Datenschutz-Grundverordnung (DSGVO) Zusammenfassung und Checkliste
Die Datenschutz-Grundverordnung der EU (DSGVO) soll den Umgang mit personenbezogenen Daten regeln und somit ein einheitliches Datenschutzrecht vorgeben. Die DSGVO gilt für alle 27 EU-Mitgliedstaaten, doch auch fast 4 Jahre nach Inkrafttreten der jüngsten Novelle, kann man noch nicht wirklich von einer europaweit gültigen Datenschutzreform sprechen. Experten und Verbraucherschützer kritisieren die Trägheit der europäischen und nationalen Gesetzgeber, Unternehmen ärgern sich vor allem über den zusätzlichen Bürokratie-Aufwand und die teils undurchsichtige Rechtslage. Wir bieten im Folgenden eine Zusammenfassung der aktuellen Gesetzeslage und stellen in einer DSGVO-Checkliste gebündelt dar, welche Maßnahmen Sie in Ihrem Unternehmen ergreifen sollten.
Dringlichkeit: Keine Richtlinie, sondern eine Verordnung
Gesetze nehmen auf europäischer Ebene für gewöhnlich einen langen Weg – selbst noch, nachdem sie bereits offiziell in Kraft getreten sind. Denn wird eine neue EU-Richtlinie nach langen Debatten im Parlament in Brüssel beschlossen, so werden den 27 Mitgliedsstaaten oft großzügige Übergangsfristen eingeräumt, um das Gesetz in die nationale Rechtsprechung zu übernehmen. Bis der Umsetzungsdruck auch bei einzelnen Unternehmen ankommt, kann viel Zeit verstreichen.
Neben Richtlinien gibt es aber noch eine zweite Art von EU-Gesetzen: Verordnungen. Sie bieten nahezu keine inhaltlichen und zeitlichen Spielräume. Sie sind sofort und für alle Staaten einheitlich rechtlich bindend – dies schließt die Geschäftspraxis eines jeden KMUs unmittelbar mit ein. So ist es auch im Falle der DSGVO: Sie ist keine Richtlinie, sondern eine Verordnung.
Im Mai 2016 trat die Datenschutz-Grundverordnung der EU mit einer Übergangsfrist von zwei Jahren in Kraft – und seit dem 25 Mai 2018 gilt sie in allen EU-Staaten als offizielles Datenschutzgesetz, das der nationalen Gesetzgebung übergeordnet ist. Alle Unternehmen und öffentlichen Stellen, die mit personenbezogenen Daten arbeiten, müssen seitdem die neuen Regeln der EU zum Datenschutz befolgen und entsprechende Maßnahmen in ihrem Betrieb umsetzen.
Doch wie sieht das in der Praxis aus? Hierzu lohnt sich ein Blick auf die Statistiken. Der Digitalverband Bitkom erhebt jährlich eine repräsentative Studie, bei der mehr als 500 Unternehmen in Deutschland zum Thema Datenschutz und ihren DSGVO-Bemühungen befragt werden. Vergleicht man die Erhebung von 2020 mit der aktuellen Bitkom-Umfrage zur DSGVO, wird klar: Inzwischen hat der Großteil der Unternehmen (65 Prozent) die Regelungen der DSGVO vollständig oder zumindest größtenteils umgesetzt. Der Anteil von lediglich 5 Prozent der Unternehmen, die noch fast gar keine Maßnahmen in die Wege geleitet haben, ist deutlich gesunken.
DSGVO-Neuerungen sorgen für Ärger bei Unternehmen
Die größten Hürden bestehen weiterhin bei der Rechtsunsicherheit und dem unklaren Aufwand, der mit der Umsetzung der DSGVO einhergeht. Viele Betroffene halten die Vorgabe, bei jedem Datenaustausch vom Nutzer zuerst ein konkretes Einverständnis einzuholen und diesen über die Datenverwertung zu informieren, für untragbar. Überdies sagen 82 Prozent der Unternehmen, die die DSGVO bislang nicht vollständig umgesetzt haben, dass sie wegen der Corona-Pandemie andere Prioritäten setzen mussten. Unterm Strich sind viele Unternehmen auch nach drei Jahren DSGVO noch unsicher, wie sie die neuen Datenschutzregelungen in das eigene IT-Netzwerk integrieren sollen.
„Die DSGVO hat ihr wichtigstes Ziel, die europaweite Harmonisierung von Rechtsrahmen und -praxis des Datenschutzes, verfehlt. Es gibt zu viele Klauseln, die nationale Sonderwege ermöglichen.“ – Bitkom-Präsident Achim Berg , Bitkom (2021).
Das Ergebnis: Für die viele Unternehmer resultiert die komplizierte Rechtslage in Bußgeldverfahren! Betroffene Unternehmen drohen bei Verstößen hohe Bußgelder. Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr können als Strafmaßnahme erhoben werden. Renommierte Unternehmen wie Google sind wegen ihrer Versäumnisse in puncto Datenschutz bereits zur Kasse gebeten worden. Allein Deutschland hat seit Inkrafttreten der Verordnung laut der Kanzlei DLA Piper Bußgelder in Höhe von 79 Millionen Euro verhängt – bei über 106.000 gemeldeten Verstößen.
Die Website dsgvo-portal.de fasst eine Vielzahl von DSGVO-Verstößen und Verletzungen anderer Datenschutzgesetze übersichtlich und detailliert in einer Datenbank zusammen.
Ergänzungen: Öffnungsklauseln und das BDSG-neu
EU-Verordnungen haben Vorrang vor nationalen Gesetzen und gehen bei Widersprüchen vor. Allerdings enthält die Datenschutz-Grundverordnung einige Öffnungsklauseln, die es nationale Gesetzgeber ermöglicht, bestimmte Datenschutzregeln abzuschwächen oder zu verstärken. Und so ist am 25. Mai 2018 ein weiteres, nationales Datengesetz in Kraft getreten. Das neue Bundesdatenschutzgesetz (BDSG-neu) nutzt den Spielraum, den die DSGVO bietet, und schafft flankierende nationale Regeln für den Datenschutz.
Die europäische Datenschutz-Grundverordnung finden Sie online unter dsgvo-gesetz.de. Auf derselben Seite ist auch das BDSG-neu einsehbar.
Ziele: Europäische Vereinheitlichung des Datenschutzes
Oberstes Ziel der Datenschutz-Grundverordnung ist die Vereinheitlichung des europäischen Datenschutzes. Galt auf EU-Ebene zuvor die Datenschutzrichtlinie von 1995, die in jedem EU-Staat unterschiedlich umgesetzt wurde, ist nun weniger Spielraum für nationale Alleingänge.
Ein zweiter Kernbereich, den die Datenschutz-Grundverordnung adressiert, bezieht sich auf die gravierenden technologischen Veränderungen der zurückliegenden 25 Jahre – und die noch kommenden technischen Entwicklungen. Denn viele Herausforderungen des Datenschutzes liegen noch vor uns. Ein Beispiel: Die Erfassung biometrischer Daten von Mitarbeitern ist für bestimmte Arbeiten mit intelligenten Maschinen zwingend erforderlich. Geht ein Unternehmen sensibel mit solchen Daten um, so stellt dies an sich noch kein Problem dar. Doch sind diese Informationen erstmal beim Arbeitsgeber, besteht auch die Verlockung, sie für andere Zwecke zu verwenden – beispielsweise zur Leistungskontrolle. Auch auf Entwicklungen dieser Art soll die neue europäische Datenschutz-Grundverordnung reagieren.
Das Recht auf Vergessen spielt eine wichtige Rolle für Personendaten, Datenschutz und DSGVO. Wir erklären, worauf es zu achten gilt in unserem Artikel zu diesem Thema.
Inhalte: Bewährte Prinzipien ausbauen
Eine Zusammenfassung der Datenschutz-Grundverordnung muss als erstes auf die Veränderungen eingehen, die mit personenbezogenen Daten zusammenhängen. Denn in diesem Bereich haben die größten Veränderungen durch die europäische Datenschutz-Grundverordnung stattgefunden: Wenngleich nicht in dem Maße, wie ursprünglich geplant, wurde der Schutz der Daten von Privatpersonen mit der DSGVO erkennbar gestärkt. Eine ganze Reihe von Paragrafen macht das Sammeln von personenbezogenen Daten nachvollziehbarer und sachgemäßer zu regulieren.
Beispielsweise wurde die Rechenschaftspflicht von Unternehmen (Accountability) ausgeweitet: Seit Inkrafttreten der DSGVO bestehen umfangreichere Dokumentations- und Nachweispflichten darüber, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet. In diesem Sinne bedeutet die Datenschutz-Grundverordnung vor allem Fleißarbeit bei der Dokumentation.
Die wichtigsten Prinzipien im Überblick:
- Verbot mit Erlaubnisvorbehalt: Dieses Prinzip besagt, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, sie ist erlaubt. Dies war schon bisher so und ist nicht unumstritten. Schließlich sind nicht alle Daten gleich wichtig. Das Verbotsprinzip gilt nach der DSGVO jedoch unterschiedslos für alle Daten mit Personenbezug.
- Zweckbindung: Unternehmen dürfen Daten nur zweckgebunden erheben und verarbeiten. Dafür muss zu Beginn der Erhebung der Zweck ausformuliert und die zukünftige Verwendung der Daten dokumentiert werden. Ein Beispiel aus der Arbeitswelt: Daten, die ein Unternehmen für die Erfüllung eines Vertrages erhoben und zu Recht gespeichert hat, dürfen nicht für Werbezwecke verwendet werden. Dies ist ein anderer Zweck, der gesondert rechtfertigungsbedürftig ist. Nachträgliche Zweckänderungen sind nur unter bestimmten Umständen zulässig.
- Datenminimierung: Das Prinzip der Datenminimierung fordert, dass Unternehmen so wenige Daten wie möglich erheben. Es gilt: So wenig wie möglich, so viel wie nötig. Es darf nicht mehr gesammelt werden, als für die Ausführung des Erhebungszwecks notwendig ist. Damit untersagt dieses Prinzip die „blinde“ Datenerhebung auf Vorrat.
- Transparenz: Die Datenverarbeitung soll für die Betroffenen nachvollziehbar sein. Dies erfordert einerseits verständliche Datenschutzerklärungen, andererseits haben Nutzer mit den Neuerungen der DSGVO umfangreiche Rechte erhalten: Unternehmen müssen auf Anfrage mitteilen, welche Daten ihnen vorliegen und wie sie diese verwenden.
- Vertraulichkeit: Unternehmen haben dafür zu sorgen, dass sie die personenbezogenen Daten ihrer Kunden technisch und organisatorisch schützen – sei es vor unbefugter Verarbeitung oder Veränderung, vor Datendiebstahl oder Vernichtung. Die ausdrückliche Pflicht zu technischen Schutzmaßnahmen ist neu. Dennoch sind diese Maßnahmen in der Datenschutz-Grundverordnung nicht präzise ausformuliert und bieten Auslegungsspielraum. Im Falle eines Datendiebstals kommt es darauf an, ob die technischen und organisatorischen Schutzmaßnahmen dem Risiko und der Art der gespeicherten Daten angemessen waren.
Betroffene: Unternehmen und Datenschutzbeauftragte
Zunächst einmal ist die DSGVO eine gute Basis für jeden Verbraucher und Betroffenen von Datenverarbeitung. Denn ihnen gilt der ausgebaute Schutz in der DSGVO. Darüber hinaus betreffen die Regelungen der DSGVO aber auch allgemein die Rechte von Arbeitnehmern. In diesem Bereich hat der deutsche Gesetzgeber von einer Öffnungsklausel Gebrauch gemacht und weitere Regelungen zum Beschäftigtendatenschutz im BDSG-neu getroffen.
Diese Regeln sind für alle Unternehmen relevant, die Mitarbeiter beschäftigen. Insofern sind zahlreiche Firmen doppelt betroffen: Hinsichtlich des Datenschutzes ihrer Angestellten (Beschäftigungsdatenschutz) und in Bezug auf Kunden, Lieferanten und Website-Besucher.
Eine besondere Relevanz hat die DSGVO natürlich für die Berufsgruppe der Datenschutzbeauftragten. Ihre Zahl steigt durch die DSGVO beträchtlich. Denn die Verordnung verpflichtet europaweit alle öffentlichen Stellen und Unternehmen, deren Kerntätigkeit sich auf die Handhabung von Personendaten bezieht, einen betrieblichen Datenschutzbeauftragten zu benennen. Selbst wenn die Kerntätigkeit nicht auf die Datenverarbeitung bezogen ist, muss ein Datenschutzbeauftragter bestellt werden, wenn im Betrieb mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das dürfte für zahlreiche Mittelständler gelten.
Auch für Datenschutzbeauftragte (DSB), die bereits in einem Unternehmen angestellt waren, bedeutete die Datenschutz-Grundverordnung eine große Umstellung. Denn ihre Rolle im Unternehmen hat sich grundlegend geändert: Sollte der Datenschutzbeauftragte zuvor auf die Datenschutz-Konformität hinwirken, so ist er nun für die Überwachung der Maßnahmen verantwortlich. Oder anders formuliert: Das Aufgabenfeld des DSB hat sich deutlich ausgeweitet, wodurch natürlich auch sein Haftungspotenzial gestiegen ist.
Für Datenschutzbeauftragte bedeutet die Verordnung also ausnahmslos eine Menge Arbeit: Sie müssen sich detailliert in die Gesetzeslage einarbeiten. Dennoch hat das einheitliche Gesetz für sie auch positive Seiten: Ihre Expertise ist gefragter denn je und mit den zunehmenden Aufgaben ist auch eine Aufwertung ihrer Position im Unternehmen verbunden.
Im Folgenden geben wir eine Zusammenfassung der Datenschutz-Grundverordnung, die besonders die elementaren Aufgaben und Auswirkungen für Website-Betreiber und Unternehmen berücksichtigt.
Sie sind IONOS Kunde? Hier finden Sie eine Checkliste speziell für IONOS Kunden mit allen Informationen, worauf Sie als Website-Betreiber achten müssen, damit Ihre Website der neuen Datenschutz-Grundverordnung entspricht.
DSGVO: Auswirkungen für Unternehmen und Website-Betreiber
Auch, wenn es keine grundlegende Neuausrichtung des Datenschutzes gibt, hat die europäische Datenschutz-Grundverordnung im Detail viele Veränderungen herbeigeführt. Diese müssen Unternehmen unbedingt berücksichtigen und bereits bei der Konzeption von Arbeitsabläufen mit Personenbezug in ihren Workflow integrieren (Prinzip des Privacy by Design). Andernfalls verstoßen sie gegen europäisches Recht. Es folgen die wichtigsten Regelungen, die Unternehmen – insbesondere im Bereich des Onlinehandels – beachten müssen.
Allgemeine Datensicherheit in Unternehmen
- Datenschutz-Folgeabschätzung: Unternehmen sind verpflichtet, Risiko-Abschätzungen vorzunehmen. Sie müssen festhalten, welche Schutzmaßnahmen zur Risikominimierung unternommen werden, insbesondere wenn ein Unternehmen Cloud-Dienste sicher verwenden will, ist diese Vorschrift relevant. Denn beim Cloud-Computing wird oft mit größeren Mengen personenbezogener Daten hantiert. Noch stärker dürften Unternehmen betroffen sein, die Gesundheitsdaten speichern, gelten diese doch als besonders sensibel und eine Verbreitung der Daten wiegt für die Betroffenen besonders schwer.
- Arbeitnehmerdaten: Auf den Prüfstein kommt auch, wie ein Unternehmen die Daten seiner Arbeitnehmer bearbeitet. Die entsprechenden Regelungen in der DSGVO und dem BDSG-neu betreffen also auch die Human Resources, die in die Veränderungen miteinbezogen werden müssen.
- Datenschutzbeauftragte: Für viele Unternehmen ist ein Datenschutzbeauftragter fortan Pflicht. Dieser überwacht die individuell ausgearbeitete Datenschutzstrategie und die DSGVO-Konformität. Das betrifft nicht bloß Unternehmen, die in großem Umfang mit personenbezogenen Daten arbeiten. Jedes Unternehmen, bei dem mehr als 20 Personen regelmäßig mit personenbezogenen Daten zu tun haben, muss einen Datenschutzbeauftragten bestellen.
- Meldepflichten: Die Vorgaben der DSGVO zum Vorgehen bei Datenpannen sind deutlich strenger als frühere Regelungen. Sicherheitsvorfälle müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden: Im Zweifel sowohl an die betroffenen Personen als auch an die zuständigen Behörden.
- Verantwortlichkeit und Bußgelder: Unternehmen können für Verstöße im Umgang mit den von ihnen erhobenen Daten leichter verantwortlich gemacht werden. Das schließt hohe Geldbußen mit ein.
Im Internet finden Sie viele Ratgeber, die auf den ersten Blick aktuell gehaltene Informationen zur DSGVO und zum BDSG-neu bereitstellen. Doch der Schein trügt! Teilweise sind die Inhalte nicht aktualisiert worden. Ein Beispiel: Nach § 38 BDSG müssen Unternehmen einen Datenschutzbeauftragten bestellen, sobald 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auf vielen Seiten wird noch die ältere Fassung des Bundesdatenschutzgesetzes zitiert, in der von 10 Personen die Rede ist. Wie so oft gilt also: Vorsicht ist besser als Nachsicht.
Sicherheit personenbezogener Daten
- Dokumentationspflicht: Ein Schwerpunkt der Datenschutzgrundverordnung liegt auf der Rechenschaftspflicht von Unternehmen, auch Accountability genannt. Unternehmen sind verpflichtet, die Datenschutz-Compliance durch eine hausinterne Dokumentation belegen zu können. Sie müssen den Behörden jederzeit durch Vorlage eines entsprechenden Verzeichnisses darlegen können, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden und wann das Unternehmen sie löscht.
- Privacy by Design: Das Prinzip Privacy by Design bedeutet, dass Unternehmen bereits beim technischen Aufbau ihrer Geschäftsprozesse den Datenschutz berücksichtigen müssen. Sie dürfen Maßnahmen zum Datenschutz technisch nicht erst nachträglich (also zweitrangig) implementieren, sondern müssen sie bereits in der Erarbeitungsphase in den Arbeitsprozess integrieren. Produkte und Prozesse sollen also so konzipiert werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen.
- Privacy by Default: Diese Vorschrift der Datenschutz-Grundverordnung schreibt vor, dass grundsätzlich die datenschutzfreundlichste Variante technisch voreingestellt sein muss. Das erspart Verbrauchern, sich durch komplexe technische Einstellungen kämpfen zu müssen, um Beschränkungen der Datenverarbeitung zu erwirken.
- Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung): Auch künftig müssen Individuen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen. Zudem ist die Einwilligung des Arbeitnehmers oder Verbrauchers nur für den anzugebenden Verwendungszweck gültig. Außerdem muss die Einwilligungserklärung verständlich formuliert und grundsätzlich widerrufbar sein. Der Widerruf muss für den Kunden ebenso einfach sein wie die Einwilligung. Die Anforderungen an eine wirksame Einwilligung sind mit der DSGVO gestiegen. Ein grobes Ungleichgewicht zwischen den Beteiligten kann die Freiwilligkeit ebenso ausschließen, wie die Kopplung der Erteilung an den Vertragsschluss.
- Löschung von Daten: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Erlischt die Verarbeitungsbefugnis (etwa, weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
- Auskunftsrecht und Recht auf Löschung: EU-Bürger haben das Recht, auf Anfrage zu erfahren, über welche ihrer Daten ein Unternehmen verfügt und wie es diese verwendet. Außerdem können Verbraucher bei Unternehmen einfordern, ihre Daten zu löschen. Diesem „Recht auf Vergessenwerden“ muss demnach auch ein Großkonzern wie Google Folge leisten und auf Anfrage Links zu personenbezogenen Informationen aus den Ergebnissen seiner Suchmaschine löschen.
Das TTDSG ist da: Website-Betreiber aufgepasst!
Bisher enthielt die Datenschutz-Grundverordnung kaum explizite Regeln für den Onlinehandel respektive für Website-Betreiber. Doch seit dem 1. Dezember 2021 ist das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Deutschland in Kraft getreten. So müssen Website-Betreiber nun deutlich mehr Regelungen und Vorschriften in Sachen Cookie-Tracking und Speicherung personenbezogener Daten beachten.
Zum Hintergrund: Die DSGVO war und ist eine Übergangslösung, denn ursprünglich sollte gemeinsam mit der Datenschutz-Grundverordnung und dem BDSG-neu noch eine weitere Neuregelung des Datenschutzes in Kraft treten: die ePrivacy-Verordnung der EU. Wann diese zusätzliche Regulierung in Kraft treten wird, ist aber noch nicht abzusehen, denn die EU-Mitgliedstaaten konnten sich bislang nicht auf eine gemeinsame Linie einigen. Aber zumindest hierzulande hat der deutsche Gesetzgeber nun mit dem neuen TTDSG einen kleinen Meilenstein erreicht und die auch als „Cookie-Richtlinie“ bekannte EU-Regulierung in nationales Recht umgesetzt. Das TTDSG führt die Regelungen der DSGVO mit dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein neues Stammgesetz zusammen.
Website-Betreiber und Onlinehändler sollten die ausstehende ePrivacy-Verordnung unbedingt im Blick behalten. Denn im Gegensatz zur Datenschutz-Grundverordnung, die datenschutzrechtliche Grundsätze regelt, wird sich die ePrivacy-Verordnung auf einen sehr speziellen Bereich beziehen: den Schutz der Privatsphäre im digitalen Alltagsleben. Hier warten also weitere Neuregelungen auf Website-Betreiber.
Das hat sich mit der DSGVO geändert
Doch was hat sich dann im Mai 2018 mit der Datenschutz-Grundverordnung der EU wirklich geändert? Die wichtigsten Veränderungen für Website-Betreiber sind folgende:
- Die umfassende Dokumentationspflicht der Datenschutz-Grundverordnung
- Die komplexeren Erlaubnistatbestände
- Die Grundsätze von Privacy by Design und Privacy by Default
- Erweiterte Auskunftsrechte und das Recht auf Löschung
- Das Recht auf Datenübertragbarkeit
- Deutlich umfangreichere Informationspflichten (z. B. für die Datenschutzerklärung einer Website)
- Das Kopplungsverbot bei Einwilligungen
- Sehr hohe Bußgelder
Einige Punkte haben wir in den vorherigen Abschnitten bereits erläutert. Die beiden Themen Datenschutzerklärung und Koppelungsverbot werden im Folgenden dargestellt. Denn sie betreffen hauptsächlich Website-Betreiber.
Datenschutzeinwilligung und Datenschutzerklärung sind strikt zu unterscheiden. Die Einwilligung des Nutzers – erforderlich für jede Datenverarbeitung, die nicht durch eine Rechtsnorm erlaubt ist – meint die aktive Bestätigung eines Nutzers, dass er mit den Datenschutzbedingungen eines Unternehmens einverstanden ist. Die Datenschutzerklärung ist jener Text, in dem ein Unternehmen seinen Kunden seine Maßnahmen zum Datenschutz darlegt. Sie ist auf jeder Webseite Pflicht.
Die wichtigste Neuerung der DSGVO für Website-Betreiber stellen die Vorgaben zu den Datenschutzbestimmungen dar. Bereits laut TMG musste jede Webseite eine Datenschutzerklärung enthalten. Doch während das TMG lediglich vorschrieb, dass Datenschutzerklärungen über Art, Umfang und Zwecke der Erhebung unterrichten sollten, enthält Art. 13 DSGVO, Abs. 2 der DSGVO einen ausführlichen Katalog von Informationen, die eine Datenschutzerklärung enthalten muss. Auch die Form die Datenschutzerklärung wird in der DSGVO deutlicher geregelt: Die Erklärung muss in verständlicher Sprache und inhaltlich nachvollziehbar erfolgen. Transparenz wird dabei in der DSGVO großgeschrieben.
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“ – Art. 12 Abs. 1 DSGVO über die Anforderungen an Datenschutzbestimmungen
Im Kopplungsverbot wiederum sehen Experten die größte Restriktion, die sich für die Netzwirtschaft aus der Datenschutz-Grundverordnung ergibt. Nach dem Kopplungsverbot darf ein Website-Betreiber seine potenziellen Kunden nicht zur Abgabe von Daten verpflichten, die für die eigentliche Leistung nicht notwendig sind. Ein Beispiel: Fordert man für das Zustandekommen eines Vertrages zugleich die Anmeldung für einen Newsletter, so verstößt man gegen EU-Recht. Oberstes Prinzip der Einwilligung ist die Freiwilligkeit. Bei vielen gekoppelten Einwilligungen dürfte diese jedoch fehlen. Die so eingeholten Einwilligungen sind folglich unwirksam.
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ – Art. 7 Abs. 4 DSGVO über das Koppelungsverbot
Zuletzt noch einmal der Hinweis: Beachten Sie unbedingt auch die Änderungen zu Dokumentationspflichten, Erlaubnisgrundlagen, Speicherung, Auskunftsrechten und zum Recht auf Löschung. Im Einzelnen können auch kommende Neuregelungen Website-Betreiber und Unternehmen betreffen.
DSGVO-Checkliste: Die wichtigsten Maßnahmen für Unternehmen und Website-Betreiber
Möchte man mit der Umsetzung der europäischen Datenschutz-Grundverordnung beginnen, gilt zunächst: Die erforderlichen Maßnahmen fallen je nach Unternehmen unterschiedlich aus. Dennoch gibt es eine Reihe an Vorkehrungen, die jedes Unternehmen berücksichtigen sollte. Wir haben diese in einer DSGVO-Checkliste für Sie zusammengefasst.
- Etablieren Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
- Richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein.
- Richten Sie Kommunikationsrouten für Kunden-Anfragen zum Datenschutz ein.
- Prüfen Sie, ob Sie einen Datenschutzbeauftragten beauftragen müssen.
- Passen Sie die Datenschutzerklärung auf Ihrer Website an die Neuregelungen an.
- Beraten Sie sich mit dem Leiter Ihrer Technikabteilung und dem Datenschutzbeauftragten, ob die aktuellen technischen Maßnahmen zum Datenschutz ausreichen. Unter Umständen müssen weitere Maßnahmen eingeleitet oder bestehende Maßnahmen besser in die IT-Infrastruktur integriert werden.
- Alle erhobenen personenbezogenen Daten, die gegen das Kopplungsverbot verstoßen, müssen anders eingeholt und als freiwillig ausgegebene Daten erhoben werden.
- Falls Sie externe Dienstleister damit beauftragt haben, personenbezogene Daten für Ihr Unternehmen zu verwalten, sollten Sie mit ihnen klären, ob die getroffenen Vereinbarungen der Datenschutzreform entsprechen. Passen Sie die Vereinbarungen gegebenenfalls den neuen Vorgaben an.
- Überprüfen Sie, wie Sie in Ihrem Onlineshop die Einwilligungen Ihrer Kunden einholen und passen Sie die Vorgehensweise an die Regelungen der Datenschutz-Grundverordnung an.
- Bleiben Sie aufmerksam, was die ePrivacy-Verordnung angeht: Sie wird künftig regeln, wie Onlinehändler mit Analyse- und Trackingtools umgehen.
- Falls Sie unsicher sind, nutzen Sie entsprechende professionelle Beratung.
Wussten Sie schon? Durch die DSGVO muss sichergestellt werden, dass personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung geschützt sind. Daher empfehlen wir im Zuge der DSGVO den Einsatz von einem SSL-Zertifikat für Ihre Website oder Ihren Onlineshop.
Reaktionen auf die Datenschutz-Grundverordnung: Lob und Kritik
Der Tenor aus den politischen Reihen war bei der Verabschiedung der Datenschutz-Grundverordnung mehrheitlich positiv. Sie schaffe Rechtssicherheit für Verbraucher und Unternehmer und stelle die gleichen Bedingungen für alle europäischen Marktteilnehmer sicher – so ließ es 2016 die damalige Bundesdatenschutzbeauftragte Andrea Voßhoff verlauten und sprach von einem „Meilenstein“ für den Datenschutz. Auch aus dem Bundeswirtschaftsministerium gab es überwiegend zufriedene Stimmen zur europäischen Datenschutz-Grundverordnung: Zwischen Datenschutz und Big Data sei fair vermittelt worden, erklärte Rainer Sontowski in seiner damaligen Rolle als Staatssekretär. Europäische Harmonisierung bei genügend unternehmerischem Freiraum – so lautete das allgemeine Urteil.
Doch gab es zur Verabschiedung der Datenschutz-Grundverordnung auch 2016 bereits kritische Stimmen. Datenschutzinitiativen und Verbraucherzentralen sprachen von einem verwässerten Gesetz, dessen ursprüngliche Funktion besonders von der deutschen Regierung ausgehöhlt worden sei. Weitere Kritik kam vom Bundesverband Digitale Wirtschaft (BVDW), der schon während des Prozesses vage Formulierungen bemängelte, die das Risiko geringer Rechtssicherheit trügen. Dennoch wurde auch bei Kritikern die Initiative im Grundsatz begrüßt.
Abschließend einige Stellungnahmen zur Datenschutz-Grundverordnung im Überblick.
„Die ambitionierten Ziele, die zu Beginn des Prozesses ausgerufen wurden, werden damit leider nicht erreicht und teils sogar in ihr Gegenteil verkehrt. In Anbetracht der jahrelangen Versuche der Bundesregierung, die Reform zu verzögern und Schutzmechanismen für Verbraucherinnen und Verbraucher zu torpedieren, muss allerdings das bloße Zustandekommen der Novelle bereits als Erfolg gewertet werden.“ – Digitale Gesellschaft
„Das Ja zur EU-Datenschutzverordnung ist eine gute Nachricht für Verbraucher und Unternehmen. Endlich gelten europaweit einheitliche und zeitgemäße Spielregeln beim Datenschutz.“ – Verbraucherzentrale Bundesverband
„Datenschutzregeln europäisch zu vereinheitlichen war und ist die richtige Entscheidung. Nach drei Jahren muss man aber bilanzieren: […] Die Abstimmung unter 27 Aufsichtsbehörden auf EU-Ebene zu einer einheitlichen Auslegung und Durchsetzung der Regeln funktioniert in der Praxis nur schleppend“ – Bitcom
„We regret that much of the ambition of the original data protection package was lost, due to one of the biggest lobbying campaigns in European history. However, we congratulate the European Parliament and, in particular, the successful Luxembourg Presidency of the EU last year, for saving the essence of European data protection legislation.“ – European Digital Rights
Bisherige Auswirkungen der Datenschutz-Grundverordnung auf Unternehmen und Verbraucher
Über die möglichen Konsequenzen der Datenschutz-Grundverordnung wird schon seit Jahren heftig diskutiert. Seit dem 25. Mai 2018 scheinen sich nun sowohl einige der positiven als auch einige der negativen Voraussagen zu bewahrheiten. An dieser Stelle finden Sie deshalb eine Kurzübersicht über alle relevanten Entwicklungen, die mit der DSGVO zusammenhängen und Unternehmen oder Verbraucher betreffen:
Versäumte Umsetzung belastet KMUs
Organisationen wie der Digitalverband Bitkom haben in der vergangenen Zeit immer wieder festgestellt, dass die Umsetzung der Datenschutz-Grundverordnung deutlich zu träge verläuft. Insbesondere bei kleinen und mittleren Unternehmen besteht nach wie vor Nachholbedarf.
Auswirkungen auf die internationale Digitalwirtschaft
Die DSGVO sorgt nicht nur hierzulande für Verwirrung, sondern zum Beispiel auch in den USA: Statt ihre eigenen Datenschutzrichtlinien an die neuen europäischen Regelungen anzupassen, blockieren viele dort ansässigen Unternehmen sowie Nachrichtenseiten einfach Nutzer mit europäischen IP-Adressen, reduzieren das angebotene Informationsangebot oder schalten dieses nur gegen einen Aufpreis frei. Zudem sind aus Angst vor Bußgeldern auch viele kleine Websites vom Netz genommen worden und seitdem nicht mehr online gegangen. Diese Entwicklungen spielen direkt in das Szenario der „Datenflucht“ hinein, das von vielen DSGVO-Kritikern befürchtet wird.
Gleichzeitig hat das Inkrafttreten der DSGVO einen internationalen Diskurs über das Thema Datenschutz angestoßen, der – so sind sich Datenschützer einig – in diesem Ausmaß längst überfällig war. Große Internetkonzerne wie Alphabet (Google) und Meta (Facebook, WhatsApp, Instagram) stehen nun häufiger im Mittelpunkt der medialen Aufmerksamkeit und werden auch von ihren Nutzern kritisch beobachtet. Schließlich verarbeiten die Big Player auch die personenbezogenen Daten von EU-Bürgern, deren Schutz einen höheren Stellenwert genießt als es aktuell noch im US-Recht der Fall ist.
Betrugsmasche: Abmahnung
Eine große „Abmahnwelle“, wie es von vielen Wirtschaftsakteuren lange Zeit befürchtet wurde, gab es infolge des Inkrafttretens der DSGVO nicht. Wesentlich häufiger und in aller Regelmäßigkeit treten jedoch E-Mails mit Mahnungen auf, die in der Realität ohne Hand und Fuß sind. Die IHK Hannover warnte bereits im Januar 2019 vor angeblich offiziellen Mahnungsschreiben, bei denen es sich tatsächlich um eine Betrugsmasche handelte. Derartige E-Mails enthalten gefährliche Malware im Anhang und sollten deshalb schnell als Spam eingestuft und gelöscht werden.
Lesen Sie mehr über Betrug und Phishing-Mails im IONOS Digital Guide.
Das lässt an die vereinzelten Betrugsfälle denken, von denen einige Anwälte bereits im Mai 2018 berichteten, und bei denen ebenfalls versucht wurde, die Unsicherheit bezüglich der DSGVO für kriminelle Machenschaften auszunutzen.
Die Schonfrist ist längst vorbei: Bußgelder nach DSGVO
Obwohl sich die Angst vor einer Abmahnwelle als übertrieben herausgestellt hat, meldeten der Bund und die Länder bereits im Dezember 2018 sehr viele Datenschutzbeschwerden. Zahlreiche Hinweise zu Verstößen in Unternehmen gingen bei den Datenschutzbeauftragten ein. Ulrich Kelber, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), fasst es so zusammen: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden.“.
Nahezu zeitgleich mit der Einführung der DSGVO begannen die deutschen Datenschutzbehörden mit der Verhängung der ersten Bußgelder: Im November 2018 musste der Social-Media-Dienstleister Knuddels.de ein Bußgeld von 20.000 Euro zahlen, nachdem er Passwörter und E-Mail-Adressen unverschlüsselt im Klartext gespeichert hatte und dadurch leichtes Opfer eines Hacker-Angriffs geworden war. Ein deutlich höheres Bußgeld kassierte H&M: Weil mehrere Jahre unrechtmäßig personenbezogene Beschäftigungsdaten gespeichert wurden, musste H&M 35 Millionen Euro DSGVO-Bußgeld zahlen.
Mehr Klarheit durch Rechtsprechung
Besonders vor und kurz nach der Einführung der DSGVO herrschte viel Aufregung wegen diverser Unklarheiten. Vieles hat sich als unbegründet erwiesen, andere Szenarien müssen noch durch Gerichte geprüft werden. Bei manchen Themen hat die Rechtsprechung dagegen bereits für Klarheit gesorgt:
- Dürfen direkte Wettbewerber Abmahnungen aufgrund von Datenschutzverstößen in Unternehmen aussprechen? Wenn es nach dem Landgericht Würzburg geht, lautet die Antwort „Ja“. Im September 2018 hat es mit dieser Einschätzung einen bereits häufig zitierten Präzedenzfall geschaffen.
- Hat die DSGVO Auswirkungen auf die bisherigen Praktiken bei der Verwendung von Bildern? Hierzu hat das Oberlandgericht Köln entschieden, dass das Kunsturhebergesetz, das bislang die Urheberschaft und Verbreitung von Bildern regelte, trotz der Datenschutz-Grundverordnung auch weiterhin gültig ist.
Inzwischen nimmt auch in anderen Teilen der Welt der Datenschutz eine immer größere Rolle im täglichen Umgang mit dem Internet und digitalen Anwendungen ein. So hat beispielsweise die Regierung des US-Bundesstaats Kalifornien den California Consumer Privacy Act verabschiedet. Das Gesetz hat in vielen Punkten Ähnlichkeit mit der DSGVO.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.