DSGVO

von

EU-Datenschutzgrundverordnung ab Mai 2018

Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Jedes Unternehmen, das Daten erfasst und speichert, muss jetzt seine komplette Datenverwaltung daran anpassen. Wichtig: die Bußgeldbeträge steigen stark und schon jetzt machen sich Behörden und auch die sogenannten Abmahnanwälte bereit für Kontrollen. Was jetzt zu tun ist.

Mit der Digitalisierung steigt die Masse an Daten, die Unternehmen erfassen, verarbeiten und speichern. Daran passt sich auch der Gesetzgeber an. Ab dem 25. Mai 2018 gilt europaweit eine neue Datenschutz- Grundverordnung (DSGVO). Sie präzisiert die bereits geltenden Vorgaben auch in Deutschland.

Dabei sind es nicht die inhaltlichen Vorgaben beim Datenschutz, die sich in Deutschland stark verändern, sondern der Umgang mit den Daten. Noch wichtiger wird es nun alle Prozesse, in denen die Daten eine Rollen spielen – das Erfassen, Ablegen, Speichern und Löschen – zu dokumentieren, diejenigen, deren Daten betroffen sind über den Umgang damit aufzuklären und gegebenenfalls auch Einwilligungen für die Nutzung der Daten einzuholen.

Anders als man es vielleicht vermuten könnte, gelten für alle Unternemen als datenverarbeitende Unternehmen, wenn sie Mitarbeiterdaten erfassen und Kundendaten speichern. Damit unterliegen sie den Vorgaben des Bundesdatenschutzgesetzes und sind auch vom Inkrafttreten der DSGVO betroffen. In Kraft ist die DSGVO übrigens schon seit zwei Jahren bzw. seit dem 25. Mai 2016, doch es gilt noch eine Übergangsfrist bis zum 25. Mai dieses Jahres. Ihre Einhaltung durch die EU-Datenschutzaufsichtsbehörden und Gerichte ist also auch erst nach dem Ende der Übergangsfrist überprüfbar.

Wann ist die Datennutzung zulässig?

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.

Die DSGVO (Artikel 6) erlaubt die Datennutzung demnach dann ohne Einwilligung,

  • wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können).
  • zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch ein Angebotsenden zu können).
  • zur Wahrung berechtigter Interessen des Unternehmens oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).

Für alle anderen Fälle ist es nötig, eine Einwilligung von der betreffenden Person einzuholen.

Informations- und Dokumentationspflichten im Überblick
  • Einwilligungen einholen: Für jede Datennutzung, die nicht durch die gesetzlichen Vorgaben (wie oben beschriebeniehe oben) erlaubt ist, muss eine Einwilligungserklärung eingeholt werden. Diese muss zwar nicht zwingend in schriftlicher Form vorliegen, angesichts der Nachweispflicht der Betriebe, bringt dies aber erhebliche Vorteile bzw. Rechtssicherheit.
  • Auskunftsrecht, Informationspflicht und Recht auf Löschung der Daten: Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Werden Daten nicht bei der betroffenen Person selbst, sondern bei einem Dritten erhoben, muss die Person darüber informiert werden. Außerdem hat jeder, dessen Daten erhoben werden, ein Recht darauf, dass die Daten auf Verlangen gelöscht werden.
  • Dokumentation der Datenverarbeitung (Verarbeitungsverzeichnis): Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren.
Was sind personenbezogene Daten?

Alle Unternehmen, die personenbezogene Daten erheben oder verarbeiten, sind von der neuen Datenschutzgrundverordnung (DSGVO) betroffen. Doch was sind eigentlich personenbezogene Daten?

  • Aussehen
  • Gang
  • Name
  • Adresse
  • Telefonnummer
  • Kennzeichen
  • Arbeitszeiten
  • Kreditkarten
  • Kundennummer
  • Kontodaten
  • Personalnummer
  • IP-Adresse

 

 

 

 

 

 

Ohne Einwilligung nur dringend notwendige Daten speichern

Die Digitalisierung wird aber auch den Umgang mit den Daten verändern, die Unternehmen verarbeiten und speichern dürfen – vor allem deshalb, weil die Datenmasse steigt und auch an mehr Stellen Daten erfasst werden. So müssen datenverarbeitende Unternehmer im Zweifel den Nachweis führen können, dass ihre Datenverarbeitung den Vorgaben der Datenschutz-Grundverordnung entspricht. Als Faustregel gilt deshalb, dass ohne Einwilligung nur solche Daten verarbeitet werden dürfen, die für die Entstehung beziehungsweise Abwicklung des Kundenverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben gespeichert werden müssen, etwa für die Steuer.

Dies sollte jedes Unternehmen ernst nehmen, denn die Bußgeldhöhen werden mit der DSGVO stark angezogen. Neben den Bußgeldern der Aufsichtsbehörden drohen außerdem Abmahnungen von Verbraucherschutz- und Wettbewerbsverbänden und wettbewerbsrechtliche Abmahnungen von Konkurrenten. Schon jetzt wird vor sogenannten Abmahn-Anwälten gewarnt.

Cookies und die EU-Cookie-Richtlinie

Fast alle Webseiten verwenden Cookies. Diese sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat.

Den rechtlichen Umgang regelt in der EU die so genannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland aber gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern umgesetzt werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht.

Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG). Der besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis mit Link auf die Datenschutzerklärung erfolgen.  

Das deutsche Recht kennt aktuell trotz der EU Cookie Richtline also keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen.  

Um die Sache noch komplizierter zu machen: Die EU-Kommission hat erklärt, dass die Cookie Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf „Ja, ich stimme zu“), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen. Es bleibt also ein gewisses Risiko, wenn Sie keinen Cookie Hinweis auf Ihrer Webseite anbieten.

Zurück