DSGVO

Die Datenschutzgrundverordnung (kurz: DSGVO) ist eine EU-Verordnung, mit der die Speicherung und Verarbeitung personenbezogener Daten geregelt und vereinheitlicht werden soll. Betroffen von der Regelung sind Unternehmen sowie Behörden, aber auch Website-Betreiber innerhalb der Europäischen Union. Die DSGVO trat am 25. Mai 2018 in der EU in Kraft.

Hintergrund

Erste Bemühungen um einen gemeinsamen Schutz persönlicher Daten und der Privatsphäre von Verbrauchern gab es in der EU bereits in den 1970er-Jahren. Mit der Richtlinie 95/46/EG wurde 1995 schließlich erstmals eine gemeinsame Regelung getroffen. Die Umsetzung oblag jedoch im Verantwortungsbereich der einzelnen Mitgliedstaaten.

2018 wurde schließlich mit der DSGVO eine für alle Mitglieder der EU verbindliche Regelung getroffen.

Geltungsbereich

Die EU-Datenschutzgrundverordnung gilt im gesamten EU-Raum für alle Unternehmen, die ihren Sitz in der Europäischen Union haben. Darüber hinaus sind müssen sich auch Unternehmen aus anderen Ländern an die DSGVO halten, wenn sie Daten von EU-Bürgern verarbeiten und selbst eine Niederlassung in einem Land der EU unterhalten.

Was sind personenbezogene Daten laut DSGVO?

Zu den personenbezogenen Daten gehören gemäß DSGVO zum Beispiel folgende Angaben. Sie lassen es zu, dass eine Person damit identifiziert werden kann, indem zum Beispiel verschiedene Daten einer Nummer oder einem Standort zugeordnet werden können.

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Kfz-Kennzeichen
  • Daten zum Nutzerstandort und IP-Adressen sowie Cookies

Verantwortliche Stellen bei Datenschutzverstößen

Werden Verstöße gegen den Datenschutz bei einem Website-Betreiber oder Online-Shop festgestellt, gilt nach der DSGVO das Prinzip des “One-Stop-Shop”. Demnach können sich EU-Bürger direkt an die Datenschutzbehörde in ihrem Land wenden, unabhängig davon, wo gegen den Datenschutz verstoßen wurde. Für Unternehmen hat das Prinzip des One-Stop-Shop den Vorteil, dass auch sie nur mit einer Datenschutzbehörde arbeiten müssen. Das ist in der Regel die Datenschutzbehörde in dem Land, woe sie ihren Hauptsitz haben.

Datenschutzbeauftragter nach DSGVO

Nach der Einführung der DSGVO gibt es für bestimmte Unternehmen die Pflicht, einen Datenschutzbeauftragten (DSB) zu stellen. Der Datenschutzbeauftragte kann dabei sowohl intern gestellt als auch extern beordert werden.

Verpflichtend ist ein Datenschutzbeauftragter in folgenden Fällen:

  • Mehr als neun Mitarbeiter arbeiten mit der automatisierten Verarbeitung personenbezogener Daten. Dabei spielt es keine Rolle, ob die Mitarbeiter Freelancer oder fest angestellt sind. Eine Pflicht könnte zum Beispiel entstehen, wenn mehr als neun Mitarbeiter Zugang zu Daten aus Google Analytics oder anderen Webanalysetools haben.
  • Die verarbeiteten Daten sind besonders sensibel, weil sie Rückschlüsse auf Ethnie, politische Vorlieben oder den Gesundheitszustand zulassen. Die Kategorie wird in Artikel 9 der DSGVO definiert. Das kann zum Beispiel der Fall sein, wenn ein Unternehmen eine Fitness-App anbietet, die Gesundheitsdaten sowie persönliche Daten sammelt.
  • Die Kerntätigkeit der Verantwortlichen umfasst die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen. Von dieser Klausel sind insbesondere Unternehmen betroffen, der Kerngeschäft es ist, personenbezogene Daten zu verarbeiten. Das können zum Beispiel Auskunfteien sein, aber auch Analysten im Bereich Big Data.

Unabhängig von der Pflicht können Unternehmen auch freiwillig einen Datenschutzbeauftragten ernennen. Die Aufgabe des Datenschutzbeauftragten besteht schließlich darin, die Einhaltung des Datenschutzes sicherzustellen und das sogenannte “Verarbeitungsverzeichnis” zu führen. Darüber hinaus dient der DAB als Ansprechpartner für Kunden, die Fragen zur Speicherung ihrer persönlichen Daten haben. Eine spezielle Ausbildung benötigt der Datenschutzbeauftragte nicht, er muss im Zweifelsfall aber die nötige Sachkunde nachweisen können.

Verfahrensverzeichnis nach DSGVO

Unternehmen sind in den meisten Fällen laut DSGVO dazu verpflichtet, ein sogenanntes “Verfahrensverzeichnis” zu führen. Dabei handelt es sich um ein in Papierform oder elektronisch geführtes Verzeichnis, in welchem die Speicherung personenbezogener Daten dokumentiert wird. Dazu gehören zum Beispiel der Zweck der Datenverarbeitung, Personenkategorien oder die Übermittlung von Daten an Anbieter in Drittländern außerhalb der EU. Außerdem sind im Verfahrensverzeichnis die Löschfristen für die gespeicherten Daten nach Datenkategorie hinterlegt.

Das Verzeichnis ist nicht öffentlich, muss aber auf Verlangen der Datenschutzbehörden vorgelegt werden können.

Zunächst die positive Nachricht: Das Verfahrensverzeichnis/ Verarbeitungsverzeichnis nach Theoretisch sind Unternehmen nur dann zum Führen eines solches Verzeichnisses verpflichtet, wenn sie zum Beispiel mehr als 250 Mitarbeiter beschäftigen oder weitere Kriterien erfüllen. Allerdings sind auch Firmen zum Anlegen eines Verfahrensverzeichnisses verpflichtet, deren Datenverarbeitung “nicht nur gelegentlich” erfolgt. Somit müssen theoretisch alle Unternehmen ein Verzeichnis führen, die täglich Webanalyse betreiben. Somit wären alle Online-Shops und kleine Unternehmen von dieser Regelung betroffen.

Mögliche Strafen bei Verstößen gegen die DSGVO

Bei Verstößen gegen die DSGVO sind hohe Bußgelder möglich. So können Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes erhoben werden. Das hohe Strafmaß ist eine der Neuerungen im Datenschutz, die mit der DSGVO umgesetzt wurden. Wie bisher kann es bei Verstößen auch zu Abmahnungen kommen.

Kritik

Die Umsetzung der DSGVO hat vielerorts zu starker Kritik geführt. Weil viele Websitebetreiber die Konsequenzen der Regelungen nicht abschätzen können und teure Abmahnungen fürchten, haben sie ihr Webangebot eingestellt.[1] Auch US-Medienhäuser haben auf die DSGVO reagiert und teilweise sofort nach dem Inkrafttreten der Regelung ihr Angebot in Europa eingestellt.[2]

Ein weiterer großer Kritikpunkt: Obwohl die DSGVO eigentlich eine Vereinfachung des Datenschutzes innerhalb der EU schaffen sollte, hat das Gesetzeswerk aufgrund vieler ungeklärter Fälle in vielen Fällen Chaos angerichtet. Denn Webmaster, Unternehmen sowie Online-Shops können sich nicht auf eindeutige Verfahren verlassen und riskieren im schlimmsten Fall hohe Strafen.[3].

Manche Kritiker sehen sogar gemeinsam mit dem Leistungsschutzrecht das Ende des freien Internets.[4]

Bedeutung für Online-Marketing

Vom Inkrafttreten der EU-Datenschutzgrundverordnung sind all diejenigen betroffen, die mit personenbezogenen Daten arbeiten. Für das Online-Marketing hat das direkte Konsequenzen. So müssen Werbetreibende zum Beispiel beim Newsletter Marketing verstärkt darauf achten, dass die Zustimmung für die Zusendung der Mailings vorliegt. Ebenso gilt es, bei der Webanalyse genau belegen zu können, wie die Daten verarbeitet werden können.

Grundsätzlich müssen alle Betroffenen mit einem höheren zeitlichen Aufwand sowie mit damit verbundenen höheren Kosten für die entsprechende Marketing-Aktionen rechnen.

Einzelnachweise

  1. DSGVO und Videospiele: Warum manche Entwickler ihre Online-Games jetzt abschalten heise.de Abgerufen am 23.06.2018
  2. DSGVO. Leider nicht verfügbar sueddeutsche.de Abgerufen am 23.06.2018
  3. Das DSGVO-Chaos ist angerichtet heise.de Abgerufen am 23.06.2018
  4. Vergesst die DSGVO: Das Netz verliert gerade seine Informationsfreiheit t3n.de Abgerufen am 23.06.2018

Weblinks

Kategorie