Die neue Datenschutz-Grundverordnung der EU steht vor der Tür. Welche Rechte Verbraucher haben und mit welchen Herausforderungen Unternehmer konfrontiert sind.
Mehr Selbstverantwortung für Firmen, neue und erweiterte Betroffenenrechte und strengere Vorgaben für die Datensicherheit: Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der EU. In allen 28 EU-Ländern gelten dann gleich hohe Standards. Während einige Firmen bereits seit Monaten intensiv an einer Umsetzung des neuen Regelwerks arbeiten, scheint vielen kleinen und mittleren Unternehmen die Tragweite noch nicht bewusst zu sein. Was sich für Unternehmen und Verbraucher im nächsten Jahr ändert.
Für wen gilt die neue DSGVO?
Die Grundverordnung gilt für die gesamte Europäische Union und zwar unmittelbar in jedem Mitgliedstaat. Auch Unternehmen mit Sitz außerhalb Europas müssen die Bestimmungen befolgen, wenn sie personenbezogene Daten von Betroffenen der EU verarbeiten und sie Dienstleistungen oder Waren in der EU anbieten.
Um welche Daten handelt es sich?
Geschützt sind personenbezogene Daten, also Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen, zum Beispiel Name, Adresse, Geburtsdatum oder Bankdaten. Die Verarbeitung sensibler Daten, die auf eine rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hinweisen, sowie die Verarbeitung von genetischen und biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben, unterliegt besonders strengen Auflagen. Lediglich anonyme Daten fallen nicht darunter.
Welche Rechte haben Betroffene?
Betroffene haben ein Auskunftsrecht. Das bedeutet, dass der Unternehmer auf Verlangen Informationen über die erhobenen Daten, deren Herkunft, die geplante Speicherdauer und über sämtliche Empfänger übermitteln muss. Eine solche Auskunft ist binnen vier Wochen und grundsätzlich unentgeltlich zu geben, es sei denn die Anfrage war offenkundig unbegründet. Eine Ausweiskopie muss dem Auskunftsbegehren nicht mehr zwingend beigefügt werden, sondern nur noch dann, wenn Zweifel an der Identität des Betroffenen bestehen. Daneben sieht die DSVGO ein Recht auf Berichtigung der Daten, ein Recht auf Löschung beziehungsweise auf Vergessenwerden, ein Recht auf Einschränkung der Verarbeitung sowie ein Widerspruchsrecht vor. Neu ist das Recht auf Datenübertragbarkeit. Demnach haben Betroffene künftig das Recht, die zur Verfügung gestellten Daten von einer automatisierten Anwendung in einem gängigen, maschinenlesbaren Format zu erhalten, um den Datensatz dann leichter von einem Anbieter zum nächsten mitnehmen zu können.
Welche Pflichten haben Unternehmer?
Unternehmer sind künftig zu einer umfassenderen Information der Betroffenen verpflichtet. Vor jeder Datenanwendung müssen entsprechende Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache an den Betroffenen übermittelt werden. Zu diesen Informationen zählen etwa Name und Kontaktmöglichkeiten des Verantwortlichen, der Zweck und die Dauer der Verarbeitung und der Hinweis auf die Möglichkeit eines Widerrufs der Einwilligung zur Speicherung. Für die Praxis von besonderer Bedeutung sind die erweiterten Melde- und Benachrichtigungspflichten, welche die DSGVO im Zusammenhang mit Hacker-Angriffen vorsieht. Im Falle eines Datenlecks haben Unternehmer die zuständige Aufsichtsbehörde möglichst binnen 72 Stunden zu informieren. Auch die betroffenen Personen sind unverzüglich zu benachrichtigen.
Wann ist eine Verarbeitung von personenbezogenen Daten zulässig?
Eine Datenverarbeitung ist insbesondere dann zulässig, wenn der Betroffene zugestimmt hat. Es muss sich dabei um einen „klaren Zustimmungsakt“ handeln. Die Einwilligung kann schriftlich, elektronisch oder mündlich erfolgen.
Müssen weiterhin DVR-Meldungen erstattet werden?
Ab dem 25. Mai 2018 entfallen die generellen Meldeverpflichtungen an das Datenverarbeitungsregister (DVR) der Datenschutzbehörde. Stattdessen muss der Unternehmer selbst eine Risikoeinschätzung vornehmen, die sogenannte Datenschutz-Folgeabschätzung. Ein solche ist verpflichtend, wenn bei der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, ein hohes Risiko für persönliche Rechte und Freiheiten gegeben ist. Unternehmer haben auch ein „Verzeichnis von Verarbeitungstätigkeiten“, also eine Liste mit sämtlichen Datenanwendungen zu führen. Zudem müssen geeignete Schutzmaßnahmen getroffen werden. Dabei sind der Stand der Technik, die Implementierungskosten, der Zweck der Datenverarbeitung und das konkrete Risiko zu berücksichtigen. Generell gilt der Grundsatz der Datensparsamkeit.
Bleiben Eintragungen in das Datenverarbeitungsregister gültig?
Eine DVR-Meldung, die vor dem 25. Mai 2018 bei der Datenschutzbehörde erstattet wurde, entbindet den Unternehmer nicht von den Verpflichtungen nach der DSGVO. Dies gilt auch für DVR-Registrierungen. Ihnen kommt insbesondere keine rechtlich verbindliche Aussagekraft darüber zu, ob bestimmte Datenverwendungen den neuen Rechten und Pflichten entsprechen oder nicht. Hierfür bedarf es jedenfalls einer anwaltlichen Prüfung. Ist eine Datenanwendung bereits im DVR registriert, kann dies aber ein Anhaltspunkt für künftige Dokumentationspflichten und deren konkreten Umfang sein.
Welche Strafen drohen im Falle eines Verstoßes?
Verletzungen der DSGVO werden mit Strafen bis zu 20 Millionen Euro oder 4% des letztjährigen weltweiten Jahresumsatzes sanktioniert.
STEPHAN KLIEMSTEIN