Die EU-Datenschutz-Grundverordnung (DSGVO) ist am 24. Mai 2016 in Kraft getreten. Nach einer Übergangszeit von zwei Jahren ist sie ab dem 25. Mai 2018 für alle Unternehmen verbindlich, die sich mit ihren Angeboten an EU-Bürger wenden – also unabhängig des Unternehmenssitzes. Die wichtigsten Neuerungen fassen wir im Folgenden für Sie zusammen.
Die EU war den Datenschutz betreffend ein Flickenteppich aus vielen verschiedenen Datenschutzregeln, die je nach Land unterschiedlich streng waren. Ziel der im letzten Jahr verabschiedeten Grundverordnung ist es, die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen zu vereinheitlichen und damit auch Wettbewerbsgleichheit innerhalb der EU zu schaffen.
Darüber hinaus gilt bei der DSGVO auch das Marktortprinzip. Daher sind auch Unternehmen davon betroffen, die ihren Sitz nicht innerhalb der EU haben, sich jedoch mit ihren Produkten und Dienstleistungen an EU-Bürger wenden. Somit hat die neue Verordnung auch Auswirkungen auf amerikanische Unternehmen wie Google und Facebook. Die neuen Regelungen lassen sich also nicht durch eine Verlagerung der Daten ins Ausland umgehen, da die DSGVO beispielsweise auch bei Servern ausserhalb der EU greift.
Die Schaffung von Chancengleichheit unter Unternehmen, die in der EU agieren, ist der zentrale Vorteil, der sich aus der Grundverordnung für Unternehmen ergibt. In Einzelfällen können sich aber auch weitere Vorteile ergeben. Dies hängt jedoch ganz von den bisherigen, innerhalb der EU stark variierenden, Bestimmungen einzelner Länder ab. Allerdings muss auch erwähnt werden, dass die DSGVO nicht alle nationalen Unterschiede nivelliert: Die Verordnung enthält Öffnungsklauseln, durch die bestimmte Aspekte des Datenschutzes weiterhin auch von einzelnen Ländern gesondert geregelt werden können. Die DSGVO ist damit sowohl Verordnung als auch Richtlinie.
DSGVO: Die wichtigsten Änderungen
Besonders für Deutschland ergeben sich für Unternehmen mehr Möglichkeiten, personenbezogene Daten zu verarbeiten. Bei der Datenverarbeitung gilt laut DSGVO der Erlaubnistatbestand. Dieser ist gegeben, wenn die Einwilligung der betreffenden Person vorliegt, die Datenverarbeitung zur Erfüllung von Verträgen oder rechtlichen Verpflichtungen angezeigt ist oder ein berechtigtes Interesse an der Datenverarbeitung vorliegt. Konkret bedeutet dies, das zur Neukundengewinnung öffentlich verfügbare Daten für Marketingzwecke genutzt werden dürfen – nach deutschem Datenschutzrecht war das bisher nicht gestattet. Um hierbei auf der sicheren Seite zu sein, kann professionelle Datenschutzberatung helfen, die Balance zwischen berechtigtem Interesse und dem Schutz der Privatsphäre der Betroffenen zu wahren. Dieses berechtigte Interesse schliesst jedoch mit ein, dass die Datenerhebung für geplante Marketingmassnahmen notwenig ist und sie nicht den schutzwürdigen Interessen der Betroffenen entgegensteht. Es können in der Theorie also nicht willkürlich alle Daten erhoben und verarbeitet werden, sofern sie nicht mit einem konkreten Zweck verbunden sind.
Das führt zu einem wichtigen weiteren Punkt der DSGVO: Die Zweckbindung. Erhobene Daten dürfen nur für den ursprünglichen Erhebungszweck verarbeitet werden. Bedeutet: Eine E-Mail-Anfrage zu einem Produkt gibt nicht das Recht, diese E-Mail-Adresse für andere Marketingzwecke wie Newsletter zu nutzen.
Zu den Änderungen, die durch das DSGVO eintreten, gehören auch jene, die EU-Bürger in ihren Rechten stärken. Zwei zentrale Elemente sind hier das Auskunftsrecht sowie das Löschungsrecht, auch „Recht auf Vergessen“ genannt. Betroffene Personen können eine Kopie der sie betreffenden, personenbezogenen Daten von Unternehmen verlangen. Diese müssen dem Anfragenden in einem üblichen Dateiformat auf Anfrage bereitgestellt werden. Besteht kein gesetzlicher Grund zur weiteren Verarbeitung der Daten, sind diese auf Wunsch der Betroffenen zu löschen. Das gilt nun auch für Daten, die öffentlich gemacht wurden.
Auch hinsichtlich der Informationspflichten gibt es Herausforderungen für Unternehmen, um für mehr Transparenz zu sorgen. In der Praxis bedeutet das, dass alle Rechtstexte (Einwilligungen, Datenschutzerklärungen etc.) aktualisiert werden müssen. Neben Kontaktdaten der verantwortlichen Stellen (ggf. auch des Datenschutzbeauftragten) gehören dazu eine Vielzahl Informationen:
- Zweck und Rechtsgrundlage der Datenverarbeitung
- Empfänger bei Datenweitergabe an Dritte
- Speicherdauer
- Auskunfts-, Löschungs-, Einschränkungs-, Widerspruchs-, Widerrufs- und Übertragungsrecht
- Datenherkunft (wenn Daten nicht direkt beim Betroffenen erhoben wurden)
- Hinweise, ob der Betroffene zur Datenbereitstellung ggf. gesetzlich oder vertraglich verpflichtet ist
- Angaben darüber, ob ein Profiling mit den Daten vorgenommen wird
Ebenso bringt die DSGVO neue Dokumentations- und Meldepflichten mit sich. Es müssen organisatorische und technische Massnahmen zur Erfüllung des Datenschutzes getroffen und diese entsprechend nachgewiesen werden. Kommt es zu Datenlecks, sind diese binnen 72 Stunden der Aufsichtsbehörde sowie den betroffenen Personen zu melden.
Insgesamt lässt sich festhalten, dass die DSGVO Unternehmen mit neuen Rechten und Pflichten ausstattet. Diese gilt es in jedem Fall bis zum Mai 2018 umzusetzen. Bei Nichtbeachtung drohen Strafen von bis zu vier Prozent des Jahresumsatz eines Unternehmens.
Einen detaillierteren Leitfaden zur DSGVO finden Sie in unserem kostenlosen Whitepaper zum Thema:
Unser Service
Wir beraten Sie gerne über die DSGVO und unterstützen Sie bei der Schaffung der technischen Voraussetzungen. Sprechen Sie uns an!
