Manches klar – und vieles unklar in Europa: Die DSGVO – Fortsetzung

Der erste Entwurf der Verordnung stammt aus dem Jahr 2012; beschlossen wurden die neuen Paragraphen im April 2016; am 25. Mai 2018 trat die Datenschutz-Grundverordnung (auf Englisch General Data Protection Regulation – kurz GDPR) dann in Kraft. Die Intention der Verordnung ist es, europaweit den Datenschutz auf eine kongruente Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten sollte mit ihr wirksam unterbunden werden.

Neu für den Nutzer von Online-Diensten ist vor allem sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, das Recht, Auskunft über die gespeicherten persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung “überfällig”, “unnötig” oder “unrechtmäßig” erscheint. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er diese einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet, wie auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – das heißt: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs miteinbezogen werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.

Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf sich bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen. Auch die genannten Privacy-Prinzipien werden stets strikt eingehalten. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert. In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, der Geschäftsführer von b.r.m., zugleich als anerkannter Datenschutzbeauftragter arbeitet. Assistiert wird er hierbei von dem Senior Consultant Rainer Dedermann – genügend ‘Manpower’ ist bei b.r.m. damit stets vorhanden.

Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) für Bremen und Umgebung läuft mit uns an Ihrer Seite völlig reibungslos – von den Technischen und  Organisatorischen Maßnahmen (TOM) über die Risikobewertung bis hin zum Verzeichnis der Verarbeitungstätigkeiten.

Von der DSGVO ist übrigens jeder betroffen, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook oder Google. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung und sexuelle Orientierung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.

Auch nicht unbedeutend: Die Online-Datenschutzerklärungen müssen künftig ‚allgemeinverständlich‘ sein, sie dürfen also kein ‘Juristen-Chinesisch’ enthalten, was natürlich einen breiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.

Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird jetzt trennschärfer gefasst. Poste ich bspw. Bilder meines  Gemüsegärtchens, dann bleibt dies unkritisch. Verkaufe ich aber die dort gezeigte Hollywoodschaukel, dann fällt die Webseite künftig unter die Datenschutz-Grundverordnung. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter WordPress oder Firefox, sollten private Betreiber besser abschalten, bis rechtliche Klarheit herrscht.

Wesentlich ist auf alle Fälle eine Adaption der Datenschutzerklärung und der allgemeinen Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Fragen Sie im Zweifel einfach unsere betrieblichen Datenschutzbeauftragten Harald Rossol und Rainer Dedermann.

Für viel Unruhe sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83 DSGVO). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.

 

Bei Vorliegen eines Datenschutzvorfalles hat eine Meldung an die zuständige Datenschutzbehörde immer zu erfolgen (Meldepflicht), außer wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Wenden Sie sich in jedem Fall an Ihren Datenschutzbeauftragten. Auch die betroffenen Personen müssen benachrichtigt werden, wenn ein hohes Risiko für deren Rechte und Freiheiten bestehen könnte. Ein hohes Risiko liegt beispielsweise vor, wenn Daten aus den “besonderen Kategorien” (Art. 9 DSGVO), z. B. Gesundheitsdaten oder politische Ansichten, in unbefugte Hände geraten.

Die DSGVO lässt natürlich noch manche Fragen offen: Was sind bspw. ‚berechtigte Interessen‘ (Art. 6 Abs. 1 lit. f) DSGVO) eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind. Hilfestellungen geben die Erwägungsgründe. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es jetzt keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Der Rahmen ist für alle gleich. Die Verordnung gilt unabhängig von der Herkunft für jeden, der innerhalb der EU Daten erheben oder auswerten will – sie gilt also auch für Google oder Facebook.

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO durch einige sogenannte ‚Öffnungsklauseln‘. Dies ist beispielsweise der Fall in  § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ausführt. Hier hat der Gesetzgeber spezifischere Vorschriften festgelegt.

Bei Fragen zur neuen DSGVO und zu einem rechtskonformen IT Service in der Hansestadt Bremen und Umgebung wenden Sie sich am besten einfach an uns. Gerne können Sie sich direkt mit unseren Datenschutzbeauftragten Harald Rossol und Rainer Dedermann in Verbindung setzen.