Sie sind hier

Neue Datenschutzgrundverordnung: Das sollten Sie wissen

Neue Datenschutzgrundverordnung: Das sollten Sie wissen

Wissenswertes zur DSGVO, Teil 1
15 März 2018

Am 25. Mai tritt in der Europäischen Union die neue Datenschutz-Grundverordnung (DSGVO) in Kraft – Gerade die Welt des e-Business ist im Aufruhr. In einer eigenen Reihe klären wir Website-Betreiber auf, was sich ändert – und worauf Sie achten sollten.

Der neue Maßstab des Datenschutzes

Wenn sie von bis zu 20 Millionen Euro Bußgeld hören, machen sich selbst größere Unternehmen Sorgen. Nicht zuletzt, weil sie sich oftmals nach wie vor noch nicht bewusst sind, wie streng und penibel die Richtlinien der neuen DSGVO in der Praxis umgesetzt werden, sobald diese erstmal in Kraft tritt. Geben tut es die Verordnung, die auf englisch GDPR (für General Data Protection Regulation) heißt, übrigens schon seit 2016. Aber erst am 25. Mai 2018 müssen EU-Staaten die Inhalte der EU-Datenschutzgrundverordnung verpflichtend anwenden. Dafür muss sie nicht nationales Recht sein: Anders als Richtlinien der EU gelten ihre Verordnungen direkt, ohne auf nationaler Ebene umgesetzt werden zu müssen. Trotzdem sind in die Verordnung einige Spielräume integriert, sodass auch mit Gelten der DSGVO die Rechtslage europaweit zwar angeglichen, aber nicht zu 100% einheitlich sein wird.

Aktuell gilt in Deutschland das Bundesdatenschutzgesetz (BDSG). Es ist im internationalen Vergleich bereits relativ streng, weshalb Unternehmen in Deutschland durch das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) weniger starke Veränderungen zu befürchten haben als in anderen Ländern. Nichtsdestotrotz werden viele der BDSG-Vorschriften durch die DSGVO außer Kraft gesetzt.

Im Zentrum der DSGVO stehen vor allem personenbezogene Daten. Das heißt: Alles, was benutzt werden kann, um eine Person zu identifizieren, muss mit Sorgfalt behandelt werden. Die Betonung liegt auf „kann“! Nicht nur der volle Name der Person gelten als personenbezogene Daten, sondern beispielsweise auch gesetzte Cookies und verwendete IP-Adressen, da diese Rückschlüsse auf die Identität des Users ermöglichen.

Wer ist betroffen?

Es gibt keine quantitativen Einschränkungen für den Geltungsbereich der DSGVO-Änderungen. Das heißt: Ein lokaler Pizzaservice ist genauso betroffen wie riesige Online-Shops, wenn er denn eine Unternehmens-Website hat. Sobald ein Unternehmen in der EU auf irgendeine Weise Nutzerdaten speichert, sei es durch Newsletteranmeldungen, Webseitenlogins, Cookies usw., ändert sich einiges durch die Neuregelungen. Auf die Datenschutzerklärung der eigenen Website sollte in jedem Fall ein Blick geworfen werden.

Übrigens müssen sich auch Firmen mit Sitz außerhalb der EU an die neuen Standards halten, sobald es sie mit Daten von Personen aus der EU umgehen. Das ist in Zeiten, in denen Daten über Clouddienste und Netzwerke wie Facebook und Co. in der ganzen Welt verteilt liegen, sicher der richtige Ansatz – aber auch hier muss die Zukunft zeigen, wie die Umsetzung der Verordnung in der Praxis funktionieren wird. Hauptsächlich auch, um gegen solche Global Players ein probates Mittel zu haben, können bei Verstößen gegen die DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4% des Vorjahresumsatzes eines Unternehmens erhoben werden. Zum Vergleich: Das deutsche Bundesdatenschutzgesetz sah für sehr schwere Verstöße, die zudem noch länger andauerten gerademal 300.000 € Bußgelder vor.

Vieles bleibt – Auch Abmahnungen

Grundsätzlich gilt: Wer sich an bisher geltendes Datenschutzrecht gehalten hat, hat in Deutschland ab Ende Mai deutlich weniger zu befürchten als Unternehmen in anderen EU-Mitgliedsstaaten. Vertraute Datenschutzgrundprinzipien bleiben. So zum Beispiel das Verbot mit Erlaubnisvorbehalt: Personenbezogene Daten dürfen immer nur dann erhoben und verarbeitet werden, wenn eine explizite Erlaubnis vorliegt. Rechtssicher wird diese nach wie vor über Double-Opt-In-Verfahren möglich sein, also eine Einwilligung, die dann noch einmal explizit und nachweisbar bestätigt werden muss. Außerdem gilt es Sorge zu tragen, dass die Daten sparsam, richtig und für einen expliziten Zweck erhoben werden. Neu ist in diesem Zusammenhang der Artikel 32 der DSGVO, der Datenverarbeiter verpflichtet basierend auf dem Technikstandard, den finanziellen Möglichkeiten und der Sensibilität der Daten angemessene Schutzmaßnahmen zu ergreifen. Daran sollte man sich auch halten. Denn sobald die DSGVO umgesetzt ist, werden Abmahnungen in gleichem Maße möglich bleiben, wie sie es heute sind.

Im nächsten Teil der Reihe gehen wir auf spezielle neue Rechte für Internetuser ein und verraten, was man als Webseitenbetreiber wissen sollte, wenn es etwa das „Recht des Vergessenwerdens“ zu beachten gilt.

zurück zur Übersicht