Alles neu macht der Mai: Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (EU-DS-GVO) in Kraft. Sie wird erstmals den Umgang mit personenbezogenen Daten einheitlich für alle EU-Mitgliedsstaaten regeln.
Um von Anfang an alle Unsicherheiten aus dem Weg zu räumen, haben wir einen Experten gebeten, für Klarheit zu sorgen: Benedikt Weimer, Rechtsanwalt bei der LKC Rechtsanwaltsgesellschaft mbH in München (benedikt.weimer@lkc.de), hat uns die wichtigsten Änderungen und Fragen zur EU-DS-GVO zusammengefasst.
Erfahren Sie hier, was sich für Sie und Ihr Unternehmen ab sofort ändert und worauf Sie in Zukunft besonders achten müssen.
Müssen Unternehmen die Einhaltung der DS-GVO nachweisen können?
Auf jeden Fall. Den wohl wichtigsten Kernpunkt der neuen Datenschutz-Grundverordnung stellen die erweiterten Rechenschaftspflichten dar. In Zukunft müssen Unternehmen vor den Aufsichtsbehörden jederzeit nachweisen können, dass sie die aktuellsten Datenschutzrichtlinien einhalten. Dafür ist es besonders wichtig, dass Ihr Unternehmen lückenlos dokumentiert, wie die Datenschutzrichtlinien umgesetzt werden. Achten Sie zusätzlich auf ein effektives betriebsinternes Datenmanagement, um die Vollständigkeit der Daten und den schnellen Zugriff zu gewährleisten.
Wann dürfen Kunden die Löschung ihrer Daten verlangen?
Was bisher für viele Unklarheiten sorgte, wird nun endlich gesetzlich geregelt: Kunden dürfen laut dem neuen Recht auf »Vergessenwerden« verlangen, dass ihre eigenen Daten gelöscht werden. Dieses Recht besteht beispielsweise, wenn die Daten nicht mehr gespeichert werden müssen oder der Kunde seine Einwilligung zur Datennutzung widerrufen hat. Zusätzlich dürfen Kunden ihre personenbezogenen Daten ab Mai ganz unkompliziert zu einem neuen Anbieter mitnehmen. Das heißt: Wenn ein Kunde beispielsweise zu einem neuen Stromanbieter wechselt, muss sein alter Dienstleister die personenbezogenen Daten des Kunden löschen.
Welche neuen Regelungen gibt es für Online-Werber?
Bisher gab es in Deutschland spezielle Vorschriften für die Datennutzung zu Werbezwecken – diese werden nun durch die allgemeinen Vorschriften aus der neuen Verordnung ersetzt. Künftig dürfen Personendaten nur noch zu Werbezwecken verarbeitet werden, wenn die Verarbeitung einem berechtigten Interesse dient oder wenn die betroffenen Personen der Nutzung ausdrücklich zugestimmt haben.
Wann ist das Interesse an Datenverarbeitung »berechtigt«?
Zur groben Einschätzung, ob die Datenverarbeitung durch Interessenabwägung gerechtfertigt werden kann, stellen Sie sich folgende Fragen:
- Konnte die betroffene Person durch Zeitpunkt und Art der Datenerhebung absehen, dass ihre Daten für diesen Zweck verwendet werden?
- Stehen Unternehmen und betroffene Person in einer maßgeblichen und angemessenen Beziehung zueinander?
Letzteres wäre unter anderem der Fall, wenn der Betroffene ein Kunde oder Angestellter Ihres Unternehmens ist.
Wann ist die Einwilligung zur Datenverarbeitung rechtswirksam?
Hierbei ist neu, dass die Einwilligung zur Datenverarbeitung der betroffenen Person zukünftig nicht mehr in Schriftform vorliegen muss. Viele bekannte Richtlinien bleiben aber bestehen: Die Einwilligung muss weiterhin nachweisbar, verständlich und jederzeit widerrufbar sein – außerdem muss sie freiwillig abgegeben werden können. Davon sind alle zukünftigen Datenerhebungen betroffen. Bestehende Einwilligungen sind weiterhin wirksam, auch wenn sie der neuen Regelung nicht gerecht werden – Daten müssen also nur gelöscht werden, wenn von der betroffenen Person keine rechtswirksame Einwilligung eingeholt wurde.
Wofür dürfen personenbezogene Daten genutzt werden?
Grundsätzlich dürfen Daten nur zu dem primären Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. Ein Beispiel: Ein Kunde bestellt online ein Produkt und gibt dafür personenbezogene Daten an. Seine Adresse darf also genutzt werden, um das bestellte Produkt zu liefern. Es würde allerdings gegen die EU-DS-GVO verstoßen, seine Zahlungskraft via Geoscoring zu ermitteln und ihm dann auf seine Bedürfnisse abgestimmte Werbung zu schicken.
Dementsprechend müssen Unternehmen personenbezogene Daten löschen, wenn der primäre Nutzungszweck erfüllt wurde. Der Zweck der Datenverarbeitung ist also ausschlaggebend dafür, wie lange die verarbeiteten Daten gespeichert werden dürfen. Einzige Ausnahme hierfür sind gesetzliche Aufbewahrungspflichten für steuer- oder handelsrechtliche Dokumente – diese müssen mindestens zehn Jahre aufbewahrt werden.
Gibt es eine neue Regelung zum Profiling?
Ja. Denn bisher war die Gesetzeslage in diesem Zusammenhang nicht sehr detailliert und konnte teils großzügig ausgelegt werden. Das ändert sich ab Mai: Um die hohen Bußgelder bei Verstoß gegen die neue Datenschutz-Grundverordnung in jedem Fall zu vermeiden, betreiben Sie personalisierte Werbung in Zukunft am besten nur noch auf Basis pseudonymisierter Nutzungsprofile. Einfach gesagt: Führen Sie erfasste Nutzungsdaten nicht mit den Trägern des Pseudonyms, also den tatsächlichen Kunden, zusammen – das Profiling bestimmter persönlicher Aspekte wird von den Aufsichtsbehörden als Gefahr für die Rechte der Kunden bewertet.
Bietet die EU-DS-GVO auch Vorteile für Unternehmen?
Wir wissen, dass die Neuregelung Unternehmen vor einige Herausforderungen stellt und Datenschutzbeauftragte zunächst ins Schwitzen bringen könnte.
Allerdings hat sie auch drei klar erkennbare Vorteile zu bieten:
- Kostensenkung:
Das Datenschutzgesetz gilt nun in der gesamten EU, wodurch sich Unternehmen nicht mehr mit länderspezifischen Regelungen auseinandersetzen müssen - damit sparen sie Arbeitszeit und letztendlich auch Kosten ein. - Konkurrenzfähigkeit:
Da Kunden ihre personenbezogenen Daten jetzt ganz einfach zwischen Service-Providern übertragen können, wird die Gewinnung neuer Kunden deutlich einfacher. So verschärft sich der Wettbewerb und kleinere Unternehmen werden konkurrenzfähig. - Innovation:
Im Bereich Datenschutz gibt es viele Startups, die innovative Ideen und Technologien entwickeln, um die Anonymisierung und den Schutz personenbezogener Daten noch weiter zu erleichtern – sowohl für Personen als auch für Unternehmen.
Noch Fragen?
Sollten wir nicht alle Unsicherheiten beseitigt haben, wenden Sie sich gerne an uns – wir freuen uns, Ihnen helfen zu können.
