Loading...

DSGVO / GDPR – Endspurt und letzte Chance

DSGVO / GDPR – Endspurt und letzte Chance

Am 25. Mai 2018 wird die neue EU-Datenschutzregulierung (DSGVO oder GDPR) wirksam. Wir beschäftigen uns mit diesem Thema schon länger, um unsere Projekte und die unserer Kunden entsprechend anzupassen. Wir haben in vielen Gesprächen festgestellt, dass dieses Themen noch nicht bei allen angekommen ist, die im Internet Geschäft machen oder auch nur eine kleine Webseite betreiben.
Darum werden wir in den nächsten Wochen eine lockere Folge von Beträgen veröffentlichen, die sowohl die Hintergründe als auch konkrete Tipps zum Umgang beinhalten. Vorab: wir sind keine Juristen. Wir haben zwar über viele Jahre Erfahrungen im Umgang mit dem Datenschutz gesammelt, verweisen aber bei Einzelproblemen auf eine fachkundige juristische Beratung von Spezialkanzleien.

Worum geht es bei der DSGVO?

Grundsätzlich geht es um die deutliche Stärkung der Verbraucherrechte und des Datenschutzes, um eine zukunftsfähige und europaweite Lösung.
Ziel ist es ein gleich hohes Datenschutzniveau in ganz Europa zu erstellen und bestehende Wettbewerbsverzerrungen durch unterschiedliche nationale Datenschutzbestimmungen zu beseitigen.
Aus dem bis dato recht zahnlosen Tiger der EU-Datenschutzrichtlinien wird die durchaus gerüstete EU-Grundverordnung zum Datenschutz.

Warum ist das für Sie richtig wichtig?

In Artikel 83 der DSGVO ist die Sanktionierung von Verstößen geregelt. Es geht darum, dass die Sanktionen – und das ist neu – “in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein sollen” – bis zu 20 Mio Euro od. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Konzerns können aufgerufen werden.
Anspruch auf Schadenersatz hat jede (natürliche) Person. Dieser Anspruch kann gegen den Verantwortlichen oder gegen den Auftragsverarbeiter erhoben werden (Artikel 82 DSGVO). Auch Agenturen als Auftragsverarbeiter werden zukünftig in die Pflicht genommen.

Kerninhalte der EU-Datenschutz-Regulierung

Alle Arten des Umgangs mit persönlichen Informationen sind so lange verboten, bis der Gesetzgeber die Handlung explizit erlaubt oder der Betroffene ausdrücklich einwilligt. Fachbegriffe wie das Verbot mit Erlaubnisvorbehalt und das hierzu passende “Opt in” statt “Opt out” sind an dieser Stelle relevant.
Die Grundsätze des Datenschutzes Datensparsamkeit und Transparenz werden verschärft.
personenbezogene Daten dürfen nur für “festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden”. Es gibt Ausnahmen von der engen Zweckbindung, z.B. im Bereich der Forschung.
“Privacy by Default” (datenschutzfreundliche Voreinstellungen) und
“Privacy by Design” (Datenschutz durch Technikgestaltung) sind Begriffe, die hinter der Idee der Verordnung stehen.

Was ist denn die DSGVO eigentlich genau?

Die neue EU-Datenschutzregulierung ist ein europäisches Mammutprojekt, 99 Artikel lang, dessen Größe nicht zuletzt durch die 3.100 Änderungsanträge belegt wird.
Im Bereich Internet und Datenschutz operierte die EU bisher mit Richtlinien, die von allen nationalen Gesetzgebern in der EU in das jeweilige Landesrecht umgesetzt wurden. Anders bei Verordnungen und um die handelt es sich hier. Verordnungen gehen nationalem Recht vor und ersetzen es.
Am 21.April hat der EU-Ministerrat die Verordnung bewilligt, im Mai das Parlament. Mit dem Erscheinen der DSGVO im Europäischen Amtsblatt blieben den europäischen Regierungen 24 Monate, um die eigenen nationalen Regulierungen anzupassen. In Deutschland betrifft das laut heise über 250 verschiedene Gesetze, die bereinigt bzw. angefasst werden mußten.
Warum sind das so viele? Die Verordnung enthält 60 Öffnungsklauseln mit “ausfüllungsbedürftigen Regelungsaufträgen”, die den einzelnen Nationalstaaten überlassen werden. Das wird zwangsläufig zu unterschiedlichen Regelungen innerhalb der Mitgliedsstaaten führen. Unternehmen, die hier europaweit tätig sind können also die Beschäftigung mit den jeweils nationalen Rechten nicht einstellen.

Was sind personenbezogene Daten?

Der Begriff umfasst “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen”. “Personenbezogene Daten von juristischen Personen und von als juristische Personen gegründeten Unternehmen unterliegen den neuen datenschutzrechtlichen Vorgaben gerade nicht. Online-Händler, die ausschließlich im B2B-Bereich tätig sind und sich bei ihren Handelstätigkeiten nur Personengesellschaften gegenübersehen, haben die neuartigen Pflichten also nicht zu beachten.”

Für uns als Webagentur und für unsere Kunden und deren Webseiten bezogen, bezieht sich die DSGVO auf alle Daten, die wir im Netz über unsere Applikationen sammeln, auch wenn wir sie anonymisieren. Warum? Die Identifizierung einer Person kann über die Kopplung von Daten vorgenommen werden, auch wenn sie bisher nicht einzelnen Personen zugeordnet werden oder zugeordnet werden können.
Eine Detail-Klärung hat es gegeben: IP-Adressen sind ebenfalls personenbezogene Daten- hier reicht die abstrakte Möglichkeit der Identifikation.

Im nächsten Artikel beschäftigen wir uns mit den gestärkten Verbraucherrechten und mit den Pflichten von Unternehmen un Behörden konkret.

2018-09-27T13:58:23+00:00