Die EU-Datenschutzverordnung ist grundsätzlich eine gute Sache, indem sie die Rechtslage EU-weit harmonisiert und damit übersichtlicher macht. Das bedeutet, es führt zu einer einheitlicheren Gestaltung aller Produkt- und Dienstleister, die innerhalb der EU oder auch von außerhalb in die EU hinein verkaufen wollen.
Die große Aufmerksamkeit hat die EU-Datenschutzverordnung aktuell vor allem den hohen Bußgeldern bei Nichteinhaltung zu verdanken. Außerdem beinhaltet die Verordnung ein Novum: die Möglichkeit zur Sammelklage, die im europäischen Raum bislang nicht gang und gäbe ist.
Worum geht es bei der EU-Datenschutzverordnung?
Die Datenschutzverordnung betrifft vor allem die personenbezogenen Daten. Darunter fallen prinzipiell alle Daten, die eine Person identifizierbar machen wie IP-Adressen, Geodaten etc.
Die Folgen der Beweislastumkehr
Der essentielle Punkt der Datenschutzverordnung ist die Umkehr der Beweislast. Somit hat das Unternehmen zu beweisen, dass es mit den Daten seiner Kunden nichts Unrechtes tut. Bislang war dieser Prozess tendenziell per se umgekehrt, so dass der Kunde oder Website-Nutzer dem Unternehmen nachweisen musste, dass das Unternehmen verwerflich gehandelt hat.
Um dieser Beweislast gerecht zu werden, empfiehlt sich für jedes Unternehmen ein Verarbeitungsverzeichnis, das die Auftrags- und Datenverarbeitung des Unternehmens dokumentiert. Dies legt auch nahe, dass Nutzerdaten zum Beispiel vergessen beziehungsweise gelöscht werden sollten, sobald sie zum Beispiel für eine Auftragsabwicklung nicht mehr benötigt sind.
Überdies soll präventiv eine Datenschutzfolgenabschätzung stattfinden, um transparenz für Nutzer und Unternehmen zu handeln. Im Rahmen einer neuen Softwareentwicklung muss dieses Prinzip insofern erfüllt sein, dass der Datenschutz bereits bei der Entwicklung Priorität haben muss. Zusammenfassen lässt sich dies unter dem Motto „Privacy by Design“.
Unternehmen brauchen für jede Datenerhebung eine Rechtsgrundlage
Es sind lediglich jene die Datenerhebungen legitim, die zur Vertragserfüllung zwingend nötig sind oder auf einer eindeutigen freiwilligen Einwilligung beruhen. Zu letzterer Kategorie zählen zum Beispiel aktive Anmeldungen zu einem Newsletter mittels Double-Opt-In. Ein Widerrufsrecht muss dennoch eingeräumt sein.
Auch die Fälle, in denen ein berechtigtes Interesse an Daten besteht, können nach Art.6 (1) f) DSGVO rechtens sein. Eine Bewertung erfolgt hierbei auf Basis der folgenden Kriterien: Art der Daten, Transparenz, Datensensibilität, Grad der Datenverschlüsselung, Pseudonymisierung und Widerspruchsrecht. Sprich, dieser dritte Aspekt eröffnet einen gewissen Rahmen für Interessensabwägungen.
Datenschutzinformationen erfordern Ergänzung
In den Datenschutzinformationen sollte in einer einfachen und leicht verständlichen Sprache definiert sein, wer verantwortlich ist. Zudem müssen Zweck und Rechtsgrundlage der Datenverarbeitung genannt sein sowie der Empfänger der Daten. Auch Datentransfers ins außereuropäische Ausland sowie die Speicherdauer müssen genannt sein. Für Unternehmen mit mehr als zehn Mitarbeitern ist ferner die Angabe eines eigenen Datenschutzbeauftragten verpflichtend.
Erweiterung der Betroffenenrechte
Jeder Nutzer hat zukünftig das Recht auf Auskunft über die eigenen Daten, das Recht auf Berichtigung, das Recht auf Vergesseneren beziehungsweise die Löschung von Daten sowie das Recht auf Übertragung der eigenen Daten.
Das Beispiel E-Mail Marketing
E-Mail Werbung ist nur dann rechtskonform möglich, wenn auch eine explizite Einwilligung stattgefunden hat. Wenn die E-Mail Adressen von Bestandskunden in einem Mailing auftauchen, von denen keine explizite Einwilligung vorliegt, ist dies aus Sicht des Gesetzgebers nicht hundert prozentig wasserdicht. Inwieweit eine solche Kopplung von Datennutzung legitim ist, muss anhand zukünftiger Rechtsprechung erst final ausgelegt werden.
Denn generell gilt, dass Daten nur solange gespeichert werden dürfen, solange diese auch für einen Zweck benötigt werden, dem der Nutzer nachweisbar zugestimmt hat. Weitergegeben an Dritte können die Daten nur unter sehr strengen Vorausgaben, wenn ein klares berechtigtes Interesse besteht.
Unmittelbare Pflichten
Unumgänglich ist eine Aktualisierung der Datenschutzinformationen Ihres Unternehmens. Zudem sollten Sie sich bewusst machen, welche Nutzer-Datenerhebungen in Ihrem Unternehmen erfolgen und in welcher Form Sie diese Daten gegenwärtig nutzen. Identifizieren Sie im Rahmen dessen alle Auftragsverarbeiter und überprüfen Sie die Formulierungen in Formularen und Datenschutzinformationen. Stellen Sie sicher, dass Sie ein eigenes Verarbeitungsverzeichnis haben, in dem klar nachvollziehbar ist, wann, wo, warum und wie lange Sie Daten Ihrer Nutzer sammeln. Falls Nutzer diese Informationen anfragen, sind Sie verpflichtet zeitnah und umfassend Auskunft geben zu können.
Entsprechende Unterstützung finden Sie auch bei Trusted Shops oder dem Händlerbund.
