Ab dem 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Viele Website-Betreiber und Kunden fragen sich: Wie setze ich die Vorgaben der neuen Verordnung pünktlich und vollständig um? Drohen wirklich Abmahnwellen und bis zu 20 Mio. Euro Strafen?

Die vielen Änderungen, welche die neue DSGVO mit sich bringt, treffen alle Unternehmen, die im World Wide Web präsent sind. Kleine Unternehmens-Websites ebenso wie große Online Portale und Soziale Netzwerke. In so gut wie allen Bereichen des Datenschutzrechts gibt es neue Regularien. Einige sind einfach umsetzbar, andere sind hingegen sehr komplex und erfordern ein gewisses Know-How.

Die wichtigsten Informationen zur neuen DSGVO:

• Die Verordnung tritt ab 25.05.2018 in Kraft
• Betrifft jede Website
• Datenschutzrecht wird innerhalb der EU vereinheitlicht
• Der Umgang mit personenbezogenen Daten wird klar geregelt
• Neuregelungen in den Bereichen Benutzer-Tracking, Kundendaten, Newsletter, Social Media und Einsichtsrechte

Die häufigsten Fragen zur DSGVO:

DSGVO – Was ist das?

Die DSGVO (Datenschutz-Grundverordnung) regelt ab dem 25. Mai 2018 den Umgang mit personenbezogenen Daten im europäischen Raum. Einige der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich angepasst.

Was ist mit meinem Newsletter?
Einwilligungen von Nutzern, z. B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten grundsätzlich weiter.

Ausnahmen sind:

• Keine Daten gegen Inhalte
• Einwilligungen durch minderjährige Personen

Was ist mit neuen Newsletter-Aktionen oder Preisausschreiben?

Wenn keine gesetzliche Erlaubnis zum Speichern/Übertragen von Daten vorhanden ist, wird in jedem Fall eine Einwilligung benötigt.

Auch unter der neuen Verordnung sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert und gespeichert werden.

In der Regel: Keine Daten gegen Inhalte (z. B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an einen Vertragsschluss.

In einem Corrigendum wurde ein Artikel geändert, der Auswirkung auf die Abfrage personenbezogener Daten (wie bei der Newsletter-Anmeldung) hat.

Was ist mit meiner Datenschutz-Erklärung?

Grundsätzlich benötigt jede Website eine Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Das bedeutet, die Datenschutzerklärung muss folgenden Anforderungen entsprechen:

• Verständliche und einfache Sprache
• Ggf. eine vorgeschaltete, allgemein-zusammenfassende Erklärung
• Kontaktdaten des Website-Betreibers
• Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
• Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung
  (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden

Auftragsdatenverarbeitung?

Wenn die Verarbeitung personenbezogener Daten durch ein „externes“ Unternehmen erfolgt, muss dies vertraglich geregelt werden.

Beispiele hierfür wären:

• Agentur führt Marketing-Maßnahmen durch
• Externer Newsletter-Anbieter
• Webhoster
• Externe Wartungsverträge

Was ändert sich konkret am Inhalt der ADV-Verträge?

• Der Auftragsverarbeiter muss u. U. ein sogenanntes Verfahrensverzeichnis führen
• Der Auftragsverarbeiter muss die Weisungen des Verantwortlichen protokollieren

Was ändert sich im Einsichtsrecht und der Meldepflicht?

Generell haben betroffene Personen Anspruch auf Auskunft zu ihren gespeicherten Daten

 Die Auskunft zu diesen Daten kann in folgenden Formen stattfinden:

• Schriftlich
• Elektronisch per E-Mail
• Auf Verlangen auch mündlich

Die Auskunft muss unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags erteilt werden

Bei Datenpannen gelten mittlerweile strengere Anforderungen als bisher. Datenpannen müssen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation gemeldet werden.

Wie sehen die Strafen und Bußgelder aus?

Datenschutzverstöße können grundsätzlich abgemahnt werden!

Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:

• Datenschutzrecht hat eine wettbewerbsrechtliche Relevanz!
• Verstöße können auch nach der DSGVO abgemahnt werden!

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor.

Bisher haben Datenschutzbehörden den oberen Strafrahmen aber nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Das wird sich aber sehr wahrscheinlich ändern, denn der hohe Bußgeldrahmen bildet einen Kernbestandteil der DSGVO.

Wichtig ist, Anfragen und Beschwerden von Nutzern ernst zu nehmen. Noch wichtiger ist es, die Anfragen und Beschwerden von Datenschutzbehörden ernst zu nehmen!