Unternehmen,
Online-Händler und Webseitenbetreiber sehen sich durch die
Datenschutzgrundverordnung (DSGVO) mit neuen Pflichten und Umsetzungsbedarf
konfrontiert. Die Androhung hoher Bußgelder und Sanktionen soll die
Durchsetzung der neuen Regelungen gewährleisten. Die wichtigsten Änderungen
durch die DSGVO und was Unternehmen jetzt tun sollten, erklärt dieser Beitrag
auf.
Die Datenschutzgrundverordnung (DSGVO) hat das Ziel ein
europaweit einheitliches Datenschutzniveau zu schaffen. Aus dieser
gesetzgeberischen Intention resultieren eine ganze Reihe von Anforderungen und neuen
datenschutzrechtlichen Regelungen, die durch Unternehmen in ganz Europa
umgesetzt werden müssen. Andernfalls gerät man schnell ins Visier der
Datenschutzbehörden.
Wen betrifft die
DSGVO?
Im Prinzip treffen die datenschutzrechtlichen Regeln alle
mit Ausnahme des rein privaten Bereichs. Jeder, der personenbezogene Daten
verarbeitet und dies nicht zu ausschließlich persönlichen oder familiären
Zwecken tut, muss sich dabei an die DSGVO halten. Betroffen sind daher quasi
alle Unternehmen sowie Webseiteninhaber und Betreiber von Online-Shops.
Begriffsklärung personenbezogene
Daten
Gemäß Art. 4 DSGVO sind personenbezogene Daten alle
Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person beziehen. Sobald eine natürliche Person anhand der
vorhandenen Daten identifizierbar ist, liegen personenbezogene Daten vor. So
zählen Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse sowie Konto-
oder Gesundheitsdaten genauso zu personenbezogenen Daten, wie IP-Adressen oder
Cookies. Auch anonymisierte Daten können darunter fallen, es sei denn, es ist völlig
ausgeschlossen, dass die Daten in irgendeiner Weise einer bestimmten Person
zugeordnet werden können.
Die wichtigsten
Anforderungen
Zusammenfassen kann man die entscheidenden Anforderungen der
DSGVO mit: Information, Transparenz und Dokumentation.
Wichtigster Grundsatz ist die umfassende Information von Verbrauchern.
Jeder soll wissen, ob, wie und in welchem Umfang seine Daten verarbeitet werden
und welche Rechte einem zustehen. Bei Webseiten wird dies in aller Regel durch
eine Datenschutzerklärung realisiert. Bei Verträgen sind für die Erfüllung
dieser Informationspflicht entsprechende Klauseln oder Anhänge erforderlich.
Weiterhin dürfen Daten nur dann verarbeitet werden, wenn es
hierfür eine Rechtsgrundlage gibt, über die ebenfalls an geeigneter Stelle
informiert werden muss. Im Rahmen der Erstellung eines durch die DSGVO
verpflichtend vorgeschriebenen Verfahrensverzeichnisses über alle
Datenverarbeitungstätigkeiten im Unternehmen ist hierbei jeder Prozess einzeln
auf seine Rechtmäßigkeit und auf Anpassungsbedarf zu prüfen.
Außerdem bestehen umfangreiche und strenge Anforderungen an
die Dokumentation. Da derjenige, der Daten verarbeitet, grundsätzlich die
Einhaltung der Datenschutzanforderungen nachweisen können muss, ist
Eine vollständige und einwandfreie Dokumentation über den
Datenschutz im eigenen Unternehmen ist bereits deshalb unerlässlich, da
derjenige, der Daten verarbeitet, grundsätzlich die Einhaltung der
Datenschutzanforderungen nachweisen können muss und dies einem Gericht oder
einer Aufsichtsbehörde auf Verlangen vorlegen muss.
Bußgelder und
Schadensersatz bei Verstößen gegen die DSGVO
Es drohen erhebliche Sanktionen bei Verstößen gegen das
Datenschutzrecht. Diese können für Unternehmen sogar existenzbedrohend sein.
Zudem steht bei Datenschutzverstößen meist auch die Frage nach einer
persönlichen Haftung der Geschäftsführer und Vorstände im Raum.
Zu diesem Zweck haben die Datenschutzbehörden weitere
Kompetenzen und Eingriffs- und Sanktionsbefugnisse erhalten. Die
Aufsichtsbehörden können bei Verstößen Bußgelder bis zu 20 Mio. Euro bzw. 4 %
des weltweiten Vorjahresumsatzes gegen Unternehmen verhängen. Die Behörden in
Deutschland machen hiervon bereits rege Gebrauch, auch wenn Millionenbußgelder
noch nicht bekannt wurden. Das höchste bisher in Deutschland festgesetzte
Bußgeld gegen einen Online-Lieferdienst beträgt 200.000 Euro.
Im europäischen Vergleich nutzen unsere Nachbarn den neuen
Bußgeldrahmen deutlicher: gegen Google
wurde in Frankreich ein Bußgeld von 50 Mio. Euro verhängt und in Großbritannien
muss British Airways ein Bußgeld von 200 Mio. Euro zahlen.
Im Visier der Behörden sind aber auch kleine und
mittelständische Unternehmen. Die Aufsichtsbehörden der einzelnen Bundesländer
in Deutschland haben bereits angekündigt, vermehrt Prüfungen und Kontrollen
durchzuführen und in naher Zukunft auch höhere Bußgelder bis in Millionenhöhe
zu verhängen.
Betroffene Personen eines Datenschutzverstoßes können zudem
auf zivilrechtlicher Ebene Schadensersatz gegen den Verursacher geltend machen.
Hier sieht die DSGVO auch die Möglichkeit vor, einen immateriellen
Schadensersatz („Schmerzensgeld“) durchzusetzen. Hier eröffnet sich ein
weiteres Feld von Haftungsrisiken. Unternehmen sind daher gut beraten, die
Datenschutzanforderungen ernst zu nehmen und die DSGVO gewissenhaft umzusetzen.
Ausführliche weitere Informationen zu den Änderungen durch
die Datenschutzgrundverordnung finden Sie hier: www.rosepartner.de/datenschutzgrundverordnung-dsgvo.html