Du bist im Onlinemarketing-Bereich innerhalb der EU tätig und arbeitest mit personenbezogenen Daten? Dann solltest Du jetzt ganz genau aufpassen, denn ab dem 25.05.2018 werden die Daumenschrauben deutlich enger gezogen.
Überspitzt formuliert: Ab diesem Tag gilt für alle die Pflichtmitgliedschaft in der Gemeinschaft der Datenschützer. Denn ab diesem Tag tritt die Datenschutzgrundverordnung - kurz DSGVO -, für alle Mitgliedstaaten der europäischen Union verbindlich in Kraft.
Auch in Deutschland war in der Vergangenheit schon ein recht hohes Datenschutzniveau vorgeschrieben. In der Onlinemarketing-Community war – so die Erfahrungen des Autors - jedoch die Meinung weit verbreitet, dass ausreichender Datenschutz bereits dann betrieben wird, wenn man standardisierte Datenschutzmustertexte (gerne aus dem Internet kopiert) auf seiner Webseite verwendet und auf Kundennachfrage erklärte, dass „uns Datenschutz wichtig“ ist.
Diese Laissez-faire-Haltung hatte ihren Ursprung in der Tatsache, dass Verstöße gegen diese Regelungen offenbar keine großen Sanktionen nach sich zogen. Die eigenen Geschäftsmodelle wurden kaum oder nur einer oberflächlichen Prüfung unterzogen. Vertragliche Verpflichtungen von Vertragspartnern, welche die Einhaltung der Datenschutzstandards verlangten, wurden in der Regel bedenkenlos unterschrieben, ihre Einhaltung vielfach nicht überwacht.
Das Datenschutzniveau innerhalb der einzelnen europäischen Länder war sehr unterschiedlich und unübersichtlich und am Ende schienen die amerikanischen digitalen Marktführer ihren Datenschutzstandard via AGB und Lizenzbedingungen einfach „durchzudrücken“.
Die DSGVO schafft nunmehr einheitliche Regelungen in der gesamten EU und umfasst darüber hinaus auch solche Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten (wie Amazon, Facebook, Alphabet).
Bei Verstößen riskieren Betroffene zukünftig:
Wer Datenschutzverstöße in Kauf nimmt, riskiert auch als Gesellschafter und Geschäftsführer die persönliche Haftung!
Besonders unangenehm: Nach dem neuen Art. 82 I DSGVO können Geschäftsführer, Vorstände und alle diejenigen, die in verantwortlicher Stelle für die Datenverarbeitung in einem Unternehmen zuständig sind, persönlich Schadenersatzansprüchen und Geldbußen ausgesetzt sein. Je nach Schwere des Schadens können sie als Angestellte ihren Job und als Gesellschafter ihren Ausschluss aus der Gesellschaft riskieren. Gem. Art. 82 I DSGVO hat jede Person, die ein materieller oder immaterieller Schaden entstanden ist einen Direktanspruch gegen den Verantwortlichen oder den Auftragsverarbeiter. Die Beweislast trägt hier gem. Art. 82 III DSGVO der Verantwortliche. In diesem Sinne lohnt es sich Vorsorge zu betreiben und in eine gute Datenschutz-Organisation zu investieren.
Die Neuregelung gilt für alle Unternehmen, die
wenn sie in der EU sitzen oder es sich um Daten von EU-Bürgern handelt. Entscheidend ist damit, ob Du personenbezogene Daten verwendest. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar" ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der theoretischen Identifizierung einer Person reicht aus!
Monitore, analysiere und optimiere Deine Website mit Ryte FREE!
Personenbezogene Daten sind z.B.:
Die Verarbeitung der Daten umfasst alle denkbaren Verwendungen wie Datenerhebung, Speicherung, das Ordnen, Organisation, Anpassung oder Veränderung wie auch die Offenlegung durch Übermittlung, Verbreitung oder jede Form der Bereitstellung von Daten.
Anonymisierte Daten sollten keine Rückschlüsse auf einzelne Personen zulassen. Daher gelten zum Beispiel Statistiken über Besucher einer Website, wenn sie nicht zurückverfolgt werden können, als anonym.
Die neuen Datenschutzregelungen sind sehr komplex und ersetzen keine intensive Beschäftigung mit der Materie. Das kann dieser Beitrag nicht abdecken, dafür aber die wichtigsten Gebote zusammenstellen, die grundsätzlich zu beachten sind.
Benutze keine personenbezogenen Daten, es sei denn Du findest eine Ausnahme im Gesetz (z.B. BDSG, TMG, DSGVO) oder die betroffene Person willigt ein.
Erlaubt ist insbesondere die Nutzung der Daten in folgenden Fällen:
Hier ist besonders der letzte Punkt interessant, da hier auch wirtschaftliche Interessen möglich sind. In jedem Fall müssen aber die übrigen Gebote beachtet werden. Insbesondere müssen die Datennutzer ein hinreichendes Risiko- und Compliance-Management aufbauen, um drohende Verstöße zu verhindern.
Du sollst nur soviel Daten erheben und verarbeiten, wie Du tatsächlich benötigst.
Die neuen Datenschutzbestimmungen mit allen notwendigen Informationen müssen künftig
sein.
Du darfst Daten nur zu dem (vorher bekannten) Zweck verarbeiten, für die Du sie erhoben hast. (Grundsatz der Zweckbindung gem. §§ 14, 28, 29 BDSG).
Besondere Vorsicht ist bei sensiblen personenbezogenen Angaben (z.B. zur rassischen und ethnischen Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) geboten. Hier muss sich die Einwilligung nach § 3 Abs. 9 BDSG ausdrücklich auf diese Daten beziehen.
Du darfst nur solche Daten verwenden, die inhaltlich und sachlich richtig und aktuell sind.
Mache den Betroffen darauf aufmerksam, dass die von dir an Dritte weitergegebenen Daten jederzeit gelöscht werden können (Recht auf Vergessenwerden).
Sorge dafür, dass die Nutzung der Daten transparent ist und (grundsätzlich) nur mit Kenntnis des Betroffenen erfolgt.
Gebe jedem Betroffenen auf Nachfrage wahrheitsgemäß Auskunft über Art, Zweck und Nutzung seiner Personendaten.
Die Fürsorgepflicht wird in der neuen DSGVO besonders groß geschrieben:
(1) Du sollst Daten durch geeignete technische und organisatorische Maßnahmen angemessen schützen; dabei hast Du unter Berücksichtigung des jeweiligen Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten. Verwende insbesondere datenschutzfreundliche Voreinstellungen (privacy-by-design) und spare Daten durch
(2) Besonders wichtig sind auch konkrete Vereinbarungen im Rahmen der Beauftragung dritter Dienstleister (wie Systemadministratoren, IT-Services, aber auch ggf. Reinigungsdienste etc.). Das Bundesdatenschutzgesetz fordert dazu in § 9 und in der Anlage zu § 9 BDSG konkrete Schutzmaßnahmen. Demnach sind die Daten vor allem vor Verlust, unerlaubter Kenntnisnahme oder Verfälschung zu schützen.
(3) Schütze dabei die Jugend vor sich selbst! Nutze nur Daten von Personen, die das vollendete 16. Lebensjahr erreicht haben oder wenn die Eltern damit einverstanden sind.
Datenschutz ist keine staatlich oktroyierte Verwaltungsschikane, sondern der Versuch der Achtung der Persönlichkeitsrechte der Betroffenen.
Achte daher die Rechte deiner Nutzer auf
2018 wird datenschutzrechtlich eine große Herausforderung. Die Zeit für die Prüfung und Umstellung ist sehr kurz. Packen wir’s an.
Schritt 1: Ermittle den Status quo!
Schritt 2: Prüfe, ob Du Mindeststandards erfüllst!
Schritt 3: Kläre, welche Schritte notwendig sind, um den neuen Anforderungen des DSGVO zu entsprechen!
Schritt 4: Plane die notwendigen Ressourcen ein und ermittle, welche Ressourcen fehlen!
Schritt 5: Steige in die Projektplanung ein und kläre mit welchen Personen und in welchem Zeitrahmen die Umstellung durchgeführt wird!
Veröffentlicht am 31.01.2018 von Marc Laukemann.
Rechtsanwalt Dr. Marc Laukemann, Gründungspartner von LFR Wirtschaftsanwälte (www.lfr-wirtschaftsanwaelte.de) ist Fachanwalt für Gesellschaftsrecht sowie für gewerblichen Rechtsschutz. Er berät seit über 15 Jahren sowohl Online-Unternehmen wie auch Kapitalanleger.
Sichere Dir die Poleposition in SERPs, mit der Platform die ausschließlich Google-Daten nutzt.
Demo buchen