DSGVO – Was bedeutet die Datenschutz-Grundverordnung?

DSGVO europäische datenschutz-grundverordnung - Lukas Plewnia – Europaflagge | Flickr | CC BY 2.0.

DSGVO – Die Datenschutz-Grundverordnung und ihre Bedeutung

Die Datenschutz-Grundverordnung (DSGVO) gilt als längst beschlossene Sache und regelt auf EU-Ebene den Umgang mit Daten privater Nutzer im Internet. Ab dem 25. Mai 2018 tritt das Gesetzt endgültig und verpflichtend in Kraft. Unternehmen müssen sich teils auf einige Änderungen vorbereiten. Vieles bleibt aber auch gleich, da ähnliche Regelungen auf nationaler Ebene bereits existieren. Mit dem neuen Gesetz wird der digitale Datenschutz nicht neu erfunden, sondern lediglich erweitert und auf einen gemeinsamen Nenner gebracht.

Was ist der Zweck der DSGVO?

Die DSGVO wurde von der EU verabschiedet und besitzt somit in allen Ländern mit Zugehörigkeit zur Europäischen Union Gültigkeit. Sie liefert die gesetzliche Grundlage über den Gebrauch und den Schutz von personenbezogenen Daten in Unternehmen. Damit löst es offiziell das bisherige Bundesdatenschutzgesetz (BDSG) ab. Durch den Wegfall unterschiedlicher Regelwerke abhängig vom Standort folgt der Datenschutz nun einem einheitlichen Standard. Dies ist besonders praktisch für Unternehmen, die über die Landesgrenzen hinweg operieren und sich so auf klar umrissene Vorgaben stützen können. Ebenso nimmt die EU Unternehmen im EU-Ausland in die Pflicht, diese neue Regelung zu befolgen, sofern sie personenbezogene Daten von EU-Bürgern verwenden. Damit ist klar, dass auch Giganten wie Facebook oder Google der neuen Verordnung Folge leisten müssen. Kleinere Unternehmen unterliegen denselben Einschränkungen. Das Gesetz sieht keine Trennung zwischen Global-Playern und Firmen mit überschaubarer Kundenreichweite vor. Die Datenschutzerklärungen auf Webseiten sind dementsprechend von allen Betroffenen zu aktualisieren. Wer auch immer unternehmerisch im Internet tätig wird, muss die Neuerungen berücksichtigen. Dazu gehören das Schalten von Werbung, Versenden von Werbemails, das Tracking von Nutzern und die Weiterverwertung allgemeiner Kundendaten. Eine nationale Ausführung der neuen Verordnung ist dafür nicht notwendig.

  • DSGVO regelt den digitalen Datenschutz neu und EU-übergreifend einheitlich
  • DSGVO gilt auch für ausländische Unternehmen mit Nutzern aus der EU
  • DSGVO ist ab dem 25. Mai 2018 gesetzlich verpflichtend anzuwenden
Aktivieren Sie JavaScript um das Video zu sehen.
https://www.youtube.com/watch?v=705Tz5F06JQ

Wen betrifft die DSGVO konkret und welche Daten fallen darunter?

Grundlegend sind alle Unternehmen mit Sitz im Raum der Europäischen Union an die Datenschutz-Grundverordnung gebunden. Ausländische Unternehmen schließt dies nur dann ein, wenn sie über eine Niederlassung in der EU verfügen oder anderweitig personenbezogene Daten von EU-Bürgern erhalten. Dabei liefert die DSVGO klare Anhaltspunkte darüber, was unter personenbezogene Daten überhaupt fällt. So gehören dazu alle Angaben und Hinweise, die zu einer direkten Identifikation eines Besuchers auf Webseiten dienen könnten. Ebenso umfasst dies indirekte Merkmale, die bei genauer Analyse eindeutige Rückschlüsse auf den Nutzer geben.

Beispiele für personenbezogene Daten:

  • Name und Adresse
  • E-Mail
  • Telefonnummer
  • IP-Adressen
  • Cookies
  • Kontodaten
  • Standortdaten

Was droht bei Missachtung der DSGVO?

Nach dem Konzept des One-Stop-Shops gibt es für Unternehmen und deren Kunden eine eindeutige Anlaufstelle bei Problemen. In der Regel richten Betroffene Beschwerden immer an die Datenschutzbehörde ihres eigenen Landes. Bei Unternehmen entspricht dies dem Mitgliedstaat, in dem sie ansässig sind. Dadurch entfällt eine Menge bürokratischer Aufwand und löst die Abwicklung von Problemen somit deutlich zügiger. An welchem Standort der fehlerhafte Umgang mit Datenbeständen tatsächlich vorkommt, spielt für diese Zuordnung keine wesentliche Rolle. Verstöße gegen die DSVGO können direkt abgemahnt werden. Bleibt eine klärende Reaktion aus, zieht dies in der Regel ein Gerichtsverfahren nach sich. Ein Novum und wirksames Druckmittel gegen uneinsichtige Unternehmen sind die nun enormen Strafen sowie Bußgelder. Die alten Obergrenzen des Bundesdatenschutzgesetzes von maximal 300.000 Euro wurden nur selten in Verfahren ausgeschöpft. Da der Missbrauch von persönlichen Daten große Vorteile im direkten Wettbewerb darstellen, legt die DSVGO hier neue Maßstäbe zur Abschreckung an. Mit einer Höhe von bis zu 20 Millionen Euro oder mit 4 % des kompletten Vorjahresumsatzes müssen Unternehmen nun bei Fehlverhalten rechnen. Diese immense Steigerung dient zur Kontrolle und Maßregelung von global agierenden und finanzstarken Unternehmen.

Daher ist ab Mai 2018 besonders wichtig, alle Schutzmaßnahmen ordnungsgemäß umzusetzen und Schlupflöcher auszumerzen. Auf Rückfragen und Beschwerden von Kunden, Nutzern oder Datenschutzbehörden sollte daher immer mit großer Aufmerksamkeit begegnet werden.

DSGVO europäische datenschutz-grundverordnung - Lukas Plewnia – Europaflagge | Flickr | CC BY 2.0.

Ein kurzer Überblick: Auf was müssen sich Unternehmer einstellen?

Im Interesse des Unternehmens steht auch die eindeutige Dokumentation bei der Einholung von Einwilligungen der Nutzer. Manche Angebote sehen eine konkrete Weiterverwendung (Zweckgebundenheit) von Daten im Rahmen des vereinbarten Geschäftes vor. Anwendung abseits davon gelten bei Vertragsbedingungen als unzulässig und würden das Gebot der Freiheit unterminieren. Jeder Kunde muss zudem ausreichend Aufklärung über sein Widerrufsrecht erhalten. Glücklicherweise sind bereits bestehende Einwilligungen nicht auf einen Schlag obsolet – das erspart zusätzlichen Aufwand. Wichtig bleibt vor allem eine präzise, verständliche und leicht einsehbare Datenschutzerklärung. Ein eindeutiger und formal korrekter Verweis auf die entsprechende Rechtsgrundlage bleibt Pflicht. Neuerungen wie das Koppelungsverbot erfordern hier Vorsicht bei der Umsetzung. Laien sollten davon Abstand nehmen und sich professionelle Unterstützung bei der Erstellung einholen. Nur dann sind die genannten Kriterien angemessen in der Webseite einzupflegen. An dieser Stelle wartet also eines der größten Arbeitsfelder mit dem Eintritt der DSGVO. Der Großteil aller Schutzverklärungen dürfte ab 2018 zumindest kleinere Lücken aufweisen, die zügig korrigiert werden müssen. Heimliches Sammeln von Daten ohne Zustimmung gilt als streng verboten. Nur absolut notwendige Daten für die Geschäftsabwicklung dürfen zu einem konkreten Zweck gespeichert werden. Eine beständige Aktualisierung der Daten gehört ebenfalls zur Fürsorgepflicht von Unternehmen. Dabei liegt besonderes Augenmerk auf dem Faktor Sicherheit. Gegen Missbrauch, Sabotage und digitalen Diebstahl müssen Maßnahmen nach modernstem Standard bereitstehen. Das sogenannte Recht des Vergessens gewährt Nutzern die Möglichkeit, auf Anfrage alle personenbezogenen Informationen restlos löschen zu lassen. Neu ist ebenso der Anspruch auf Übertragbarkeit der personenbezogenen Daten an andere Anbieter. Dies kommt etwa bei einem Anbieterwechsel (Bank, soziale Netzwerke) in Betracht. Die DSGVO garantiert somit:

  • Recht auf Löschung und Übertragung
  • klare Widerrufsbelehrung
  • formal korrekte Aufführung der Datenschutzerklärung
  • zweckgebundene und sparsame Datenerhebung
  • Koppelungsverbot von Zustimmung zur Vertragserfüllung
  • Gebot der Freiwilligkeit
  • Anwendung moderner Sicherheitsstandards zur Datensicherung
  • Aktualisierung und Bestandspflege
  • Einwilligung für Datenverarbeitung durch Nutzer
  • Nachweisbarkeit und Dokumentation

Steht durch die DSGVO nun der große Umbruch bevor?

Zumindest auf dem Papier warten viele neue Verpflichtungen auf Unternehmen und Betreiber von Webseiten. Eine sorgfältige Überprüfung der Auflagen der DSVGO ist also allein schon deswegen unverzichtbar, um unnötigen Ärger mit der Justiz aus dem Weg zu gehen. Allerdings finden sich zumindest in Deutschland viele der Verordnungen bereits in Form des Bundesdatenschutzgesetzes wieder. Ein interessanter und detaillierter Abgleich zu diesem Thema ist auf binary-butterfly.de einzusehen. Weiterführende Informationen zu einzelnen Unterpunkten der DSVGO liefert unter anderem auch e-recht24.de mit ausführlichen Erläuterungen. Panische Angst vor der neuen Regelung bleibt also vorerst für Firmen und Webseiten auf deutschem Boden völlig unbegründet. In Deutschland genießt der Datenschutz ohnehin bereits ein hohes Ansehen in der Gesetzgebung. Viele Schutzmaßnahmen sind deshalb bereits vollständig von Unternehmen und Webseiten integriert. Außerdem wurde das Gesetzt bereits 2016 verabschiedet und ermöglichte vor dem geplanten Termin des Inkrafttretens den Unternehmen, sich auf die kommenden Neuerungen einzustellen.

Fotonachweis: Lukas Plewnia – Europaflagge | Flickr | CC BY 2.0.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.