Datenschutzgrundverordnung – die wichtigsten Änderungen auf einen Blick

Das neue Datenschutzrecht bringt für Unternehmen, Online-Händler und Webseitenbetreiber eine ganze Reihe neuer Pflichten mit sich. Zähne bekommen die Regelungen mit einem scharfen Sanktionskatalog, der Unternehmen mit hohen Bußgeldzahlungen sanktionieren kann und Betroffenen Schadensersatzansprüche an die Hand gibt. Der Beitrag zeigt die wichtigsten Änderungen durch die DSGVO auf.

Im Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) europaweit in Kraft. Ziel des Gesetzgebers war die Realisierung eines in ganz Europa einheitlichen Datenschutzniveaus. Daraus resultieren eine Vielzahl von neuen Anforderungen und Regeln, die von Unternehmen umgesetzt werden müssen.

Datenschutz betrifft (fast) alle

Von den neuen datenschutzrechtlichen Pflichten angesprochen sind im Prinzip alle, die personenbezogene Daten verarbeiten und dabei nicht zu ausschließlich persönlichen oder familiären Anlässen handeln. Betroffen sind damit quasi alle Unternehmen, da ein Geschäftsbetrieb ohne die Verarbeitung personenbezogener Daten kaum denkbar ist. Unternehmen, die ihren Sitz oder eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an die DSGVO halten.

Aber auch jeder Webseitenbetreiber, der nicht eine rein private Seite betreibt, ist von der Datenschutzgrundverordnung angesprochen, denn schon durch den Betrieb einer Webseite fallen eine Vielzahl von personenbezogenen Daten an (z. B. IP-Adressen, Cookies, etc.).

Was sind personenbezogene Daten?

Doch was sind nach der DSGVO überhaupt „personenbezogene Daten“? Die Antwort gibt Art. 4 DSGVO: danach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei reicht es aus, dass die Möglichkeit besteht, anhand der vorhandenen Daten eine natürliche Person zu identifizieren. Zu personenbezogenen Daten gehören in jedem Fall der Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtstag, Kontodaten, IP-Adressen oder Cookies.

Im Übrigen liegen personenbezogene Daten auch dann vor, wenn die Daten anonymisiert werden. Ein Personenbezug wird nur dann verneint, wenn völlig ausgeschlossen ist, dass Daten einer bestimmten Person zugeordnet werden können.

Information, Transparenz, Dokumentation

Die drei Schlagworte Information, Transparenz, Dokumentation beschreiben sehr passend die wichtigsten Änderungen und zeigen zugleich die Grundsätze des neuen europäischen Datenschutzrechts auf.

So sollen Verbraucher grundsätzlich umfassend über die Erhebung ihrer Daten und ihren Rechten informiert werden. Dies betrifft sowohl die Datenschutzerklärung beim Besuch einer Webseite als auch Belehrungen bei Verträgen.

Verbraucher sollen auch darüber informiert werden, auf Basis welcher Rechtsgrundlage Daten verarbeitet werden. In der Praxis zeigt sich an dieser Stelle oft, dass bestimmte Datenverarbeitungen bislang ohne Rechtsgrundlage erfolgt und damit illegal sind. Die Ausarbeitung eines Verfahrensverzeichnis über alle Datenverarbeitungstätigkeiten ist nicht nur gesetzliche Pflicht, sondern hilft auch, bestimmte Prozesse und deren Ausgestaltung zu prüfen und ggf. datenschutzrechtlich anzupassen.

Weiterhin bestehen erhöhte Dokumentationspflichten. Derjenige, der Daten verarbeitet, muss grundsätzlich die Einhaltung der Datenschutzanforderungen dokumentieren und im Streitfall nachweisen können. Datenschutzbehörden können diese Dokumentationen und das Verfahrensverzeichnis anfordern.

Wichtigste Änderungen der DSGVO auf einen Blick

• Dokumentationspflichten und Datenschutzfolgeabschätzungen
• Pflicht zur Führung eines Verfahrensverzeichnisses für alle Unternehmen
• Gewährleistung von Datenportabilität
• Benennung eines Datenschutzbeauftragten ab einer gewissen Größe des Unternehmens
• Meldepflicht bei Datenpannen
• Neue Vorgaben für Datenschutzerklärungen auf Webseiten
• Neue Vorgaben für Einwilligungen
• „Recht auf Vergessenwerden“
• Neuregelung der Auftragsverarbeitung
• Neue Vorgaben für den Umgang mit Mitarbeiterdaten
• privacy by design und privacy by default
• Prinzip des „One-Stop-Shop“

Sanktionen, Bußgelder und Schadensersatz drohen

Bei Verstößen gegen die Datenschutzgrundverordnung drohen erhebliche und schwerwiegende Sanktionen. Die Datenschutzbehörden haben zu diesem Zweck neue Kompetenzen und Eingriffs- und Sanktionsbefugnisse erhalten. Zum einen betrifft dies die Möglichkeit, Bußgelder zu verhängen. Erste Bußgelder wurden auch in Deutschland bereits verhängt. Das höchste bisher bekanntgewordene Bußgeld beträgt 200.000 Euro – verhängt durch die Berliner Datenschutzbehörde gegen einen Online-Lieferdienst.

Unsere europäischen Nachbarn schöpfen den Bußgeldrahmen (bis zu 20 Mio. Euro bzw. 4 % des weltweiten Vorjahresumsatzes) noch weiter aus und verhängen Bußgelder in Millionenhöhe (z. B. 50 Mio. Euro gegen Google durch die französische Datenschutzbehörde oder 200 Mio. Euro gegen British Airways in Großbritannien). Auch die deutschen Behörden haben angekündigt, in Zukunft deutlich höhere Bußgelder festzusetzen. Hintergrund ist, dass nach dem Willen des Verordnungsgebers Bußgelder möglichst „abschreckend“ sein sollen. Das Instrument Bußgeld kann demnach nicht nur existenzbedrohend für das eigene Unternehmen sein, sondern auch zu einer persönlichen Haftung von Geschäftsführern, Vorständen und Managern führen.

Behörden können zum anderen Untersuchungen einleiten, Anordnungen erlassen und Verwarnungen aussprechen (Art. 58 DSGVO).

Eine weitere Gefahr bei Datenschutzverstößen lauert auf zivilrechtlicher Ebene, denn von einem Datenschutzverstoß betroffene Personen können Schadensersatz geltend machen. In Abkehr von der bisherigen deutschen Rechtsprechung soll nach dem Willen der DSGVO auch immaterieller Schadensersatz („Schmerzensgeld“) durchgesetzt werden können. Abschreckende Schadensersatzforderungen sollen dabei auch dazu führen, dass Unternehmen die DSGVO korrekt umsetzen und sich an die datenschutzrechtlichen Spielregeln halten.