DSGVO - und was ist jetzt zu beachten?
Es ist soweit: das Datenschutzrecht in Europa wurde am 25.05.2018 im großen Stil verstärkt. Was Sie als Unternehmen bei der verpflichtenden Umsetzung beachten müssen, erfahren Sie hier.
Das Datenschutzrecht basiert auf dem Grundrecht der informationellen Selbstbestimmung, welches die Rechte und Freiheiten der Bürger im Umgang mit Daten schützen soll. Vor allem bedingt durch das Internet werden fast überall Daten verarbeitet.
Bei Verstößen gegen die Vorschriften der DSGVO können Bußgelder bis zu 20 Mio EUR oder 4% des weltweiten Umsatzes des Vorjahres drohen, abhängig welcher Betrag höher ist. Für ein Unternehmen wie Apple würde das 9,16 Mrd. EUR, für Google 4,43 Mrd. EUR oder für Facebook 1,63 Mrd. EUR bedeuten.
Mehr Verantwortung für Unternehmen
Die neue Rechenschaftspflicht gem. Art. 5 II DSGVO besagt, dass Unternehmen in Zukunft beweisen müssen sich an die Grundsätze der DSGVO zu halten.
Dazu gehören insbesondere die Rechtmäßigkeit der Verarbeitung, Transparenz und Zweckbindung. Deswegen ist es empfehlenswert jede rechtliche Handlung, Verarbeitung und Einwilligung zu dokumentieren.
Einwilligungen überarbeiten
Die Anforderungen an eine Einwilligung als Rechtsgrundlage einer Verarbeitung verschärfen sich.
In Zukunft wird ein Opt-Out Verfahren bei der Einwilligung nicht mehr gebilligt werden. Nach teleologischer Auslegung der Erwägungsgründe ergibt sich, dass ein vorangekreuztes Feld nicht den Anforderungen der Einwilligung genügt. Die Erteilung einer Einwilligung sollte stetes auf einer freien Entscheidung des Betroffenen berufen. Dies wäre durch ein vorangekreuztes Kästchen nicht gegeben. Der Gesetzgeber verbietet zwar nicht direkt den Gebrauch einer Opt-Out Lösung (durch die Verwendung des Begriffs „soll“ in EG 32 S. 3 DSGVO, lässt sich somit aber weitere Zwischenlösungen offen. Festzuhalten bleibt jedoch, dass eine Opt-In Möglichkeit die meiste Rechtssicherheit bietet.
Ein weiterer Unterschied zur alten Einwilligung ist, die Forderung nach mehr Informiertheit und Bestimmtheit. So muss einem Einwilligendem klar werden für welche Zwecke (EG 42 S. 4 DSGVO) und welche Verarbeitungsvorgänge er seine Einwilligung erteilt, EG 32 S.2 DSGVO.
Ebenso muss in Zukunft die Möglichkeit des Widerrufs deutlicher kenntlich gemacht werden. Das heißt, der Widerruf muss so einfach wie die Einwilligung selbst erklärt werden können.
Die Einwilligung ist ebenfalls völlig freiwillig, also ohne Zwang und ohne Nachteile für den Betroffenen abzugeben. Dies geht auch mit dem grundsätzlichen Gedanken den Betroffenen und sowie die Verantwortlichen nicht ungleich zu behandeln. Außerdem fehlt es an Freiwilligkeit, wenn ein Vertrag an die Einwilligung zur Datenverarbeitung gekoppelt wird, EG 43 S.2 HS. 2. Hierbei verweist der Gesetzgeber auch auf die Erbringung einer Dienstleistung.
Ebenso wird von der Literatur die Meinung vertreten, dass es einer Einwilligung an Freiwilligkeit und Bestimmtheit fehle, wenn der Verantwortliche eine Einwilligung beim Betroffenen einzuholen versucht, jedoch ebenfalls eine Rechtmäßigkeit der Verarbeitung über berechtigte Interessen anstrebt, Art. 6 I lit. f DSGVO. Hierbei wird beim Betroffenen der Anschein erzeugt, seine Daten werden nicht verarbeitet, obwohl dies trotzdem passiert. Spätestens nach Mitteilung durch die Informationspflichten des Verantwortlichen sollte der Betroffene Bescheid wissen.
Des Weiteren besagt die DSGVO, dass für jeden Zweck eine gesonderte Einwilligung eingeholt werden muss. Dies ergibt sich aus der gesteigerten Informiertheit und Bestimmtheit. Auf der anderen Seite ist eine Einwilligung für ähnlich vereinbare Zwecke gestattet, sofern der Einwilligende damit rechnen kann (EG 32 S.4, 5 DSGVO).
Deswegen ist zu empfehlen, bestehende Einwilligungen sorgfältig zu überprüfen und eventuell neu einzuholen und sich bei der Ausgestaltung den Rat eines Anwalts einzuholen.
Mehr Betroffenenrechte
Zentraler Regelungsgegenstand der DSGVO sind die Punkte Transparenz und Nachvollziehbarkeit, sodass es nicht verwunderlich ist, dass die Informationspflichten für Verantwortliche bzw. das Informationsrecht von Betroffenen angepasst wurde. Der Betroffene muss deutlicher und präziser in einer klaren und einfachen Sprache über die Verarbeitung seiner Daten informiert werden. Hierbei ist besonders interessant, dass der Verantwortliche dem Betroffenen bei einer Verarbeitung aufgrund berechtigter Interessen dem Betroffenen jene Interessen mitteilen muss, Art. 13 I lit.d DSGVO. Ferner haben sich auch die Informationspflichten bei indirekter Erhebung für den Verantwortlichen im Gegensatz zum BDSG geändert. Mit dem Ziel von Transparenz stellt sich jedoch die Frage, ob dieser Informationsüberfluss den Gedanken von Übersichtlichkeit noch erfüllen kann. Es wird dementsprechend in der Literatur diskutiert wie ein gerechter Ausgleich gefunden werden kann.
Diese wirken sich besonders auf die Datenschutzerklärung auf Ihrer Webseite aus. Jedenfalls ist die Benutzung eines One-Pagers, auf dem alle wichtigen Informationen auf einer Seite präsentiert werden, erscheint ratsam.
Ebenso verstärkt die EU die Betroffenenrechte. So wird das durch den EuGH bestätigte Recht auf Löschung/Vergessenwerden (EuGH 13.05.2014C 131/12) in Art 19 DSGVO gefestigt. Ebenso hat der Betroffene ein Recht auf Berichtigung seiner Daten. Ebenso besitzt der Betroffene ein Recht auf Übertragbarkeit. Das bedeutet, dem Betroffenen soll es ermöglicht werden seine Daten in einen maschinenlesbaren Code umwandeln zu dürfen um sie dann zum einen anderen Anbieter mitzunehmen. Hier zeigt sich ein weiteres Ziel der DSGVO, den freien Datenverkehr innerhalb der EU zu erleichtern. Mit dem Recht auf Datenübertragbarkeit müssen die Verantwortlichen wenigstens technische Möglichkeiten schaffen einen solchen Wechsel zu gewährleisten.
Verarbeiten Sie sensible Daten?
Werden äußerst sensible Daten wie Kredit -oder Gesundheitsdaten verarbeitet bedarf es einer Datenschutzfolgeabschätzung. Dabei sollten Prozesse eingerichtet werden, die dem Datenschutzbeauftragten eine reibungslose Kontrolle und Überprüfung des Prozesses ermöglichen. Hierbei unterscheidet sich die DSGVO von der Vorabkontrolle aus dem BDSG.
IT-Sicherheit verbessern
Furthermore, the GDPR places increased demands on technical security. The integrity and authenticity of the processed data should be guaranteed by principles such as privacy by default and privacy by design.
When implementing the GDPR, we can support you in the following areas in particular:
- Review of the data protection situation of your business model
- Creation of data protection declarations
- Expert assessment of selected problems, e.g. legality based on legitimate interests
If you feel affected in one of these areas or need professional advice, then do not hesitate to contact the lawyers of our data protection law firm.