Die wichtigsten Punkte der EU-Datenschutz-Grundverordnung
im Überblick

Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO) und löste die bis dahin geltende EU-Datenschutzrichtlinie (RL 95/46/EG) ab.

Für Internetnutzer eine gute Nachricht, denn ihre Rechte in Bezug auf ihre persönlichen Daten sowohl im privaten als auch öffentlichen Bereich sollen gestärkt werden. Innerhalb Europas wurde mit Hilfe der Verordnung das Datenschutzrecht harmonisiert, sodass es keine Nischen mehr geben soll, in die man sich zurückziehen kann, um höheren Datenschutzanforderungen zu entkommen. Da die Verordnung europäisches Recht ist, gilt sie vor nationalen Gesetzen, z.B. dem nationalen TMG und dem BDSG.

Stärkung der Nutzer – Erlaubnisvorbehalt

Persönliche Daten dürfen nur mit Einwilligung des Nutzers erhoben, genutzt und verarbeitet werden oder wenn es die DSGVO oder andere einschlägige gesetzliche Regelungen ausdrücklich erlauben, z.B. bei berechtigten Interessen der Datenerhebung und/oder Nutzung.

Die Einwilligung muss in „informierter Weise und unmissverständlich“ abgegeben werden. Der Verantwortliche muss nachweisen können, dass der Nutzer der Datenerhebung und –Verarbeitung zugestimmt hat.

Außerdem haben die Nutzer ein verstärktes Recht auf klare und verständliche Information darüber, ob und welche Daten über ihn von wem wo erhoben bzw. verarbeitet werden und bereits erhoben/verarbeitet wurden. Das bedeutet, dass insbesondere dann, wenn ein Account gehackt oder Daten gestohlen wurden, der Betroffene schnell und umfangreich zu informieren ist, damit dieser sich auch selbst um die Sicherheit seiner Daten kümmern kann.

Allerdings hat der Gesetzgeber auch weite Ausnahmen von dem Erlaubnistatbestand zugelassen. Gemäß Art. 6 Abs. 1 lit. b-f DSGVO ist eine Einwilligung nicht mehr nötig für die Verarbeitung personenbezogener Daten, sofern es sich z.B. um für die Erfüllung von Vertragspflichten erforderlichen Daten handelt oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder die Verarbeitung zur Wahrung berechtigter Interessen Dritter oder des Verantwortlichen notwendig ist.

Das sind sehr vage Ausführungen und – man muss es im Streitfall nur gut begründen können. Andererseits ist es für Unternehmen schwierig, rechtssicher abzugrenzen, welche Informationen ihrer Nutzer bzw. Kunden nun „notwendig“ sind.

Der Betroffene soll nach der DSGVO jederzeit die Möglichkeit haben, seine Einwilligung zu widerrufen (Art. 7 abs. 3 DSGVO). Für den Betroffenen ist das von Vorteil, für die Unternehmen ergibt sich jedoch ein gewisses Planungsrisiko, da die Erlaubnis zur Nutzung der Daten jederzeit entzogen werden kann.

Das Recht auf Vergessen, das Betroffene dazu berechtigt, dass persönliche Daten von Google & Co. gelöscht werden müssen, wenn die Information veraltet ist und kein öffentliches Interesse der Allgemeinheit an der Veröffentlichung der Information existiert. Das Urteil des EuGH, nachdem Suchmaschinenbetreiber wie Google auf Antrag und nach Prüfung der Sachlage Links und Verweise löschen muss, wird durch die DSGVO erweitert. Unternehmen müssen dem Ersuchen von Nutzern grundsätzlich nachkommen, wenn diese eine Löschung ihrer Daten wünschen und es keine zulässigen Gründe für die weitere Datenspeicherung gibt.

Über alle Rechte der Betroffenen müssen diese ausführlich informiert werden.

Mindestalter für Einwilligung angehoben

Offensichtlich sieht der Gesetzgeber Kinder und Jugendliche trotz ihrer zunehmenden jungen Reife als besonders schutzwürdig an. Das mag vielleicht an der sinkenden Hemmschwelle liegen, private Informationen von sich im Internet preiszugeben. Denn bisher war es in vielen Ländern der EU so, dass man schon mit 13 Jahren aufgrund der nötigen Einsichtsfähigkeit seine Einwilligung in die Verarbeitung von personenbezogenen Daten abgeben konnte.

Durch die DSGVO ist dies erst ab 16 Jahren zulässig – vorher ist die Einwilligung der Eltern erforderlich. So z.B. auch bei einer Anmeldung bei facebook etc. Fraglich ist jedoch, wie die Kontrolle dieser Einwilligung funktionieren soll, denn Jugendliche werden sich, wenn sie noch keine 16 Jahre alt sind, sehr wahrscheinlich illegal anmelden und die Eltern werden gar nicht erst gefragt.

Ausländische Unternehmen an europäischen Datenschutzrecht gebunden

Da sich in Europa viele außereuropäische Unternehmen tummeln und ihre Dienste über das Internet anbieten, gelten die neuen Regelungen auch in nicht-europäischen Unternehmen. Das bedeutet, dass auch Facebook sich an diese Regeln halten muss, wie bereits erste Gerichtsentscheidungen hierzu zeigen.

Dokumentationspflichten

Die DSGVO sieht vom Verantwortlichen teilweise ausdrücklich eine Dokumentation bestimmter Vorgänge vor, so z.B. ein Verzeichnis der relevanten Verarbeitungstätigkeiten. Dies betrifft alle Unternehmen, egal wie viele Mitarbeiter mit der Datenverarbeitung betraut sind, so also auch Soloselbständige. An anderen Stellen der DSGVO ergibt sich eine implizite Dokumentationspflicht, weil der Verantwortliche nur auf diese Weise gegenüber den Prüfanforderungen der Datenschutz-Aufsichtsbehörden die Einhaltung der Vorgaben der DSGVO nachweisen kann. Die Zwecke der Dokumentation bestehen also zum einen darin, die nach der DSGVO bestehenden Nachweispflichten zu erfüllen, und zum anderen darin, für Zwecke des Datenschutzmanagements jederzeit auf diese Dokumentation zurück greifen zu können.

Nach den Zielen der DSGVO dient die Dokumentation demnach vor allem folgenden Zwecken:

  • Schaffung von Transparenz und Effizienz intern und extern
  • Sensibilisierung, Aufklärung und Schulung von Mitarbeitern
  • Nachvollziehbares Management der Prozesse im Unternehmen
  • Sicherstellung der Datenschutzkonformität nach der DSGVO
  • Bestandteil von möglichen Audits
  • Grundlage für eine etwaige Zertifizierungen
  • Kommunikationsmittel und Nachweis gegenüber der Aufsichtsbehörde
  • Kommunikationsmittel gegenüber Dritten (Auftragsverarbeitung, gemeinsame Verantwortlichkeit usw.)

Höhere Bußgelder, härtere Sanktionen

Bußgelder nach DSGVO können bis zu 20.000.000 EUR oder im Falle eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden – je nachdem, welcher Betrag höher ist. Da es nicht auf den Gewinn, sondern den Umsatz ankommt, können die Geldbußen teils schmerzlich hoch ausfallen. Insbesondere, wenn es sich um einen Konzern handelt, denn dann wird der Konzernumsatz als Berechnungsgrundlage genutzt und nicht die einzelne GmbH.

Sanktionen und Bußgelder gelten für alle Unternehmen, die ihren Sitz in der EU haben und alle Unternehmen, die ihre Dienste an EU Bürger richten und von diesen personenbezogene Daten erheben/verarbeiten/nutzen.