urteil dürfen Betroffene von Suchmaschinen wie Google, unter bestimmten Voraussetzungen die Löschung von Verlinkungen zu alten Presseartikeln verlangen. Die neue Regelung der DSGVO gibt Nutzern nun den Anspruch unter bestimmten Voraussetzungen die Löschung bestimmter, personenbezogener Daten verlangen zu können.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit verschafft Nutzern den Anspruch, dass ihre personenbezogene Daten nach ausdrücklichem Verlangen in ein gängiges Format umgewandelt werden müssen, um diese an andere Portale oder Online-Dienste weitergeben zu können.

Rechenschaftspflichten

Die verankerten Rechenschaftspflichten bringen unter anderem umfassende Dokumentationspflichten mit sich. Zum Beispiel muss die Umsetzung datenschutzrechtlicher Regelungen auf Verlangen jederzeit nachgewiesen werden.

Einwilligungen

Auch bei der Einwilligung kommen neue Anforderungen auf Unternehmen zu. Dabei ist insbesondere die neue Opt-In -Lösung der DSGVO hervorzugeheben. Eine Einwilligung durch ein Opt-Out-Kästchen – also ein standardmäßig angekreuztes Kästchen – soll nach der neuen Verordnung nicht mehr ausreichen. Opt-In-Lösung bedeutet, dass Nutzer in Zukunft aktiv ihre Zustimmung durch Anklicken eines Feldes oder Kästchen geben müssen, um den datenschutzrechtlichen Anforderungen zu genügen. Außerdem muss der Nachweis, ob eine Einwilligung in die Datenverarbeitung tatsächlich erfolgt ist, auf Seiten der Verwender der Daten auf Verlangen erbracht werden. Die Einwilligung muss zudem jederzeit und ohne Begründung zu widerrufen werden können. Der Widerruf muss dabei mindestens so einfach möglich sein wie die Abgabe.

Das kommt ganz darauf an, wie genau Sie es bislang mit dem Datenschutz gehandhabt haben. Vorteilhaft – zumindest aus deutscher Sicht – ist, dass durch das BDSG in Deutschland bereits ein hohes Schutzniveau von Nutzern vorgegeben ist. Was die neuen Regelungen betrifft, steckt der Teufel im Detail!

So wurden die Informations- und Auskunftspflichten mit der neuen DSGVO ausgeweitet. Viele Online-Händler und Shopbetreiber werden daher ihre Datenschutzerklärung anpassen müssen. Informationen müssen verständlich, präzise, leicht zugänglich und transparent dargestellt sein.

Beispielsweise müssen Angaben zur Rechtsgrundlage der Datenverarbeitung oder zur Dauer der Speicherung gemacht werden. Hinzukommt, dass die Kriterien nach der sich die Speicherdauer bestimmen, den Nutzern genannt werden müssen. Alle Informationen zur Datenverarbeitung müssen zudem leicht wahrnehmbar und in verständlicher Form abgebildet werden.

Was das konkret bedeutet, hängt also stark damit zusammen wie „verständlich, präzise, leicht zugänglich und transparent“ Ihre Datenschutzerklärung und entsprechende Hinweise bislang ausgestaltet ist. Das sollte im Einzelfall von einem Experten im Bereich des Datenschutzes überprüft werden.

Was passiert bei Verstößen gegen die DSGVO?

In jedem Mitgliedstaat der EU soll es eine zuständige Aufsichtsbehörde geben an die sich Betroffene bei Verstößen wenden können (sogenannte One-Stop-Shop-Lösung). Verstöße können nach der neuen DSGVO mit Geldbußen bis zu 20 Millionen Euro oder 4% des gesamten Jahresumsatzes geahndet werden.

Beachtet werden sollte unbedingt auch die Rechtsprechung des OLG Köln. Danach kann ein Verstoß in Form einer fehlenden Datenschutzerklärung auf einer Internetseite ein Wettbewerbsverstoß darstellen. Mögliche Konsequenz ist eine wettbewerbsrechtliche Abmahnung. Um sich die damit einhergehenden Kosten zu sparen, sollten entsprechende Maßnahmen bereits vorab ergriffen werden.

Zusammenfassung

Umfassende Gesetzesnovellen sorgen um den Zeitpunkt des Inkrafttretens immer für ein gewisses Maß an Unsicherheit. Das gilt bei der DSGVO natürlich insbesondere für Unternehmen und Händler, die Online-Angebote zur Verfügung stellen. Welche Änderungen mit der neuen DSGVO zwingend vorgenommen werden sollten und was so bleiben kann wie es ist, kann nur nach einer sorgfältigen Überprüfung von Webseiten und Online-Angeboten beurteilt werden.

Auf die richtige Vorsorge kommt es an! Verstöße gegen die neuen Regelungen des DSGVO können mir hohen Bußgeldern geahndet werden. Zudem droht durch die neue Rechtsprechung eine wettbewerbsrechtliche Abmahnwelle bei Verstößen gegen Datenschutzbestimmungen. Darauf sollten Sie es nicht ankommen lassen.

Haben Sie eine wettbewerbsrechtliche Abmahnung wegen eines Verstoßes gegen Datenschutzbestimmungen erhalten?