Im Dezember 2015 kam die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (abgekürzt EU-DSGVO). Das Datenschutzrecht soll damit vereinheitlicht werden.
Bisher konnte jeder EU-Staat eigene Gesetze erlassen. Mit der Datenschutz Grundverordnung wird es ein direkt geltendes Recht in allen Mitgliedsstaaten geben. Durch sogenannte Öffnungsklauseln können vereinzelt geringe Ausnahmen für die nationalen Gesetzgeber ermöglicht werden um eigene nationale Regelungen zu erlassen.
InhaltsübersichtAb wann wird die EU-Datenschutz-Grundverordnung gültig? Die neue EU-Datenschutz-Grundverordnung – was ändert sich für Webseiten-Betreiber und Onlineshops?
Welche Aufgaben müssen Unternehmen im technischen Datenschutz erfüllen?
Welche Melde- und Informationspflichten gelten für Unternehmen?
Webseitenbetreiber und Onlineshops: häufig gestellte Fragen
|
Ab wann wird die EU-Datenschutz-Grundverordnung gültig?
Die Datenschutz-Grundverordnung trat bereits am 24. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsphase sind die Bestimmungen der Richtlinie ab dem 25. Mai 2018 verbindlich einzuhalten (Artikel 99 DSGVO).
Die DSGVO tritt an die Stelle der seit 1995 geltenden EU-Datenschutz-Richtlinie 95/46/EG, die noch bis zum 24. Mai 2018 Gültigkeit besitzt (Artikel 94 DSGVO).
Webseitenbetreiber und Onlineshops sollten den Übergangszeitraum intensiv nutzen, um eine sorgfältige Umsetzung der Verordnung termingerecht sicherzustellen und damit Abmahnungen und Bußgelder zu vermeiden.
Art. 1 DSGVO Gegenstand und Ziele
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Die neue EU-Datenschutz-Grundverordnung – was ändert sich für Webseiten-Betreiber und Onlineshops?
Webseiten-Betreiber und Onlineshops sollten sich rechtzeitig auf die neue EU-Datenschutz-Grundverordnung (DSGVO) vorbereiten, deren Vorschriften im Jahr 2018 rechtsverbindlich werden. Wir informieren Sie über die wichtigsten Änderungen, die Webseiten-Betreiber sowie kleine und mittlere Onlineshops beachten müssen.
Welche Ziele verfolgt die neue EU-Datenschutz-Grundverordnung?
Der europäische Gesetzgeber strebt mit der neuen Datenschutz-Grundverordnung einen einheitlichen Schutz personenbezogener Daten natürlicher Personen sowie freien Datenverkehr innerhalb des Europäischen Binnenmarkts an (Artikel 1 Absätze 2 und 3 DSGVO). Künftig unterliegen nicht nur Privatunternehmen, sondern auch öffentliche Einrichtungen den Regeln des gesetzlichen Datenschutzes.
Welche Rechtswirkung hat die DSGVO in Deutschland?
Als „Verordnung“ der Europäischen Union verfügt die DSGVO in allen EU-Mitgliedsstaaten über unmittelbare Rechtswirksamkeit, ohne dass ein separater nationaler Gesetzgebungsakt erforderlich ist. Verschiedene Öffnungsklauseln erlauben den einzelnen Staaten allerdings die Einführung bestimmter individueller Regelungen.
Was sind die wichtigsten Neuerungen durch die neue Datenschutz-Grundverordnung für Onlineshops und Webseiten-Betreiber?
Über die Aufgaben hinaus, die Unternehmen bereits bisher beim Umgang mit personenbezogenen Daten erfüllen mussten, regelt die DSGVO auch weitergehende Pflichten, die künftig zusätzlich zu beachten sind.
Welche Aufgaben müssen Unternehmen im technischen Datenschutz erfüllen?
Umsetzung geeigneter organisatorischer und technischer Maßnahmen
Die für die Verarbeitung personenbezogener Daten „Verantwortlichen“ sind verpflichtet, unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Datenverarbeitung sowie der Risiken einer Verletzung von Rechten natürlicher Personen geeignete organisatorische und technische Maßnahmen umzusetzen, die eine Datenverarbeitung gemäß DSGVO sicherstellen (Artikel 24 DSGVO).
„Verantwortlicher“ ist gemäß Artikel 4 Nr. 7 DSGVO eine juristische oder natürliche Person, Einrichtung oder sonstige Stelle, die alleine oder gemeinschaftlich mit anderen über Ziele und Mittel bei der Verarbeitung personenbezogener Daten entscheidet.
Technische Maßnahmen und datenschutzfreundliche Voreinstellungen
Der in einem Unternehmen für die Verarbeitung personenbezogener Daten Verantwortliche muss Datenschutz durch Ergreifen technischer Maßnahmen sowie durch Datenschutz-freundliche Voreinstellungen sicherstellen (Artikel 25 DSGVO).
Zu diesen Maßnahmen zählen beispielsweise
• eine minimierte Speicherung und Nutzung personenbezogener („Datensparsamkeit“),
• eine möglichst rasche Pseudonymisierung personenbezogener Daten,
• eine transparente Zuordnung aller Aufgaben, die mit personenbezogenen Daten verbunden sind,
• die Möglichkeit für „betroffene Personen“, deren personenbezogene Daten erhoben, gespeichert oder verarbeitet werden, einer Kontrolle des Umgangs mit ihren Daten sowie
• Möglichkeiten des für die Datenverarbeitung Verantwortlichen, Sicherheitsfunktionen einzurichten bzw. zu optimieren (Erwägungsgrund 61 DSGVO).
Verzeichnis aller Tätigkeiten der Datenverarbeitung
Die Datenschutz-Grundverordnung schreibt ferner vor, ein Verzeichnis zu erstellen, in dem alle Verarbeitungstätigkeiten aufgeführt werden (Artikel 30 DSGVO).
Zu den im Verzeichnis aufzuführenden Informationen zählen
• Namen und Kontaktdaten von Verantwortlichen und Datenschutzbeauftragten,
• Verarbeitungszweck,
• Kategorien „betroffener Personen“ und personenbezogener Daten,
• Kategorien von Adressaten, an die personenbezogene Daten weitergeleitet werden,
• Datenübermittlungen in ein Drittland,
• ggf. Fristen für die Löschung von Daten aus den verschiedenen Kategorien und
• Beschreibung der getroffenen organisatorischen und technischen Maßnahmen.
Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde
Unternehmen sind verpflichtet, mit der zuständigen Aufsichtsbehörde auf deren Verlangen zusammenzuarbeiten (Artikel 29 DSGVO). Zuständige Aufsichtsbehörde ist die nach § 38 Bundesdatenschutzgesetz (BDSG) von der jeweiligen Landesregierung bestimmte Stelle (§ 38 Absatz 6 BDSG), in der Regel der Landesdatenschutzbeauftragte (sh. https://datenschutzbeauftragter.me/Infos/Aufsichtsbehoerden%20zum%20Datenschutz/).
Welche Melde- und Informationspflichten gelten für Unternehmen?
Meldepflichten gegenüber der Aufsichtsbehörde
Gemäß Artikel 33 DSGVO müssen Verletzungen das Datenschutzes an die zuständige Aufsichtsbehörde gemeldet werden. Die Meldung hat unverzüglich zu erfolgen – möglichst innerhalb von maximal 72 Stunden nach Bekanntwerden der Verletzung.
Information von Betroffenen nach Datenschutz-Verletzungen
Artikel 34 DSGVO schreibt vor, dass Betroffene nach einer Datenschutz-Verletzung - so schnell wie nach den Umständen möglich - informiert werden müssen.
Die Information an den Betroffenen soll enthalten
• die Art der Datenschutz-Verletzung sowie
• Empfehlungen zur Minimierung nachteiliger Auswirkungen der Datenschutz-Verletzung.
Eine Ausnahme von dieser Informationspflicht gilt nur dann, wenn aufgrund organisatorischer oder technischer Maßnahmen (beispielsweise durch eine Daten-Verschlüsselung) eine Kenntnisnahme Dritter von personenbezogenen Daten ausgeschlossen ist oder kein hohes Datenschutz-Risiko vorliegt.
Wann müssen Unternehmen eine „Datenschutz-Folgenabschätzung“ vornehmen?
Falls eine bestimmte Art der Datenverarbeitung mit hohen Risiken für den Datenschutz verbunden ist, muss ein Unternehmen gemäß Artikel 35 DSGVO eine Datenschutz-Folgeabschätzung durchführen.
Hohe Datenschutz-Risiken können sich beispielsweise aus Umfang, Sachzusammenhang oder Zweck einer Datenverarbeitung oder auch beim Einsatz neuer Technologien ergeben.
Artikel 36 DSGVO verpflichtet Unternehmen zur Konsultation der Aufsichtsbehörde, falls eine Datenschutz-Folgenabschätzung ein hohes Datenschutz-Risiko ergibt.
Die Aufsichtsbehörden werden Technologien nach ihren Datenschutzrisiken klassifizieren und entsprechende Listen veröffentlichen.
Altersverifizierung und Datenschutz-Erklärung: Welche DSGVO-Normen sind für Webseiten-Betreiber besonders wichtig?
Für Webseiten-Betreiber sind verschiedene Einzelbestimmungen der DSGVO von besonderer Bedeutung.
Zu beachten ist die grundsätzlich von bisher 13 auf künftig vollendete 16 Jahre angehobene Mindestaltersgrenze für eine rechtswirksame Zustimmung von Minderjährigen zur Datenerhebung, -speicherung und -verarbeitung. Allerdings können die EU-Mitgliedsstaaten im Rahmen einer Öffnungsklausel eine national geltende Altersgrenze ab dem vollendeten 13. Lebensjahr festlegen (Artikel 8 DSGVO).
• Webseiten-Betreiber müssen also das Alter eines Nutzers verifizieren, um rechtssicher festzustellen, ob die jeweiligen Nutzer oder aber deren Eltern zur Genehmigung der Datenverarbeitung berechtigt sind.
Datenschutz-Erklärungen sind auf die Vorgaben der DSGVO abzustimmen.
• Artikel 12 DSGVO unterscheidet sich vom derzeit geltenden § 13 Telemediengesetz (TMG) vor allem durch die Anforderung einer „präzisen, transparenten, verständlichen, klaren und einfachen Sprache“, mit der die Informationen an Betroffene zu gestalten sind.
• Derzeit regeln die §§ 11ff TMG das Verhältnis zwischen Diensteanbieter und Nutzer. Mit Inkrafttreten der DSGVO gelten deren Bestimmungen in den EU-Mitgliedsstaaten unmittelbar. Die Normen des DSGVO haben daher Vorrang der denjenigen des TMG. Voraussichtlich wird auf Basis der Artikel 12 bis 14 DSGVO eine deutsche Verordnung erlassen, die die §§ 11ff TMG ersetzt.
https://www.datenschutzbeauftragter-info.de/eu-grundverordnung-websitebetreiber-aufgepasst/
Welche Verpflichtungen haben Unternehmen hinsichtlich des „Rechts auf Vergessenwerden“?
Unternehmen und Webseiten-Betreiber sollen die Internet-Nutzer künftig dabei unterstützen, ihr „Recht auf Vergessenwerden“ durchzusetzen. Falls Daten an Dritte weitergeleitet oder veröffentlicht wurden, sind Unternehmen und Webseiten-Betreiber zur Weitergabe einer Löschungsanfrage verpflichtet. Bei einer vorherigen Datenweitergabe ohne Betroffenen-Zustimmung ist ein Unternehmen bzw. ein Webseitenbetreiber im Interesse eines Betroffenen sogar zur Durchsetzung der Datenlöschung beim Dritten (Datenempfänger) verpflichtet.
https://www.datenschutzbeauftragter-info.de/eu-grundverordnung-websitebetreiber-aufgepasst/
Welche Rechtsfolgen drohen bei einem Verstoß gegen die DSGVO?
Eine natürliche Person, der ein Schaden durch Verstoß gegen die DSGVO entstanden ist, hat Anspruch auf Schadenersatz - sowohl bei materiellen als auch bei immateriellen Schäden. Schadensersatzpflichtig ist der Verantwortliche und jeder an der Verarbeitung Beteiligte - ggf. auch ein Auftragsverarbeiter, der Daten im Auftrag des Verantwortlichen verarbeitet (Artikel 82 DSGVO).
Artikel 83 DSGVO regelt die mögliche Höhe von Geldbußen bei einem Rechtsverstoß. Neu ist, dass künftig keine absolute Bußgeldhöhe gilt, sondern sich Bußgelder an einem Kriterien-Katalog (Artikel 83 Absatz 2 DSGVO) bzw. am Umsatz eines Unternehmens orientieren. Artikel 83 Absatz 5 DSGVO ermöglicht Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten (!) Umsatzes des letzten Geschäftsjahres. Die Sanktion bemisst sich nach derjenigen Berechnungsmethode (Kriterien-Katalog oder Umsatz), die zu einer höheren Geldbuße führt.
Webseitenbetreiber und Onlineshops: häufig gestellte Fragen
Was sollten Webseiten-Betreiber hinsichtlich der Website-Compliance beachten?
Webseiten-Betreibern ist zu empfehlen, Gesetzgebung und die sich ständig weiterentwickelnde Rechtsprechung zur Website-Compliance sorgfältig zu beobachten. Um aufsichtsbehördlichen Maßnahmen sowie Abmahnungen durch Verbraucherschutzverbände oder Wettbewerber vorzubeugen, empfiehlt sich ggf. eine Fachberatung.
Wann sollten Unternehmen mit der Anpassung ihrer Abläufe an die EU-Verordnung beginnen?
Webseitenbetreiber und Onlineshops sollten die zweijährige Übergangszeit nicht weitgehend ausschöpfen, bevor sie eine Anpassung an Vorschriften der DSGVO in Angriff nehmen. Wir empfehlen, unverzüglich mit einer sorgfältigen Maßnahmen-Planung und -Umsetzung zu beginnen. Konflikte mit Webseiten-Nutzern, Abmahnungen und Bußgelder wegen verspäteter Anpassung an die DSGVO lassen sich bei frühzeitigem Projektstart leicht vermeiden.
Die Umsetzung welcher Pflichten hat Priorität?
Um den Anforderungen der EU-Verordnung zu genügen und Sanktionen vorzubeugen, sollten Webseitenbetreiber und Onlineshops auf die Umsetzung einiger Vorschriften besonderen Wert legen:
• Bestimmung von Verantwortlichen (Artikel 24 DSGVO) und ggf. Datenschutzbeauftragten (Artikel 37 DSGVO),
• Auswahl von Auftragsverarbeitern, die „hinreichende Garantien“ für eine DSGVO-gemäße Datenverarbeitung bieten (Artikel 28 DSGVO),
• Entwicklung und Umsetzung eines Konzeptes zu datenschutzfreundlichen Arbeitsabläufen,
• Gestaltung und Sicherstellung entsprechender Voreinstellungen (Artikel 25 DSGVO),
• Anpassung von Datenschutz-Erklärungen (insbesondere auf Verständlichkeit und Klarheit achten!),
• Maßnahmen, die eine Altersverifizierung von Nutzern, deren personenbezogene Daten verarbeitet werden, sicherstellen (Artikel 8 DSGVO),
• Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten (Artikel 30 DSGVO).
Externe Datenschutzbeauftragte
Externe Datenschutzbeauftragte bringen von vornherein das nötige Fachwissen und die Erfahrung mit und können Sie direkt bei der Umsetzung unterstützen
Beispiele:
- https://www.activemind.de/datenschutz/datenschutzbeauftragter/muenchen/
- http://www.tuev-sued.de/fokus-themen/it-security/datenschutz-check_1
- https://www.intersoft-consulting.de/datenschutzbeauftragter/externer-datenschutzbeauftragter/
- https://brands-consulting.eu/datenschutz/externer-datenschutzbeauftragter-dsb-%C2%A7-4f-bdsg/externer-datenschutzbeauftragter-m%C3%BCnchen
