Unternehmen, Online-Händler und Webseitenbetreiber sehen sich durch die Datenschutzgrundverordnung (DSGVO) mit neuen Pflichten und Umsetzungsbedarf konfrontiert. Die Androhung hoher Bußgelder und Sanktionen soll die Durchsetzung der neuen Regelungen gewährleisten. Die wichtigsten Änderungen durch die DSGVO und was Unternehmen jetzt tun sollten, erklärt dieser Beitrag auf.

Die Datenschutzgrundverordnung (DSGVO) hat das Ziel ein europaweit einheitliches Datenschutzniveau zu schaffen. Aus dieser gesetzgeberischen Intention resultieren eine ganze Reihe von Anforderungen und neuen datenschutzrechtlichen Regelungen, die durch Unternehmen in ganz Europa umgesetzt werden müssen. Andernfalls gerät man schnell ins Visier der Datenschutzbehörden.

Wen betrifft die DSGVO?

Im Prinzip treffen die datenschutzrechtlichen Regeln alle mit Ausnahme des rein privaten Bereichs. Jeder, der personenbezogene Daten verarbeitet und dies nicht zu ausschließlich persönlichen oder familiären Zwecken tut, muss sich dabei an die DSGVO halten. Betroffen sind daher quasi alle Unternehmen sowie Webseiteninhaber und Betreiber von Online-Shops.  

Begriffsklärung personenbezogene Daten

Gemäß Art. 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sobald eine natürliche Person anhand der vorhandenen Daten identifizierbar ist, liegen personenbezogene Daten vor. So zählen Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse sowie Konto- oder Gesundheitsdaten genauso zu personenbezogenen Daten, wie IP-Adressen oder Cookies. Auch anonymisierte Daten können darunter fallen, es sei denn, es ist völlig ausgeschlossen, dass die Daten in irgendeiner Weise einer bestimmten Person zugeordnet werden können.

Die wichtigsten Anforderungen

Zusammenfassen kann man die entscheidenden Anforderungen der DSGVO mit: Information, Transparenz und Dokumentation.

Wichtigster Grundsatz ist die umfassende Information von Verbrauchern. Jeder soll wissen, ob, wie und in welchem Umfang seine Daten verarbeitet werden und welche Rechte einem zustehen. Bei Webseiten wird dies in aller Regel durch eine Datenschutzerklärung realisiert. Bei Verträgen sind für die Erfüllung dieser Informationspflicht entsprechende Klauseln oder Anhänge erforderlich.

Weiterhin dürfen Daten nur dann verarbeitet werden, wenn es hierfür eine Rechtsgrundlage gibt, über die ebenfalls an geeigneter Stelle informiert werden muss. Im Rahmen der Erstellung eines durch die DSGVO verpflichtend vorgeschriebenen Verfahrensverzeichnisses über alle Datenverarbeitungstätigkeiten im Unternehmen ist hierbei jeder Prozess einzeln auf seine Rechtmäßigkeit und auf Anpassungsbedarf zu prüfen.

Außerdem bestehen umfangreiche und strenge Anforderungen an die Dokumentation. Da derjenige, der Daten verarbeitet, grundsätzlich die Einhaltung der Datenschutzanforderungen nachweisen können muss, ist

Eine vollständige und einwandfreie Dokumentation über den Datenschutz im eigenen Unternehmen ist bereits deshalb unerlässlich, da derjenige, der Daten verarbeitet, grundsätzlich die Einhaltung der Datenschutzanforderungen nachweisen können muss und dies einem Gericht oder einer Aufsichtsbehörde auf Verlangen vorlegen muss.

Bußgelder und Schadensersatz bei Verstößen gegen die DSGVO

Es drohen erhebliche Sanktionen bei Verstößen gegen das Datenschutzrecht. Diese können für Unternehmen sogar existenzbedrohend sein. Zudem steht bei Datenschutzverstößen meist auch die Frage nach einer persönlichen Haftung der Geschäftsführer und Vorstände im Raum.

Zu diesem Zweck haben die Datenschutzbehörden weitere Kompetenzen und Eingriffs- und Sanktionsbefugnisse erhalten. Die Aufsichtsbehörden können bei Verstößen Bußgelder bis zu 20 Mio. Euro bzw. 4 % des weltweiten Vorjahresumsatzes gegen Unternehmen verhängen. Die Behörden in Deutschland machen hiervon bereits rege Gebrauch, auch wenn Millionenbußgelder noch nicht bekannt wurden. Das höchste bisher in Deutschland festgesetzte Bußgeld gegen einen Online-Lieferdienst beträgt 200.000 Euro.

Im europäischen Vergleich nutzen unsere Nachbarn den neuen Bußgeldrahmen deutlicher:  gegen Google wurde in Frankreich ein Bußgeld von 50 Mio. Euro verhängt und in Großbritannien muss British Airways ein Bußgeld von 200 Mio. Euro zahlen.

Im Visier der Behörden sind aber auch kleine und mittelständische Unternehmen. Die Aufsichtsbehörden der einzelnen Bundesländer in Deutschland haben bereits angekündigt, vermehrt Prüfungen und Kontrollen durchzuführen und in naher Zukunft auch höhere Bußgelder bis in Millionenhöhe zu verhängen.

Betroffene Personen eines Datenschutzverstoßes können zudem auf zivilrechtlicher Ebene Schadensersatz gegen den Verursacher geltend machen. Hier sieht die DSGVO auch die Möglichkeit vor, einen immateriellen Schadensersatz („Schmerzensgeld“) durchzusetzen. Hier eröffnet sich ein weiteres Feld von Haftungsrisiken. Unternehmen sind daher gut beraten, die Datenschutzanforderungen ernst zu nehmen und die DSGVO gewissenhaft umzusetzen.

Ausführliche weitere Informationen zu den Änderungen durch die Datenschutzgrundverordnung finden Sie hier: www.rosepartner.de/datenschutzgrundverordnung-dsgvo.html