292017Mrz

Neue EU Datenschutzgrundverordnung (DSGVO) – Teil 1

EU Datenschutzgrundverordnung:
Das neue europäische Datenschutzrecht und die Auswirkungen auf das E-Mail-Marketing

Europa bekommt ab Mai 2018 ein neues, in Teilen verschärftes Datenschutzrecht – die EU Datenschutzgrundverordnung (DSGVO). Mit Geltung der neuen Gesetzgebung werden die nationalen Datenschutzvorschriften größtenteils abgelöst.

Rechtsanwalt David Oberbeck informiert über die neue EU Datenschutzgrundverordnung (DSGVO)Auch die Regelungen zur elektronischen Kommunikation sollen in einer ePrivacy-Verordnung ebenfalls europaweit vereinheitlicht werden. Das Thema Datenschutz ist häufig unbeliebt, aber allein aufgrund des neuen Sanktionsrahmens von bis zu 20 Millionen Euro Bußgeld, kommen Unternehmen nicht mehr drum herum, sich mit der neuen Gesetzgebung zu befassen.

Datenschutzbeauftragter und Rechtsanwalt David Oberbeck gibt Ihnen mit folgender Beitragsreihe einen ersten Überblick über die Bestimmungen, die für Sie in der Praxis relevant sind.


Neue EU DatenschutzgrundverordnungTeil 1:
Grundlagen der neuen EU Datenschutzgrundverordnung


✍  Ein wichtiger Grundsatz des Datenschutzrechts bleibt erhalten:
Das Verbot mit Erlaubnisvorbehalt

Ein wichtiger Grundsatz der DSGVO: Verbot mit ErlaubnisvorbehaltDer bereits bekannte Grundsatz „personenbezogene Daten dürfen nur mit Einwilligung der Betroffenen oder aufgrund einer rechtlichen Erlaubnis verarbeitet werden“ bleibt auch in der DSGVO bestehen. Insbesondere die Digitalbranche hatte im Gesetzgebungsverfahren darauf hinzuwirken versucht, den Vorbehalt der Einwilligung durch alternative Erlaubnisregelungen aufzuweichen. Dies ist ihr jedoch nicht gelungen, weshalb auch zukünftig die Datenverarbeitung von Personen maßgeblich auf dem Einverständnis der Betroffenen beruhen wird.

Ob dies sowohl für Unternehmen wie auch Nutzer hilfreich ist, wird sich zeigen. Im Zeitalter von Tracking, Retargeting und personalisierten Nutzeraccounts, ist die Verarbeitung und Speicherung persönlicher Daten kaum aufzuhalten. Ob Nutzer mit seitenlangen Erklärungen hierbei den Überblick behalten, ist zumindest fraglich. Der Gesetzgeber fordert zudem, dass Einwilligungserklärungen in klarer und einfacher Sprache verfasst und von anderen Sachverhalten klar unterschieden werden. Wie das genau aussieht, wird in einem anderen Beitrag genauer erläutert. Auf die Praxis kommen in jedem Fall umfassende Änderungen bei der Gestaltung und der Abfrage von Datenschutzeinwilligungen zu.

Gesetzliche Ausnahmen

Außerhalb der Einwilligung wird es aber auch weiterhin gesetzliche Erlaubnisse geben, die eine Datenverarbeitung ohne Einwilligung rechtfertigen. Hierzu zählen beispielsweise die Verarbeitung zur Durchführung eines Vertrages, zur Erfüllung einer rechtlichen Verpflichtung und die Verarbeitung zur Wahrung berechtigter Interessen eines Unternehmens – sofern die Interessen und Grundrechte der betroffenen Nutzer nicht überwiegen.

Das Persönlichkeitsrecht der Nutzer wird im Zweifel aber weiterhin Vorrang haben, weshalb sich viele neue (und bereits vorhandene) Geschäftsmodelle nicht auf dieser Basis rechtfertigen lassen. So ist die Verarbeitung des Namens und der Adresse weiterhin erlaubt, wenn diese Informationen für den Versand von Waren benötigt werden. Dagegen wird sich das Nutzertracking zukünftig kaum ohne Einwilligung der Nutzer rechtfertigen lassen. In diesem Fall überwiegt in aller Regel das Persönlichkeitsrecht der Nutzer. Digitale Geschäftsmodelle müssen sich demnach gut überlegen, welche persönlichen Daten sie von Nutzern ohne deren ausdrückliches Einverständnis überhaupt noch verwenden dürfen.


✍  Unternehmen werden auch als Software-Hersteller in die Pflicht genommen

Neu in der Datenschutzgrundverordnung: Unternehmen werden bei der Software auch als Hersteller in die Pflicht genommenIn der EU Datenschutzgrundverordnung finden sich zwei wesentliche Neuerungen zum technischen Datenschutz:
Zum einen sind Verantwortliche zukünftig gefordert, datenschutzfreundliche Techniken einzusetzen („Privacy by Design“), zum anderen sind Produkte oder Dienstleistungen mit datenschutzfreundlichen Voreinstellungen anzubieten („Privacy by Default“).

Unternehmen müssen danach ihre Datenverarbeitung so gestalten, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Als Beispiel erwähnt die DSGVO dabei die Pseudonymisierung als mögliche Maßnahme zur Datenminimierung.

Grundsatz der Datenminimierung

Darüber hinaus sind Anbieter von Software gefordert, mithilfe technischer Voreinstellungen den Grundsatz der Datenminimierung zu beachten. Dies erstreckt sich auf die Menge der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit (durch Dritte). Bei Nichtbeachtung drohen empfindliche Bußgelder. Die neuen Regelungen zielen klar auf die Verarbeitungspraxis sozialer Netzwerke ab. Diese sind in Zukunft verpflichtet, im Rahmen ihrer Voreinstellungen den kleinstmöglichen Empfängerkreis zu wählen. Allerdings sind natürlich auch alle übrigen Unternehmensformen von den verschärften Regelungen betroffen.

Für die Praxis des E-Mail-Marketings bedeutet dies: Bei der Erhebung von Registrierungsdaten muss beispielsweise verstärkt darauf geachtet werden, ob diese Informationen für die Dienstleistung erforderlich sind. Darüber hinaus könnte der technische Datenschutz auch Einfluss auf das automatisierte Click-Tracking haben.


✍  Informationen müssen maschinenlesbar übergeben werden können

Recht auf Datenübertragbarkeit

Eine weitere Neuerung der DSGVO ist das „Recht auf Datenübertragbarkeit“. Betroffene haben danach zukünftig das Recht, die durch ein Unternehmen gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das bisherige Auskunftsrecht wird demnach um eine technische Komponente erweitert.

Durch die Regelung erhalten Nutzer zudem das Recht, ihre Daten auf einfachem Weg zu neuen Anbietern übermitteln zu lassen. Durch die Datenübertragung werden vor allem Cloud-Anbieter betroffen sein, die für Ihre Kunden Software-as-a-Service-Dienstleistungen anbieten. Auch Kunden von E-Mail-Marketing-Software könnten theoretisch in den Anwendungsbereich dieser Regelung fallen, wenngleich es recht unwahrscheinlich ist, dass einzelne Endnutzer ihre Anmeldedaten zu anderen Anbietern übertragen lassen werden.


✍  Neue Informationspflichten: Datenschutzerklärungen müssen angepasst werden

Die DSGVO definiert neue Informationspflichten in der Datenschutzerklärung Die EU Datenschutzgrundverordnung stärkt in besonderem Maße die Rechte von Nutzern. Diese sollen zu jedem Zeitpunkt genauen Einblick erhalten, welche sie betreffenden Daten in welcher Weise und zu welchem Zweck verwendet werden.

Die DSGVO geht an dieser Stelle zum Teil deutlich über die bisherigen Regelungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) hinaus. Allerdings gibt es hier eine nationale Öffnungsklausel, die es dem deutschen Gesetzgeber erlaubt, eigene Vorschriften zu den Informationspflichten zu verfassen. Erste Entwürfe zu einem ergänzenden Datenschutzgesetz in Deutschland zeigen bereits, der deutsche Gesetzgeber legt die Öffnungsklausel zugunsten der Unternehmen aus. Es wird sich zeigen, welche konkreten Regelungen nach Beendigung des Gesetzgebungsverfahrens bestehen bleiben.

Anpassung der Datenschutzerklärungen erforderlich

In jedem Fall müssen die Datenschutzerklärungen auf Webseiten bis zum Stichtag entsprechend angepasst werden, was für alle Unternehmen mit Websites (und somit wahrscheinlich auch für ihr Unternehmen) relevant ist. So müssen zukünftig nach der DSGVO beispielsweise die Speicherfristen und die Gründe der Datenerhebung detaillierter benannt werden. Auch die Kontaktdaten des Datenschutzbeauftragten sind zwingend anzugeben.


✍  Regelungen zur Dokumentation werden umfangreicher

Regelungen zur Dokumentation werden durch die DSGVO umfangreicherNeben den neuen Informationspflichten für Betroffene, müssen Unternehmen zusätzlich eine Reihe von Dokumentationspflichten beachten. Das sogenannte „Verzeichnis von Verarbeitungstätigkeiten“ soll es Aufsichtsbehörden erleichtern, die Erfüllung sämtlicher Pflichten der EU Datenschutzgrundverordnung rückblickend zu kontrollieren.

Ganz neu ist dies aber nicht. Bereits nach dem BDSG müssen Unternehmen sogenannte Verfahrensverzeichnisse führen, die auf Anfrage einer Behörde und auch Betroffenen vorzulegen sind. Neu ist allerdings, dass zukünftig auch Auftragsdatenverarbeiter die Pflicht haben, die im Auftrag durchgeführte Datenverarbeitung entsprechend zu dokumentieren.

Umfangreiche Dokumentationspflichten

Neben dem Verzeichnis von Verarbeitungstätigkeiten müssen Unternehmen auch ihre technischen Sicherheitsvorkehrungen darlegen können. Welche konkreten Sicherheitsmaßnahmen angewendet werden müssen, ist abhängig vom Umfang der Datenverarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Verantwortliche müssen also vorweg eine Risikobewertung ihrer Datenverarbeitung vornehmen. In jedem Fall ist eine fehlende Dokumentation der Sicherheitsvorkehrungen zukünftig bußgeldbewährt. Dass dies richtig teuer werden kann, zeigen die neuen Sanktionsrechte der DSGVO.


✍  Die neuen Sanktionen der DSGVO: Es kann sehr teuer werden!

Sanktionen der DSGVODerzeit sind nach dem BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die neue europäische Gesetzgebung zum Datenschutz verschärft die bisherigen Sanktionen um ein Vielfaches. Diese erhöhen sich auf maximal 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert der höhere ist.

Bemessungsgrundlage für Sanktionen

Natürlich bekommt nicht jedes Unternehmen zukünftig das Maximalbußgeld aufgebrummt. Maßstab für die Bewertung sind spezielle Bemessungskriterien, die ebenfalls in der DSGVO festgehalten sind. Hierzu zählen beispielsweise Art, Schwere und Dauer des Verstoßes sowie Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind. Auch der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, wirken sich darauf aus. Durch den neuen Bußgeldrahmen ist aber davon auszugehen, dass sich in Zukunft Bußgelder nach oben orientieren werden. Neben Reputationsverlusten müssen Unternehmen bei Verstößen gegen das Datenschutzrecht den neuen, verschärften Sanktionsrahmen ständig im Auge behalten.




Lesen Sie im nächsten Teil, welche Neuerungen durch die EU Datenschutzgrundverordnung insbesondere auf die Digitalbranche zukommen.

Wie wird es zukünftig mit dem Tracking von Nutzern weitergehen und was müssen Unternehmen beachten, die ihre Daten „in der Cloud“ verarbeiten lassen?
Die Antworten darauf folgen in Teil 2.

Teil 3 verrät Ihnen mehr über die datenschutzrechtliche Einwilligung, Fristen und Koppelungsverbote.


David Oberbeck, Partner bei Herting Oberbeck RAe in Hamburg, www.datenschutzkanzlei.de


Bildquellen: ©iStock.com/beermedia, ©iStock.com/Double.Don Bayley, ©iStock.com/Neustockimages, ©iStock.com/yuri,  ©iStock.com/kr7ysztof,  @Shutterstock/SaschaPreussner

Beitrag kommentieren

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.