Im Zentrum der DSGVO steht die Stärkung der Verbraucherrechte und die damit einhergehende Verpflichtung der Unternehmen, Datenschutz in die Produktentwicklung grundsätzlich zu integrieren. Die beiden Grundprinzipien „Privacy by Design“ und „Privacy be Default“ werden uns bei der Produktentwicklung begleiten.

Bevor Ihr Euch diesem Thema so richtig hingebt hier noch mal ein Disclaimer: wir sind keine Juristen. Wir sind ein Teil der digitalen Welt und darum auch mit den Themen rund um Datenschutz und Verbraucherrechte befasst. So ganz einschätzen, was das jeweils konkret bedeutet können wir die neue Verordnung leider nicht. Aber dafür gibt es ja eben Anwälte. Aber nun zum Thema.

Wenn zukünftig private Daten verarbeitet werden, so muß nachgewiesen werden, dass die Verbraucher freiwillig und in Kenntnis der beabsichtigten Nutzung der Datenverarbeitung zugestimmt haben. Zusätzlich darf diese Einwilligung jederzeit widerrufen werden. Auch darf die Erbringung einer Dienstleistung nicht von der Einwilligung zur Datenverarbeitung abhängig gemacht werden. Das gilt auch für kostenlose Produkte.

Mit der DSGVO haben Nutzer das Recht zu erfahren, welche Daten über sie gesammelt werden und wie diese verarbeitet werden. Viel Darüber hinaus haben Unternehmen eine Informationspflicht, wenn sie personenbezogene Daten nutzen, die nicht direkt bei der jeweiligen Person erhoben wurden, wenn sie also externe Quellen zum Anreichern der personenbezogenen Daten nutzen.

Die wichtigsten Verbraucherrechte im Überblick

  1. Opt in – freiwilliges und aktives Einverständnis in die Datenverarbeitung mit Kenntnis der beabsichtigten Nutzung der Daten.
  2. Kopplungsverbot – Datennutzung darf keine Bedingung für Produktnutzung sein
  3. Einhaltung des Mindestalters – Prüfpflichten werden den Unternehmen auferlegt.
  4. Recht auf Vergessen – Die Löschung von Daten muß direkt bei der speichernden Stelle vorgenommen werden. Darüber hinaus müssen Unternehmen auch andere Stellen die die persönlichen Daten nutzen, über den Löschungsanspruch informieren.
  5. Recht auf Datenübertragbarkeit – Verbraucher haben das Recht, ihre personenbezogenen Daten vom Anbieter zu erhalten und zwar so, daß sie sie an andere Anbieter übermitteln können, Verbraucher können sogar verlangen, dass sie direkt von Anbieter zu Anbieter übermittelt werden. Interessant wird es zu sehen, ob beispielsweise in Facebook-Konto ab Mai 2018 einfach zu Google+ übertragen werden kann oder vice versa.
  6. Datenmissbrauch wird von nationalen Aufsichtsbehörden grenzübergreifend verfolgt.

Ausführlich werden die Rechte im Kapitel 3 der der DSGVO beschrieben.

Was bedeutet das für Unternehmen, Behörden und Freelancer?

Zunächst einmal gelten ab Mai 2017 deutlich strenge Informationspflichten für Unternehmen. Hier sehen einige Berichterstatter viel Stoff für Massenabmahnungen.

Worüber muß zukünftig informiert werden?

  • die Rechtsgrundlage zur Verarbeitung der Daten
  • die Dauer der Speicherung
  • die eventuelle Weitergabe an Auftragsdatenverarbeiter
  • Regelungen zu Auskunft, Widerruf sowie Löschung der Daten

Deutsche Unternehmen und Verbraucher werden sich über das Marktortprinzip freuen, das Sitzlandprinzip wird aufgehoben. Damit muss die im jeweiligen Land gültige DSGVO beachtet werden. Auch kostenloste Dienste wie z.B. die von Google oder Facebook sind hier eingeschlossen.

Die Datensicherheit wird gestärkt, Unternehmen müssen zukünftig die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste gewährleisten. Dies wird mit Zertifizierungen nach der ISO/IEC 27001 belegt.

Auch Freiberufler unterliegen der Rechenschaftspflicht für den Umgang mit Daten. Sie müssen sicherstellen und nachweisen, dass sie die jeweiligen personenbezogenen Daten in Übereinstimmung mit den neuen EU-Regeln verarbeiten.

Gleiches gilt für Behörden. Auch sie können zukünftig für eine fehlerhafte Verarbeitung von Daten haftbar gemacht werden. Die Beweislast liegt nicht mehr beim Betroffenen, sondern bei der Behörde bzw. beim Unternehmen, die einen ordnungsgemäßen Umgang nachweisen müssen.

Wichtig ist für alle, die mit persönlichen Daten arbeiten, das Konzept der „Datenschutz-Folgenabschätzung„. Sollte sich ein Datenrisiko herausstellen (also ein mögliches Leck oder eine Angriffslücke), müssen die zuständigen Aufsichtsbehörden informiert werden. Letztere geben dann schriftliche Empfehlungen zur Risikominimierung, bis hin zum Verbot der Datenverarbeitung.

Die Kleinunternehmerregelung wird abgeschafft. Alle Unternehmen, die mit Daten arbeiten, müssen ein Datenschutzmanagement schaffen. Damit müssen Unternehmen jederzeit den Nachweis erbringen können, dass ihre Datenverarbeitung Verordnungskonform ist. Hierzu hat die Gesellschaft für Datenschutz und Datensicherheit ein Muster für die betriebliche Datenschutz-Organisation zur Verfügung gestellt

Und im nächsten Beitrag

Was bedeuten diese Veränderungen für unsere tägliche Arbeit? Damit beschäftige ich mich im nächsten Beitrag. Relevant für uns sind Themen wie: Speicherung von Vertragsdaten, Emailmarketing, Erhebung von Nutzerdaten (via Google Analytics, Webtrekk o.ä.), Datenschutzerklärung der Webseiten unserer Kunden, Umgang mit Kontaktanfragen, Cookiebasiertes Targeting- wie geht denn das in Zukunft?

Interessante Links zum Thema

DSGVO – die Verordnung in ihrer ganzen Pracht – 99 Artikel.

Gesellschaft für Datenschutz und Datensicherheit e.V.

Spirit Legal – Spezialisten für IT- und Datenschutz

Alexandra