In den Zeiten von ständig zunehmender Digitalisierung stellen sich viele Internetnutzer die Frage: Wie soll dies auf den Umgang mit Daten wirken? Aus Verbrauchersicht ist es vor allem relevant, ob die überlassene Daten zweckmäßig genutzt und hinreichend geschützt werden. Internetseitenbetreiber und andere Unternehmen beschäftigen sich demgegenüber mit der Frage, welche Vorkehrungen getroffen werden müssen, um ständig wechselnde gesetzliche Vorgaben zu erfüllen.

Klarheit für beide Seiten soll eine neue EU-Datenschutz-Grundverordnung (DSGVO) schaffen, die am 25. Mai 2018 in Kraft tritt. Im Großen und Ganzen kann man daraus schließen, dass die neue Datenschutzverordnung im wesentlichen den deutschen Regelungen entspricht. Dies bedeutet, dass für deutsche Unternehmen die Änderungen nicht so gravierend erscheinen. Webseitenbetreiber aus anderen Staaten müssen sich aber mit neuer Verordnung intensiver zusammensetzen.

Formell ist vor allem interessant, welchen Weg hier der EU-Gesetzgeber gewählt hat. Für Internet und Datenangelegenheiten war bis jetzt üblich, dass die EU Richtlinien erlässt, die erst nach der Umsetzung durch angepasste nationale Vorschriften in Mitgliedstaaten gelten. Jetzt aber, um noch höheren Datenschutz zu gewährleisten, hat der EU-Gesetzgeber eine Verordnung erlassen, die bereits ohne Umsetzungsakt unmittelbar in jeden EU-Mitgliedstaat gelten wird.

Der erster Hauptpunkt von DSGVO bildet das sogenannte Verbotsprinzip mit Erlaubnisvorbehalt. Danach sind die Datenerhebungen, Nutzungen und Verarbeitungen grundsätzlich verboten, es sei denn, dass dafür eine besondere gesetzliche Erlaubnis existiert oder der Betroffene vorher eine Einwilligung erklärt hat. Hier müssen die Webseitenbetreiber beachten, dass die Einwilligung des Betroffenen ausdrücklich und freiwillig erklärt werden muss. Es gilt das Kopplungsverbot: Erhalt von einer Leistung durch den Verbraucher darf nicht von der Preisgabe persönlicher Informationen abhängen. Beispielsweise ist die Kopplung von Vertragsabschluss mit der Einwilligung von Datenverarbeitung in werblichen Zielen unzulässig. Zudem müssen die Einwilligungen jederzeit widerrufbar sein sowie der Unternehmer bestimmte Informations- sowie Gestaltungspflichten erfüllen muss, um den Verbraucher diese Widerrufsmöglichkeit zu gewähren. Ebenfalls spricht die Verordnung über das Recht auf Vergessenwerden, worunter das Recht auf Verlangen der Datenlöschung gemeint ist.

Zu beachten ist auch das Zweckbindungsprinzip. Das heißt, dass die personenbezogene Daten nur für „festgelegte, eindeutige und rechtmäßige Zwecke“ erhoben werden dürfen. Dazu kommen die weitere Kriterien: Datensparsamkeit (so wenig Daten nachzufragen wie es möglich ist), Pseudonymisierung und Anonymisierung.

In diesem Zusammenhang werden auch die neue Regelungen zu Informationspflichten getroffen. Ab 2018 werden die Unternehmen verpflichtet den Betroffenen die Rechtsgrundlage für die Datenverarbeitung sowie die Dauer der Speicherung und Einzelheiten bezüglich möglicher Weitergabe genau, transparent und verständlich mitzuteilen. Ebenfalls haben die Nutzer das Recht über die Identität des Verantwortlichen sowie Kontaktdaten des Datenschutzbeauftragten zu erfahren.

Unter anderem verpflichtet die DSGVO Unternehmen, Behörden und Freiberuflern durch technische und organisatorische Sicherheitsmaßnahmen „eine angemessene Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ zu gewährleisten.

Hieraus resultiert sich auch Rechenschaftspflicht, wonach das Unternehmen nicht nur Sicherheitsmaßnahmen organisieren muss, sondern auch jederzeit nachweisen muss, dass diese tatsächlich eingehalten werden. Dafür muss jedes Unternehmen einen „Verantwortlichen“ haben, der für die Kontrolle und den Nachweis der Einhaltung zuständig ist. Ferner ist eine Rechenschaft über die Einhaltung der Sicherheitsvorgaben abzulegen. Das Datenschutzkonzept muss auch dokumentiert werden.

Internationale Unternehmern müssen die folgende Änderung im Auge behalten. Das früher geltende Sitzlandprinzip wird auf das Marktortprinzip gewechselt. Das heißt, dass die Frage, welches Recht für Bestimmung der Vorgaben relevant ist, nicht mehr vom Unternehmenssitz, sondern vom Zielland abhängig sein wird. Bietet beispielsweise die russische Firma eigene Dienstleistungen auch in der EU an, muss sie die DSGVO beachten. Die neue Verordnung verpflichtet sogar Unternehmen aus Drittstaaten einen Vertreter („Verantwortlicher“) zu benennen, der für Angelegenheiten im Zusammenhang mit dem EU-Datenschutz zuständig ist und als Ansprechpartner für europäische Behörden sowie betroffene Bürger agiert.

Hinweis: Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit. Die Informationen können eine persönliche Beratung nicht ersetzen. Bitte kontaktieren Sie uns für eine erste unverbindliche, einzelfallbezogene Einschätzung Ihrer Situation.