EU-Datenschutzgrundverordnung 2018

Verfasst von Christian Schebitz am 9. März 2018

Bild: fotolila, Copyright sebra

Mehr Schutz beim Kauf im Internet

Am 25. Mai 2018 ist es soweit: Ab diesem Stichtag muss die neue EU‑weite Datenschutzgrundverordung (DSGVO) in vollem Umfang angewendet werden und soll für ein weitestgehend einheitliches Datenschutzrecht in den zugehörigen Ländern sorgen. Sie löst die bisherige Richtlinie 95/46/EG aus dem Jahr 1995 ab und reagiert damit auf die umfangreichen Veränderungen, die sich in den letzten Jahren im digitalen Bereich ergeben haben. Bereits im Mai 2016 war die Verordnung in einer ersten Fassung in Kraft getreten.

Verbindlichkeit und Vereinbarkeit mit nationalem Recht

Anders als der Vorgänger von 1995 ist das neue Gesetz nun für alle Mitgliedsstaaten verbindlich und in seiner Form gültig. Die 99 unterschiedlichen Artikel müssen nicht jeweils in nationales Recht umgewandelt werden.

In manchen Fällen kann dies jedoch zu Unklarheiten führen, etwa bei der Informationsfreiheit oder beim Recht auf freie Meinungsäußerung, die mit den neuen Vorschriften zum Schutz personenbezogener Daten nicht immer vereinbar sind. Hier müssen die betroffenen Länder entsprechend nachbessern um beides in Einklang zu bringen. Allerdings bieten die über 40 allgemeinen und spezifischen Öffnungsklauseln einen nicht unerheblichen Gestaltungsspielraum für eigene Regelungen.

Dennoch hat das Unionsrecht laut Rechtsprechung des EuGH Anwendungsvorrang. Die einzelnen Länder sind deshalb verpflichtet, eine eindeutige Rechtslage herzustellen um ihren Verpflichtungen zur loyalen Zusammenarbeit (Art. 4 Abs. 3 EUV) nachzukommen.

Veränderungen für Händler und Verbraucher

Eine besondere Bedeutung spielt die DSGVO vor allem im Bereich des eCommerce oder Online-Handels. Sowohl auf Anbieterseite ergeben sich einige Änderungen und Verbesserungen, insbesondere werden jedoch die Verbraucherrechte in einigen Punkten gestärkt. Für die Händler bedeutet dies, dass sie in vielen Punkten Anpassungen bei ihren Online-Shops vornehmen müssen.

Werden die Vorgaben missachtet, können hohe Bußgelder drohen. Deshalb kann es sinnvoll sein, sich zu den Details rechtlich beraten zu lassen. Denn bestimmte Klauseln des bisherigen Bundesdatenschutzgesetzes (BDSG) verändern sich durch die neue Richtlinie gar nicht. So gilt es, sich genau zu informieren. Dann können die jeweiligen Regelungen, die den Handel betreffen berücksichtigt und bis Mai umgesetzt werden.

Gründe für eine EU-weit einheitliche Verordnung

Da die Märkte immer globaler zusammenwachsen ist es aus verbraucherrechtlicher Sicht notwendig geworden, auch beim Datenschutz für einheitliche Regelungen zu sorgen. Für viele gehört das Shoppen im Internet inzwischen zum Alltag und auch der Kauf bei einem ausländischen Anbieter keine Seltenheit mehr.

Im Gegensatz zu den hiesigen hohen Standards zur Sicherheit beim Online-Shopping im Allgemeinen, sollten bei Kaufportalen mit Sitz in anderen EU-Staaten einige Punkte beachtet werden. Dies betrifft nicht nur das Thema Datenschutz, sondern noch andere Aspekte wie etwa Ansprüche auf Gewährleistung oder eine Produktgarantie. Ersteres allerdings nicht immer zum Nachteil der deutschen Käufer: In Irland ist das Recht auf Gewährleistung mit einem Zeitraum von sechs Jahren deutlich umfangreicher festgelegt.

Nicht nur beim Datenschutz, es gibt auch bei der Mängelhaftung ab 2018 verschiedene Neuerungen, die vor allem das Handwerk betreffen. Hier sind allerdings nur Unternehmen mit Sitz in Deutschland betroffen. Das überarbeitete Gesetz (§ 439 Abs. 3 BGB) übernimmt damit allerdings die Rechtsprechung des EuGH und des BGH.

In manchen Ländern kommen zudem unterschiedliche Zollbestimmungen, Verbrauchs- oder Einfuhrumsatzsteuern zum Tragen.

Die Grundlagen der DSGVO

Nach wie vor sind bei der Datenschutzgrundverordung verschiedene zentrale Punkte berücksichtigt:

  • Datensparsamkeit
  • Rechtmäßigkeit
  • Richtigkeit
  • Vertraulichkeit
  • Integrität
  • Zweckbindung
  • Zeitliche Begrenzung bei der Speicherung
  • Rechenschaftspflicht

Ein neuer Schwerpunkt beim aktualisierten Gesetz betrifft die Transparenz. Wer Daten erhebt und verarbeitet – hier also der jeweilige Händler – muss künftig viel deutlicher kommunizieren, in welcher Weise die Informationen gespeichert oder auch weiterverarbeitet werden. Zudem müssen dem Verbraucher die Möglichkeiten zur Änderung oder Löschung unterbreitet werden. 

Die wichtigsten Punkte zur Informationspflicht und zum Auskunftsrecht

Das stillschweigende Einverständnis ist mit dem neuen Gesetz nur möglich, wenn es eindeutig ist. Der Verbraucher muss ansonsten in Zukunft durch einzelne Kontrollkästchen der Erhebung oder Weiterverarbeitung von Daten zustimmen können. Ihm wird zudem das Recht eingeräumt diese Zustimmung jederzeit und ohne Angabe von Gründen zu widerrufen. Dieser Vorgang muss ebenso leicht durchführbar gestaltet werden.

Der Verbraucher muss zudem klar zu verschiedenen Punkten bei einer Datenerhebung informiert werden:

  • Zweck der Erhebung beziehungsweise der Weiterverarbeitung, Rechtsgrundlage
  • Verantwortliche und Empfänger bei der Verarbeitung, gegebenenfalls Informationen zur Übermittlung an weitere Empfänger oder auch in Drittländer
  • Dauer der Speicherung
  • Rechte und Möglichkeiten zur Berichtigung oder dem Löschen von Daten, dem Einschränken der Verarbeitung, dem Widerspruch oder auch bei einer Beschwerde
  • Informationspflicht bei sogenannten Datenpannen oder Incidents innerhalb 72 Stunden

Der Verbraucher hat künftig das Recht eine Auskunft auch in elektronischer Form oder eine Kopie der Daten zu erhalten – insbesondere beim sogenannten Profiling. Hierunter fällt auch das Erstellen eines umfangreicheren Nutzerprofils aus den erhobenen Daten, etwa wenn unterschiedliche personenbezogenen Informationen gebündelt oder zusammengelegt werden und daraus ein Scorewert errechnet wird.

Umgang mit den Daten

Bislang existierte bereits ein Kopplungsverbot, das mit der DSGVO nochmals verschärft wurde. Somit darf das Zustandekommen eines Vertrags nicht mehr davon abhängig sein, ob der Verbraucher in die jeweilige Datenverarbeitung zustimmt. 

Datenverarbeitende Unternehmen, die im Rahmen eines Outsourcings beauftragt waren, hatten bisher keinen eigenen Entscheidungsspielraum. Es war nicht klar geregelt, wer im Falle eines Missbrauchs oder Verstoßes verantwortlich ist. Mit der neuen DSGVO ist dies durch die Bezeichnung des Auftragsdatenverarbeiters eindeutig festgelegt.  

Diese müssen in der Lage sein, den Schutz der Daten im Rahmen der Verordnung zu gewährleisten. Wichtige Neuerungen betreffen hier den Bereich der Dokumentation der gesamten Datenerhebung und -weiterverarbeitung. Auch der beauftragte Datenverarbeiter muss ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten erstellen und führen.

In bestimmten Fällen besteht für die Unternehmen die Pflicht, künftig einen Datenschutzbeauftragten zu benennen, der entsprechend qualifiziert sein muss.

Auch die Datenschutzfolgeabschätzung ist neu (Art. 35 DSGVO). Sie ähnelt der bisherigen Vorabkontrolle, des alten BDSG. Ist die Verarbeitung von Daten mit einem erhöhten Risiko für die Sicherheit oder den Rechten der Betroffenen verbunden, muss diese Einschätzung vorgenommen werden. Dies kann beispielsweise beim Einsatz neuartiger Technologien der Fall sein. Dabei müssen zunächst die Risiken geprüft und abgewägt werden, ob bislang vorhandene Sicherheitsmaßnahmen ausreichen, um den Schutz im Rahmen der DSGVO zu gewährleisten. Gegebenenfalls muss die zuständige Aufsichtsbehörde kontaktiert werden, die dann Empfehlungen aussprechen kann.

Höhere Strafen festgelegt

Wer künftig gegen die Regelungen der DSGVO verstößt muss mit höheren Strafen als bislang rechnen. Es sind Strafen von bis zu 20 Millionen Euro oder von vier Prozent des (weltweiten) Umsatzes des jeweiligen Unternehmens möglich. Ein entsprechender Haftungsausschluss in den AGB ist nicht mehr möglich – solche Angaben sind in Zukunft unwirksam.

Haftbar ist der Auftragsverarbeiter jedoch nur, wenn er selbst aufgrund einer Nichtbeachtung oder Pflichtverletzung für einen Schaden verantwortlich ist (Art. 82 Abs. 2 DSGVO). Kann er beweisen, dass er für einen Verstoß nicht verantwortlich ist, kann er von der Haftung befreit werden.

Besserer Verbraucherschutz beim Online-Kauf

Für Verbraucher bietet die neue Verordnung vor allem mehr Transparenz und Schutz der eigenen Daten. Die Händler und Anbieter müssen ihre Webseiten künftig so gestalten, dass Informationen zur Erhebung und Verarbeitung der Daten leicht zu finden sind und ausreichend und leicht verständlich Auskunft zu den geforderten Punkten der DSGVO geben. Einem Profiling kann nun leichter widersprochen werden.

Beruhigend ist, dass persönliche Informationen jetzt auch beim Shopping auf Portalen anderer EU-Staaten mit der entsprechenden Umsicht und Sicherheit behandelt werden. Was vielen jedoch häufig nicht klar war ist, dass auch bei einem Kauf im Inland die Verbraucherdaten oft an Auftragsdatenverarbeiter im Ausland übertragen wurden. Auch in diesem Fall sind die Informationen künftig besser geschützt.

Unternehmer in der Pflicht

Vor allem für kleinere Online-Shops können die neuen Verordnungen mit einem verhältnismäßig hohen Aufwand verbunden sein. Es gilt genau zu prüfen, welche Angebote und Abläufe davon betroffen sind und welche Maßnahmen ergriffen werden müssen, um die Regelungen einhalten und ausreichend Datenschutz gewährleisten zu können.

Für die ausführliche Dokumentation und das Führen eines Verzeichnisses der Verarbeitungstätigkeiten sollte ein umfangreiches Datenschutzmanagementsystem aufgebaut werden. Möglicherweise muss dafür eigenes Personal geschult werden. Für kleinere Unternehmen kann es eine günstigere Alternative sein, die Datenverarbeitung an ein externes Fachunternehmen auszulagern.

Beitrags-Navigation