Schon gewappnet für die neue EU-Datenschutzgrund-verordnung?
Im Mai 2018 tritt mit der neuen Datenschutzgrundverordnung (EU-DSGVO) ein europaweit geltendes, harmonisierendes Datenschutzrecht in Kraft. Dieses wird direkt geltendes Recht in allen EU-Mitgliedsstaaten sein. Geringe Unterschiede sind allenfalls durch die Möglichkeit so genannter „Öffnungsklauseln“ zu erwarten. Vor allem werbetreibende Unternehmen sollten sich schon jetzt informieren, um vorbereitet zu sein.
Genaugenommen ist die DSGVO schon im Mai 2016 in Kraft getreten, aber dank einer Übergangsperiode, sind Werbetreibende erst ab dem 24. Mai 2018 verpflichtet, die Verordnung auf ihre Kundendaten anzuwenden. Laut der Datenschutzgrundverordnung müssen Werbetreibende, Publisher wie auch Technologieplattformen bevor sie Daten verwenden, explizit die Erlaubnis ihrer Kunden einholen. Zudem müssen sie jederzeit darüber Auskunft geben können, wofür die Kundendaten verwendet werden.
Bild 1: Die DSGVO ist schon am 25. Mai 2016 in Kraft getreten. In den EU-Mitgliedsstaaten kommt sie 2018 zur Anwendung. Quelle: Bitkom
Datenschutz erhält in Deutschland durch die DSGVO eine neue Qualität
Verglichen mit anderen Ländern wird sich in Deutschland mit Inkrafttreten der DSGVO nicht alles grundsätzlich ändern, denn die EU hat einige Fundamente der DSGVO dem deutschen Recht nachempfunden. Dies gilt insbesondere für den ehernen Grundsatz des „Verbots mit Erlaubnisvorbehalt“. Danach sind alle Arten des Umgangs mit persönlichen Informationen so lange verboten, bis der Gesetzgeber die Handlung explizit erlaubt oder der Betroffene ausdrücklich einwilligt. Ebenso behält die neue DSGVO die elementaren Grundsätze des Datenschutzes – Datensparsamkeit und Transparenz – bei.
Auch das Zweckbindungsgebot bleibt bestehen. Danach dürfen personenbezogene Daten nur für „festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden“, was einer unbeschränkten Nutzung von Daten im Sinne von Big Data entgegensteht. Die DSGVO (Art. 6) erwähnt nur einige wenige Ausnahmen von der engen Zweckbindung (z.B. Datennutzung in der Forschung). Nicht nur in puncto Big Data wird sich für Global Player wie Microsoft und Facebook einiges ändern. Ab Mai 2018 gilt statt des bisher geltenden „Sitzlandprinzips“, nachdem bei juristischen Konflikten die Gesetze des Landes greifen, in dem die Unternehmen ihren Hauptsitz haben, das „Marktortprinzip“. Wer EU-Bürgern dann Leistungen anbieten will, muss zwingend die DSGVO in der Version beachten, die im jeweiligen Zielland gilt. Dies umfasst ausdrücklich auch kostenlose Dienste – also Gratis-Services von Konzernen wie Google, Facebook oder Microsoft. Unternehmen aus Drittstaaten werden künftig sogar dazu angehalten, einen Vertreter für die EU zu benennen, der als Anlaufstelle und Ansprechpartner für Betroffene und Aufsichtsbehörden fungiert.
EU-Datenschutzgrundverordnung: Das Recht auf Vergessenwerden
Artikel 12 der neuen Verordnung legt außerdem strengere Informationspflichten fest. So müssen Unternehmen den Nutzern die Rechtsgrundlage zur Datenverarbeitung ebenso mitteilen wie die Dauer der Datenspeicherung. Daneben gibt es auch eine Mitteilungspflicht hinsichtlich der Kriterien für die Dauer der Speicherung oder in Bezug auf die Weitergabe an ein Drittunternehmen. Diese Informationspflichten gehen mit Regeln zu Auskunft, Widerruf sowie Löschung einher. Als „Recht auf Vergessenwerden“ bekannt sind Löschansprüche, die Betroffenen zustehen. Anders als bei dem vom Europäischen Gerichtshof postulierten Recht zur Sperre von personenbezogenen Suchmaschinenergebnissen geht es in der DSGVO um die Löschung direkt bei der speichernden Stelle. Für Daten, die Unternehmen selbst über eine Person veröffentlicht haben, besteht künftig sogar eine Pflicht der Unternehmen, auch andere Stellen, die diese Daten ebenfalls verarbeiten, über den Löschungsanspruch des Betroffenen zu informieren.
Wie beschrieben, wird mit der neuen EU-Datenschutzgrundverordnung das Datenschutzrecht nicht neu erfunden, es werden nur neue Schwerpunkte gesetzt. Auf Werbetreibende kommen ab 2018 deutlich mehr Pflichten und Risiken zu. Sie müssen sich nicht nur bewusstmachen, wo wann welche Daten verarbeitet werden, sie müssen unter Umständen auch eine Dokumentation über die Verarbeitungstätigkeiten führen (vgl. Art. 30 DSGVO).
EU-DSGVO: So sind Unternehmen optimal gerüstet
Wie sieht nun die optimale Vorbereitung auf die neue Datenschutzgrundverordnung aus? Primär sollten sich Unternehmen darüber bewusstwerden, welche Art von Datenbearbeitung im eigenen Betrieb stattfindet. Dabei stellt sich unter anderem die Frage, ob eine Datenverarbeitung, bei der Mitarbeiterdaten gespeichert werden im Auftrag für ein Drittunternehmen stattfindet. Des Weiteren stellt sich die Frage, ob eine Zusammenarbeit mit Subdienstleistern stattfindet, denen möglicherweise Daten zugespielt werden.
Diese erste kurze Analyse zeigt vielen Werbetreibenden, dass im eigenen Unternehmen mehr Daten verarbeitet werden als gedacht, wobei es sich nicht allein um Mitarbeiterdaten handelt. Außerdem werden viele Unternehmen feststellen, dass sie Dienstleister einsetzen, um Daten in ihrem Auftrag zu verarbeiten. Dabei kann es sich um ein komplexes Outsourcing-Projekt handeln oder auch nur um eine einfache Softwarelösung.
Bild 2: Die neue DSGVO stellt werbetreibende Unternehmen vor Herausforderungen. So sollten Unternehmen z.B. ihre Datenschutzerklärungen anpassen und eine Dokumentation über Verarbeitungstätigkeiten erstellen. Quelle: Bitkom
Auf die Analyse müssen die Kontrolle und Bewertung der Datenverarbeitung erfolgen. Und nach dem Datenflussaudit muss das ein oder andere Unternehmen, das Daten verarbeitet, einen Datenschutzbeauftragten bestellen (Art. 37 ff. DSGVO). Zudem ist eine Datenschutz-Folgenabschätzung bzw. ein Privacy Impact Assessment (PIA) für jede Art der Datenverarbeitung zu erstellen (Art. 35 DSGVO) und zu überprüfen, ob bestehende Auftragsverarbeitungsverträge, Datenschutzhinweise und Einwilligungen dem neuen Recht entsprechen.
So müssen nicht nur im unternehmensinternen Ablauf alle Verarbeitungsprozesse dokumentiert und bewertet werden, sondern auch, ob etwa beim Tracking auf der Website alle Vorschriften der DSGVO eingehalten wurden. Der Dringlichkeit der Sache, scheinen sich vor allem deutsche Unternehmen noch nicht bewusst. Laut einer weltweit durchgeführten Umfrage von Veritas, bei der aktuell 900 Führungskräfte aus Europa, Asien und Amerika befragt wurden, ist fast die Hälfte der deutschen Befragten immer noch nicht gerüstet für die DSGVO, obwohl nur noch ein gutes Jahr Zeit ist, bis die Verordnung rechtswirksam wird (48 Prozent). In der EMEA-Region ist das der schlechteste Wert. Dabei ist das Risiko eines Verzugs, beträchtlich. Waren in Deutschland Bußgelder bisher eine Seltenheit, so bringen die Bußgeldartikel 83 und 84 der DSGVO ganz neue Dimensionen in die Datenschutzwelt. Hier ist u.a. von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes die Rede. Die Abmahner, die im Web nicht selten anzutreffen sind, reiben sich schon die Hände.
Quellen:
EU-Datenschutz-Reform & Privacy Shield: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz-Sicherheit/Inhaltsseite.html
EU-Datenschutzgrundverordnung: https://www.bitkom.org/Themen/Politik-Recht/EU-internationale-Politik/EU-Datenschutzgrundverordnung.html
Datenschutzgrundverordnung: Was Unternehmen tun müssen: https://www.haufe.de/marketing-vertrieb/online-marketing/datenschutzgrundverordnung-was-unternehmen-tun-muessen_132_411504.html
Datenschutzgrundverordnung: Was sich ändert: https://www.haufe.de/marketing-vertrieb/online-marketing/datenschutzgrundverordnung-die-aenderungen_132_411052.html
Schlusslicht Deutschland – Unternehmen schlecht auf Datenschutz-Grundverordnung vorbereitet: http://blog.wiwo.de/look-at-it/2017/04/25/schlusslicht-deutschland-unternehmen-schlecht-auf-datenschutz-grundverordnung-vorbereitet/
