Die Bedeutung der neuen EU-Datenschutzverordnung
Am 25. Mai 2018 ist es soweit. Die EU-Datenschutzverordnung tritt in allen Mitgliedsstaaten der Europäischen Union in Kraft. Bis zu diesem Zeitpunkt müssen sich Unternehmen auf die neuen Gesetze vorbereiten und die kommenden Änderungen im Datenschutzmanagement berücksichtigen. Und auch deutsche Firmen müssen mit Neuerungen rechnen.
Am 4. Mai 2016 haben alle EU-Mitgliedsstaaten nach Monaten und Jahren von Diskussionen und Debatten die EU-Datenschutzgrundverordnung (DSGVO) einstimmig verabschiedet. Seit diesem Zeitpunkt haben Unternehmen und Regierungen Zeit, auf die Verordnung zu reagieren und ihre internen Prozesse auf die Änderungen vorzubereiten.
Die Bedeutsamkeit des Themas Datenschutzes für die EU äußert sich schon im juristischen Ausdruck der Neuerungen: Verordnung. Bisher wurde beim Thema Datenschutz und Internet von Richtlinien gesprochen. Dies waren Vorgaben, die die nationalen Gesetzgeber in das jeweilige Recht des Landes umzusetzen hatten. Eine Verordnung ist dagegen in allen Mitgliedsstaaten unmittelbar gültig. Der Grund für diese strikte Vorgehensweise liegt im Interesse der EU, den Datenschutz in allen europäischen Mitgliedsstaaten auf dem gleichen Niveau zu halten. Es gilt, Wettbewerbsverzerrungen zu verhindern.
Vorbild Deutschland
Die Deutsche Gesetzgebung hat bei der Erstellung der DSGVO eine wichtige Vorbildrolle eingenommen. Viele Paragraphen sind an unser Datenschutzgesetz angelehnt. Allen voran der Grundsatz des „Verbots mit Erlaubnisvorbehalt“. Dieser besagt, dass jeder Umgang mit personenbezogenen Daten verboten ist, bis der Betroffene oder der Gesetzgeber ihn erlaubt oder einwilligt. Soweit für inländische Unternehmen nichts neues. Auch deshalb bedeutet die DSGVO keine komplette Neuausrichtung des Datenschutzmanagements. Trotzdem gibt es einzelne Punkte in der DSGVO, die hier ansässige Unternehmer betreffen und vor neue Herausforderungen stellen werden.
Zweckbindung der Daten
Ein Änderung, die vor allem Unternehmen mit Fokus auf Big Data beeinflusst, ist die neue Zweckbindung der Daten: Firmen dürfen personenbezogene Daten demnach nur „für festgelegte, eindeutige und rechtmäßige Zweck“e erheben. Beispielsweise dürfen die Daten von Kunden, die das Unternehmen im Rahmen eines Kaufvertrags erhebt nicht automatisch für andere Zwecke verwendet werden. Die Grundverordnung sieht hier wenige Ausnahmen z.B. für die Forschung vor.
Das neue Marktortprinzip
Bisher galt beim Thema Datenschutz das Sitzlandprinzip. Wenn zum Beispiel US-Unternehmen Daten von EU-Bürgern bezogen und verwendet haben geschah dies unter amerikanischem Recht. Ab dem 24. Mai 2018 tritt allerdings das Marktortprinzip in Kraft. Das bedeutet, dass die DSGVO ab Mai 2018 auch für nicht-europäische Unternehmen gilt. Zusätzlich brauchen diese Unternehmen einen offiziellen EU-Datenschutzbeauftragten, der als Anlaufstelle und möglicher Ansprechpartner in Fragen des Datenschutzes fungiert.
Experten befürchten, dass sich internationale Unternehmen aufgrund des zusätzlichen Aufwands aus dem europäischen Markt zurückziehen werden und bisherige Kunden nicht mehr auf deren Produkte und Dienstleistungen zurückgreifen können.
Ein Plus für Verbraucher: Verstärkte Einwillungsgesetzte
Viele Punkte der Datenschutzreform befassen sich mit dem Verbraucherschutz. So muss dieser in jedem Fall seine explizite und freiwillige Einwilligung zur Verarbeitung personenbezogener Daten geben. Zudem muss sichergestellt sein, dass er sich der beabsichtigten Nutzung seiner Daten zu jedem Zeitpunkt bewusst ist. In diesem Zusammenhang lässt sich auch das deutsche „Kopplungsverbot“ in der DSGVO wiederfinden. Es besagt, dass eine erbrachte Dienstleistung nicht an die Einwilligung zur Verarbeitung der personenbezogenen Daten gekoppelt sein darf.
Auswirkungen auf den Jugendschutz?
Die DSGVO hat nicht alle Paragraphen so formuliert, dass die einzelnen Staaten sie direkt umsetzen können. In einigen Punkten haben die einzelnen europäischen Länder einen kleinen individuellen Spielraum. So auch bei der Frage, ab welchem Alter jemand der Nutzung seiner personenbezogener Daten einwilligen darf. Die EU hat hier ledigliche ein Mindestalter von 13 Jahren angesetzt. Doch auch in der operativen Umsetzung der DSGVO sind noch einige Fragen offen. So ist noch nicht klar, auf welchem technischen Wege verantwortliche Stellen eine adäquate Altersverifikation realisieren werden.
Verstärkte Informationspflicht für Unternehmen
Mit Inkrafttreten der neuen Datenschutzverordnung sind Unternehmen verpflichtet, dem Nutzer vermehrte Informationen zur Verfügung zu stellen. Dazu gehören die Rechtsgrundlage der Speicherung, die Dauer der Speicherung sowie die eventuelle Weitergabe der personenbezogenen Daten.
In der Praxis bedeutet das konkret weitere Belehrungspflichten, die der Nutzer in den meisten Fällen ungelesen mit einem Mausklick akzeptiert. Trotzdem ist es für Unternehmer wichtig, diesen Punkt zu berücksichtigen. Schließlich gilt es, mögliche Klagen oder Haftungsforderungen zu vermeiden.
Erweiterte Löschungsansprüche
Löschungsforderungen werden nicht bei Suchmaschinen sondern bei der speichernden Stelle selbst gemacht. Diese ist sowohl verpflichtet, die Daten zu löschen, als auch andere Stellen, die ebenfalls die Daten verarbeitet haben, von der Löschung zu informieren. Ob und wie das in der Praxis aussehen wird, ist noch unklar. Hier werden Gerichte in den ersten Fällen die Aufgabe haben, diese Norm konkret für die Praxis auszulegen.
Die neue Datenportabilität der DSGVO
Auch für deutsche Unternehmen vollkommen neu ist das Recht auf Datenportabiität. Das bedeutet, dass Verbraucher von Firmen, denen sie das Einverständnis zur Datenverwendung gegeben haben, verlangen können, die Daten in einer gängigen, maschinenlesbaren Form übermittelt zu bekommen. Diesen Schritt können Nutzer auch überspringen, wenn die Möglichkeit besteht, dass das Unternehmen die Daten direkt an einen neuen Anbieter übermittelt.
Zusätzlicher Aufwand: Rechenschaftspflichten für Unternehmen
Europäische Unternehmen müssen zu jedem Zeitpunkt nachweisen können, dass personenbezogene Daten in Übereinstimmung mit der DSGVO behandelt werden. Eine weitere wichtige Neuerung ist die Umkehr der Beweislast in Haftungsfragen. Während vor dem 28. Mai 2018 die Geschädigten den unrechtmäßigen Umgang mit personenbezogenen Daten nachweisen müssen, liegt die Beweispflicht mit der DSGVO bei den Unternehmen. Zusammengefasst bedeutet dies eine genauere und sichere Datenverarbeitung, sowie eine fachgerechte Archivierung der personenbezogenen Daten.
Datensicherheit
In den meisten bisherigen Gesetzestexten zum Thema Datenschutz war den Unternehmen bereits ein technisch sicheres Datenmanagement vorgeschrieben. Auch in der DSGVO ist festgehalten, dass Unternehmen, die in der Eurozone aktiv sind, die Vertraulichkeit, Belastbarkeit, Integrität und Verfügbarkeit der technischen Mittel im Datenmanagement gewährleisten müssen.
Zusätzlich führt die Datenverordnung die „Datenschutz-Folgenabschätzung“ ein: Bei einer risikobehafteten Datenverarbeitung müssen die Firmen die jeweilige Aufsichtsbehörde informieren. Die Behörde legt dem Unternehmen dann innerhalb von acht Wochen Verbesserungsvorschläge vor, die die angegebenen Schwächen beseitigen können. .
Erhöhte Bußgelder vorgesehen
Innovationsstop durch bürokratische Hürden?
Experten befürchten, dass Unternehmen ihre Innovationen zurückfahren werden, da sie in der schnelllebigen Digitalwirtschaft nicht immer die Entscheidungen der Aufsichtsbehörde abwarten können.
Auch die finanziellen Strafen bei Missachtung der Verordnung definiert die EU neu. In der Vergangenheit haben viele nicht-europäischen Unternehmen die, gerade in Deutschland, niedrigen Bußgelder ausgenutzt. Bei Missachtung der Datenschutzgesetze gab es eine Bußgeldobergrenze in Höhe von 300.000 Euro. Große Unternehmen nahmen diesen geringen Betrag in Kauf, um dafür gesetzeswidrig Daten zu sammeln. Die EU sieht nun ein deutlich schwereres Strafmaß vor. Die neue Obergrenze liegt bei 20 Millionen Euro oder je nach Vergehen bei vier Prozent des Jahresumsatzes.
Die neuen Pflichten der EU-Datenschutzverordnung bedeuten zwar keine Komplettumstellung für deutsche Unternehmen, aber eine spürbare Aufwandssteigerung im Datenschutzmanagement. Der Großteil der Änderung kommt dem Verbraucher zugute und stärkt Datensicherheit. Wichtig ist, dass sich Unternehmen jeder Größenordnung frühzeitig mit den Neuerungen auseinandersetzen, um nötige Änderungen rechtzeitig implementieren zu können.