Neues aus der BVfK-Rechtsabteilung:
Die EU-Datenschutzgrundverordnung (DSGVO)
Ein Überblick über Änderungen, Anforderungen und Verhaltensempfehlungen
Bereits am 24. Mai 2016 in Kraft getreten, ist die EU-Datenschutz-Grundverordnung ab dem 25. Mai 2018 unmittelbar anzuwenden und verdrängt damit das Bundesdatenschutzgesetz weitreichend in seiner Geltung. Die DSGVO ist aufgrund ihres Umfangs und der sich aus ihr ergebenden Pflichten eine hart zu knackende Nuss. Selbstverständlich stellen sich auch die Betreiber von Internetseiten die Frage, wie sie mit den angestiegenen Anforderungen umgehen sollen. Die BVfK-Rechtsabteilung sieht sich daher veranlasst, dem Mitgliederkreis einen Überblick über die relevanten Aspekte zu verschaffen.
I. Um welche Daten geht es?
Anwendbar ist die Verordnung ausschließlich auf die Verarbeitung personenbezogener Daten wie z. B. Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, etc.Dabei spricht vieles dafür, dass es bereits ausreicht, wenn das datenerhebende Unternehmen über die technischen Mittel verfügt, um anhand von IP-Adressen die dahinterstehenden Personen ermitteln zu können, damit auch diese bereits als personenbezogene Daten zu klassifizieren sind.
II. Wen treffen die Rechte und Pflichten der DSGVO?
Grundsätzlich sind nicht nur Shop-Betreiber betroffen, sondern jedes in der EU ansässige Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet.
III. Welche Pflichten treffen mich?
Unverändert gilt unter anderem: Daten dürfen nur in dem tatsächlich benötigten Umfang und zu dem vorgesehenen Zweck erhoben und verarbeitet werden. Weiterhin muss ein Datenschutzbeauftragter bestellt werden, sobald mehr als neun Mitarbeiter regelmäßig automatisierte Datenverarbeitungssysteme nutzen. Nach wie vor ist eine Datenschutzerklärung an entsprechender Stelle auf der Internetseite zu platzieren (siehe dazu unter IV).
Neu ist hingegen unter anderem: Nach Artikel 32 DSGVO müssen angemessene Maßnahmen getroffen werden, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei kann es sich z. B. um die Verschlüsselung der Daten oder die regelmäßige Überprüfung technischer Schutzmaßnahmen handeln, je nachdem, wie hoch das Risiko einer Verletzung der Rechte von Privatpersonen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung“ einzuschätzen ist. Neu ist auch, dass die Einhaltung dieser Sorgfaltspflichten gegenüber den zuständigen Aufsichtsbehörden auf Anforderung nachgewiesen werden muss.
IV. Wie hat eine Datenschutzerklärung auszusehen und wo wird sie platziert?
Welche Informationen in der Datenschutzerklärung enthalten sein müssen, ergibt sich aus Artikel 13 DSGVO. Unter anderem muss die Erklärung Namen und Kontaktdaten des Unternehmens und ggf. des Datenschutzbeauftragten, die Datenverarbeitungszwecke sowie die Rechtsgrundlage für die Verbreitung der Daten sowie weitere, teilweise an Bedingungen und Situationen gekoppelte Informationen, wie die Dauer der Speicherung oder das Bestehen eines Beschwerderechts enthalten. Bei Erstellung der Datenschutzerklärung sind viele verschiedene Umstände zu berücksichtigen, so beispielsweise, ob ihre Internetseite Cookies enthält, Ihre Angebote auf Facebook oder Twitter veröffentlicht werden, eine Verlinkung zu Google-Maps oder ähnlichen Diensten besteht. Aus diesem Grunde ist es dem BVfK nicht möglich, einheitliche „Musterdatenschutz-Erklärungen“ zu erstellen. Diese müssen für jeden Fall individuell erstellt und angepasst werden!
Die Frage, wo die Datenschutzerklärung zu platzieren ist, ist dagegen einfacher zu beantworten: So, dass der Benutzer jederzeit von jeglichem Bereich der Internetseite Zugriff hierauf hat. Es bietet sich also an, diese ähnlich dem Impressum am unteren Bildschirmrand außerhalb der eigentlichen Maske zu platzieren, um den Zugriff von jeder Unterrubrik aus zu gewährleisten.
V. Was passiert, wenn ich mich nicht an die gesetzlichen Anforderungen halte?
Die Kompetenz für die Verhängung von Sanktionen wurde den zuständigen Aufsichtsbehörden der EU-Mitgliedsstaaten zugewiesen. Diese sind bundeslandspezifisch, für NRW beispielsweise die Landesbeauftragte für Datenschutz und Informationsfreiheit. Diese verhängt im Falle eines sich aus Art. 83 DSGVO ergebenden Verstoßes entsprechende Geldbußen. Dabei ist eine umfangreiche Einzelfallabwägung vorzunehmen, unter anderem basierend auf Schwere und Dauer des Verstoßes.
Sanktionen der Aufsichtsbehörden dürften jedoch nicht die vorrangige Gefahr in diesem Zusammenhang sein. Vielmehr haben Unternehmen, die gegen die Vorschriften der DSGVO verstoßen, insbesondere bei einer nicht rechtskonformen Datenschutzerklärung, Abmahnungen von Wettbewerbern bzw. Wettbewerbsverbänden zu befürchten.
Anmerkung der BVfK-Rechtsabteilung
Um eines vorwegzunehmen: Die Datenschutzgrundverordnung ist ein komplexes Gesetz, das an eine Vielzahl von Einzelfällen unterschiedliche Anforderungen stellt, eine allgemeingültige Beratung ist deshalb nur eingeschränkt möglich.
In jedem Fall sollten Sie prüfen, ob in Ihrem Betrieb ein Datenschutzbeauftragter zu bestellen ist. Je nach Umfang und Risikograd der von Ihnen erhobenen und verarbeiteten Daten, sollten Sie frühzeitig entsprechende Sicherungs- und Archivierungsmaßnahmen einleiten und diese fortlaufend dokumentieren, um sie im Ernstfall vorlegen zu können und sich keiner Abmahngefahr bzw. drohenden Geldbußen auszusetzen.
Gerne steht die BVfK-Rechtsabteilung für Nachfragen zur Verfügung. Für komplexere Fragen und die Beratung bei der Erstellung von Datenschutzerklärungen und deren Umsetzung, stellen wir für Sie auch gerne den Kontakt zu unseren hierauf spezialisierten Kooperationsanwälten her.
Matthias Giebler
BVfK-Rechtsabteilung
-----------
Detaillierte Informationen erhalten betroffene BVfK-Mitglieder direkt bei der rechtsabteilung@bvfk.de
Zur kostenlosen (im Mitgliedsbeitrag enthaltenen) Ersteinschätzung geht´s hier:
>>> Anfrage-Ersteinschätzung
Wichtige Links zu den Informationen und Leistungen der BVfK-Rechtsabteilung:
>>> BVfK-Vertragsformulare
>>> Erfassungsbogen-BVfK-Schiedsstelle
>>> Liste der BVfK-Vertragsanwälte
>>> FAQs-BVfK-Rechtsfragen
>>> BVfK-Verbraucherinformation-zum-Kaufrecht