Schriftzug DSGVO auf Wand

Sind Sie fit für die DSGVO?

Bald ist es soweit – die Datenschutz-Grundverordnung der EU tritt im Mai 2018 effektiv in Kraft. Wenn sie sich als datenverarbeitendes Unternehmen noch nicht mit der DSGVO auseinandergesetzt haben, wird es jetzt höchste Zeit. Die in dieser Verordnung enthaltenen Regelungen zum „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ müssen bis zum Stichtag am 25.05.2018 von allen Unternehmen umgesetzt worden sein. Andernfalls drohen empfindliche Strafen. Aber was bedeutet die DSGVO nun konkret für Unternehmen und welche rechtlichen Änderungen sind zu erwarten?

Die DSGVO im Überblick

Die DSGVO erfindet den Datenschutz nicht neu. Insbesondere die Definition von „personenbezogenen Daten“, sowie die Grundlage einer „Erlaubnis“ zur Verarbeitung gelten nach wie vor. Für Unternehmen, die bisher schon großen Wert auf die Einhaltung der bestehenden EU Datenschutzrichtlinie und des Bundesdatenschutzgesetzes (BDSG) gelegt haben, sind daher besonders die Neuregelungen relevant.

In Artikel 5 der Verordnung werden nun sechs präzise Grundsätze zur Verarbeitung personenbezogener Daten formuliert. Diese Grundsätze sollten in jedem Unternehmen geprüft und entsprechend umgesetzt werden.

Grundsatz 1: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Dieser Grundsatz macht klar, dass die Verarbeitung personenbezogener Daten auf eine rechtmäßige Weise, nach Treu und Glauben (jur. Begriff eines redlichen und anständigen Menschen) und nachvollziehbar für die betroffene Person erfolgen muss.

Grundsatz 2: Zweckbindung

Die Erhebung personenbezogener Daten muss einem festgelegten, eindeutigen und legitimen Zweck folgen. Die anschließende Verarbeitung darf nicht auf eine Weise erfolgen, die diesem Zweck entgegensteht.

Grundsatz 3: Datenminimierung

An dieser Stelle weist der Grundsatz auf einen zweckgebundenen und auf das Notwendigste beschränkten Umfang der Datenerhebung hin. Dieser Grundsatz ersetzt die im BDSG festgelegte „allgemeine Datensparsamkeit“ und schließt durch die Zweckgebundenheit eine BigData-Massenverarbeitung nicht aus.

Grundsatz 4: Richtigkeit

Ein Kriterium an personenbezogene Daten ist die sachliche Richtigkeit und – wenn erforderlich – die Aktualität der Daten. Daraus ergibt sich zudem die Anforderung, angemessene Vorkehrungen dafür zu treffen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden können.

Grundsatz 5: Speicherbegrenzung

Die Speicherung personenbezogener Daten darf nur so lange erfolgen, wie es der Zweck erfordert. Konkreter wird in diesem Grundsatz noch auf eine Form der Daten hingewiesen, die eine Identifizierung der betroffenen Personen ermöglicht.

Grundsatz 6: Integrität und Vertraulichkeit

Der letzte Grundsatz aus Artikel 5 der DSGVO bezieht sich auf technische und organisatorische Maßnahmen, die getroffen werden müssen, um die Sicherheit von personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz vor unbefugter / unrechtmäßiger Verarbeitung, dem unbeabsichtigten Verlust / Zerstörung oder einer unbeabsichtigten Schädigung der Daten.

Zusätzlich muss der Verantwortliche für die Einhaltung der Grundsätze der Datenverarbeitung Rechenschaft ablegen können. Im Klartext: Ein Unternehmen muss nachweisen können, dass Daten – nach bestem Wissen und Gewissen – entsprechend dieser Verordnung verarbeitet werden. Sonderregelungen bei der Einhaltung der Grundsätze werden von der DSGVO nur für Verarbeitungen im Sinne einer Archivierung im öffentlichen Interesse, für wissenschaftliche oder historische Forschung oder für statistische Zwecke eingeräumt.

In weiteren Punkten wird verdeutlicht, dass eine Einwilligung der betroffenen Person für die Datenverarbeitung unumgänglich wird. Verantwortliche für Letzteres stehen zudem in der Nachweispflicht für diese Einwilligung. Ein Widerruf muss jederzeit – und dabei ebenso einfach wie die Einwilligung selbst – möglich sein.

Der Verantwortliche, das heißt ein datenverarbeitendes Unternehmen, ist gegenüber der Person, dessen Daten sie verarbeitet, informationspflichtig insofern, als verschiedenste Informationen bereitzustellen sind. Dazu kommt, dass die Personen verschiedene Rechte haben. Darunter:

  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Neben den Beschränkungen liefert die Verordnung eine Reihe von Vorgaben und Anforderungen für und an den Datenschutz bei datenverarbeitenden Unternehmen. Diese sollten sich schleunigst mit der Übertragung dieser Anforderungen auf die eigenen Arbeitsprozesse in der Datenverarbeitung beschäftigen. Immerhin könnte die Verordnung dem Datenschutz eine prominentere Stellung auf dem Online-Werbemarkt verschaffen. Für Cookies etwa bedeutet sie, dass wohl eine Opt-In-Funktion nötig wird, statt wie bisher „nur“ ein Opt-Out Verfahren.

Website Compliance ist also das Stichwort für Websitebetreiber

Denn bei Verstößen gegen die Verordnung werden Strafen „von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist”.

Während die DSGVO eher nach Vorteilen für die Verbraucher klingt, müssen sich Unternehmen und Werbetreibende allerdings auch Gedanken machen, wie Werbung im Online-Raum der Europäischen Union künftig aussehen kann.

ePrivacy – Was bedeutet das genau?

Die e-Privacy-Verordnung gilt gewissermaßen als Ergänzung zur DSGVO. Voraussichtlich wird sie 2019 in Kraft treten. Wir möchten dieses Thema zunächst nur kurz streifen und stellen uns die Frage, was die geplante Verordnung der EU zu einem Hindernis für Marketer macht?

Die ePrivacy regelt den Verbraucherschutz von Personen bei der Datenverarbeitung vor allem im Kontext von elektronischen Kommunikationsdiensten.

Es gibt eine Reihe von Artikeln in der Verordnung, bei denen Marketern nicht wohl sein dürfte. Kurz gesagt: die ePrivacy-Verordnung macht es extrem schwer persönliche Userdaten für kommerzielle Zwecke zu nutzen; da das prinzipiell untersagt wird. Das alltägliche Online-Tracking soll also der Vergangenheit angehören! Was sich zunächst als Gewinn für den Endverbraucher anhört, kann ihm auch ganz schön auf die Füße fallen! Denn wird keine personenbezogene Werbung mehr ausgespielt – wofür es personenbezogene Daten braucht –, wird der Nutzer nur noch Banner oder Anzeigen ohne echte Relevanz für sie angezeigt bekommen.

OK – aber was sollten wir als werbetreibendes Unternehmen nun tun?

Die Kontroverse um die Verordnung zur ePrivacy geht weiter. Im Oktober hat sich das EU-Parlament bereits für die stark reglementierende Verordnung ausgesprochen. Interessant wird sein, wie sich gerade die einflussreichen Unternehmen und Stimmen auch hierzulande nun positionieren. Ist die Verordnung für Verbraucher- und Datenschützer ein Gewinn, könnten einige Unternehmen und Marketer Probleme bekommen. Für all jene, die auf die Verarbeitung von personenbezogenen Daten, vor allem im Kontext von elektronischen Kommunikationsmedien, bauen, ist eine Angleichung der Prozesse an die Anforderungen der EU-Verordnung(en) nun zwingend geworden.

Wir möchten eindringlich darauf hinweisen, etwaige Maßnahmen mit Ihrem Datenschutzbeauftragten und / oder einem anderen Spezialisten zu diskutieren. Gerne empfehlen wir unseren Kunden dazu auch einen Partner aus unserem Netzwerk.