Bei der DSGVO handelt es sich um die neue Datenschutz Grundverordnung 2018 innerhalb der EU, die am 25. Mai 2018 in Kraft treten wird. Im Gegensatz zu Richtlinien müssen Verordnungen der Europäischen Union nicht von den Mitgliedsstaaten der EU umgesetzt werden, sondern gelten mit Inkrafttreten der Verordnung als direkt anwendbares Recht.
Sie stellt damit sozusagen ein absolutes Gesetz dar und steht über dem bisher geltenden Bundesdatenschutzgesetz (BDSG). Ein Verstoß gegen die Datenschutz Grundverordnung 2018 (DSGVO) stellt eine Straftat dar – und viele Abmahner spekulieren derzeit bereits darauf das Land mit unzähligen Abmahnungen zu fluten – aber bevor der Unternehmer die vermeintliche Abmahnung in Händen hält, kann er gerade jetzt, im Vorfeld der neue EU Datenschutz Grundverordnung 2018 viel unternehmen…

Das Wichtigste in Kürze:

ist es wichtig? Ja
Sehr wichtig? Ja
Besteht akuter Handlungsbedarf? Ja
Bis wann muss es umgesetzt sein? Spätestens am 25.05.2018
Kostet es Geld? Ja
Wieviel? …kommt drauf an…

Die Geschichte der Verordnung

Innerhalb der zuständigen Organe der EU fanden langwierige Verhandlungen über die Etablierung eines neuen Standards des Datenschutzes statt. Über vier Jahre hinweg musste diskutiert werden. Grund ist, dass die 28 Mitgliedsstaaten der EU über stark unterschiedliche Datenschutzrechte und Mindeststandards verfügen. So ist das Datenschutzniveau in der Bundesrepublik Deutschland als sehr hoch einzustufen, während beispielsweise Irland einen eher geringen Standard aufweist. All diese verschiedenen Level der Mitgliedsstaaten auf einen Nenner zu bringen, gestaltete sich als schwierig und erforderte intensive Diskussionen.
Doch selbst für Staaten wie Deutschland, die bereits einen umfassenden Datenschutz vorweisen können, sind die Neuerungen durch die Verordnung keineswegs überflüssig. Auch in der Bundesrepublik wird das Datenschutzgesetz bzw. werden die umgebenden Normen neu gefasst. Schließlich gewährt die Verordnung den einzelnen Mitgliedsstaaten gewisse Freiheiten hinsichtlich der genauen Ausgestaltung ihres Rechts. So können die Staaten über die rechtliche Implementierung behördlicher Prozesse selbst entscheiden. Auch die Freiheiten hinsichtlich der Kompetenzverteilungen zwischen Bund und Ländern bleiben durch die Verordnung bewahrt. Der Schutz der Daten ist nämlich in bestimmten Staaten Sache des Bundes, während sich in anderen die Länder darum kümmern.

Der Umfang der Verordnung

Die DSGVO (Datenschutz Grundverordnung 2018) gilt gemeinhin als äußerst umfangreiche Verordnung und wird gelegentlich sogar als größte Verordnung bezeichnet, die jemals von der EU beschlossen wurde. So bedeutet sie gerade für Länder, die zuvor geringe Datenschutzstandards oder gar kein Datenschutzrecht hatten, eine große Veränderung und Herausforderung.

Für wen gilt die DSGVO – Datenschutz Grundverordnung 2018?

Betroffen sind alle, die automatisiert personenbezogene Daten verarbeiten, also vor allem Unternehmen, Freelancer und Selbständige – allerdings: auch ein elektronische Mitgliederverzeichnis eines Vereins fällt schon unter die Bestimmungen der DSGVO. Die DSGVO gilt also für alle Unternehmer -somit nicht nur für Großkonzerne wie Facebook und Google sondern auch für Handwerks- und Ein-Mann-Betriebe (vgl. „ein-Frau-Betriebe). Ausgenommen von der DSGVO sind Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwenden. Auch für Journalisten, die für ihre Berichterstattung personenbezogene Daten erheben oder nutzen, wird es ähnlich wie bislang gewisse Ausnahmen geben – kurzum: Für alle die personenbezogenen Daten natürlicher Personen im europäischen Wirtschaftsraum verarbeiten.

Die Ziele der DSGVO

Das übergeordnete Ziel der Verordnung ist es natürlich, die Datenschutzniveaus der einzelnen EU-Mitgliedsstaaten anzugleichen bzw. das Datenschutzrecht auf europäischer Ebene zu harmonisieren.

In den vergangenen Jahren wurden die Unterschiede hinsichtlich des Datenschutzes von einigen Unternehmen gezielt ausgenutzt. Große Firmen wie Google, Facebook oder Apple haben ihren europäischen Hauptsitz in Irland und unterliegen so dem irischen Recht. Dazu zählt selbstverständlich auch das irische Datenschutzrecht. Dieses bietet aber keinerlei Möglichkeiten zu einer tatsächlichen, wirksamen Bestrafung von Verstößen gegen die Vorschriften des Datenschutzes. Anstelle von Abmahnungen mit Bußgeldern werden in Irland lediglich Hinweise darauf ausgeteilt, doch bitte den Datenschutz einzuhalten. Kein Wunder also, dass sich diese Unternehmen in Irland ansiedeln, ist ihre Achtung für den Datenschutz doch als gering zu bezeichnen.

Diesen Praktiken soll jetzt aber die Verordnung entgegenwirken, indem sie das Schutzniveau in hinterherhinkenden Staaten wie Irland oder Griechenland anhebt und auf ein europäisch einheitliches Level bringt.
Auch eine Förderung der Wirtschaft wird durch die Verordnung beabsichtigt. Unternehmer haben jetzt nicht mehr die Freiheit, ihren Unternehmenssitz nach Belieben auszuwählen bzw. das sogenannte Forum-Shopping zu betreiben. Darunter versteht man die Praxis, die Anwendung des für sie selbst günstigsten Rechts zu ersuchen, beispielsweise durch die Wahl des Wohnsitzes oder das Anrufen eines bestimmten Gerichts.
Des Weiteren sichert die Verordnung auch den Aufsichtsbehörden weitreichende Kompetenzen zu. Überhaupt wird die Durchsetzbarkeit des Rechts in allen Mitgliedsstaaten insbesondere durch die Einführung von Bußgeldern gestärkt. Zudem gibt die Verordnung neben der Möglichkeit einer Verwarnung auch die genaue Höhe dieser Bußgelder vor. Das Maximum beträgt hier vier Prozent des weltweiten Jahresumsatzes eines Unternehmens bzw. 20 Millionen Euro. Angewendet wird jeweils jene Alternative, bei der das Bußgeld höher ausfällt. Mit diesen Mitteln sollen z. B. amerikanische Datenkraken in ihren Aktivitäten im Zaum gehalten werden.

Wie sieht der Wandel in einzelnen Ländern aus?

Während die Verordnung in Deutschland wohl kaum grundlegende Umwälzungen mit sich bringen dürfte, da das Schutzniveau hier bereits hoch anzusiedeln ist, sieht die Lage in anderen Ländern dramatischer aus. Für Staaten, die zuvor nur niedrige Standards hatten oder sogar keinerlei datenschutzrechtliche Vorschriften aufweisen konnten, käme ein solcher Paradigmenwechsel wohl einer kaum zu bewältigenden Umstellung gleich und jedes Kapitel der neue Datenschutz Grundverordnung 2018 liest sich wie ein nicht-umsetzbares Machtwerk von realitätsfremden Bürokraten…

Obwohl die Datenschutz Grundverordnung 2018 den Löwenanteil der Normen bereits vorgibt – oder vielleicht gerade deshalb… Lediglich im Hinblick auf einzelne, genauere Ausgestaltungsmöglichkeiten haben die Länder innerhalb der Datenschutzgrundverordnung einen eigenen, wenn auch engen Spielraum. Da schon seit Jahren bekannt ist, dass die Verordnung in Kraft treten wird, sollten die jeweiligen Parlamente zumindest damit keine größeren Probleme haben.

Die Datenschutz Grundverordnung in der Praxis

Bei der Verordnung handelt es sich bislang um nicht mehr als eine Sammlung von Normen. Eine genaue Auslegung oder Spezifizierung durch reale Fälle oder Gerichtsurteile fehlt noch. Klagen oder gar solche, die bis zur höchsten Instanz gehen, liegen selbstverständlich noch nicht vor. Momentan dreht sich bei der Verordnung alles darum, sie umzusetzen und die eigenen Gestaltungsmöglichkeiten der EU-Mitgliedsstaaten durch die selbigen auszufüllen.

Was wird geschützt?

Was aber genau schützt die Datenschutz Grundverordnung 2018? In erster Linie dient sie dem Schutz der personenbezogenen Daten von natürlichen Personen.
Geschützt werden dabei personenbezogene Daten. Damit werden Daten bezeichnet, die man eindeutig einer einzigen natürlichen Person zuordnen kann. Auch eine mittelbare Zuordnung von personenbezogener Daten ist dafür ausreichend, diese Angaben werden personenbeziehbare Daten genannt.

Zu den personenbezogenen Daten gehören der Name, das Alter, der Familienstand, das Geburtsdatum, die Telefonnummer, die Adresse (Anschrift) und die E-Mail-Adresse, das Aussehen, die Krankheitsdaten und so weiter. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Nach Art. 30 Abs. 1 DSGVO gilt: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ Es besteht also eine strenge Dokumentationspflicht.
Sogar Werturteile können personenbezogene Daten sein. Demnach ist auch das Abiturzeugnis im Sinne der personenbezogenen Daten besonders schützenswert.

Zu den personenbezogene Daten, mit denen eine Person also mittelbar identifiziert werden kann, gehören unter anderem Kfz-Kennzeichen, Matrikelnummern an Universitäten oder Kontonummern.
Darüber hinaus gibt es noch sensible Daten. Sie sind ausdrücklich zusätzlich schutzwürdig. Darunter fallen die ethnische Herkunft, die politische Einstellung bzw. Meinung, die Religionszugehörigkeit, die Gesundheit, das Sexualleben oder strafrechtliche Verurteilungen bzw. Vorstrafen. Diese Informationen betreffen den intimsten Bereich der Privatsphäre, also den höchstpersönlichen Lebensbereich und sind die häufigste Grundlage für Diskriminierungen, weshalb sie auch besonderen Schutz erfordern.

Was ändert sich für Unternehmen konkret?

Eine der wichtigsten Hauptkerne der DSGVO sind die verschärften Dokumentations- und Rechenschaftspflichten mit dem Hintergrund zu beleuchten, ob ein Nutzer oder Kunde seine ausdrückliche Zustimmung dazu gegeben, dass seine Daten gespeichert und verwendet werden dürfen. Genau dies muss ein Betrieb in Zukunft zweifelsfrei  und nachhaltig nachweisen können. Wie personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt werden, müssen Unternehmen mit der DSGVO in einem „Verzeichnis von Verarbeitungstätigkeiten“ festhalten. Nötig ist dieses beispielsweise, wenn ein Unternehmen seine Personalakten elektronisch verwaltet oder eine elektronische Kundendatei führt. Über die genauen Anforderungen, wie die technische Umsetzung, herrscht noch an vielen Stellen absolute Unklarheit. Mit der DSGVO wird es zudem noch wichtiger, Daten nur zweckgebunden zu verwenden. Hat also ein Kunde etwa seine E-Mail-Adresse nur für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür verwendet werden – punkt, aus, basta!

Die Unsicherheit die Panik auslöst…

Bei kleinen Unternehmen und Kleinstbetrieben ist die Unsicherheit genauso vorhanden wie bei DAX Konzernen. Unzählige DSGVO-Infoveranstaltungen wie beispielsweise von Online-Experte Thomas Wagner (mi-service.de), der mit den Datenschutzrechts-Experten Peter Hense und Tilman Herbrich von Spirit Legal LLP über Anforderungen und Lösungen von und für DSGVO/GDPR und ePrivacyR am 29.03.2018 in einer Online-Veranstaltung diskutierte finden regen Zuspruch… Der Tenor ist überall gleich: Das Thema ist heikel, muss punktgenau und sicher umgesetzt werden, aber alle Experten warnen explizit vor Panikmache.

Was müssen Unternehmer / Freelancer und Firmenchefs also tun?

Sie dürfen personenbezogene Daten nur dann nutzen, wenn hierfür eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen vorliegt. Dies gilt künftig sowohl in Deutschland als auch im restlichen Gebiet der EU. Diese Einwilligung muss im Zweifelsfall auch nachgewiesen werden können. Hat der Betroffene beispielsweise einen Newsletter des Unternehmens abonniert, ist das keinesfalls ausreichend, um eine Einwilligung zu belegen. Ein sogenannter Double-Opt-In ist ein bewährtes Mittel um nachweisen zu können dass man die Person auf die Nutzung seiner Daten und den Zweck der Nutzung hingewiesen hat. Die Nutzung bzw. Verarbeitung der Daten muss nämlich immer (!) zweckgebunden sein. Darunter versteht man, dass die Verwendung der Daten ausschließlich zu dem Zweck geschieht, für den auch die Einwilligung eingeholt wurde.

In der Praxis bedeutet dies das Folgende: Ein Kunde sendet per E-Mail eine Anfrage zu einem Angebot einer Onlinemarketing-Strategie. Er bittet das Unternehmen also darum, diese Strategie für ihn zu erstellen. Möchte man daraufhin das gewünschte Angebot zurücksenden, müssen Daten des Kunden verwendet werden. Zumindest ist hier die E-Mail-Adresse erforderlich, gegebenenfalls sind aber noch weitere Daten notwendig, um ein individualisiertes Angebot abgeben zu können. Die Daten dürfen zunächst gespeichert werden, was zumeist mithilfe eines Content Management Systems geschieht. Wichtig ist dabei aber, dass der Kunde vorher weiß, zu welchem Zweck diese Speicherung geschieht. Darüber muss er im Impressum bzw. der Datenschutzerklärung des Unternehmens aufgeklärt werden.

Im Zweifelsfall sollten Unternehmer, Freelancer und Firmenchefs also ihr Impressum bzw. die Datenschutzerklärung anpassen, damit sie diesen Anforderungen der Verordnung gerecht werden. Außerdem muss die Art der Speicherung auch sicher sein, das heißt, die Speichermedien und der Sicherungsmethoden müssen dem Stand der Technik entsprechen. Auch hier sollten die Firmen bei Unsicherheiten Aktualisierungen ihrer Technik vornehmen – sensible Daten sollten grundsätzlich pseudonymisiert und sicherheitshalber auch verschlüsselt werden.

Wichtig! Protokollierung über den genauen Datenfluss

Auch der Fluss von Daten muss genau protokolliert werden. Überhaupt ist es wichtig, dass die Datenverarbeitungs-Prozesse protokolliert werden, da die Verordnung ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten vorschreibt. Darüber hinaus erleichtert dieses Verzeichnis natürlich auch das Nachweisen einer erfolgten Einwilligung. Außerdem muss darin festgehalten werden, wer welche Daten zu welchem Zweck verarbeitet. Neben diesem Zuständigen muss auch sein Stellvertreter vermerkt werden. Noch dazu sollte stets der Datenschutzbeauftragte angegeben sein, damit die Ansprechpartner für Zweifelsfälle eindeutig benannt sind.
Nicht jedes Unternehmen muss einen Datenschutzbeauftragten haben, ab einer Unternehmensgröße von zehn Mitarbeitern ist es aber gesetzlich vorgeschrieben. Somit sind lediglich Kleinunternehmen von dieser Pflicht ausgenommen. Zu beachten gilt es außerdem, dass weder der Geschäftsführer (bzw. einer der Geschäftsführer, sollte das Unternehmen mehrere haben) noch der IT-Chef zum Datenschutzbeauftragten ernannt werden dürfen. Neben einem internen kann auch ein externer Kandidat die Position übernehmen.

Die Bedeutung des Datenschutzbeauftragten

Der Datenschutzbeauftragte stellt sicher, dass die Vorschriften der Europäischen Datenschutzverordnung auch tatsächlich eingehalten werden. Aufgrund der Fülle dieser Normen wird eine Aufsichtsperson benötigt, die sicherstellt, dass die datenschutzrechtlich relevanten Prozesse innerhalb des Unternehmens im rechtlich zulässigen Rahmen ablaufen. Um sich zum Datenschutzbeauftragten ausbilden zu lassen, können Zertifizierungen erlangt werden.

Die Auftragsdatenverarbeitung

Das Inkrafttreten der Verordnung macht die Auftragsdatenverantwortlichen dem Betroffenen gegenüber unmittelbar haftbar. Somit müssen die Unternehmen neue Vereinbarungen hinsichtlich der Auftragsdatenverarbeitung treffen. Das bedeutet also, dass ein Unternehmen einen Dritten beauftragt, um beispielsweise Kundendaten zu verarbeiten. Begeht dieser Dritte dabei einen Verstoß gegen das Datenschutzrecht, ist er selbst haftbar, und nicht das ursprüngliche Unternehmen.

Die Meldepflicht

Sofern eine datenschutzrechtliche Vorschrift im Zusammenhang mit den personenbezogenen Daten verletzt wird, muss der für das Verzeichnis der Verarbeitungstätigkeiten Zuständige diesen Verstoß melden. Er hat dies dann unverzüglich der Datenschutz-Aufsichtsbehörde mitzuteilen. Große praktische Bedeutung hat dieser Fall vor allem bei Hackerangriffen. Neben dem Zuständigen für das Verzeichnis der Verarbeitungstätigkeiten muss auch der Datenschutzbeauftragte auf diese Situation vorbereitet sein und es gegebenenfalls der Behörde melden.

Wie kann das Unternehmen auf die Verordnung vorbereitet werden?

Besonders für Unternehmen, die bislang über keinerlei Datenschutz-Infrastruktur verfügten, werden die Änderungen der Verordnung Umwälzungen bedeuten. In einem solchen Fall kann es durchaus ratsam sein, einen externen Experten zu beauftragen. Dieser soll anschließend die gesamte Vertragslage des Unternehmens überprüfen sowie Strukturen und Abläufe checken, die im Rahmen des Datenschutzes relevant sein können. So kann das Unternehmen das Risiko verringern, zukünftig nicht gegen die Verordnung zu verstoßen oder zumindest eine Grundlage für datenschutzkonformes Handeln aufbauen. Dies ist insbesondere daher vorteilhaft, da mit Inkrafttreten der Verordnung wohl auch eine Abmahnwelle zu erwarten sein dürfte. Viele Abmahnanwälte setzen nämlich genau darauf, dass zahlreiche Unternehmen noch nicht auf die neuen datenschutzrechtlichen Bestimmungen der Richtlinie vorbereitet sein werden. Dazu programmieren sie teilweise sogar sogenannte Bots, welche die Onlineauftritte automatisch prüfen können.
Durch diese Expertenhilfe kann man das eigene Unternehmen vor einer solchen abmahnbedingten Bußgeldzahlung schützen.

Welche Bedeutung hat die Verordnung für das Onlinemarketing?

Führende Fachzeitschriften wie Heise online und andere haben zwar schon ganze Artikelserien zu diesem Thema im Internet – allerdings wird hier oftmals unnötig Panik verbreitet und auf die wesentliche Dinge oftmals erst im Rahmen von Webinaren / Seminaren und/oder Checklisten hingewiesen… Deswegen hier die wichtigsten Dinge kurz um kompakt:

Wie bereits erwähnt, muss das Impressum und die Datenschutzerklärung aktualisiert werden, sodass es den Anforderungen der neuen Verordnung gerecht wird. Dazu muss sich auch die Website auf dem neuesten Stand der Technik befinden. Dieser Stand der Technik muss selbstverständlich noch wirtschaftlich zumutbar sein. Wer es Hackern allerdings zu einfach macht, an schützenswerte Daten zu kommen, der macht sich nicht nur strafbar, er macht die Seite schlichtweg „unsicher“ gegenüber den Benutzern.
Als Faustregel gilt, dass die Anpassung des Impressums und die Aktualisierung der Datenschutzerklärung wohl recht umfangreich ausfallen dürften und eine Erweiterung des Impressums auf bis zu 15 Seiten keinen Ausnahmefall darstellen wird. Auch eine Überarbeitung des Content Management Systems wie beispielsweise WordPress oder Typo3 ist unerlässlich. Vorsicht ist darüber hinaus bei Newslettern geboten. Sofern diese noch über den Stichtag der Verordnung hinaus versendet werden, also noch über den 25. Mai hinweg, so muss unbedingt eine Einwilligung des Kunden durch den Double-Opt-In vorausgegangen sein. Anbieter, die Websites für Kunden erstellt haben, müssen diese für den Kunden auf den neuesten Stand bringen, damit sie den neuen Normen standhalten. Dazu sind die Anbieter verpflichtet und können im Falle eines Verstoßes auch direkt vom Kunden haftbar gemacht werden.

Wer noch immer keine SSL-Verschlüsselung auf der Website hat und in irgendeiner Form Formulare anbietet, der sollte schnellstens auf SSL wechseln. Für Formulare, egal ob Kontaktformulare, Kommentarfelder oder ein Shop mit unzähligen Eingabemasken ist diese Transportverschlüsselung ein absolut wirksamer Schutz für die Übertragung der  personenbezogenen Daten. Das eine Webseite nicht einfach wahllos Daten weiterreichen kann sollte mittlerweile logisch sein – deshalb müssen Website-Betreiber einen Auftrag zur Datenverarbeitung mit verschiedenen Diensten (u.a. Google Analytics) abschliessen. Ohne einen unterschriebenen Auftrag zur Datenverarbeitung ist es nicht legal, Daten an Drittdienste weiterzugeben. Gleichzeitig muss der Webseitenbesucher sowohl auf das Vorliegen eines solchen Vertrages an geeigneter Stelle hingewiesen werden, als auch – auf Antrag – Einsicht in diesen Vertrag erhalten.

Auch einen Verstoss gegen diese DSGVO (Datenschutz Grundverordnung 2018) stellt das sogenannte Kopplungsverbot dar, was besagt, dass man nicht einfach Dienste koppeln darf – im Klartext: Das Anschauen eines Videos oder eines eBooks also frei nach dem Motto: Gib mir deine Email Adresse und ich gebe Dir kostenlos dieses eBook – darf nicht mehr stattfinden… – das Einsammeln von Email-Adressen darf nur noch zwangfrei erfolgen…

Ein weiterer Punkt der sicherlich für viele sehr viel Schulterzucken und Ahnungslosigkeit innerhalb der eigenen Werbseite darstellt ist, dass viele Webseiten Daten weiterleiten oder (bisher) externe Ressourcen einfach auf die eigene Webseite eingebunden haben… – sei es Google Fonts, oder Google Maps oder Youtube oder Vimeo oder oder oder… – alle diese Anbieter erhalten „irgendwelche“ Daten von der besuchten Webseite… – meistens die IP-Adresse des Besuchers – aber nicht nur… – hier gilt es genau und äußerst akribisch hinzuschauen und zu analysieren, ggf. nachzujustieren, mit den Anbietern (wenn möglich) Verträge über die Datenverarbeitung abzuschliessen und und und…, denn wer diese neuen Vorschriften missachtet, dem drohen Abmahnungen mit Bußgeldern, die laut der Verordnung wirksam, verhältnismäßig und abschreckend sind.

Übrigens: Keine Panik! Die Datenschutz Grundverordnung 2018 (DSGVO) tritt am 25. Mai 2018 in Kraft.

Disclaimer: Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Artikels zur Verfügung gestellten Informationen werden nach Möglichkeit vollständig und aktuell gehalten, jedoch wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen gewährleistet.