DSGVO: Welche Änderungen kommen auf Unternehmen zu?

Die EU-Datenschutz-Grundverordnung: Jeder dürfte mittlerweile mitbekommen haben, dass da was Neues auf uns zukommt. Die EU hat das Datenschutzrecht nach jahrelangem Gezerre nun EU-weit vereinheitlicht. Herausgekommen ist die „DSGVO“, die unser altes Bundesdatenschutzgesetz (BDSG) komplett umkrempelt.

Ausgangspunkt ist der 25. Mai 2018: Ab diesem Stichtag gilt die DSGVO und verdrängt das bisher geltende BDSG. Die DSGVO gilt in allen EU-Staaten unmittelbar. Sie hat allerdings den nationalen Gesetzgebern durchaus noch Spielräume überlassen – diese Spielräume hat Deutschland mit einem neuen BDSG auszufüllen versucht (das sog. BDSG-neu).

Die DSGVO macht durchaus erhebliche Änderungen in den Unternehmen notwendig: Wer fremde Daten mit Personenbezug erhebt, speichert und/oder verarbeitet, muss sich auf die DSGVO einstellen.

Die wichtigsten Änderungen

Bußgelder, die die Portokasse übersteigen dürften

Die Bußgelder werden von bisher 300.000 Euro auf schlappe 20 Millionen Euro erhöht, wahlweise auf 4% des weltweiten Unternehmensumsatzes. Damit sollen die Unternehmen motiviert werden, die Datenschutzregeln auch tatsächlich einzuhalten.

Kontrollen und Ärger

Die Datenschutzaufsichtsbehörden in den Bundesländern haben den Auftrag, die Einhaltung der DSGVO zu überprüfen. Aber vor allem Abmahner und Betroffene, die beispielsweise ihr Auskunftsrecht geltend machen können, sowie etwa verärgerte Ex-Mitarbeiter oder Ex-Kunden, können einem das Leben schwer machen. Außerdem werden auch Kunden bei der Auswahl ihrer Dienstleister künftig genauer hinsehen, wer auf das neue Datenschutzrecht vorbereitet ist und wer nicht.

Verboten ist, was nicht erlaubt ist

Grundsätzlich ist die Verarbeitung fremder Daten verboten, solange es keine Legitimationsgrundlage dafür im Gesetz gibt. Die bekannteste Legitimationsgrundlage ist die Einwilligung: Der Betroffene (= das ist derjenige, dessen Daten verarbeitet werden) kann in die Verarbeitung einwilligen. Dabei darf die Einwilligung aber nicht an einen Vertragsschluss gekoppelt werden, d.h. man sollte künftig tunlichst die Einwilligung und die Anmeldung beispielsweise zu einer Veranstaltung voneinander trennen. Abgesehen davon muss die Einwilligung klipp und klar über den Zweck der Datenverarbeitung informieren.

Auch bekannt ist die „Vertragserfüllung“: Man darf Daten verarbeiten, wenn man sie zur Vertragserfüllung benötigt, oder auch, um eine Anfrage bzw. ein Angebot zu bearbeiten. Aber: Man darf nur die Daten verarbeiten, die man unbedingt zur Erfüllung des Vertrages braucht – will man dem Kunden zugleich Werbung schicken, dann fällt die Verarbeitung der Mailadresse üblicherweise nicht mehr unter die „Vertragserfüllung“. Dazu braucht man also dann einen eigenen, anderen Legitimationsgrund.

Dieser kann oft das sog. Berechtigte Interesse sein: Dieser Legitimationsgrund wird in den meisten Fällen der Werbung greifen können. Dabei muss das Unternehmen abwägen, ob sein Interesse höher ist als das Interesse des Betroffenen an der Anonymität. Bei dieser Abwägung muss man die Frage prüfen, ob der Betroffene „vernünftigerweise“ damit rechnen muss, dass seine Daten etwa eben zu Werbezwecken verarbeitet werden. Dies kann z.B. der Fall sein, wenn man seinem Kunden auch eine Mail schicken und dazu die Daten speichern will.

Probleme beim Newsletter

Wer beispielsweise einen Newsletterbestand hat, muss prüfen, ob seine alten Newsletterdaten auch nach neuem Datenschutzrecht noch genutzt werden dürfen! Nicht ganz neu ist, dass allein die datenschutzrechtliche Legitimation der Datenverarbeitung nicht automatisch zu einer Erlaubnis führt, dem Betroffenen auch Werbung per E-Mail zu schicken! Denn dazu braucht man ein mutmaßliches Interesse, dass der Betroffene ausgerechnet heute, ausgerechnet per E-Mail, ausgerechnet diese Werbung haben möchte. Etwas einfacher ist es, einem Bestandskunden eine Mail zu schicken (die Voraussetzungen dazu ergeben sich aus § 7 Absatz 3 UWG).

Verzeichnis der Verarbeitungsvorgänge

Nahezu jedes Unternehmen wird ein Verarbeitungsverzeichnis erstellen müssen. Darin sind in einer Tabelle alle Verarbeitungsvorgänge im Unternehmen aufzulisten und zu beschreiben (siehe Art. 30 DSGVO). Selbst wenn man als (kleines) Unternehmen kein Verzeichnis zwingend erstellen muss, so dienst das Verzeichnis als Dokumentation für das Bemühen, sich rechtskonform zu verhalten – das kann wohlwollende Auswirkungen bei einer Prüfung durch die Datenschutzaufsicht haben.

Auftragsdatenverarbeitung

Wer im Auftrag z.B. seines Kunden fremde Daten verarbeitet, rutscht in die Rolle des Auftragsdatenverarbeiters. Dieser haftet künftig neben dem Auftraggeber eigenständig. Dementsprechend sollte der Auftragsdatenverarbeiter in einem Vertrag mit seinem Auftraggeber klären, wer für was verantwortlich ist und wer was bezahlt. Hier kommt beispielsweise eine Eventagentur in Betracht, die für ihren Kunden Roominglisten an Hotels weiterleitet.

Betroffenenrechte

Ausgeweitet hat die DSGVO auch die Rechte der Betroffenen. Dazu gehört etwa, dass die Datenschutzhinweise erheblich ausführlicher gehalten werden müssen. So muss man künftig u.a. auch darüber aufklären, wann man die Daten zu löschen gedenkt (siehe Art. 13 und 14 DSGVO).

Daneben hat der Betroffene u.a. ein Auskunftsrecht: Er kann Auskunft verlangen, ob man seine Daten speichert, und wenn ja, kann er eine ausführliche Auskunft über den Zweck, die Rechtsgrundlage und die geplante Löschung fordern – und zwar jederzeit und unentgeltlich (siehe Art. 15 DSGVO).

Nicht mehr viel Zeit

Bis zum 25. Mai 2018 ist nicht mehr viel Zeit. Die Umstellung und Anpassung an die DSGVO benötigt aber Zeit, daher sollte man nicht zu spät damit anfangen.

>> Sie wollen wissen, inwiefern die DSGVO Einfluss auf die Eventkommunikation und das Teilnehmermanagement hat? Hier entlang!