Stefan Schimkat (Fachanwalt für IT-Sicherheit & Externer Datenschutzbeauftragter) stellte uns die wichtigsten Neuerungen der europäischen Datenschutzgrundverordnung (DSVGO) vor, die im Mai 2018 in Kraft treten wird. Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten verarbeiten, auch wenn sie außerhalb der EU sitzen und Daten von EU-Bürgern verarbeiten. Nachfolgend eine kleine Zusammenfassung der wichtigsten Gesetzesänderungen ohne Anspruch auf Vollständigkeit und ohne Garantie für ihre Richtigkeit.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Angaben, mit denen man theoretisch auf eine bestimmte Person schließen könnte: also nicht nur Name, Adresse usw. sondern auch Cookies, IP-Nummern. Daten von Kindern und Minderjährigen (bis 16 Jahre!) sowie Daten zur Ethnie, Sexualität, Gesundheit, religiösen oder politischen Ansichten unterliegen besonders strengen Regeln und sollten nicht erhoben werden, wenn sie nicht unbedingt benötigt werden.
Rechte
Jede/r hat nun Auskunftsrecht über ihre gespeicherten Daten, ein Recht auf Datenlöschung („Recht auf Vergessenwerden“) und auf Datenportabilität: Die Nutzer können vom Anbieter verlangen, dass ihre Daten an einen anderen Anbieter weitergegeben werden.
Pflichten
Für alle, die mit personenbezogenen Daten zu tun haben, besteht nun eine Rechenschaftspflicht (Accountability): Ein Verfahrensverzeichnis muss erstellt und die angemessene Datensicherheit geprüft werden. Unter Umständen muss – bei besonders sensiblen Daten – eine Datenschutzfolgenabschätzung vorgenommen werden. Daneben gibt es nun eine Meldepflicht bei Datenpannen innerhalb von 72 Stunden bei den zuständigen Behörden.
Da sich die Informationspflichten erhöhen, wird ein Update der Datenschutzerklärung notwendig.Privacy by Design und Privacy by Default, die immer schon als best practice galten, werden nun festgeschrieben. Bei Verstößen drohen den Unternehmen Bußgelder bis zu 4% des Jahresumsatzes oder 20 Mio. €.
Einwilligungen
Die Datenverarbeitung ist generell verboten, wenn sie nicht durch ein Gesetz erlaubt oder Betroffene in die Verarbeitung eingewilligt haben (Verbot mit Erlaubnisvorbehalt). Einwilligungen sind zwar nicht mehr an eine bestimmte (schriftliche) Form gebunden, es gibt aber weiterhin eine Nachweispflicht, die zu Lasten des Anbieters geht.
Die Einwilligung muss informiert und freiwillig und vor allem eindeutig gegeben werden: Opt-Out-Lösungen stellen darum keine Einwilligungen mehr dar, sondern nur noch Opt-In. Für die Nachweispflicht empfiehlt sich eine Einwilligungshandlung, die mit Timestamp, gekürzter IP-Adresse und Double-Opt-In in der Datenbank abgespeichert ist.
Leistungen dürfen nicht an eine Einwilligung gekoppelt (Koppelungsverbot) werden, die mit den Leistungen nicht unmittelbar zu tun haben (z.B. Zugang zu einem Forum an die Einwilligung Werbung zu bekommen).
Datenschutz und Geschäftsverkehr
Der Gesetzgeber will ein Bewusstsein für den achtsamen Umgang mit personenbezogenen Daten schaffen, ohne die Verwendung von Daten aus berechtigten wirtschaftlichen Interessen zu behindern. Es sollen nur die Daten verarbeitet werden, die unbedingt für den Ablauf erforderlich oder gesetzlich vorgeschrieben sind.
Ein Vereinfachung stellt die Verordnung allerdings nicht dar. Schon während des Vortrages wurde heftig diskutiert, wie die einzelnen Punkte in der Praxis umzusetzen sind. Wie funktioniert eine rechtssicherer Nachweis für die Verwendung der Daten (Bearbeitung, Löschung, Sicherung)? Welchen Aufwand muss man beim Rechenschaftsbericht betreiben?
Wie die Datenschutzbestimmungen in der Praxis umgesetzt werden können, wird sich erst in der Praxis herausstellen. Ein Restrisiko bleibt also immer, abgemahnt zu werden. Aber nichts zu tun, wäre fatal, denn die Bußgelder wurden stark erhöht. Die Datenschutzbehörden werden mit mehr Personal ausgestattet. Es ist zu vermuten, dass ab Mai genauer und häufiger kontrolliert wird.
Quellen:
https://drschwenke.de/dsgvo/
https://www.e-recht24.de/datenschutzgrundverordnung.html
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
https://dsgvo-gesetz.de/
Generatoren für DS-Erklärungen
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/ (kostenfrei)
https://www.e-recht24.de/mitglieder/
Plugins
https://de.wordpress.org/plugins/google-analytics-opt-out/
https://de.wordpress.org/plugins/wp-gdpr-compliance/
https://de.wordpress.org/plugins/shariff/