Wir selbst bieten keine Rechtsberatung an, dieser Text dient lediglich informellen Zwecken
und spiegelt allgemeine Informationen wieder.

Grundsätze der DSGVO

Bevor wir auf die Neuerungen genauer eingehen, möchten wir kurz die Grundsätze der DSGVO im Gedächtnis verankern.
Diese beschreibt der Artikel 5 und sie lassen sich wie folgt zusammenfassen.

Transparenz

  • Personenbezogene Daten dürfen nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“. Daraus ergeben sich umfangreiche Dokumentationspflichten, sodass Unternehmen jederzeit Auskunft über Umfang, Zweck und Speicherdauer der gesammelten Daten geben können.

NEU: Eine Person ist auch dann bestimmbar, wenn sie mittels einer Kennung in Form von Standortdaten, IP-Adresse, Cookies etc. zugeordnet werden kann.

Zweckbindung und Datenminimierung

  • Das Erheben der Daten muss „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein. Das heißt, dass die Daten nur für den jeweiligen Zweck genutzt werden dürfen.

Richtigkeit und Speicherbegrenzung

  • Personenbezogene Daten müssen grundsätzlich sachlich richtig erhoben und auf dem aktuellen Stand sein. Sollte dies nicht der Fall sein, müssen Maßnahmen ergriffen werden, um die Daten unverzüglich zu löschen oder zu berichtigen. Deswegen müssen Sie auch darauf achten, dass nach dem Grundsatz der Speicherbegrenzung die personenbezogenen Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“.

Integrität und Vertraulichkeit

  • Unternehmen sind mit in Krafttreten der DSGVO dazu verpflichtet, dass die Verarbeitung „eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unabsichtlicher Zerstörung oder unabsichtlicher Schädigung durch geeignete technische und organisatorische Maßnahmen“.

Worauf müssen Sie bei der Erhebung und Verarbeitung von personenbezogenen Daten nach der EU Datenschutz-Grundverordnung konkret achten?

Verbot mit Erlaubnisvorbehalt

Generell gilt, nur wenn eine einwandfreie und rechtskonforme Einwilligung vorliegt, dürfen Sie personenbezogene Daten verarbeiten. Ganz wichtig dabei ist das Kopplungsverbot. So darf die Erbringung einer Dienstleistung nicht an die Einwilligung, z. B. den Newsletter eines Unternehmens zu abonnieren, geknüpft sein. Wurde eine Einwilligung erteilt, dann muss sie dem entsprechenden Kunden nachvollziehbar zugewiesen werden. Auf sein Nachfragen müssen Sie ihm diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen (z. B. XML). Deswegen müssen Sie als Unternehmen ein Verfahrensverzeichnis führen. Darin beschreiben Sie, welche Daten zu welchem Zweck verarbeitet werden und an welche Auftragsverarbeiter (= Drittanbieter o. Ä.) sie gegebenenfalls weitergegeben werden.

Eine ausführliche Anleitung hat bitkom zusammengestellt.

Die Verarbeitung ist in Ausnahmefällen auch ohne Einwilligung erlaubt, wenn:

  • sie genutzt wird, um einen Vertrag zu erfüllen.
  • sie nötig ist, um rechtlichen Verpflichtungen nachzukommen, denen die Person unterliegt.
  • unbedingt lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person gewahrt werden müssen.
  • es im öffentlichen Interesse liegt und zu Erfüllung hoheitlicher Aufgaben erforderlich ist (z. B. am Flughafen).

Weitergabe an Dritte bzw. Auftragsverarbeiter

Die DSGVO versteht unter Verarbeitung auch die Übermittlung personenbezogener Daten. Auch dieser Vorgang unterliegt der Einwilligung des Kunden und muss in der Datenschutzerklärung dargelegt werden. Die Übermittlung und Auftragsdatenverarbeitung ist ebenfalls zweckgebunden. Zusätzlich müssen Sie folgendes beachten:

  1. Aus der Kundenkommunikation muss hervorgehen, woher die Daten und Einwilligungen zur Verarbeitung stammen bzw. welche Daten Sie zur Verarbeitung an den Auftragsverarbeiter (namentliche Nennung inkl. Anschrift) übermittelt werden.
  2. Sie müssen die Herkunft und den Empfänger der Daten für zwei Jahre speichern, sodass sie innerhalb dieser Frist Betroffenen Auskunft geben können. Bei Verstößen oder unsachgemäßer Verarbeitungen haften Verantwortliche (= Unternehmen) und Auftragsverarbeiter (= Drittanbieter) gemeinsam. Deswegen ist es Ihre Pflicht als Unternehmen genaue Anweisungen für die Auftragsdatenverarbeitung zu geben und deren Einhaltung auch nachzuprüfen.

NEU:

Recht auf Löschung und das „Recht auf Vergessenwerden“

Wie bereits im BDSG festgeschrieben, können betroffene Personen auch nach DSGVO ihre Daten jederzeit löschen lassen. Es sei denn, die Daten unterliegen gesetzlichen Aufbewahrungsfristen. Neu ist das „Recht auf Vergessenwerden“. Es sieht die vollständige und umfängliche Löschung aller Daten vor.

Marktortprinzip

Mit der DSGVO tritt auch das sogenannte Marktortprinzip (siehe Artikel 3) in Kraft. Demnach müssen sich auch Firmen aus Nicht-EU-Ländern an die Datenschutzverordnung halten, wenn sie innerhalb der EU Daten erheben, Produkte oder Dienstleistungen verkaufen oder das Onlineverhalten von EU-Bürgern beobachten.

Erweiterung der Betroffenenrechte

Die neue Datenschutzrichtlinie erweitert die Betroffenenrechte. Folgende Rechte sind bereits aus dem BDSG bekannt:

  • Auskunftsrecht
  • Widerspruchsrecht
  • Recht auf Einschränkung der Verarbeitung und auf Berichtigung

Diese Rechte werden folgendermaßen erweitert:

  • Recht auf Datenübertragung: Betroffene Personen können die Übermittlung ihrer Daten an Dritte veranlassen. Dies muss dann in einem gängigen Format geschehen. Kunden wird so der Wechsel zu einem anderen Anbieter erleichtert.
  • Recht auf Unbetroffenheit von rechtverbindlichen Entscheidungen mit Grundlage in automatisierten Datenprozessen: Das bedeutet, das betroffene Personen nicht auf einer Entscheidung, die ausschließlich auf einer automatisierten Datenverarbeitung beruht, rechtlich belangt werden können.

Eingehende Anträge von Betroffenen müssen in der vorgesehenen Frist, d. h. unverzüglich bis spätestens in vier Wochen, erledigt sein. Dabei spielt es keine Rolle in welcher Form diese Anträge eingereicht werden (E-Mail, Brief, Fax, telefonisch etc.).

One-Stop-Shop

Hinter diesem Wort steckt die Neuerung, dass für Unternehmen mit Niederlassungen in mehreren Ländern nur die Aufsichtsbehörde an ihrem Hauptsitz zuständig ist. Betroffene können sich aber weiterhin an die Aufsichtsbehörde an ihrem Wohnsitz wenden, um etwaige Verstöße zu melden.

Die EU Datenschutz-Grundverordnung und ihre Konsequenzen für das Marketing

Personenbezogene Daten werden häufig im Marketing für den Versand von Werbemails, Newslettern, bei der Kaltakquise und der gleichen genutzt. Deswegen greift auch in diesen Fällen der Datenschutz.

Briefkastenwerbung:

  • Nicht adressiertes Werbematerial darf eingeworfen werden, sofern der Briefkasten nicht mit der Aufschrift „Bitte keine Werbung“ gekennzeichnet ist.

Telefonwerbung:

  • Liegt keine Einwilligung des Kunden vor, ist der Anruf rechtswidrig und es besteht zudem ein hohes Abmahnrisiko. Im B2B wird dies etwas lockerer gesehen. Wenn Sie davon ausgehen können, dass ein potenzielles Unternehmen Interesse an ihrem Angebot oder Produkt hat, dann liegt eine mutmaßliche Einwilligung vor. In diesem Fall sind Telefonanrufe erlaubt. Kunden können sich allerdings jederzeit auf ihr Widerspruchsrecht berufen.

Werbemail- und Newsletter-Versand:

  • Werbung per E-Mail ohne vorherige Einwilligung ist nur im Rahmen von bestehenden Kundenbeziehungen möglich. Selbst dann sollen folgende Bedingungen erfüllt sein: Sie als Unternehmer müssen die E-Mail-Adresse im Zuge einer verkauften Ware oder Dienstleistung vom Kunden erhalten haben. Sie dürfen die Adresse nur zu Direktwerbung für ähnliche Produkte nutzen. Bei der Erhebung der Adresse wurde ihr Endkunde auf die Verwendung zu Werbezwecken und auf sein Widerspruchsrecht informiert. Aus diesem Grund hat sich das Double-Opt-In-Verfahren weitestgehend etabliert. Dadurch ist jeder Schritt vom Ausfüllen und Absenden des Formulars bis zum Anklicken des Bestätigungslinks protokolliert.

Technische Anforderungen

Privacy by Design

Nicht alle Produkte und Systeme unterstützen die neuen Richtlinien des Datenschutzes. Deswegen machen Sie sich Unternehmen bitte bereits vor Inbetriebnahme der jeweiligen Software Gedanken, ob diese einen ausreichenden Datenschutz sicherstellen kann.

Privacy by Default

Laut DSGVO müssen die Formulare z. B. beim Onlinekauf datenschutzfreundliche Voreinstellungen bei Produkten und Dienstleistungen besitzen. Also dürfen nur die Daten verarbeitet werden, die für die entsprechende Nutzung notwendig sind. Der Kunde kann, wenn er möchte, im Nachgang eine Einwilligung für eine erweiterte Datenverarbeitung geben.

Da es natürlich zu Umstrukturierungen innerhalb der IT-Landschaft kommen kann, ist das Aufsetzen einer Datenschutz-Folgeabschätzung (kurz: DSFA) unabdingbar für Unternehmen. Ziel ist es, Risiken und mögliche Folgen für Betroffene zu bewerten.

Eine DSFA muss immer dann durchgeführt werden, wenn neue Technologien zum Einsatz kommen. Aber auch wenn ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen vermutet wird. Oder wenn es sich um eine umfangreiche und systematische Bewertung von persönlichen Aspekten handelt (z. B. Profiling). Verantwortliche sollten in allen Fällen den Rat ihres Datenschutzbeauftragen einholen, um die nächsten Schritte zu klären.

Im Internet gibt es bereits zahlreiche Mustervorlagen für die Datenschutz-Folgenabschätzung.

Zusammenfassung

Für Unternehmen lässt die EU Datenschutz-Grundverordnung das Thema Verarbeitung von Daten und Datenschutz umfassend aufleben. Wir haben versucht Ihnen einen kurzen Überblick zu diesem komplexen Thema zu geben. Viele Punkte der Verordnung sind bereits fest in deutschen Unternehmen verankert, jetzt gilt es nur noch alle Informationen auf den neusten Stand zu bringen. Damit Ihnen das auch gelingt, haben wir für Sie noch einige hilfreiche Quellen zusammengetragen.

Weiterführende Informationen zur EU Datenschutz-Grundverordnung: