Viel Lärm um Nichts oder die nächste Revolution des Datenschutzes? Die neue EU-Datenschutzgrundverordnung ist in aller Munde – aber nur die wenigstens wissen, was sich genau dahinter verbirgt. Das Thema schwankt daher bei vielen Unternehmern in seiner Priorität zwischen kurzentschlossenem und bisweilen wildem Aktionismus und einer eher abwartenden Haltung.

Der Hintergrund

Mit der neuen Datenschutzgrundverordnung, kurz DSGVO, will die EU einheitliche und damit transparentere Regelungen in Bezug auf den Umgang mit personenbezogenen Daten schaffen. Die neuen Standards müssen ab dem 25. Mai 2018 verbindlich angewendet werden und setzen damit vielen Passagen der bis dato geltenden Datenschutzgesetze der einzelnen EU-Mitgliedsstaaten außer Kraft. Aber auch außerhalb der EU findet die Verordnung Anwendung – nämlich immer dann, wenn Unternehmen die Daten von Nutzern von innerhalb der EU verarbeiten.

Datenschutzgrundverordnung im Fokus

Was bedeutet das nun für Sie als Unternehmer? Die DSGVO stellt das Datenschutzrecht gewissermaßen auf den Kopf – und zwar nicht nur für Unternehmen, die sich im Online-Handel bewegen. Betroffen sind alle, die in irgendeiner Art und Weise personenbezogene Daten verarbeiten. Dies ist immer dann der Fall, wenn sich aus den erhobenen Daten Rückschlüsse auf eine natürlich Person ziehen lassen, wie es im Amtsdeutsch heißt, die eine Identifikation erlauben: Name, E-Mail-Adresse, Telefonnummer, IP-Adresse …

Jeder Unternehmer ist betroffen

Im Klartext: Der Anwendungsfall beginnt bei den eigenen Mitarbeitern und endet bei der Datenschutzerklärung Ihrer Internetseite. Diese, um ein konkretes Beispiel auf der Praxis zu nennen, muss nun folgenden formaljouristischen Kriterien entsprechen:

  • präzise
  • transparent
  • verständlich
  • leicht zugänglich
  • in klarer und einfacher Sprache.

Im Zweifel muss der Nachweis erbracht werden können

Unternehmen müssen darüber hinaus künftig im Rahmen der sogenannten Rechenschaftspflicht (auf Nachfrage!) nachweisen können, dass sie ein Konzept verfolgen, um den Datenschutz einzuhalten, es tatsächlich in den Alltag integrieren und auch regelmäßig auf den Prüfstand stellen. In diesem Kontext wird gern auf die Benennung eines Datenschutzbeauftragen verwiesen: Tatsächlich bleibt diese Vorgabe des Bundesdatenschutzgesetzes bestehen, d.h. wenn mehr als neun Mitarbeiter sich ausschließlich mit personenbezogenen Daten beschäftigen oder aber mindestens 20 Mitarbeiter im Unternehmen tätig sind, ist ein (externer) Datenschutzbeauftrager Pflicht.

Investition in die Datensicherheit

Der nun ebenfalls verankerte Grundsatz der Datensicherheit geht noch weiter: Er umfasst, dass “Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten” (Quelle:eRecht 24). Verstossen Sie gegen den Datenschutz und schaffen damit ein Sicherheitsrisiko müssen Sie innerhalb von 72 Stunden sowohl die verantwortliche Aufsichtsbehörde informieren als auch die Betroffenen darüber in Kenntnis setzen.

Das Niveau in Deutschland ist überdurchschnittlich

Juristen warnen jedoch aus dem Blick für das Detail heraus vor Panikmache. Die Datenschutzbestimmungen sind in Deutschland um ein Vielfaches höher als es in anderen EU-Ländern der Fall ist. Viele Aspekte, wie etwa Datensparsamkeit und Zweckbindung, sind hierzulande bereits Standard. Trotzdem verschärft die DSGVO die Sensibilität, mit der Unternehmer Daten verarbeiten müssen. So finden sich beispielsweise das Recht auf Vergessenwerden (Widerruf) und das Recht auf Datenübertragung (Betroffene können mit ihren Daten künftig zu einem anderen Anbieter wechseln) erstmals in eigenen Artikeln wieder.

„Saubere“ Kundendaten dürfen weiter verwendet werden

Auch das Opt-In-Verfahren findet eine Untermauerung seines Daseins in der neuen Verordnung. Wenn Sie dabei jedoch bisher alle Vorgaben beachtet haben, brauchen Sie sich hinsichtlich Ihres Kundendatenbestandes keine Sorgen machen: Sie dürfen diese nachwievor unter der Beachtung der Zweckbindung für den Versand von Mailings etc verwenden. Eine klare Grenze ziehen die Datenschützer jedoch bei der Einwilligung für die Datenverwendung als “Gegenleistung” für einen kostenlosen Whitepaper-Download oder ähnliche Anreize. Hier spricht die DSGVO ein Kopplungsverbot aus.

Was sollten Sie jetzt tun?

Sehen Sie sich die Daten genau an, die in Ihrem Unternehmen erhoben werden. Analysieren Sie Prozesse und Umgang und hinterfragen Sie das Herangehen kritisch. Überlegen Sie, wo im Unternehmen Schwachstellen in Bezug auf den Umgang mit personenbezogenen Daten liegen. Überarbeiten Sie alle Dokumente, die sowohl intern als auch extern den Bereich Daten und Datensicherheit thematisieren. Und: Holen Sie sich juristischen Rat ein, wenn Sie unsicher sind.

Im Zweifel juristischen Rat einholen

Die Investition ist sinnvoll – zumal mit der neuen DSGVO auch die möglichen Bußgelder angehoben werden sind. Bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Umsatzes werden hier als Höchstbeträge genannt. Die zuständige Behörde für Streitigkeiten oder Verstöße wird übrigens ab dem 25. Mai nach dem One-Stop-Shop-Prinzip festgelegt. Hat Ihr Unternehmen seinen Hauptsitz in Deutschland, ist auch die deutsche Datenschutzbehörde Ansprechpartner.