Neue EU Datenschutzgrundverordnung (DSGVO)

Der bereits bekannte Grundsatz „personenbezogene Daten dürfen nur mit Einwilligung der Betroffenen oder aufgrund einer rechtlichen Erlaubnis verarbeitet werden“ bleibt auch in der DSGVO bestehen. Insbesondere die Digitalbranche hatte im Gesetzgebungsverfahren darauf hinzuwirken versucht, den Vorbehalt der Einwilligung durch alternative Erlaubnisregelungen aufzuweichen.

Dies ist ihr jedoch nicht gelungen, weshalb auch zukünftig die Datenverarbeitung von Personen maßgeblich auf dem Einverständnis der Betroffenen beruhen wird.

Ob dies sowohl für Unternehmen wie auch Nutzer hilfreich ist, wird sich zeigen. Im Zeitalter von Tracking, Retargeting und personalisierten Nutzeraccounts, ist die Verarbeitung und Speicherung persönlicher Daten kaum aufzuhalten. Ob Nutzer mit seitenlangen Erklärungen hierbei den Überblick behalten, ist zumindest fraglich. Der Gesetzgeber fordert zudem, dass Einwilligungserklärungen in klarer und einfacher Sprache verfasst und von anderen Sachverhalten klar unterschieden werden. Wie das genau aussieht, wird in einem anderen Beitrag genauer erläutert. Auf die Praxis kommen in jedem Fall umfassende Änderungen bei der Gestaltung und der Abfrage von Datenschutzeinwilligungen zu.

In der EU Datenschutzgrundverordnung finden sich zwei wesentliche Neuerungen zum technischen Datenschutz:
Zum einen sind Verantwortliche zukünftig gefordert, datenschutzfreundliche Techniken einzusetzen („Privacy by Design“), zum anderen sind Produkte oder Dienstleistungen mit datenschutzfreundlichen Voreinstellungen anzubieten („Privacy by Default“).

Unternehmen müssen danach ihre Datenverarbeitung so gestalten, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Als Beispiel erwähnt die DSGVO dabei die Pseudonymisierung als mögliche Maßnahme zur Datenminimierung.

Eine weitere Neuerung der DSGVO ist das „Recht auf Datenübertragbarkeit“. Betroffene haben danach zukünftig das Recht, die durch ein Unternehmen gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das bisherige Auskunftsrecht wird demnach um eine technische Komponente erweitert.

Durch die Regelung erhalten Nutzer zudem das Recht, ihre Daten auf einfachem Weg zu neuen Anbietern übermitteln zu lassen. Durch die Datenübertragung werden vor allem Cloud-Anbieter betroffen sein, die für Ihre Kunden Software-as-a-Service-Dienstleistungen anbieten. Auch Kunden von E-Mail-Marketing-Software könnten theoretisch in den Anwendungsbereich dieser Regelung fallen, wenngleich es recht unwahrscheinlich ist, dass einzelne Endnutzer ihre Anmeldedaten zu anderen Anbietern übertragen lassen werden.

Die EU Datenschutzgrundverordnung stärkt in besonderem Maße die Rechte von Nutzern. Diese sollen zu jedem Zeitpunkt genauen Einblick erhalten, welche sie betreffenden Daten in welcher Weise und zu welchem Zweck verwendet werden.

Die DSGVO geht an dieser Stelle zum Teil deutlich über die bisherigen Regelungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) hinaus. Allerdings gibt es hier eine nationale Öffnungsklausel, die es dem deutschen Gesetzgeber erlaubt, eigene Vorschriften zu den Informationspflichten zu verfassen. Erste Entwürfe zu einem ergänzenden Datenschutzgesetz in Deutschland zeigen bereits, der deutsche Gesetzgeber legt die Öffnungsklausel zugunsten der Unternehmen aus. Es wird sich zeigen, welche konkreten Regelungen nach Beendigung des Gesetzgebungsverfahrens bestehen bleiben.

In jedem Fall müssen die Datenschutzerklärungen auf Webseiten bis zum Stichtag entsprechend angepasst werden, was für alle Unternehmen mit Websites (und somit wahrscheinlich auch für ihr Unternehmen) relevant ist. So müssen zukünftig nach der DSGVO beispielsweise die Speicherfristen und die Gründe der Datenerhebung detaillierter benannt werden. Auch die Kontaktdaten des Datenschutzbeauftragten sind zwingend anzugeben.

Derzeit sind nach dem BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die neue europäische Gesetzgebung zum Datenschutz verschärft die bisherigen Sanktionen um ein Vielfaches. Diese erhöhen sich auf Auswirkungen zu mindern, wirken sich darauf aus. Durch den neuen Bußgeldrahmen ist aber davon auszugehen, dass sich in Zukunft Bußgelder nach oben orientieren werden. Neben Reputationsverlusten müssen Unternehmen bei Verstößen gegen das Datenschutzrecht den neuen, verschärften Sanktionsrahmen ständig im Auge behalten.

Natürlich bekommt nicht jedes Unternehmen zukünftig das Maximalbußgeld aufgebrummt. Maßstab für die Bewertung sind spezielle Bemessungskriterien, die ebenfalls in der DSGVO festgehalten sind. Hierzu zählen beispielsweise Art, Schwere und Dauer des Verstoßes sowie Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind. Auch der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, wirken sich darauf aus. Durch den neuen Bußgeldrahmen ist aber davon auszugehen, dass sich in Zukunft Bußgelder nach oben orientieren werden. Neben Reputationsverlusten müssen Unternehmen bei Verstößen gegen das Datenschutzrecht den neuen, verschärften Sanktionsrahmen ständig im Auge behalten.

Die Verarbeitung personenbezogener Daten in einem Unternehmen wird oftmals ganz oder zum Teil von Dritten, sogenannten Auftragsdatenverarbeitern, übernommen. Die Voraussetzungen für diese Zusammenarbeit werden sich nach der DSGVO in einigen Punkten zwar ändern, grundsätzlich bleibt die vertraglich vereinbarte Auslagerung der Datenverarbeitung aber erhalten. Der beauftragte Dienstleister ist auch nach den neuen Regelungen streng weisungsgebunden und darf daher die übermittelten Daten nicht für eigene Zwecke weiterverarbeiten. Das beauftragende Unternehmen muss aus diesem Grund den Auftragsverarbeiter sorgfältig auswählen und kontrollieren.

Vor Beginn der Datenverarbeitung müssen alle Rechte und Pflichten in einem Vertrag vereinbart werden. Erst im Anschluss darf die Auftragsverarbeitung beginnen. In erster Linie ist das Unternehmen, welches die Daten überträgt, für die Einhaltung der gesetzlichen Vorschriften zur Auftragsverarbeitung verantwortlich. Werden die Anforderungen an die Auftragsverarbeitung nicht eingehalten, drohen zukünftig Bußgelder von bis zu 10 Millionen Euro.

Daneben werden zukünftig aber auch die verarbeitenden Dienstleister mehr in die Pflicht genommen. War bis dato die Verantwortlichkeit allein beim übermittelnden Unternehmen, soll nach der EU Datenschutzgrundverordnung nunmehr auch der Auftragsverarbeiter mitverantwortlich sein.

Auf diese Weise erhofft sich der Gesetzgeber, eine bessere Einhaltung der gesetzlichen Regelungen. Da nach der DSGVO neue formelle Pflichten auf die Auftragsverarbeiter zukommen, müssen bestehende Vertragsdokumente angepasst werden. Unternehmen, die ihre Daten durch Dienstleister speichern oder verarbeiten lassen, sollten sich daher darauf einstellen, dass sie mit neuen Verträgen konfrontiert werden. Erste Vertragsentwürfe werden gerade von den Datenschutzverbänden erarbeitet. Ein großer Vorteil ist, dass Verträge ab Mai 2018 ausdrücklich elektronisch geschlossen werden dürfen. Das bisher strenge Schriftformerfordernis (eigenhändige Unterschrift) entfällt somit.

Ob Google Drive, Dropbox oder Slack – gerade junge Unternehmen aus der Digitalbranche setzen verstärkt auf externe Dienstleister und machen sich wenig Gedanken um den dadurch betroffenen Datenschutz. Durch die Vorherrschaft US-amerikanischer Unternehmen, werden dabei schnell sensible Kundendaten außerhalb der EU verarbeitet. Welche Anforderungen hier zu beachten sind, ist ebenfalls in der DSGVO geregelt.

Beabsichtigt ein Unternehmen, personenbezogene Daten an Empfänger im Ausland zu übermitteln, ist zu unterscheiden:

• Bei einer Datenübertragung zwischen EU-Mitgliedstaaten bzw. Mitgliedsstaaten des EWR sind lediglich die allgemeinen Rechtfertigungstatbestände gültig.
• Im Falle einer Datenübermittlung in Drittstaaten (z.B. den USA) gelten zusätzliche Anforderungen. Hier unterscheiden sich die Regelungen der EU Datenschutzgrundverordnung allerdings nicht erheblich von der bisherigen Rechtslage.

Im Falle einer Datenübermittlung in Drittstaaten ist eine zweistufige Prüfung vorzunehmen. Zunächst muss, wie bei Datenübermittlungen im Inland bzw. EU-Ausland, ein Rechtfertigungsgrund der DSGVO greifen (etwa die Einwilligung des Betroffenen, überwiegendes berechtigtes Interesse des Unternehmens oder auch Vereinbarung einer Auftragsverarbeitung). Ist dies der Fall, muss in einem zweiten Schritt festgestellt werden, ob bei dem Drittstaat oder zumindest bei dem konkreten Empfänger ein angemessenes Datenschutzniveau vorliegt. Dieser zweite Schritt wird häufig nicht beachtet, was zur generellen Unzulässigkeit der Datenverarbeitung führen kann.

Für die Feststellung der Angemessenheit sieht die DSGVO eine Reihe verschiedener Instrumente vor. Für den Datentransfer in die USA kann noch auf EU-Standardvertragsklauseln und Zertifizierungen wie dem „Privacy Shield“ vertraut werden. Der europäische Gesetzgeber ist also weiterhin bestrebt, den internationalen Datentransfer zu ermöglichen. Allerdings sind diese Instrumente auch mit einem Risiko verbunden. Insbesondere das „Privacy Shield“ steht in der Kritik, was bedeutet, dass die Vereinbarung in naher Zukunft entweder durch den EUGH oder durch das EU-Parlament gekippt werden könnte. Auch die Absicherung mittels EU-Standardvertragsklauseln ist bisher nicht durch den EUGH bestätigt. Schaut man sich das Urteil zu „Safe Harbour“ an, ist auch bei den EU-Standardvertragsklauseln nicht auszuschließen, dass es den europäischen Datenschutzgesetzen nicht standhält.

Neben der Auslagerung der Datenverarbeitung sind Cookies und Trackingmaßnahmen kaum aus dem Alltag digitaler Unternehmen wegzudenken. Auch hier gibt es beachtenswerte Neuerungen, die in der ebenfalls ab Mai 2018 geplanten ePrivacy-Verordnung in neuer Form gesetzlich geregelt werden sollen.

Bisher gilt in Deutschland für die Verwendung von Cookies das sogenannte Opt-Out-Prinzip. Danach müssen Unternehmen über die Verwendung von Cookies innerhalb einer Datenschutzerklärung informieren und den Nutzern die Möglichkeit geben, der Verwendung dieser Cookies zu widersprechen. In der Praxis hat sich hierfür auch die Verwendung von Cookie-Bannern etabliert. Da diese Regelung von der EU-Kommission für richtlinienkonform erklärt wurde, können Unternehmen bislang darauf setzen. Ab Geltung der ePrivacy-Verordnung (Einführung ist ebenfalls im Mail 2018 geplant), müssen sich Unternehmen aber auf eine Änderung dieser Praxis einstellen.

Der im Januar 2017 bekannt gewordene Entwurf der neuen e-Privacy-Verordnung wird der DSGVO aufgrund speziellerer Regelungen vorgehen. Auf die Digitalbranche kommen mit dem neuen Entwurf erhebliche Veränderungen zu. Nach den dort enthaltenen Regelungen dürfen Cookies grundsätzlich nur noch mit Einwilligung der Nutzer (Opt-In) verwendet werden. Ausnahmen bestehen nur dann, wenn die Datenerhebung der Ermöglichung von Kommunikation über ein Netzwerk dient oder wenn die Nutzung erforderlich ist, um einen Informationsdienst in Anspruch zu nehmen, dessen Benutzung der Nutzer ausdrücklich verlangt. Das Setzen von Cookies für reine Kommunikationszwecke (z.B. Benutzerprofile oder Warenkorb) ist demnach weiterhin ohne Einwilligung möglich. Auch soll es keiner Einwilligung bedürfen, wenn ein Session Cookie gesetzt wird, welches das Ausfüllen eines mehrseitigen Formulars ermöglicht.

Anders als nach derzeitiger Rechtslage in Deutschland, gilt dies aber nicht für Tracking oder sonstige Nutzerverfolgung. Bei sogenannten Third Party- und anderen Tracking-Cookies ist nach dem derzeitigen Entwurf der e-Privacy-Verordnung zukünftig eine ausdrückliche Einwilligung der Nutzer erforderlich. Die Einwilligung muss zudem jederzeit widerruflich sein. Laut Gesetzesentwurf soll die Einwilligungserklärung dabei auch über die Einstellung des Browsers möglich sein. Ob die Browser-Hersteller hierfür geeignete Instrumente liefern werden, ist aber noch völlig offen. Zudem dürfte aufgrund der Vorgabe „Privacy by Design“, ein generelles Einverständnis nicht vorausgesetzt werden. Nutzer müssten sich demnach konkret für die Speicherung von Third Party-Cookies in ihrem Browser entscheiden. Ob diese Einstellung von Nutzern bewusst gewählt wird, ist mehr als fraglich.

Wie bereits erwähnt, erhält das Koppelungsverbot in der DSGVO ein wesentlich stärkeres Gewicht. Danach gilt eine Einwilligung als unfreiwillig, wenn sie in Hinsicht auf solche personenbezogenen Daten erfolgt, die für die eigentliche Vertragserfüllung nicht erforderlich sind. Die Koppelung von Leistung und Datenschutzeinwilligung soll demnach unzulässig sein, wenn dem Nutzer bei der Anmeldung zu einer Dienstleistung keine Wahl gelassen wird.

Das neue Koppelungsverbot ist für das E-Mail-Marketing dahingehend bedeutsam, dass in der Praxis häufig die Anmeldung zum Newsletter, neben der E-Mail-Adresse, noch mit weiteren Pflichtangaben (z.B. Name, Geschlecht, Alter etc.) verbunden wird. Nach der EU Datenschutzgrundverordnung besteht hierbei die Gefahr, dass gekoppelte Einwilligungen unzulässig sind und deren Einholung ggf. mit Sanktionen (Bußgeldern) durch Aufsichtsbehörden belegt werden können. Zur Vermeidung von Risiken, sollten demnach die Pflichtfelder bei der Anmeldung zum Newsletter zukünftig auf ein Minimum beschränkt werden.

Stützt sich eine Datenverarbeitung auf eine Einwilligung, muss das Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO).

Auch wenn die Nachweispflicht bereits nach bestehender Rechtslage zwingend erforderlich ist, wird sie in der DSGVO nunmehr erstmals ausdrücklich benannt. Gleichwohl fehlt ein Hinweis, auf welchem Weg der Nachweis ausreichend erbracht ist. Für das E-Mail-Marketing bedeutet dies, dass auch zukünftig auf Beweisinstrumente wie das Double-Opt-In-Verfahren und die Protokollierung von Anmeldeprozessen nicht verzichtet werden kann. Ohne belegbaren Nachweis ist die Einwilligung quasi nicht existent, da sie vor Gericht nicht hinreichend bewiesen werden kann.

Von jeher umstritten ist die Geltungsdauer erteilter Einwilligungserklärungen. Um es gleich vorweg zu sagen: Auch dies wird weder in der DSGVO noch im finalen Entwurf der ePrivacy-VO ausdrücklich geregelt. Allerdings gibt Art. 9 der ePrivacy-Verordnung konkrete Vorgaben zum Widerruf und sich darauf beziehende Hinweise.

Zukünftig müssen Nutzer in periodischen Intervallen von sechs Monaten auf diese Widerrufsmöglichkeit hingewiesen werden. Bei einer regelmäßigen Nutzung eines Newsletters ist dies unproblematisch, da in jeder Werbemail regelmäßig Abmeldelinks enthalten sind. Bleiben E-Mail-Adressen hingegen über einen längeren Zeitraum ungenutzt, müssen Nutzer alle sechs Monate darauf hingewiesen werden, dass die abgegebene Einwilligungserklärung widerruflich ist.

Wird diese Frist versäumt, besteht die Gefahr, dass abgegebene Erklärungen automatisch ihre Wirksamkeit verlieren. Erstmals könnte somit aus dieser Hinweispflicht eine Geltungsdauer von datenschutzrechtlichen Einwilligungserklärungen für das E-Mail-Marketing abgeleitet werden.

Bereits nach geltender Gesetzeslage ist eine Werbemail an eigene Kunden ohne Einwilligung erlaubt, wenn die Anforderungen des § 7 Absatz 3 UWG beachtet werden. Diese Ausnahme ist jedoch an sehr strenge Voraussetzungen gebunden, die in der Praxis häufig wenig beachtet oder bewusst überstrapaziert werden.

Der europäische Gesetzgeber hat sich aber zur Beibehaltung dieser Ausnahme entschieden und im Entwurf der ePrivacy-VO in Art. 16 Absatz 2 eine ähnliche Vorschrift für Bestandskunden festgeschrieben. Danach ist eine Einwilligung im E-Mail-Marketing weiterhin entbehrlich, wenn die E-Mail-Adresse im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Einklang mit der DSGVO erhoben wurde und zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwendet wird. Der Kunde muss dabei klar und deutlich darauf hingewiesen werden, einer solchen Nutzung kostenlos und auf einfache Weise widersprechen zu können. Das Widerspruchsrecht muss bei Erlangung der Angaben und bei jedem Versand einer Nachricht beachtet werden.

Es bleibt somit weitestgehend bei der bisherigen Praxis. Die Herausforderung wird weiterhin bleiben, dass Unternehmen das Widerspruchsrecht bereits „bei Erlangung“ der E-Mail-Adresse beachten müssen. Ob dieser Hinweis innerhalb einer Datenschutzerklärung „versteckt“ werden darf oder gesondert erteilt werden muss, muss die Rechtsprechung durch Auslegung ermitteln. Dabei sei hier auch darauf hingewiesen, dass die ePrivacy-Verordnung noch im Entwurfsstadium steckt und etwaige Änderungen des Gesetzestextes nicht ausgeschlossen werden können.

Hinweise zum Datenschutz sind bereits auf Websites gängige Praxis und nach den Vorgaben des Telemediengesetzes verpflichtend. Die DSGVO ersetzt diese Hinweispflichten durch neue Regelungen in den Artikeln 13 und 14 DSGVO.

Bei der Einholung von Erklärungen müssen zukünftig u.a. die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, eine mögliche Übermittlung in Drittländer und die Dauer der Speicherung informiert werden.

Elektronisch lässt sich dies mit einer Bestätigung der (auf das neue Recht angepassten) Datenschutzerklärung erledigen. Werden hingegen Erklärungen schriftlich eingeholt, müssten Unternehmen mit zusätzlichen Textbausteinen auf die Verwendung der erhobenen Daten gesondert hinweisen. Dies belastet nicht nur die Unternehmen, sondern dürfte im Regelfall auch die Verbraucher überfordern, die sich durch immer umfangreichere Texthinweise arbeiten müssen.