Das ändert sich durch die EU-Datenschutz-Grundverordnung
Wozu das denn? Überall heißt es: Bitte aktuelle AGB sichten, der Verarbeitung persönlicher Daten zustimmen, Newsletter-Abos bestätigen. Denn die DSGVO kommt, mit dem Versprechen im Gepäck, optimierten Datenschutz für alle EU-Bürger zu liefern. Für Unternehmen eine echte Herausforderung – packen wir’s an …
DSGVO: Datenschutz zukunftsfest gedacht
Bereits seit 2016 Gesetz, läuft für Unternehmen die Frist zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) mit dem 25. Mai 2018 ab. Fünf vor Zwölf also, um AGB & Co. wasserdicht zu formulieren. Denn kochte bisher jedes EU-Land sein eigenes Datenschutz-Süppchen, bringt die DSGVO jetzt alle auf (Gleich-)Stand. Ziel: EU-Bürger mit weitgehender Hoheit über ihre persönlichen Daten ausstatten. 99 Artikel bilden die Rechtsgrundlage für zukunftsfesten Datenschutz von Smartphone über Social Media bis Online-Marketing. Längst überfällig, ersetzen sie die Regelung von 1995 – als das Netz in den Kinderschuhen steckte. Als zentrale EU-Regelung bindend, ist der Spielraum einzelner EU-Mitglieder bei nationaler Umsetzung begrenzt. In Deutschland tritt die DSGVO an Stelle des BDSG (Bundesdatenschutzgesetz). Zwar standen dessen Regelungen in zahlreichen Aspekten Pate, dennoch stellt die neue EU-Grundverordnung Unternehmen vor zahlreiche Fragen: Was ist zu tun, z.B. um sich gegen teure Abmahnungen abzusichern? Welche Anlaufstellen helfen dabei? Und bin ich überhaupt betroffen?
Großkonzern bis Solo-Unternehmer: Alle sind betroffen
DSGVO? Ach, das geht doch nur große Shops oder Konzerne mit abertausenden personenbezogener Kundendaten etwas an! Falsch gedacht: Die Neuregelung betrifft Unternehmen aller Branchen und jeden Dienstleister, der im Netz aktiv ist, sei es mit Tracking, Facebook-Werbung, mit Newslettern, Adwords etc.. Sprich, Mittelständler wie Klein- und Einzelunternehmer, Freiberufler wie Ehrenamtler, App-Anbieter wie Blogger. Wer Ärger mit Kunden und Usern vermeiden will, muss seinen Webauftritt komplett DSGVO-konform gestalten, ob Datenerhebung, -speicherung, -änderung oder –auswertung.
Richtig teuer: Neue DSGVO einfach ignorieren
Lag die maximale Bußgeldhöhe bisher bei 300.000 Euro, drohen bei Verstößen künftig bis zu 20 Mio. Euro bzw. 4 Prozent des weltweiten Jahresumsatzes – für Giganten wie Google Strafen in Milliardenhöhe. Gleiches Datenschutzrecht für alle, statt à la Microsoft oder Facebook wirtschaftsfreundliche EU-Staaten mit großzügiger Auslegung des Datenschutzrechts nach Gusto auszuwählen! Bereits im April verließ Facebook angesichts existenzbedrohender Bußgelder mit 1,5 Milliarden Nutzerprofilen den Standort Irland. Und: Nicht nur die Bußgeldhöhe, auch der Schadenersatz wird ausgeweitet. Neben nachweisbaren Schäden wie Anwaltskosten können ab sofort auch Unannehmlichkeiten des Datenmissbrauchs geltend gemacht werden.
Die persönliche Kundendaten sind im Focus: Welche Daten sind gemeint?
Das erste Prinzip der DSGVO? Die Verarbeitung persönlicher Daten ist verboten. Ausnahmen bestätigen die Regel: Nämlich die Informationen, die zur Vertragserfüllung nötig sind. Denn was sollen heute Auftragnehmer tun, die Kundenadressen nicht speichern dürfen? Unternehmer, die personenbezogene (Auftrags-)Daten verarbeiten, müssen zukünftig ihre Kunden ausdrücklich um Erlaubnis bitten. Zu personenbezogenen Daten zählen zum Beispiel
• Name
• Geschlecht
• Anschrift
• E-Mail-Adresse
• Telefonnummer
• Geburtsdatum
• Biometrie
• Kfz-Kennzeichen
• Kontodaten
• Newsletter-Daten
• Standortdaten
• Cookies
• Google-Analytics-Daten
• Facebook-Like-Button
• IP-Adressen
Kurz: Personenbezogene Daten sind Daten, über die sich ein Nutzer eindeutig identifizieren lässt. Minderjährige U-16 stellt die DSGVO unter besonderen Schutz. Immer muss die Einwilligung nachgewiesen werden – beispielsweise per Double Opt-In bei Newsletter-Versand.
Datenverarbeitung: Was, wozu, wie lange?
Vor jeder Datenverarbeitung muss ein Unternehmen den Nutzer klar verständlich informieren: Welche Daten werden zu welchem Zweck genutzt und wie lange gespeichert? Der bloße Verweis auf die Datenschutzbedingungen reicht nicht mehr. Ein Kopplungsverbot stellt sicher, dass es für das Zustandekommen eines Vertrags unerheblich ist, ob ein Kunde der Datenspeicherung zustimmt oder nicht. Je nach Firmengröße und abhängig vom Umgang mit personenbezogenen Daten, ergibt sich die Pflicht, einen internen Datenschutzbeauftragten zu beschäftigen. Diese Pflicht tritt ein, sollten regelmäßig mehr als mindestens 10 Mitarbeiter des Unternehmens mit automatisierter Datenverarbeitung zu tun haben.
Recht auf Widerspruch und Vergessen
Hier ein Klick, dort ein Formular ausgefüllt – und angesichts der Datenfülle den Überblick verloren! Jetzt müssen Unternehmen auf Anfrage alle gespeicherten Nutzerdaten offenlegen – und auf Wunsch löschen bzw. nicht länger nutzen. Passieren Pannen durch automatisierte Datenverarbeitung – etwa, wo ein Kredit verweigert wird – können Betroffene den Sachverhalt jetzt händisch, also durch einen Menschen, überprüfen lassen. Um Datenmonopolen einen Riegel vorzuschieben, kennt die neue EU-Grundverordnung auch ein Recht auf Übertragbarkeit von Datenbeständen in maschinenlesbaren Formaten. Persönliche Datensätze zum neuen Anbieter mitnehmen und dort hochladen? Ab sofort kein Problem mehr. Datenärger mit internationalen Shop-Kunden? One-Stop-Shop bedeutet: EU-Bürger müssen sich mit Beschwerden an die Datenschutzbehörde ihres Landes wenden.
Praktische Hilfen – e-recht24.de und bitkom.org
Auch wenn Einzelaspekte wie der Umgang mit Fotos oder Werbe-Tracking noch der Klärung harren: Europäischer Datenschutzstandard, für global aufgestellte EU-Unternehmen verbindlich, hat das Zeug zum Weltstandard. Unternehmen können auf ein einheitliches EU-Datenschutzrecht vertrauen. Ein Recht, das nicht nur für EU-ansässige Firmen, sondern für alle gilt, die mit EU-Bürgern in Kundenkontakt stehen! Unternehmen, die Ihre Webpräsenz jetzt anpassen möchten, finden auf e-recht24.de praktische Unterstützung – bis zum Datenschutz-Generator. Oder Informationen zu geeigneten technisch-organisatorischen Maßnahmen für angemessenes Datenschutzniveau – bis zu der Frage, wie man ein Verarbeitungsverzeichnis führt. Darüber hinaus finden Arbeitgeber auf e-recht24.de effiziente Handreichungen zum neuen Beschäftigtendatenschutz, um unternehmensinterne Datenschutzprozesse anzupassen. Checklisten runden das Angebot ab.
Extraschneller Einstieg in die DSGVO gefragt? Bitkom.org gibt einen FAQ-Überblick über die wichtigsten Veränderungen und Unternehmen zahlreiche Praxisleitfäden und Mustervorlagen zur DSGVO an die Hand. Kostenlos zum Download – und ideal, um zügig durchzustarten!
Bitte beachten Sie hierbei, dass sich dieser Artikel nur mit der DSGVO Webpräsenz beschäftigt. Die DSGVO umfasst noch weitere umfangreiche Bereiche, die im Gesamten sonst den Rahmen sprengen würden.
____________________
Quellen:
https://www.zeit.de/digital/datenschutz/2018-05/dsgvo-datenschutz-eu-aenderungen
www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-17
https://www.e-recht24.de/
https://www.bitkom.org/