Ratgeber

DSGVO: Diese Änderungen kommen auf dein Online-Business zu (Teil 1)

Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Im Mai 2018 kommt die DSGVO (Datenschutzgrundverordnung) zur Anwendung. Darauf sind Unternehmen kaum vorbereitet. Ein erster Überblick der Änderungen und zu ergreifenden Maßnahmen.

In dieser Beitragsreihe möchte ich die Datenschutzgrundverordnung (DSGVO) verständlich erklären sowie Checklisten und Handlungsvorschläge bieten. Denn angesichts des drastisch erhöhten Bußgeldrahmens, ist Untätigkeit der falsche Weg. Bevor es jedoch an praktische Anforderungen für Einwilligungen, Onlinemarketing, Auftragsverarbeitung und Verzeichnisse von Verarbeitungstätigkeiten geht, muss ein Überblick zu den Änderungen her.

DSGVO: Was ist die Datenschutzgrundverordnung?

Die DSGVO ist ein EU-Gesetz, das unmittelbar in den Mitgliedsstaaten wirkt. Sein Ziel ist es einen einheitlichen Rechtsrahmen zu schaffen. Ob dies gelingt, bleibt abzuwarten. Denn auch heute gleichen sich viele Datenschutzgesetze, werden jedoch von den Datenschutz-Aufsichtsbehörden der einzelnen Länder anders ausgelegt.

So ist es kein Geheimnis, dass im Hinblick auf die Datenschutzpraxis ausländische Unternehmen ihre Dependancen lieber in Irland als in Deutschland eröffnen. Ferner enthält das Gesetz sogenannte „Öffnungsklauseln“, die zum Beispiel im Hinblick auf den Beschäftigtendatenschutz, Datenschutzbeauftragte oder Videoüberwachung nationale Regelungen erlauben. So wird es beispielsweise auch wieder ein deutsches Bundesdatenschutzgesetz geben (BDSG).

Ebenso wird es auch auf der EU-Ebene Spezialgesetze geben, wie die E-Privacy-Verordnung, die gerade verhandelt wird. Sie enthält besondere Regelungen zum E-Mail-Marketing und nach derzeitigem Stand einen erneuten Versuch eine Einwilligungspflicht für Tracking- und Targeting-Cookies sowie vergleichbare Fingerprintingverfahren einzuführen.

Zusammengefasst: Die DSGVO ist zwar ein Schritt zu einer EU-einheitlichen Regulierung. Sie führt jedoch nicht unbedingt zu einer Vereinfachung des Datenschutzrechts.

Stichtag: 25. Mai 2018

Der Stichtag der DSGVO ist der 25. Mai 2018. Hört sich noch weit weg an, doch DSGVO sollte bereits heute beachtet werden. Denn die DSGVO ist bereits in Kraft getreten, entfaltet jedoch erst am 25. Mai 2018 ihre Wirkung. Es gibt weder eine Übergangsfrist noch sonstige Milderungsgründe für Unternehmen, die den Umstieg verpasst haben.

Aus diesem Grund sollten Unternehmen ihre Datenverarbeitungsprozesse bereits heute an die DSGVO anpassen. Denn bisherige Datenverarbeitungen und vor allem Einwilligungen werden nur dann gültig bleiben, wenn sie der DSGVO entsprechen.

Auch Google, Facebook und andere Tech-Giganten werden unmittelbar zur Beachtung des europäischen Datenschutzrechts verpflichtet. Die DSGVO betrifft nicht nur Unternehmen, die in der EU sitzen. Betroffen sind Unternehmen aus sogenannten „Drittstaaten“ außerhalb der EU, die Daten der EU-Bürger verarbeiten. Damit werden vor allem auch US-Anbieter wie Google oder Facebook der DSGVO unterfallen.

Was dein Business davon hat und was nicht

Die DSGVO dient nicht einseitig dem Datenschutz, sondern berücksichtigt auch wirtschaftliche Interessen. So bringt die DSGVO zwar neue oder erhöhte Pflichten sowie Bußgelder mit sich, erschwert die Einholung einer Einwilligung, verpflichtet zur Datenportabilität und stellt klar, dass pseudonyme Cookies und IP-Adressen als „Online-Kennungen“ personenbezogene Daten sind.

Die DSGVO bietet aber auch Erleichterungen. Ein Vorteil ist, dass nicht nur der Schutz personenbezogener Daten, sondern auch der freie Verkehr von Daten und damit auch wirtschaftliche Interessen im Artikel 1 der DSGVO kodiert sind.

Dieser Grundgedanke der Abwägung zwischen berechtigten (wirtschaftlichen) Interessen und dem Schutz der Daten betroffener Personen wird daher einen Dreh- und Angelpunkt der gesetzlich erlaubten Datenverarbeitung darstellen. Die Unternehmen haben es zugleich in der Hand, mit Mitteln wie Pseudonymisierung und Aufklärung, die Abwägung zu deren Gunsten zu verschieben.

Ferner darf das Datenschutzniveau generell nicht durch nationale Auflagen erhöht werden, wie es zum Beispiel bisher in Deutschland mit der Schriftformgebot für Einwilligungen oder Verträge mit Auftragsverarbeitern der Fall war.

Datenschutzprinzipien

Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.

Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz besonders betont. Man muss sich diese Prinzipien als die Grundlagen des Gesetzes vorstellen, die bei der Auslegung unklarer Fälle herbeigezogen werden. Dazu gehören entsprechend Art. 5 DSGVO vor allem:

Privacy by Design und Privacy by Default werden Gesetz

Datenschutz muss bereits ein Teil von Entwicklungsprozessen sein und darf nicht erst nachträglich berücksichtigt werden.

Neu zu den vorgenannten Grundprinzipien des Datenschutzes, kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu.

„Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen.

„Privacy by Default“ bedeutet wiederum, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.

Datenschutzpflicht fordert Fleiß und Bürokratie

DSGVO bedeutet vor allem Fleißarbeit bei der Dokumentation der Datenverarbeitung. Auch wenn viele der bisher geltenden Datenschutzprinzipien und -bestimmungen sich in der DSGVO wiederfinden, wäre es falsch zu denken, dass die Änderungen nicht beachtlich sind.

Wie so häufig steckt der Teufel im Detail und neben Änderungen bei Einwilligungen, Erlaubnisgrundlagen oder Bußgeldern, liegt der Schwerpunkt der Änderungen vor allem auf den Rechenschaftspflichten (auch bezeichnet als „Accountability“).

Vereinfacht gesagt möchte der Gesetzgeber, dass Unternehmen sich zumindest Gedanken um den Datenschutz machen. Dieses Vorhaben setzt er mit erhöhten Dokumentations- und Nachweispflichten um.

Das bedeutet, man muss jederzeit Nachweis über seine Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ dokumentiert und die Zulässigkeit geprüft worden sind. In den nächsten Folgen dieser Beitragsreihe erfahrt ihr, wie diese Dokumentationen zu erfolgen haben.

Im Ergebnis heißt es, dass die Datenschutzreform vor allem diejenigen treffen wird, die sich bisher um den Datenschutz wenig Gedanken gemacht haben. Wer dagegen bereits heute ein Verzeichnis der Datenverarbeitungen geführt hat, wird sich viel von dieser Fleißarbeit ersparen.

DSGVO: Der Bußgeldrahmen wird erhöht

Die drastische Erhöhung des Bußgeldrahmens von auf bis zu 20 Millionen Euro wird sich mittelbar auch auf KMUs auswirken.

Der erhöhte Bußgeldrahmen richtet sich vor allem an Großunternehmen, bei denen zum Beispiel die maximalen deutschen Bußgeldgrenzen von 50.000 Euro (im Telemediengesetz, TMG) und 300.000 (im BDSG) kaum Abschreckung entfalteten.

Nunmehr können Bußgelder bis zu zehn Millionen Euro oder bei Unternehmen bis zu zwei Prozent des weltweiten Jahresumsatzes und in schweren Fällen bis zu 20 Millionen Euro, respektive vier Prozent des Umsatzes betragen. Aber auch wenn diese Grenzen selten erreicht werden dürften, wird ebenfalls ein Anstieg des Bußgeldrahmens auf niedrigeren Ebenen erwartet. Das zumal Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen.

All die vorgenannten Änderungen zusammenfassend zwingt der Gesetzgeber Unternehmen zur Professionalisierung des Datenschutzes. Wie dies in der Praxis umzusetzen ist, erkläre ich in den nächsten Artikeln dieser Beitragsreihe.

FAQ mit 10 Fragen zur DSGVO

Wann? – Die DSGVO wirkt zwar erst ab dem 25. Mai 2018, jedoch sollten Unternehmen die Vorgaben der DSGVO bereits jetzt beachten.

Wer ist betroffen? – Alle Unternehmen, die personenbezogene Daten verarbeiten, auch wenn sie außerhalb der EU sitzen und Daten von EU-Bürgern verarbeiten.

Was bleibt? – Bisherige Datenschutzprinzipen und viele bisherige Regelungen finden sich in der DSGVO wieder.

Was ändert sich? – Es ändern sich sehr viele Details, weshalb alle Verarbeitungsprozesse überprüft werden müssen. Änderungen gibt es bei der Definition personenbezogener Daten, den Erlaubnisgrundlagen, Einwilligungen, Informationspflichten, Betroffenenrechten, Bußgeldern, Rechenschaftspflichten, Verantwortlichkeit von Auftragsdatenverarbeitern, etc.

Was ist Privacy bei Design? – Privacy by Design ist ein Grundsatz, der bereits im Rahmen der Entwicklung (zum Beispiel von Hardware oder Software) zur Beachtung der Datenschutzvorschriften verpflichtet.

Müssen Datenschutzerklärungen geändert werden? – Da Informationspflichten erhöht werden und zum Beispiel Hinweise auf die Rechtsgrundlagen der Verarbeitung enthalten müssen, wird ein Update notwendig.

Was ist die Accountability? – Die Rechenschaftspflicht (Accountability) ist eine zentrale Neuerung der DSGVO und erfordert die unternehmerischen Compliance-Anforderungen um eine genaue Dokumentation von Verarbeitungsprozessen sowie u.U. Datenschutzfolgeabschätzungen zu ergänzen.

Wie sind die Konsequenzen bei Nichtbeachtung? – Die Konsequenzen ändern sich drastisch. Der Bußgeldrahmen wird bis auf 20 Millionen Euro, bzw. vier Prozent des weltweiten Jahresumsatzes erhöht und Datenschutzbehörden werden angehalten, Bußgelder effektiver zu verhängen.

Wird das Datenschutzrecht einfacher? – Damit ist leider weniger zu rechnen, zumal neben der DSGVO auch nationale Datenschutzgesetze (in Deutschland BDSG-Neu) und die EU-ePrivacy-Verordnung (wird wahrscheinlich erst 2019 beschlossen) beachtet werden müssen.

Wie hoch ist der Umsetzungsaufwand? – Der Umsetzungsaufwand ist individuell, insgesamt eher hoch und betrifft vor allem Unternehmen, die sich bisher nicht um den Datenschutz gekümmert und zum Beispiel keine Verfahrensverzeichnisse geführt haben.

Mehr zur neuen Datenschutzgrundverordnung: 

 

Zur Startseite
Outbrain