72017Apr

Neue EU Datenschutzgrundverordnung (DSGVO) – Teil 2

EU Datenschutzgrundverordnung:
Das neue europäische Datenschutzrecht und die Auswirkungen auf das E-Mail-Marketing

Rechtsanwalt David Oberbeck informiert über die neue EU Datenschutzgrundverordnung (DSGVO)Die neue EU Datenschutzgrundverordnung bringt zahlreiche Neuerungen für Unternehmen. In Teil 1 haben wir uns mit den Grundlagen der Datenverarbeitung und den Sanktionen beschäftigt. In Teil 2 geht es um die Auftragsdatenverarbeitung und die Auswirkung auf den internationalen Datentransfer. Zudem werfen wir einen Blick auf Tracking und Cookies und betrachten die Änderungen, die die ebenfalls geplante ePrivacy-Verordnung für die Digitalbranche mit sich bringt.

Datenschutzbeauftragter und Rechtsanwalt David Oberbeck gibt Ihnen mit der Beitragsreihe einen ersten Überblick über die Bestimmungen, die für Sie in der Praxis relevant sind.


Neue EU DatenschutzgrundverordnungTeil 2:
Datentransfer & Tracking in der Digitalbranche


✍ Datenverarbeitung durch Dienstleister oder „in der Cloud“

Die Verarbeitung personenbezogener Daten in einem Unternehmen wird oftmals ganz oder zum Teil von Dritten, sogenannten Auftragsdatenverarbeitern, übernommen. Die Voraussetzungen für diese Zusammenarbeit werden sich nach der DSGVO in einigen Punkten zwar ändern, grundsätzlich bleibt die vertraglich vereinbarte Auslagerung der Datenverarbeitung aber erhalten. Der beauftragte Dienstleister ist auch nach den neuen Regelungen streng weisungsgebunden und darf daher die übermittelten Daten nicht für eigene Zwecke weiterverarbeiten. Das beauftragende Unternehmen muss aus diesem Grund den Auftragsverarbeiter sorgfältig auswählen und kontrollieren.

Vor Beginn der Datenverarbeitung müssen alle Rechte und Pflichten in einem Vertrag vereinbart werden. Erst im Anschluss darf die Auftragsverarbeitung beginnen. In erster Linie ist das Unternehmen, welches die Daten überträgt, für die Einhaltung der gesetzlichen Vorschriften zur Auftragsverarbeitung verantwortlich. Werden die Anforderungen an die Auftragsverarbeitung nicht eingehalten, drohen zukünftig Bußgelder von bis zu 10 Millionen Euro.

Die DSGVO regelt die Datenverarbeitung gesetzlich

Daneben werden zukünftig aber auch die verarbeitenden Dienstleister mehr in die Pflicht genommen. War bis dato die Verantwortlichkeit allein beim übermittelnden Unternehmen, soll nach der EU Datenschutzgrundverordnung nunmehr auch der Auftragsverarbeiter mitverantwortlich sein.

Auf diese Weise erhofft sich der Gesetzgeber, eine bessere Einhaltung der gesetzlichen Regelungen. Da nach der DSGVO neue formelle Pflichten auf die Auftragsverarbeiter zukommen, müssen bestehende Vertragsdokumente angepasst werden. Unternehmen, die ihre Daten durch Dienstleister speichern oder verarbeiten lassen, sollten sich daher darauf einstellen, dass sie mit neuen Verträgen konfrontiert werden. Erste Vertragsentwürfe werden gerade von den Datenschutzverbänden erarbeitet. Ein großer Vorteil ist, dass Verträge ab Mai 2018 ausdrücklich elektronisch geschlossen werden dürfen. Das bisher strenge Schriftformerfordernis (eigenhändige Unterschrift) entfällt somit.

Fazit: Das Instrument der Auftragsverarbeitung bleibt weitestgehend erhalten. Aufgrund einzelner Änderungen müssen zum Stichtag aber bestehende Vertragsverhältnisse geprüft und ggf. angepasst werden. Nachlässigkeiten sind zukünftig mit weitaus höheren Strafen bedroht.

Unternehmen sollten daher frühzeitig mit der Überprüfung ihrer Dienstleisterverträge beginnen. Hierzu zählen neben klassischen Lettershops auch alle Cloud-Anwendungen, die personenbezogene Daten im Auftrag speichern oder verarbeiten. Sofern Sie für den Versand von Newslettern einen Dienstleister bzw. eine Agentur einsetzen, ist auch dieses Vertragsverhältnis betroffen.


✍ Internationaler Datentransfer:
Was ist bei der Nutzung von US-Diensten zu beachten

Ob Google Drive, Dropbox oder Slack – gerade junge Unternehmen aus der Digitalbranche setzen verstärkt auf externe Dienstleister und machen sich wenig Gedanken um den dadurch betroffenen Datenschutz. Durch die Vorherrschaft US-amerikanischer Unternehmen, werden dabei schnell sensible Kundendaten außerhalb der EU verarbeitet. Welche Anforderungen hier zu beachten sind, ist ebenfalls in der DSGVO geregelt.

DSGVO Datenübertragung USABeabsichtigt ein Unternehmen, personenbezogene Daten an Empfänger im Ausland zu übermitteln, ist zu unterscheiden:

  • Bei einer Datenübertragung zwischen EU-Mitgliedstaaten bzw. Mitgliedsstaaten des EWR sind lediglich die allgemeinen Rechtfertigungstatbestände gültig.
  • Im Falle einer Datenübermittlung in Drittstaaten (z.B. den USA) gelten zusätzliche Anforderungen. Hier unterscheiden sich die Regelungen der EU Datenschutzgrundverordnung allerdings nicht erheblich von der bisherigen Rechtslage.

Im Falle einer Datenübermittlung in Drittstaaten ist eine zweistufige Prüfung vorzunehmen. Zunächst muss, wie bei Datenübermittlungen im Inland bzw. EU-Ausland, ein Rechtfertigungsgrund der DSGVO greifen (etwa die Einwilligung des Betroffenen, überwiegendes berechtigtes Interesse des Unternehmens oder auch Vereinbarung einer Auftragsverarbeitung). Ist dies der Fall, muss in einem zweiten Schritt festgestellt werden, ob bei dem Drittstaat oder zumindest bei dem konkreten Empfänger ein angemessenes Datenschutzniveau vorliegt. Dieser zweite Schritt wird häufig nicht beachtet, was zur generellen Unzulässigkeit der Datenverarbeitung führen kann.

Für die Feststellung der Angemessenheit sieht die DSGVO eine Reihe verschiedener Instrumente vor. Für den Datentransfer in die USA kann noch auf EU-Standardvertragsklauseln und Zertifizierungen wie dem „Privacy Shield“ vertraut werden. Der europäische Gesetzgeber ist also weiterhin bestrebt, den internationalen Datentransfer zu ermöglichen. Allerdings sind diese Instrumente auch mit einem Risiko verbunden. Insbesondere das „Privacy Shield“ steht in der Kritik, was bedeutet, dass die Vereinbarung in naher Zukunft entweder durch den EUGH oder durch das EU-Parlament gekippt werden könnte. Auch die Absicherung mittels EU-Standardvertragsklauseln ist bisher nicht durch den EUGH bestätigt. Schaut man sich das Urteil zu „Safe Harbour“ an, ist auch bei den EU-Standardvertragsklauseln nicht auszuschließen, dass es den europäischen Datenschutzgesetzen nicht standhält.

Fazit: Es lässt sich feststellen, dass der internationale Datentransfer auch nach den neuen Regelungen möglich, aufgrund der sich stetig wandelnden politischen Lage aber auch mit einem Risiko verbunden bleibt. Eine Nutzung von US-Diensten ist zudem nur dann erlaubt, wenn die grundsätzlichen Regelungen zur Datenverarbeitung in Verbindung mit dem Privacy Shield und / oder EU-Standardvertragsklauseln vollständig eingehalten werden. Nachlässigkeiten können dabei schnell existenzbedrohend sein.

Unzulässige Übermittlungen in Drittstaaten sind zukünftig mit Bußgeldern von 20 Millionen EUR oder bis zu 4% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens bedroht.


✍ Auswirkung auf Tracking und Cookies

DSGVO TrackingNeben der Auslagerung der Datenverarbeitung sind Cookies und Trackingmaßnahmen kaum aus dem Alltag digitaler Unternehmen wegzudenken. Auch hier gibt es beachtenswerte Neuerungen, die in der ebenfalls ab Mai 2018 geplanten ePrivacy-Verordnung in neuer Form gesetzlich geregelt werden sollen.

Bisher gilt in Deutschland für die Verwendung von Cookies das sogenannte Opt-Out-Prinzip. Danach müssen Unternehmen über die Verwendung von Cookies innerhalb einer Datenschutzerklärung informieren und den Nutzern die Möglichkeit geben, der Verwendung dieser Cookies zu widersprechen. In der Praxis hat sich hierfür auch die Verwendung von Cookie-Bannern etabliert. Da diese Regelung von der EU-Kommission für richtlinienkonform erklärt wurde, können Unternehmen bislang darauf setzen. Ab Geltung der ePrivacy-Verordnung (Einführung ist ebenfalls im Mail 2018 geplant), müssen sich Unternehmen aber auf eine Änderung dieser Praxis einstellen.

Der im Januar 2017 bekannt gewordene Entwurf der neuen e-Privacy-Verordnung wird der DSGVO aufgrund speziellerer Regelungen vorgehen. Auf die Digitalbranche kommen mit dem neuen Entwurf erhebliche Veränderungen zu. Nach den dort enthaltenen Regelungen dürfen Cookies grundsätzlich nur noch mit Einwilligung der Nutzer (Opt-In) verwendet werden. Ausnahmen bestehen nur dann, wenn die Datenerhebung der Ermöglichung von Kommunikation über ein Netzwerk dient oder wenn die Nutzung erforderlich ist, um einen Informationsdienst in Anspruch zu nehmen, dessen Benutzung der Nutzer ausdrücklich verlangt. Das Setzen von Cookies für reine Kommunikationszwecke (z.B. Benutzerprofile oder Warenkorb) ist demnach weiterhin ohne Einwilligung möglich. Auch soll es keiner Einwilligung bedürfen, wenn ein Session Cookie gesetzt wird, welches das Ausfüllen eines mehrseitigen Formulars ermöglicht.

Anders als nach derzeitiger Rechtslage in Deutschland, gilt dies aber nicht für Tracking oder sonstige Nutzerverfolgung. Bei sogenannten Third Party- und anderen Tracking-Cookies ist nach dem derzeitigen Entwurf der e-Privacy-Verordnung zukünftig eine ausdrückliche Einwilligung der Nutzer erforderlich. Die Einwilligung muss zudem jederzeit widerruflich sein. Laut Gesetzesentwurf soll die Einwilligungserklärung dabei auch über die Einstellung des Browsers möglich sein. Ob die Browser-Hersteller hierfür geeignete Instrumente liefern werden, ist aber noch völlig offen. Zudem dürfte aufgrund der Vorgabe „Privacy by Design“ (siehe Teil 1 dieser Blogreihe), ein generelles Einverständnis nicht vorausgesetzt werden. Nutzer müssten sich demnach konkret für die Speicherung von Third Party-Cookies in ihrem Browser entscheiden. Ob diese Einstellung von Nutzern bewusst gewählt wird, ist mehr als fraglich.

 
Fazit: Sofern in Zukunft keine ausdrückliche Einwilligung über den Browser vorliegt, wäre ein Tracking nur dann noch möglich, wenn über einen gesonderten Hinweis auf der Website eine Einwilligung abgefragt wird. Dies wird die digitale Praxis vor erhebliche Herausforderungen stellen.

Auch wenn die ePrivacy-Verordnung noch im Entwurfsstadium steckt, müssen sich Unternehmen auf erhebliche Änderungen einstellen. Dies dürfte im Newsletter-Marketing auch Auswirkungen auf das Click-Tracking haben, da auch hier eine Verfolgung von Nutzern stattfindet. Unternehmen sollten die Gesetzgebung daher im Blick behalten und ihre Websites oder Marketing-Kampagnen entsprechend anpassen.




Lesen Sie im nächsten Teil dieser Beitragsreihe, welche Anforderungen eine gültige Einwilligung nach den neuen Regelungen hat.

Wie müssen zukünftig Newsletter-Anmeldeformulare gestaltet sein? Welche Daten darf ich als Pflichtfelder abfragen? Und über welchen Zeitraum ist eine Einwilligungserklärung gültig? Die Antworten gibt es in Teil 3.

In Teil 1 erfahren Sie alles Wissenswerte zu den Grundlagen der neuen DSGVO.


David Oberbeck, Partner bei Herting Oberbeck RAe in Hamburg, www.datenschutzkanzlei.de


Bildquellen: ©iStock.com/beermedia, ©iStock.com/Double.Don Bayley, ©iStock.com/Neustockimages, ©iStock.com/yuri, ©iStock.com/kr7ysztof, @Shutterstock/SaschaPreussner

Beitrag kommentieren

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.