Dieser Beitrag stammt von Rechtsanwalt Stephan Hendel, Gabler & Hendel Rechtsanwälte PartmbB.
Die neue EU-DSGVO tritt am 25. Mai 2018 in Kraft.
Dieses Datum gilt somit in vielerlei Hinsicht als absolute "Deadline." Denn die neue Datenschutz-Grundverordnung bringt sowohl für Unternehmen als auch für Verbraucher viele Änderungen – im Vergleich zur bisherigen Gesetzeslage – mit sich.
Dabei sollten vor allem Unternehmer einen Blick auf die Neuerungen werfen. Denn Verstöße werden mit zum Teil drakonischen Maßnahmen geahndet.
Ziel dieser neuen Verordnung ist zunächst ein weitgehend einheitliches Datenschutzrecht innerhalb der gesamten EU. Dabei ist Hauptziel, dass die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden.
Zwar werden viele Bestandteile des bisherigen Bundesdatenschutzgesetzes (BDSG) beibehalten. Nichtsdestotrotz wird es zukünftig einige wesentliche Änderungen geben, die es zu beachten gilt.
An dieser Stelle möchten wir kurz darauf hinweisen, dass dieser Beitrag wirklich nur einen Auszug der wesentlichen Neuerungen wiedergibt. Eine noch umfassendere Aufklärung würde den Rahmen dieses Beitrags bei weitem sprengen. Sollten Sie darüber hinaus Fragen haben, so können Sie sich natürlich jederzeit gerne an uns wenden. Wir beraten Sie dann ausführlich und für Ihr Unternehmen passend.
Was sind die wesentlichen Neuerungen?
Die Hauptänderungen liegen in den Rechtsgrundlagen der Datenverarbeitung, den Rechten der Betroffenen und die damit korrespondierenden Pflichten der Verantwortlichen.
Wie bei den meisten neueren Gesetzesentwürfen geht auch hier der Gesetzgeber (wohl) von einer Unmündigkeit seiner Bürger aus. Dabei werden die Rechte der Nutzer durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen, aus unserer Sicht sinnlos und massiv, gestärkt.
Die Nutzer sollen einen leichteren Zugang zu ihren Daten und den Informationen haben, die sie beispielsweise für einen Website-Betreiber bereitstellen. Im Kontext sei hier speziell die Verwendung von Cookies angesprochen. Also kleine Daten, die temporär in dem Webbrowser des jeweiligen Endgerätes eines Nutzers abgelegt werden. Sie halten Informationen für den Dienstanbieter bereit, der das Setzen von Cookies veranlasst hat. Es werden auch viele Leser dieses Beitrags Cookies benutzen und deren Verwendung auf ihrer Internetpräsenz (momentan) mit dem Satz "Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden …" einleiten. Mit diesen Informationen ist es dann möglich, statistische sowie personenbezogene Daten der Nutzer zu ermitteln. Speziell für eine Suchmaschinenoptimierung oder das Online-Marketing ist die Verhaltensweise des Seitennutzers sehr interessant und relevant.
Momentan ist die Gesetzeslage noch so, dass nach § 15 Abs. 3 Telemediengesetz (TMG) der Dienstanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien, Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer diesen nicht widerspricht. Im Klartext heißt dies, dass Sie bisher nur in der Datenschutzerklärung über die Erhebung und Verarbeitung informieren mussten und dem Nutzer eine Widerspruchsmöglichkeit (sog. opt out) einräumen mussten. In den meisten Fällen ist dies mit der oben genannten Klausel geschehen.
Doch was ändert sich nun konkret?
Ab dem 25. Mai 2018 werden die bisherigen Regelungen des TMG keine Anwendung mehr finden. Dies betrifft auch die oben genannte Regelung des § 15 Abs. 3 TMG. Im Gegensatz zur bereits zitierten Norm enthält die neue DSGVO keine Privilegierung mehr für derart pseudonymisierte Daten. Dabei gilt es insbesondere festzustellen, dass die meisten Cookies unter den Anwendungsbereich des neuen Art. 4 Nr. 1 DSGVO fallen. Denn dieser definiert die für die Unternehmer relevanten, vom Benutzer preisgegebenen personenbezogenen Daten wie folgt:
"Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einen Namen, zu einer Kennnummer, zu Standortdaten, zu einer online Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;"
Diese sehr weite Definition schließt nahezu jede Verwendung u.a. von Cookies ein. Denn diese (Cookies) enthalten jedenfalls eine Onlinekennung, mittels derer eine Wiedererkennbarkeit hergestellt wird. Nach der neuen DSGVO ist jedoch die Verarbeitung personenbezogener Daten grundsätzlich nicht zulässig, es sei denn, eine der in Artikel 6 DSGVO aufgeführten Bedingungen ist erfüllt. Oder anders ausgedrückt: es ist anhand der folgenden Checkliste zu ermitteln, ob mindestens eine der Bedingungen erfüllt ist.
Checkliste:
- Der Nutzer hat die Einwilligung zu der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
Anmerkung: Wie Sie erkennen können, ist es im Vergleich zur alten Lösung (im TMG) gerade nicht mehr so, dass die Nutzer der Website nur noch widersprechen müssen. Das ehemalige opt-out-Verfahren hat sich in ein opt-in-Verfahren gewandelt. Sie müssen also gerade die Einwilligung der jeweiligen Personen explizit einholen.
oder - Die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei der Nutzer ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen;
Anmerkung: Auch dies dürfte schwierig sein, da die meisten Websites zunächst über ihr Produktportfolio informieren möchten und ein Vertragsschluss noch nicht absehbar ist.
oder - Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.
Anmerkung: Auch dieser Punkt ist sehr schwer umzusetzen. In Betracht kommen hier beispielsweise Bestimmungen des Jugendschutzgesetzes o. ä.
oder - Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Personen oder einer anderen natürlichen Person zu schützen;
Anmerkung: Welche speziellen Fälle dies sein sollen, muss sich noch herausstellen.
oder - Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
oder - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Anmerkung: Dieser Anwendungsfall dürfte die wichtigste Ausnahme für den praktischen Betrieb sein. Dabei ist eine Drei-Stufen-Prüfung vorzunehmen, um ein Vorliegen der Ausnahme zu beantworten. Es wird zum einen geschaut, ob ein berechtigtes Interesse, beispielsweise eines Onlinehändlers vorliegt, die beabsichtigte Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist und ob die Interessen des Verwenders, also des Onlinehändlers, die Interessen des Nutzers mit dem Schutz an seinen Daten überwiegen. Inwieweit die Rechtsprechung hiermit umgehen will, muss sich wiederum noch herausstellen. Aufgrund der enormen Bedeutung von Cookies und anderer personenbezogener Daten gehen wir davon aus, dass es keine allzu restriktive Handhabung geben wird.
Eine weitere wichtige Neuerung ist das "Recht auf Vergessen werden."
Die Nutzer haben damit erstmals ein kodifiziertes Recht auf Löschung der eigenen Daten, wenn:
- Die Speicherung der Daten nicht mehr notwendig ist,
- der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat,
- die Daten unrechtmäßig verarbeitet wurden oder
- eine Rechtspflicht zum Löschen nach EU oder internationalem Recht besteht.
Auch hier gibt es wieder Ausnahmen, welche jedoch in diesem Artikel nicht genauer erläutert werden sollen.
Fazit:
Gerade die hier ausführlich dargestellte Thematik hinsichtlich Cookies soll verdeutlichen, dass sowohl informatorischer als auch technischer Handlungsbedarf besteht.
Wie bereits eingangs erwähnt, sind die Sanktionen für Verstöße gegen die DSGVO erheblich gestiegen. So können Behörden gemäß Art. 83 Abs. 6 DSGVO nunmehr bis zu 20 Millionen € oder im Fall eines Unternehmens von bis zu 4% seines gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs als Bußgeld verhängen – je nachdem, welcher der Beträge höher ist.
Ob und wie die Behörden dann im jeweiligen Einzelfall eine Ahndung vornehmen, bleibt abzuwarten. Uns ist jedenfalls nicht klar, was sich der Gesetzgeber hierbei gedacht hat und wie dies seitens der Webseitenbetreiber und der Behörden umgesetzt werden soll.
Aufgrund dieser und vieler weiteren Änderungen, müssen Sie als Unternehmer die bereits bekannten Pflichten aus dem BDSG noch genauer umsetzen und die künftigen der DSGVO ebenso implementieren. Dies erhöht insbesondere die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz in Ihrem Unternehmen.
Sollten Sie Fragen haben, so beraten wir Sie jederzeit gerne und analysieren die Bedarfssituation Ihres Unternehmens im Einzelfall.
Den direkten Kontakt zu Stephan Hendel stellen wir gerne her. Sprechen Sie uns dafür einfach an!