DSGVO: Welche Änderungen kommen auf Unternehmen zu?
von Thomas Waetke,
Die EU-Datenschutz-Grundverordnung: Jeder dürfte mittlerweile mitbekommen haben, dass da was Neues auf uns zukommt. Die EU hat das Datenschutzrecht nach jahrelangem Gezerre nun EU-weit vereinheitlicht. Herausgekommen ist die „DSGVO“, die unser altes Bundesdatenschutzgesetz (BDSG) komplett umkrempelt.
Ausgangspunkt ist der 25. Mai 2018: Ab diesem Stichtag gilt die DSGVO und verdrängt das bisher geltende BDSG. Die DSGVO gilt in allen EU-Staaten unmittelbar. Sie hat allerdings den nationalen Gesetzgebern durchaus noch Spielräume überlassen – diese Spielräume hat Deutschland mit einem neuen BDSG auszufüllen versucht (das sog. BDSG-neu).
Anzeige
Die DSGVO macht durchaus erhebliche Änderungen in den Unternehmen notwendig: Wer fremde Daten mit Personenbezug erhebt, speichert und/oder verarbeitet, muss sich auf die DSGVO einstellen.
Die wichtigsten Änderungen
Bußgelder, die die Portokasse übersteigen dürften
Die Bußgelder werden von bisher 300.000 Euro auf schlappe 20 Millionen Euro erhöht, wahlweise auf 4% des weltweiten Unternehmensumsatzes. Damit sollen die Unternehmen motiviert werden, die Datenschutzregeln auch tatsächlich einzuhalten.
Kontrollen und Ärger
Die Datenschutzaufsichtsbehörden in den Bundesländern haben den Auftrag, die Einhaltung der DSGVO zu überprüfen. Aber vor allem Abmahner und Betroffene, die beispielsweise ihr Auskunftsrecht geltend machen können, sowie etwa verärgerte Ex-Mitarbeiter oder Ex-Kunden, können einem das Leben schwer machen. Außerdem werden auch Kunden bei der Auswahl ihrer Dienstleister künftig genauer hinsehen, wer auf das neue Datenschutzrecht vorbereitet ist und wer nicht.
Verboten ist, was nicht erlaubt ist
Grundsätzlich ist die Verarbeitung fremder Daten verboten, solange es keine Legitimationsgrundlage dafür im Gesetz gibt. Die bekannteste Legitimationsgrundlage ist die Einwilligung: Der Betroffene (= das ist derjenige, dessen Daten verarbeitet werden) kann in die Verarbeitung einwilligen. Dabei darf die Einwilligung aber nicht an einen Vertragsschluss gekoppelt werden, d.h. man sollte künftig tunlichst die Einwilligung und die Anmeldung beispielsweise zu einer Veranstaltung voneinander trennen. Abgesehen davon muss die Einwilligung klipp und klar über den Zweck der Datenverarbeitung informieren.
Auch bekannt ist die „Vertragserfüllung“: Man darf Daten verarbeiten, wenn man sie zur Vertragserfüllung benötigt, oder auch, um eine Anfrage bzw. ein Angebot zu bearbeiten. Aber: Man darf nur die Daten verarbeiten, die man unbedingt zur Erfüllung des Vertrages braucht – will man dem Kunden zugleich Werbung schicken, dann fällt die Verarbeitung der Mailadresse üblicherweise nicht mehr unter die „Vertragserfüllung“. Dazu braucht man also dann einen eigenen, anderen Legitimationsgrund.
Dieser kann oft das sog. Berechtigte Interesse sein: Dieser Legitimationsgrund wird in den meisten Fällen der Werbung greifen können. Dabei muss das Unternehmen abwägen, ob sein Interesse höher ist als das Interesse des Betroffenen an der Anonymität. Bei dieser Abwägung muss man die Frage prüfen, ob der Betroffene „vernünftigerweise“ damit rechnen muss, dass seine Daten etwa eben zu Werbezwecken verarbeitet werden. Dies kann z.B. der Fall sein, wenn man seinem Kunden auch eine Mail schicken und dazu die Daten speichern will.
Probleme beim Newsletter
Wer beispielsweise einen Newsletterbestand hat, muss prüfen, ob seine alten Newsletterdaten auch nach neuem Datenschutzrecht noch genutzt werden dürfen! Nicht ganz neu ist, dass allein die datenschutzrechtliche Legitimation der Datenverarbeitung nicht automatisch zu einer Erlaubnis führt, dem Betroffenen auch Werbung per E-Mail zu schicken! Denn dazu braucht man ein mutmaßliches Interesse, dass der Betroffene ausgerechnet heute, ausgerechnet per E-Mail, ausgerechnet diese Werbung haben möchte. Etwas einfacher ist es, einem Bestandskunden eine Mail zu schicken (die Voraussetzungen dazu ergeben sich aus § 7 Absatz 3 UWG).
Verzeichnis der Verarbeitungsvorgänge
Nahezu jedes Unternehmen wird ein Verarbeitungsverzeichnis erstellen müssen. Darin sind in einer Tabelle alle Verarbeitungsvorgänge im Unternehmen aufzulisten und zu beschreiben (siehe Art. 30 DSGVO). Selbst wenn man als (kleines) Unternehmen kein Verzeichnis zwingend erstellen muss, so dienst das Verzeichnis als Dokumentation für das Bemühen, sich rechtskonform zu verhalten – das kann wohlwollende Auswirkungen bei einer Prüfung durch die Datenschutzaufsicht haben.
Auftragsdatenverarbeitung
Wer im Auftrag z.B. seines Kunden fremde Daten verarbeitet, rutscht in die Rolle des Auftragsdatenverarbeiters. Dieser haftet künftig neben dem Auftraggeber eigenständig. Dementsprechend sollte der Auftragsdatenverarbeiter in einem Vertrag mit seinem Auftraggeber klären, wer für was verantwortlich ist und wer was bezahlt. Hier kommt beispielsweise eine Eventagentur in Betracht, die für ihren Kunden Roominglisten an Hotels weiterleitet.
Betroffenenrechte
Ausgeweitet hat die DSGVO auch die Rechte der Betroffenen. Dazu gehört etwa, dass die Datenschutzhinweise erheblich ausführlicher gehalten werden müssen. So muss man künftig u.a. auch darüber aufklären, wann man die Daten zu löschen gedenkt (siehe Art. 13 und 14 DSGVO).
Daneben hat der Betroffene u.a. ein Auskunftsrecht: Er kann Auskunft verlangen, ob man seine Daten speichert, und wenn ja, kann er eine ausführliche Auskunft über den Zweck, die Rechtsgrundlage und die geplante Löschung fordern – und zwar jederzeit und unentgeltlich (siehe Art. 15 DSGVO).
Nicht mehr viel Zeit
Bis zum 25. Mai 2018 ist nicht mehr viel Zeit. Die Umstellung und Anpassung an die DSGVO benötigt aber Zeit, daher sollte man nicht zu spät damit anfangen.
Hallo,
Die DSGVO scheint viele Unternehmer zu verunsichern. Das Thema ist zwar komoliziert aber auch nicht unlösbar. Ich bin CEO einer GmbH in Brandenburg und arbeite seit Jahren mit einem Fachanwalt für gewerblichen Datenschutz zusammen. Der erstellt mit seinem Team individuelle Gutachten zur Umsetzung der DSGVO. Ich als Unternehmer musste die dort aufgeführten Maßnahmen nur umsetzen und bin jetzt abmahnsicher im Sinne der DSGVO 2018… Richtet sich speziell an eher kleinere Unternehmen und ist schnell und günstig. Vielleicht einfach mal reinschauen. RA Cornelius Matutis aus Potsdam.
[externer Link entfernt – Anmerkung der Redaktion]
Hallo,
Die DSGVO scheint viele Unternehmer zu verunsichern. Das Thema ist zwar komoliziert aber auch nicht unlösbar. Ich bin CEO einer GmbH in Brandenburg und arbeite seit Jahren mit einem Fachanwalt für gewerblichen Datenschutz zusammen. Der erstellt mit seinem Team individuelle Gutachten zur Umsetzung der DSGVO. Ich als Unternehmer musste die dort aufgeführten Maßnahmen nur umsetzen und bin jetzt abmahnsicher im Sinne der DSGVO 2018… Richtet sich speziell an eher kleinere Unternehmen und ist schnell und günstig. Vielleicht einfach mal reinschauen. RA Cornelius Matutis aus Potsdam.
[externer Link entfernt – Anmerkung der Redaktion]
So kommt man auch zur Werbung, wie Herr Wegner zeigt.