Die Datenschutzgrundverordnung (DSGVO) ist seit 25. Mai 2018 in Kraft. Seitdem haben die Anforderungen in Sachen Datenschutz für Unternehmen in vielen Feldern stark zugenommen. Doch auch bei Verbrauchern haben die gesetzlichen Neuerungen vielfach zu Verunsicherung geführt, weil die abzugebenden Erklärungen zum Schutz der persönlichen Daten erheblich länger und meist sprachlich unverständlicher geworden sind.
Weshalb wurde die DSGVO dann überhaupt von der Europäischen Union beschlossen? Bei der Erstellung wurden zwei zentrale Ziele verfolgt: Einheitliche Regeln und Stärkung der Verbraucherrechte.
Einheitliche Regeln für ganz Europa
Die unterschiedlichen gesetzlichen Standards in den verschiedenen Ländern der EU führten in der Vergangenheit immer wieder zu Problemen. Außerdem nimmt die Zahl der Online Dienstleister weiterhin stetig zu. Diese können ihren Firmensitz überall in der EU haben und von dort aus ihre Geschäfte in allen Mitgliedsländern betreiben.
Grenzüberschreitender Geschäftsverkehr im Binnenmarkt bedeutet auch freier Datenverkehr. Bisher spielten dabei neben steuerlichen Fragen oft auch datenschutzrechtliche Gesichtspunkte eine Rolle. Für die Firmen waren Länder mit niedrigeren Anforderungen dabei naturgemäß interessanter. Dies wurde durch die Vereinheitlichung über die DSGVO geändert.
Verbraucherrechte stärken
Als zweiten Punkt hatte die EU bei der Neuregelung den Schutz von Verbrauchern im Visier. Die Kontrolle über die Weitergabe und Verwendung persönlicher bzw. personenbezogener Daten sollte gestärkt werden.
Diesem Ziel tragen viele Neuerungen im Datenschutzrecht Rechnung. Für Verbraucher ist es inzwischen deutlich einfacher, Firmen und Institutionen die Nutzung personenbezogener Daten zu untersagen bzw. deren Erhebung und Speicherung zu verhindern.
Im einzelnen geht es dabei um folgende Rechte:
- Auskunft sowie Recht auf eine Kopie von Date
- Widerspruchsrech
- Löschung (Recht auf Vergessenwerden
- Berichtigung
- Sperrung von Daten
- Datenmitnahme
1. Auskunft sowie Recht auf eine Kopie von Daten
Hinsichtlich der Auskunft über gespeicherte Daten bestanden in Deutschland auch vor der DSGVO umfangreiche Rechte gegenüber Unternehmen und Behörden. Diese waren im Bundesdatenschutzgesetz (BDSG) geregelt.
Neu ist der Anspruch auf den Erhalt einer Kopie dieser Daten. Die Inanspruchnahme dieser Rechte ist für Verbraucher kostenlos und bedarf keiner Begründung.
2. Widerspruchsrecht
Weiterhin können Verbraucher jederzeit, kostenlos und ohne Angabe von Gründen der weiteren Nutzung ihrer persönlichen Daten widersprechen. Diese dürfen dann vom jeweiligen Unternehmen (bzw. auch von jeder anderen Institution) nicht mehr für Direktwerbung oder zur Erstellung von Persönlichkeitsprofilen verwendet werden.
Sofern die Daten aus anderen Gründen als für Direktwerbung gespeichert wurden, bedarf der Widerspruch einer Begründung. Sofern plausible Gründe dafür sprechen, hat das Unternehmen dem Widerspruch Folge zu leisten. Anderes gilt nur dann, wenn das Unternehmen seinerseits berechtigte Interessen an der fortgesetzten Speicherung der Daten hat.
Dies ist beispielsweise dann der Fall, wenn der Widerspruch im Rahmen der Kündigung eines Abonnements erfolgt, für das noch Zahlungen ausstehen. Um diese Ansprüche auf zivilrechtlichem Wege geltend machen zu können, ist das Unternehmen darauf angewiesen, eine ladefähige Adresse des bisherigen Kunden zu haben. Insofern bedarf es in diesen Fragen immer einer Prüfung des Einzelfalls.
3. Löschung (Recht auf Vergessenwerden)
Auf der nächsten Stufe besteht für Verbraucher außerdem ein Recht auf Löschung. Anders als die Rechte zur Auskunft und zum Widerspruch hinsichtlich der Nutzung ist der Anspruch auf Löschung von Daten an bestimmte Voraussetzungen geknüpft.
Unproblematisch ist der Fall, wenn die Daten unrechtmäßig erhoben wurden, d.h. ohne Einwilligung des Verbrauchers. Gleiches gilt, wenn der Grund, aus dem die Daten ursprünglich erhoben wurden, inzwischen weggefallen ist. Außerdem hat ein Widerspruch gegen die Verwendung von Daten zu Werbezwecken zur Folge, dass das Unternehmen die betreffenden Daten endgültig löschen muss.
4. Berichtigung
Verbraucher haben außerdem ein Recht auf die Berichtigung falscher Daten. Gleiches gilt im Hinblick auf die Vervollständigung lückenhafter Daten.
5. Sperrung von Daten
Verbraucher können weiterhin bei Behörden und Unternehmen eine zwischenzeitliche Sperrung ihrer Daten geltend machen. Dabei handelt es sich um eine temporäre Aufhebung der Nutzungsrechte.
Diese Variante ist beispielsweise dann sinnvoll, wenn nach Erhebung eines Widerspruchs nicht klar ist, ob die vom Widerspruchsführer geltend gemachten Gründe gegenüber den berechtigten Interessen des Unternehmens überwiegen. In diesem Fall kann die Nutzung der persönlichen Daten so lange ausgesetzt werden, bis die rechtliche Situation abschließend geklärt ist.
6. Datenmitnahme
Die DSGVO bietet darüberhinaus die Möglichkeit einer Mitnahme von Daten. Dieser Anspruch kann für Verbraucher interessant sein, wenn Sie von einem Anbieter zum nächsten wechseln.
Der neue Streamingdienst, Internetprovider, E-Mail Dienst etc. kann dann die persönlichen Daten des bisherigen Vertragsverhältnisses übermittelt bekommen, was den Anmeldeprozess beim neuen Anbieter erheblich vereinfacht.
Form und Fristen
Für die Geltendmachung dieser Rechte müssen Verbraucher keine Frist einhalten. Entsprechende Anträge und Widersprüche sind jederzeit möglich. Auch hinsichtlich der Form macht die DSGVO keine Vorgaben. Anträge und Widersprüche können daher nicht nur in schriftlicher Form per Brief oder E-Mail, sondern auch mündlich gestellt bzw. erhoben werden.
Allerdings ist es aus Gründen der Beweissicherung ratsam, im Zweifel den schriftlichen Weg zu wählen. Für die Unternehmen läuft ab Eingang des Antrags oder Widerspruchs eine Frist von einem Monat für eine Reaktion.
Für Unternehmen kann es teuer werden
Eine Reaktion sollte innerhalb der gesetzlichen Frist erfolgen. Grund hierfür ist, dass die Bußgelder für Verstöße gegen Grundsätze des Datenschutzes durch die DSGVO erheblich erhöht wurden. Buß- und Strafgelder können bis 20 Millionen Euro betragen.
Für kleine und mittlere Unternehmen gibt es zwar eine Kappungsgrenze, aber auch diese beträgt vier Prozent des Umsatzes aus dem jeweiligen Vorjahr. Insofern ist es für Unternehmen ratsam, sich bereits im Rahmen der Erhebung von Daten an die in der DSGVIO festgelegten Regelungen zu halten. Schon vor Einführung der DSGVO galten folgende Grundsätze:
– Verbot mit Erlaubnisvorbehalt
Den zentralen Aspekt bildet hierbei die Tatsache, dass es ein generelles Verbot der Erhebung persönlicher Daten gibt. Dieses Verbot unterliegt einem Erlaubnisvorbehalt. Für alle gespeicherten Daten muss daher die vorherige Erlaubnis des Inhabers vorliegen.
– Datensparsamkeit
Weiterhin sind Unternehmen zur Datensparsamkeit verpflichtet. Daten sollen nur insoweit erhoben und gespeichert werden, wie dies notwendig ist. Wird bei einem Zeitschriftenabonnement neben der postalischen Adresse auch die E-Mail Adresse gespeichert, dann muss es dafür Gründe geben.
– Zweckbindung
Weiterhin ist Unternehmen nicht erlaubt, gespeicherte persönliche Daten frei zu verwenden. Eine Verwendung kann nur zu dem Zweck erfolgen, aus dem die Daten ursprünglich erhoben wurden. Anderenfalls bedarf es einer neuen, weiter reichenden Genehmigung durch den Inhaber.
Neu: Datensicherheit (Artikel 32 DSGVO)
Die DSGVO erweitert diese Grundsätze im Sinne eines Anspruchs auf Datensicherheit. Die Sicherung der persönlicher Daten hat immer auf dem jeweils aktuellen Stand der Technik zu erfolgen. Bei Datenlecks ist das Unternehmen entsprechend zum Beweis verpflichtet
Die Bedeutung von Datenschutzbeauftragten nimmt zu
Die weitergehenden Rechte von Verbrauchern und die verschärften inhaltlichen Anforderungen in Sachen Datenschutz führen zu einer erheblichen Erweiterung der Aufgabenbereiche von Datenschutzbeauftragten.
Ab einer bestimmten Unternehmensgröße lässt sich diese Funktion nicht mehr als Nebenjob erledigen. Die erhöhten Anforderungen machen es notwendig, die Einhaltung von Grundsätzen und die Sicherung von Daten umfänglich zu dokumentieren, um bei auftretenden Problemen nicht in Beweisnot zu geraten. Hinzu kommt die Gefahr der deutlich erhöhten Bußgelder.
Die Aufgaben des Datenschutzbeauftragten haben dementsprechend durch die DSGVO erheblich an Bedeutung gewonnen. Das hat für viele Unternehmen zusätzliche Kosten zur Folge.
Praktische Erfahrungen seit Inkrafttreten
Bei Einführung der DSGVO wurde vielfach mit einer erneuten Welle wettbewerbsrechtlicher Abmahnungen gerechnet. Bisher lässt sich sagen, dass die Zahl der Abmahnungen und Bußgeldverfahren sich in engen Grenzen gehalten hat.
Der wichtigste Grund hierfür ist, dass Abmahnungen im Wettbewerbsrecht in der Regel durch konkurrierende Unternehmen erfolgen. Diese sind im Hinblick auf einen ggf. lückenhaften Datenschutz bei Mitbewerbern aber überhaupt nicht antragsberechtigt. Folglich fehlt es auch an einer Legitimation zu Klagen.
Und auch die Befürchtung, dass Anwälte, die sich auf Abmahnungen spezialisiert haben, für eine Klagewelle sorgen, hat sich (noch) nicht bestätigt. Das liegt sicherlich auch daran, dass die sogenannten „Abmahnanwälte“ selbst immer schärferen Regelungen unterliegen.
Privaten Verbrauchern sind die erweiterten Möglichkeiten in Sachen Datenschutz bisher oft nur unzureichend bewusst. Außerdem haben sie durch die Verhängung von Bußgeldern keinen eigenen finanziellen Vorteil.
Trotzdem sollten Unternehmen darauf bedacht sein, die bisher eher zurückhaltende Umsetzung der Vorgaben durch die EU in Angriff zu nehmen, da eine Zunahme der Rechtsstreitigkeiten in diesem Gebiet in den kommenden Jahren nicht ausgeschlossen werden kann.
Wie schätzen Sie die DSGVO heute ein? War bzw. ist sie in Ihrem Unternehmen ein großes Thema? Wir freuen uns auf Ihren Kommentar!
Urheber des Bildes: Thomas He / 123RF Standard-Bild