Die DSGVO – vielfach verschlafen
Die neue Europäische Datenschutz-Grundverordnung (DSGVO) hatten viele Unternehmen und Netznutzer zu lange nicht auf dem Radar. Der erste Entwurf stammt aus dem Jahr 2012, beschlossen wurden die neuen Paragraphen im April 2016, am 25. Mai 2018 tritt die DSGVO jetzt in Kraft. Viel Zeit ging seither also ins Land. Das Ziel der Verordnung ist es, europaweit den Datenschutz auf eine einheitliche Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten soll mit ihr wirksam unterbunden werden.
Neu für den Nutzer von Online-Diensten ist sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, Auskunft über persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung überfällig, unnötig oder unrechtmäßig ist. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er sie einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet und auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – d.h.: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs berücksichtigt werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.
Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen, auch, dass die genannten Privacy-Prinzipien eingehalten werden. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert. In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, unser Geschäftsführer, zugleich als anerkannter Datenschutzbeauftragter arbeitet. Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) liegen damit bei uns in besten Händen – von den Technischen und Organisatorischen Maßnahmen (TOM) über die Sicherheitsanalyse und das Verzeichnis der Verarbeitungstätigkeiten bis hin zur Risikobewertung.
Betroffen von der DSGVO ist übrigens jeder, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.
Ändern wird sich für die Betreiber kleiner Webseiten zunächst wenig, weil die DSGVO in vieler Hinsicht den bisher gültigen Datenschutzgesetzen gleicht. Es genügt hier in den meisten Fällen, die Datenschutzerklärungen und Allgemeinen Geschäftsbedingungen (AGB) anzupassen. Vor allem sollen die Online-Datenschutzerklärungen künftig ‚allgemeinverständlich‘ sein, was natürlich einen weiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.
Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird allerdings trennschärfer. Poste ich Bilder meines heimischen Gartens, dann bleibt dies unkritisch. Verkaufe ich aber beispielsweise dort gezeigte Gartenmöbel, dann fällt die Webseite künftig unter die DSGVO. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter WordPress oder Firefox, sollten private Betreiber besser eliminieren, bis rechtliche Klarheit herrscht.
Wesentlich ist auf alle Fälle eine Anpassung der Datenschutzerklärung und der Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Im Netz finden sich hierzu eine Fülle rechtskonformer Textvorlagen.
Für viel Alarm sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.
Die erste Folge der DSGVO dürfte zunächst aber eine anhaltende Rechtsunsicherheit sein. Was sind bspw. ‚berechtigte Interessen‘ eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind, vermutlich nach Jahren vor dem Europäischen Gerichtshof. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Die Verordnung gilt für alle, die innerhalb der EU Daten erheben oder auswerten wollen – sie gilt also auch für Google oder Facebook.
Bei Fragen zur neuen DSGVO und IT Service in Bremen wenden Sie sich einfach an uns …