Fast jedes Unternehmen erhebt, verarbeitet oder speichert heute personenbezogene Daten. Das ist immer dann der Fall, wenn eine konkrete Person direkt oder indirekt identifiziert wird oder identifizierbar ist. Es geht also nicht nur um Namen, E-Mail-Adressen oder Telefonnummern. Auch IP-Adressen, die von Webseiten sowieso gespeichert werden, sind personenbezogene Daten.
An Ihrer Internetseite können die Aufsichtsbehörde und abmahnende Mitbewerber sofort auf einen Blick erkennen, ob sich Ihr Unternehmen überhaupt schon mit der Umsetzung datenschutzrechtlicher Vorschriften beschäftigt hat. Denn die hier anzugebenden Informationen haben sich durch die DSGVO erheblich geändert. Keine Online-Datenschutzerklärung kann 2018 so bleiben, wie sie 2017 noch perfekt war.
Und hierbei sind die Webseite und Datenschutzerklärung nur die Spitze des Eisberges der umzusetzenden datenschutzrechtlichen Regelungen.
Der wichtigste Rat: Zögern Sie nicht bis Ende Mai, sich mit diesem wichtigen Thema auseinander zu setzen, denn die DSGVO kann umfangreichere Schritte nach sich ziehen, als nur eine angepasste Datenschutzerklärung zu veröffentlichen.
Was ist eigentlich diese Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung (DSGVO) ist eine in der gesamten Europäischen Union unmittelbar geltende EU-Verordnung, die den einheitlichen Schutz der personenbezogenen Daten im gesamten Unionsgebiet regelt. Auch das bisherige Bundesdatenschutzgesetz (BDSG) wird daher aufgehoben und neu gefasst.
Ziel der DSGVO ist es, das Vertrauen der europäischen Bürger in den Umgang der Unternehmen mit ihren Daten zu stärken. Dies wiederum eröffnet den Unternehmen auch die Möglichkeit, diese Daten noch mehr als bisher als Wirtschaftsgut zu nutzen.
Welche datenschutzrechtlichen Vorgaben sind neu?
Ein wesentliches Element der Neuregelung ist die Stärkung der Rechte der Betroffenen. So gibt es neben Auskunfts- und Berichtigungsanspruch nun ein gesondertes Recht auf Datenübertragung und ein endlich geregeltes Recht auf Vergessen. Der Verbraucher hat jetzt einen Anspruch darauf, dass der Unternehmer die nicht mehr benötigten personenbezogenen Daten löscht, sofern er diese nicht mehr für den Zweck benötigt, für den sie erhoben wurden. Wenn der Verbraucher von seinen Rechten Gebrauch macht, ist der Unternehmer verpflichtet unverzüglich zu reagieren. Spätestens innerhalb eines Monats nach Eingang beispielsweise des Löschungsantrags ist die betroffene Person über die ergriffenen Maßnahmen oder über die Gründe der Ablehnung einer Löschung zu informieren.
Im Unterschied zum alten Datenschutzrecht ist es bei der Auftragsdatenverarbeitung nun nicht mehr nur aus Sicht des Auftraggebers, sondern auch der des Auftragnehmers erforderlich, dass ein Vertrag zur Auftragsdatenverarbeitung vorliegt.
Damit nicht genug: Unternehmen haben in den meisten Fällen außerdem ein Verzeichnis der Verarbeitungstätigkeiten zu führen, das alle Verfahren des Unternehmens, bei denen personenbezogene Daten verarbeitet werden, dokumentiert. Auch die zum Datenschutz getroffenen technischen und organisatorischen Maßnahmen (TOM) sind festzuhalten. Das Verzeichnis muss zwar nicht veröffentlicht werden. Fordert die Aufsichtsbehörde aber Einsicht, muss es zur Verfügung gestellt werden.
Eine weitere DSGVO-Vorgabe: Immer wenn eine geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen in sich bergen könnte, ist von den Unternehmen nun eine Datenschutzfolgenabschätzung (DSFA) vorzunehmen. Je nach Ergebnis dieser DSFA ist die Bestellung eines Datenschutzbeauftragten Pflicht. Zudem muss das Unternehmen die Aufsichtsbehörde über die geplante Art und Weise und das Ergebnis der DSFA informieren.
Als Unternehmer müssen Sie künftig außerdem innerhalb von 72 Stunden jede Datenpanne Ihres Unternehmens an die Aufsichtsbehörde melden und soweit möglich auch die Betroffenen informieren. Die Konsequenz dieser „Selbstanzeige“ wird dann wiederum in vielen Fällen eine datenschutzrechtliche Überprüfung des Unternehmens durch die Aufsichtsbehörde sein.
Welche Sanktionen drohen?
Die DSGVO sieht im Gegensatz zur bisherigen Rechtsalge sehr hohe Strafen vor – bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes Ihres Unternehmens. Darüber hinaus können Betroffene Schadensersatz fordern, und die datenschutzrechtlichen Regel- stellen in vielen Fällen auch Wettbewerbsverstöße dar, die von Mitbewerbern oder Verbänden abgemahnt werden können.
Welche Lösungsmöglichkeit bietet sich an?
Der Autor des Blogbeitrags, Herr Cornelius Matutis ist Vorsitzender der Interessenvertretung des Onlinehandels e.V. und Fachanwalt für Gewerblichen Rechtsschutz und bietet ein EU-Datenschutz Check an. Dabei wird Ihre Website auf Basis eines Fragebogens hinsichtlich des aktuellen Standes der Umsetzung der Datenschutz-Grundverordnung geprüft. Das Ergebnis der Prüfung und die noch umzusetzenden Schritte erhalten Sie in Form eines anwaltlichen Gutachtens. Zudem profitieren Sie von einer für Ihre Internetseite erstellten individuellen Datenschutzerklärung und, soweit für Ihr Unternehmen erforderlich, zusätzlich von einem Vertragsmuster zur Auftragsdatenverarbeitung.
