Seit dem 25. Mai 2018 gelten neue Regelungen im Datenschutzrecht. Mit der europäischen Datenschutzgrundverordnung (DSGVO), die unmittelbar für alle Daten in EU-Mitgliedstaaten gilt, wird ein neuer europäischer Standard geschaffen. Damit hat nirgends der Schutz der digitalen Persönlichkeitsrechte eine höhere Schlagkraft, als in der Europäischen Union.

Obwohl Deutschland bereits als Vorreiter im Datenschutzrecht gilt, musste einiges geändert werden. Das Bundesdatenschutzgesetz in der neuen Fassung (BDSG n.F.) umfasst nun beinahe doppelt so viele Vorschriften wie zuvor. Kein Wunder, dass in vielen Unternehmen Verunsicherung herrscht, denn im Falle von Verstößen drohen immense Strafen, dabei ist das erst der Beginn: Die E-Privacy-Verordnung kommt auch noch.

Zurück zur DSGVO:

Viele Unternehmen hat der europäische Gesetzgeber nun vor große Herausforderungen gestellt, denn kaum ein anderes Rechtsgebiet unterliegt einem derart stetigen Wandel. Immer schneller müssen neue Vorschriften umgesetzt und angewandt werden. Das liegt naturgemäß am massiven Zuwachs der digitalen Nutzungsmöglichkeiten im Internet. Denn Verbraucher- und Personendaten sollen in Zukunft angemessen geschützt werden, um ein höheres und einheitliches Datenschutzniveau in ganz Europa zu gewährleisten. Die Zeiten, in denen automatisiert beim Kauf im Online-Shop Daten gesammelt und beinahe vorbehaltlos und vielfach verwertet werden (können), gehören damit endgültig der Vergangenheit an. Webseitennutzer kennen schon das obligatorische Einverständnis zur Verwendung von Cookies. Wer sich übrigens jetzt über die Eile mit der DSGVO beklagt, hat schlicht verschlafen. Denn die „Europäische Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ wie die EU-Datenschutzgrundverordnung oder kurz DSGVO offiziell heißt, wurde bereits am 04. Mai 2016 im offiziellen Amtsblatt der Europäischen Union verkündet. Unten stellen wir Ihnen die wesentlichen Änderungen und Besonderheiten dar.

Stecken Sie nun nicht den Kopf in den Sand und wenden Sie sich an uns; wir unterstützen Sie mit folgenden Angeboten.

Übrigens, sofern Sie für Ihr Unternehmen einen Datenschutzbeauftragten benötigen, stehen wir Ihnen ebenfalls zur Verfügung.

1. Wann gilt das neue Datenschutzrecht

Allgemein bekannt ist sicherlich schon, dass die Datenschutzgrundverordnung unmittelbar seit dem 25. Mai 2018 in Kraft getreten ist.

2. Wer muss die DSGVO beachten

Neben speziellen behördlichen Zwecke, sind auch familiäre Zwecke vom Geltungsbereich der DSGVO ausgeschlossen. Wichtiger aber ist, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von juristischen Personen ebenfalls nicht vom Geltungsbereich der Datenschutz-Grundverordnung umfasst werden. Ansonsten gilt, immer dann, wenn personenbezogene Daten in der Europäischen Union oder auf Gebieten, in denen das Recht der Europäischen Union gilt betroffen sind, ist die die DSGVO zu beachten.

3. Wie hoch sind die Strafen wirklich

Ja, es kann für Ihr Unternehmen tatsächlich teuer werden, wenn sie die Vorschriften der neuen europäischen Richtlinie missachten. Die höchste Strafandrohung geht bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes und ist in Art. 83 Abs. 5 DSGVO geregelt. Das europäische Strafniveau ist damit deutlich höher als die Regelung im BDSG a.F., die einen Betrag von höchstens 300.000 Euro vorsah. Der Europäische Gesetzgeber wollte damit insbesondere große Unternehmen abschrecken. Herr Rechtsanwalt Karimi kann aber beruhigen:

Zunächst ist nicht damit zu rechnen, dass die Aufsichtsbehörden beim Mittelstandsunternehmer den Rahmen der festzusetzenden Sanktionen voll auslasten. Die aktuell verbreitete Panik halte ich für übertrieben. Dennoch sollte die DSGVO in jedem Unternehmen schnellstmöglich umgesetzt werden, denn die Höhe der Strafe wird sich im Einzelfall am individuellen Verschuldensgrad messen.

Was die Situation aus Unternehmersicht problematisch macht, ist das nun wohl auch Schadensersatzforderungen betroffener Personen möglich sein werden. In Zukunft kann nämlich eine betroffene Person nach Art. 82 DSGVO einen Anspruch auf Schadensersatz geltend machen. Demzufolge ist nicht nur der tatsächlich entstandene Schaden, sondern auch der immaterielle Schaden zu ersetzen.

Obendrauf gab es noch einige Änderungen hinsichtlich der Beweislast. Nach dem alten Datenschutzrecht musste die Datenschutzbehörde beweisen, dass ein Verstoß gegen die Datenschutzrichtlinien vorliegt. Seit dem 25. Mai 2018 muss jedes Unternehmen selbst dokumentieren, wie sie die Vorschriften der europäischen Richtlinie richtig umsetzt. Lassen Sie sich von Profis beraten, um bei etwaigen Anfragen der Datenschutzbehörden cool bleiben zu können.

4. Was ist nun mit Cookies

Sicherlich haben auch Sie bereits gehört, dass Sie mit Inkrafttreten der DSGVO eine aktive Zustimmung ihrer Webseiten Besucher notwendig sein soll, um weiterhin Cookies verwenden zu können. Dies soll umso mehr gelten, wenn es sich etwa um statistische Programme wie Google Analytics handelt. Um ein Abmahnungsrisiko gänzlich auszuschließen sollten Sie natürlich als sichersten Weg Webseitenbesucher über die Verwendung von Cookies informieren und aktiv eine Einwilligung einholen. Hierzu Rechtsanwalt Karimi:

Es ist meine Rechtsauffassung, dass sie weiterhin ohne eine vorherige Einwilligung des Webseitenbesuchers Cookies nutzen dürfen. Grundlage hierfür ist Art. 6 Abs. 1 DSGVO, wonach berechtigte wirtschaftliche Interessen ausreichend sind.

Wichtig, ein Besucher sollte im Falle ablehnenden Einwilligung weiterhin auf ihrer Internetseite verbleiben dürfen, auch ohne getrackt zu werden.

5. Rechenschaftspflichten

Werfen wir ruhig einen Blick in die Verordnung. In Art. 5 Abs. 2 DSGVO ist etwa geschrieben: „der verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“. Kennen Sie Art. 5 Abs. 1 DSGVO?  Kennen Sie Art. 24 DSGVO? Sie sollten die Normen kennen, denn sie tragen die Verantwortung. Hierfür haben sie Rechenschaftspflichten („Accountability“), die Sie gegebenenfalls auch nachzuweisen haben. Datenschutz durch Technik und Datenschutz durch Voreinstellung lautet die Devise, vergleiche Art. 25 DSGVO.

Mit einigem Aufwand müssen künftig auch kleine Unternehmen ein sogenanntes Vearbeitungsverzeichnis nach Art. 30 DSGVOerstellen. Wichtig, waren Sie vormals wegen § 4d Abs. 3 BDSG alt von der Erstellung eines Verarbeitungsverzeichnisses befreit, so geht das nicht mehr. Vielmehr können Sie unter bestimmten Voraussetzungen gezwungen sein, darüber hinaus eine Datenschutz-Folgenabschätzung durchzuführen. Bleiben Sie auf der sicheren Seite und nehmen Sie kompetente Hilfe in Anspruch.

6. Datenschutzerklärung auf der Website

Wirklich dringenden Handlungsbedarf haben alle Webseitenbetreiber; die erste Abmahnungswelle aufgrund fehlerhafter Datenschutzerklärungen hat bereits begonnen. Daher gilt es nun, Datenschutzerklärungen zu überarbeiten oder gar gänzlich neu zu verfassen. Hierfür finden Sie inzwischen bereits zahlreiche Muster im Internet. Unsere abmahnsichere und individuell auf Ihre Webseite ausgerichtete Datenschutzerklärung ist aber bereits im Paket 1 inkludiert.

7. Fazit

In der Tat stellt die neue europäische Datenschutzgrundverordnung insbesondere mittelständische Unternehmen vor neue Herausforderungen. Der Verwaltungsaufwand ist enorm, sollte aber nichtsdestotrotz zügig in Angriff genommen werden. Sind erst einmal die Weichen korrekt gestellt, werden Sie feststellen, dass die ganz große Aufregung nicht angebracht gewesen ist.