Ob im Kundenservice, im Direktmarketing oder im Rahmen neuer digitaler Geschäftsmodelle – das neue Datenschutzrecht der EU (EU-DSGVO), das ab Mai 2018 in Kraft tritt, stellt Unternehmen vor große Herausforderungen. Erfahren Sie hier, welche Schritte eingeleitet werden müssen, um Daten auch zukünftig rechtssicher zu erheben.
Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Welche grundlegenden Änderungen bringt die Gesetzesumstellung mit sich?
Für den Juristen ist der größte Unterschied natürlich der, dass die DSGVO ein Gesetz der EU ist, das heißt, die DSGVO gilt in allen Mitgliedsstaaten direkt. Das deutsche Datenschutzrecht für Unternehmen, das im Bundesdatenschutzgesetz geregelt ist, fällt dann weg. Das das deutsche Recht füllt hier nur noch einzelne Spielräume aus, die die DSGVO den Mitgliedstaaten eröffnet.
Eine für die Praxis bedeutende Änderung ist, dass die DSGVO Unternehmen vorschreibt, ihre Kunden proaktiv über die Verarbeitung ihrer Daten zu informieren. Was man bislang im Online-Bereich als Datenschutzerklärung kennt, ist künftig bei jeder Form der Datenverarbeitung erforderlich. Dann muss beispielsweise auch ein Zeitungsverlag auf dem Abonnementformular oder im Begrüßungsschreiben darstellen, welche Daten des Kunden er für welche Zwecke verarbeitet, und dabeiauch die jeweilige Rechtsgrundlage benennen.
Die Betroffenenrechte wurden erheblich ausgebaut. Zum Beispiel bedeutet das „Recht auf Vergessenwerden“, dass ein Betroffener nicht nur die Löschung von Daten beim Unternehmen verlangen kann. Wenn die Daten veröffentlicht wurden, muss der Verantwortlich auch Dritte informieren, damit Kopien der Daten oder Links zu diesen Daten entfernt werden – zum Beispiel aus Suchmaschinen.
Leider ist in der DSGVO manches sehr viel pauschaler geregelt als bisher im deutschen Recht. So gibt es bei der Verwendung von Daten für das Marketing keine klaren Regeln mehr, das Unternehmen muss also eine Interessenabwägung vornehmen. Das bedeutet zunächst Rechtsunsicherheit und zwar so lange, bis die Aufsichtsbehörden und die Rechtsprechung mehr Klarheit schaffen. Letztlich muss über Auslegungsfragen immer der Europäische Gerichtshof entscheiden.
Welche Konsequenzen drohen Unternehmen bei Verstößen gegen das neue Gesetz?
Bei Verstößen gegen datenschutzrechtliche Vorschriften drohten auch bisher schon Geldbußen. Die DSGVO hebt jedoch die Höchstbeträge drastisch an. Eine Geldbuße kann künftig bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes eines Unternehmens betragen. In bestimmten Fällen sind es sogar 20 Millionen Euro oder 4%, wenn zum Beispiel Daten ohne Rechtsgrundlage oder Einwilligung verarbeitet wurden.
Welche Maßnahmen müssen Unternehmen einleiten, um auch in Zukunft Daten rechtskonform zu verarbeiten?
Auf jeden Fall muss man sich einen Überblick über die diversen Datenverarbeitungsvorgänge im Unternehmen verschaffen und ein Verzeichnis dieser Verarbeitungstätigkeiten erstellen, wenn noch keines besteht. Für die Informationspflichten gegenüber den Betroffenen sollte man rechtzeitig Muster vorbereiten. Zudem müssen vor allem auch klare Verantwortlichkeiten und Prozesse geschaffen werden, also ein umfassendes Datenschutzmanagement. So müssen die Maßnahmen für die Datensicherheit regelmäßig überprüft werden. Diese muss das Unternehmen auch dokumentieren.
Was müssen Verantwortliche vor allem beim Online-Datenschutz beachten?
Hier steht leider noch nicht fest, wie die Regelungen im Detail aussehen werden. Es wird ergänzend zur DSGVO eine Verordnung über Privatsphäre und elektronische Kommunikation, kürzer auch als E-Privacy-Verordnung bezeichnet, geben. Wenn es nach dem derzeitigen Entwurfstext geht, den das EU-Parlament beschlossen hat, dürfen Tracking-Cookies etwa für personalisierte Werbung oder Affiliate-Marketing nur noch mit expliziter Einwilligung des Nutzers gesetzt werden. In einem Browser oder einer App muss die Einwilligung bei der Installation abgefragt werden. Auch bestehende Software muss nach einer Übergangsfrist an diese Anforderung angepasst werden. Dass diese Regelungen in den jetzt anstehenden Verhandlungen zwischen Kommission, Parlament und Mitgliedstaaten wesentlich entschärft oder gar gestrichen werden, ist wenig wahrscheinlich.
Eine Übersicht zu unseren Medienrechts-Seminaren finden Sie auf unserer Website.