Die Datenschutzgrundverordnung kommt – das sollten Sie als Unternehmer beachten.

Die Datenschutzgrundverordnung

Egal ob individuelle Müslis im Online-Handel vertrieben oder Elektro Scooter in der Großstadt vermietet werden, die allermeisten Startups verarbeiten personenbezogene Daten und müssen sich hierbei auch an geltende Datenschutzvorschriften halten. Denn bei Nichtbeachtung drohen hohe Bußgelder und auch der Vertrauensverlust der Kunden ist nicht zu unterschätzen.  Ab dem 25. Mai 2018 ergeben sich die Vorschriften zur Datenschutz-Compliance aus der Datenschutzgrundverordnung (DS-GVO).

 

Geltendes Datenschutzrecht

Bisher existierte kein einheitliches europäisches Datenschutzrecht, sondern nur eine Datenschutz-Richtlinie die von den einzelnen Mitgliedstaaten der europäischen Union in nationale Gesetze umgesetzt werden musste. In Deutschland fand die Datenschutz-Richtlinie Einzug in das Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG). Durch die Datenschutzgrundverordnung soll das Datenschutzrecht in der EU nunmehr harmonisiert werden. Die EU-Kommission erhofft sich dadurch einen einheitlichen Rahmen der den heutigen digitalen Anforderungen besser gerecht wird.

Zu diesem Zweck ist die Datenschutzgrundverordnung bereits am 24. Mai 2016 nach ihrer Veröffentlichung in Kraft getreten und gilt nach Ablauf einer zweijährigen Übergangsphase ab dem 25. Mai 2018 in allen Mitgliedstaaten der europäischen Union.

Aufbau und Systematik der Datenschutzgrundverordnung

Die Ziele der Datenschutzgrundverordnung werden gleich zu Beginn in Art. 1 Abs. 1 und 2 DS-GVO erläutert: Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie der freie Verkehr dieser Daten. Die Datenschutzgrundverordnung ist dabei, wie bereits das Bundesdatenschutzgesetz, der Systematik nach ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DS-GVO). Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und ausnahmsweise nur dann erlaubt ist, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene in die Datenverarbeitung eingewilligt hat. Zwar sind sich die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz demnach in Aufbau und Systematik sehr ähnlich. Dennoch müssen alle Unternehmen, die personenbezogene Daten verarbeiten, strukturelle Prozesse im Datenschutzmanagement überarbeiten um nach Ablauf der Übergangsphase nicht gegen Datenschutzvorschriften zu verstoßen.

Notwendige Anpassungen zur DSGVO durch Startups

Als Unternehmer sollten Sie daher schon jetzt damit beginnen, ihr Datenschutzmanagement an die neuen Anforderungen der Datenschutzgrundverordnung anzupassen. Um Ihnen einen ersten Überblick über die zu treffenden Anpassungen zu verschaffen, möchten wir in diesem Beitrag beispielhaft auf die neuen Grundsätze des Data Privacy by Default & Design, auf das neue Kopplungsverbot und auf die neuen Anforderungen an Ihr Verfahrensverzeichnis eingehen. Aber auch über die notwendigen Änderungen bei der Datenschutzerklärung und der Einwilligung des Nutzers möchten wir Sie bei dieser Gelegenheit informieren.

Data Privacy by Design & Data Privacy by Default

Mit dem Grundsatz des Data Privacy by Design gem. Art. 25 Abs. 1 DS-GVO legt die Datenschutzgrundverordnung nunmehr ausdrücklich fest, dass datenschutzrechtliche Vorschriften bereits bei der Entwicklung neuer Produkte und Systeme mitbedacht und berücksichtigt werden müssen. Ein CMS muss also gleich von Beginn so entwickelt werden, dass Kundendaten jederzeit gelöscht werden können. Denn nur so kann das Unternehmen welches dieses CMS nutzt, seinen datenschutzrechtlichen Verpflichtungen nachkommen. Mit Data Privacy by Default gem. Art. 25 Abs. 2 DS-GVO ist gemeint, dass Verarbeitungsvorgänge bereits von Beginn an so zu gestalten sind, dass nur solche Daten verarbeitet werden, die für den spezifischen Zweck auch unbedingt nötig sind. Ein CMS eines Video-On-Demand-Anbieters sollte demnach z.B. keine Eingabefelder über Bildungsstand oder berufliche Qualifikationen der Kunden enthalten.

Auch wenn mit diesen Grundsätzen ein u.U. unerwarteter Mehraufwand daherkommt. Je besser diese Grundsätze bei der Entwicklung neuer Produkte eingehalten und dokumentiert werden, desto höher ist in Zukunft deren Wettbewerbsvorteil.

Das Koppelungsverbot

Das Koppelungsverbot gem. Art. 7 Abs. 4 DSGVO steht in einem engen Zusammenhang mit der Einwilligung. Denn die Einwilligung zur Verarbeitung personenbezogener Daten ist stärkster Ausdruck des Rechts auf informationelle Selbstbestimmung –  an der Freiwilligkeit der Einwilligung darf es daher keinen Zweifel geben. Aus diesem Grund besagt das neue Koppelungsverbot der Datenschutzgrundverordnung, dass die Erfüllung eines Vertrages bzw. die Erbringung einer Dienstleistung in Zukunft grundsätzlich nicht von einer Einwilligung abhängig gemacht werden darf, die für die Vertragserfüllung nicht erforderlich ist. Die Teilnahme an einem sozialen Netzwerk darf also nicht von der Einwilligung zur Verwendung des Profilfotos für Werbezwecke abhängig gemacht werden.

Die Datenschutzerklärung

In Zukunft müssen Webseitenbetreiber noch genauer darauf achten die Datenschutzerklärung transparent und in präziser sowie verständlicher Sprache zu formulieren – insbesondere etwa dann, wenn sich das Angebot auch an Kinder richtet. Das bedeutet auch, dass der Nutzer in Zukunft bereits in der Datenschutzerklärung über sein Widerrufsrecht und die damit verbundenen Folgen aufgeklärt werden muss. Die Erklärung des Widerrufs zur Verarbeitung der personenbezogenen Daten muss dem Betroffenen dabei genauso leicht möglich sein, wie die Erteilung der ursprünglichen Einwilligung.

Verfahrensverzeichnis

Unter einem Verfahrensverzeichnis versteht man eine Übersicht des Unternehmens zu den datenschutzrechtlich relevanten Verarbeitungsvorgängen, z.B. über die Zweckbestimmung der Datenverwendung sowie eine Beschreibung der durch das Unternehmen getroffenen technisch- organisatorischen Maßnahmen zur Datensicherheit. Bisher mussten Unternehmen einen öffentlichen und einen nicht-öffentlichen Teil des Verfahrensverzeichnisses vorhalten, wobei der öffentliche Teil jedermann in geeigneter Weise zur Verfügung gestellt werden musste. Ein öffentliches Verfahrensverzeichnis für jedermann sieht die Datenschutzgrundverordnung nun nicht mehr vor. Allerdings müssen Unternehmen spätestens bis zum 25. Mai 2018 vor allem auch die Legitimationsgrundlagen der einzelnen Datenverarbeitungsvorgänge an die neuen Vorschriften und Grundsätze der Datenschutzgrundverordnung anpassen. Nur so ist gewährleistet, dass sich die Aufsichtsbehörden auch in Zukunft auf Anfrage einen informierten Überblick über die einzelnen Verarbeitungsvorgänge verschaffen können.

Sanktionen

Im Vergleich zum bisherigen Datenschutzrecht sieht die Datenschutzgrundverordnung gem. Art. 83 Abs. 4 und 5 DS-GVO nunmehr deutlich schärfere Sanktionen durch die Aufsichtsbehörden vor. So müssen Unternehmen deren Datenverarbeitungsvorgänge gegen die Vorschriften der Datenschutzgrundverordnung verstoßen mit Bußgeldern von bis zu 20.000.000 EUR oder 4% des weltweiten Jahresumsatzes rechnen – je nachdem welcher Betrag höher ist.

Damit soll nach dem Willen der EU-Kommission ein Anreiz geschaffen werden, datenschutzrechtliche Vorschriften nicht nur zur Kenntnis zu nehmen, sondern diese auch einzuhalten.

Fazit

In Aufbau und Systematik sind sich das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung nicht fremd. Denn die Datenschutzgrundverordnung hat sich in vielen Teilen am Bundesdatenschutzgesetz orientiert. Dennoch gilt es die notwendigen Anpassungen rechtzeitig vorzunehmen und bestehende Datenschutzsysteme einer Compliance-Prüfung zu unterziehen.Hierbei kann Sie ein externer Datenschutzbeauftragter unterstützen, denn dieser hat die erforderliche Fachkenntnis und Erfahrung.

Wir freuen uns über Ihre Kontaktaufnahme:

030 / 23 57 14 70