BDSG, DSGVO & E-Privacy Verordnung

In diesem Jahr wird die größte Änderung des Datenschutzrechts seit Jahrzehnten wirksam. Hier möchten wir Ihnen einen Überblick über die betroffenen Bereiche liefern. Zuallererst möchten wir jedoch Folgendes klarstellen:

Wir sind keine Juristen! Wir geben keinerlei juristische Empfehlungen. Wir empfehlen Ihnen ausschließlich, sich unbedingt mit ihrem Fachanwalt für Internetrecht zusammenzusetzen und mit diesem zu besprechen, was die Änderungen in Ihrem Unternehmen jeweils für Auswirkungen haben.

Alle nachfolgenden Informationen sind hauptsächlich eine Zusammenfassung des von der SC-Networks GmbH herausgegebenen Leitfadens “Jetzt auf die neue DSGVO vorbereiten” von 2017. Wir erheben keinen Anspruch auf Vollständigkeit und geben keine Garantie für die Richtigkeit aller weiter unten getroffenen Aussagen!

Zusammenfassung

Es handelt sich insgesamt um drei neue Verordnungen:

1. Das neue Bundesdatenschutzgesetz (BDSG)
2. Die Datenschutz-Grundverordnung (DSGVO)
3. Die E-Privacy Verordnung

Davon sind alle Unternehmen betroffen, die personenbezogene Daten erheben bzw. verarbeiten. Die wichtigsten Neuerungen sind grob gefasst folgende:

Bei Direktwerbung und Lead-Gewinnung muss eine direkte Einwilligung der Person eingeholt werden.

Es muss einen ausdrücklichen Hinweis auf das uneingeschränkte Widerspruchsrecht der Person geben.

Unternehmen müssen künftig umfassende Dokumentationen mit den Inhalten des Verzeichnisses aus Artikel 30 DSGVO führen.

Es muss künftig ein Datenschutzbeauftragter im Unternehmen bestimmt und dementsprechend ausgebildet oder extern bestellt werden, wenn mehr als 9 Personen regelmäßig mit automatisierter Datenverarbeitung oder mindestens 20 Personen mit nicht-automatisierter Datenverarbeitung zu tun haben.

Wenn das Unternehmen regelmäßig mit personenbezogenen Daten, die sensible Bereiche wie ethnische Herkunft, religiöse Überzeugung, Sexualität etc. betreffen oder personenbezogene Daten geschäftsmäßig genutzt werden, muss bei jeder Unternehmensgröße ein Datenschutzbeauftragter bestellt werden!

Das BDSG soll zusammen mit der DSGVO am 25.05.18 in Kraft treten. Wann die E-Privacy Verordnung wirksam wird, ist noch unklar.

Nach den von uns ausgewerteten Quellen ist die Rechtslage so:

Besondere Vorsicht ist bei der Direktwerbung geboten, da eine direkte Einwilligung der betroffenen Person nötig ist! Außerdem muss ausdrücklich (in einer von anderen Inhalten getrennten Form) auf das uneingeschränkte Widerspruchsrecht der Person hingewiesen werden.

Die Strafen bei Verstößen werden massiv angehoben – auf bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem welcher Betrag der Höhere ist! Die DSGVO führt außerdem einen Anspruch auf Schadenersatz für betroffene Personen ein.

Die Bewertung von personenbezogenen Daten hinsichtlich persönlicher Aspekte einer natürlichen Person wie z.B. Arbeitsleistung, wirtschaftliche Lage, Gesundheit und Interessen (Stichwort: Profiling) sind nur erlaubt, wenn

- Dies nach EU-Recht bzw. dem geltenden Recht des Mitgliedsstaates ausdrücklich
erlaubt ist.

- Es erforderlich für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist

- Die Person ausdrücklich eingewilligt hat

Was ist neu?

Einwilligung für Verarbeitung & Nutzung personenbezogener Daten

- Anforderungen wurden verschärft

- Einheitliches Mindestalter für Einwilligung: 16 Jahre (in Deutschland nach BGB weiterhin 18 Jahre)

Tipp: Formulieren Sie im Online-Formular eine Einwilligungserklärung mit einem Hinweis auf das Widerrufsrecht (z. B. „Ich möchte aktuelle Angebote und Informationen der Firma XY per E-Mail erhalten. Ich kann meine Einwilligung jederzeit widerrufen.“) und verbinden diese mit einer nicht vorab angeklickten Checkbox. Alt-Einwilligungen bleiben nur dann wirksam, wenn sie insbesondere bereits einen Hinweis auf das jederzeitige Widerrufsrecht enthielten!
Dokumentations- & Meldepflicht bei Datenschutzverletzungen

Unternehmen müssen künftig umfassende Dokumentationen mit den Inhalten des Verzeichnisses aus Artikel 30 DSGVO führen. Ausnahmen gelten lediglich für Firmen mit weniger als 250 Mitarbeitern, sofern die Verarbeitung personenbezogener Daten „nur gelegentlich“ erfolgt.

Verletzungen müssen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Betroffene Personen müssen unverzüglich informieret werden, falls ein hohes Risiko für die persönlichen Rechte und Freiheiten resultieren könnte.

Tipp: Hier finden Sie Hinweise und Mustervorlagen der Arbeitsgruppe der deutschen Aufsichtsbehörden, die hier abgerufen werden können:

Muster für Verzeichnisse gemäß Art. 30

Privacy by design & privacy by default

Privacy by Design: alle zumutbaren technischen und organisatorischen Maßnahmen müssen ergriffen werden, um die Grundsätze der Datensicherheit und Datensparsamkeit zu gewährleisten.

Privacy by Default: alle Voreinstellungen sind so vorzunehmen, dass möglichst wenig personenbezogene Daten (nur für den jeweiligen Zweck erforderliche) verarbeitet werden.

Extraterritorialität & Marktortprinzip

Der Geltungsbereich der DSGVO erstreckt sich auf alle Unternehmen, die Daten von EU-Bürgern verarbeiteten – auch wenn die Unternehmen nicht innerhalb der EU niedergelassen sind. Dies betrifft v.a. Google & Facebook!

Recht auf Vergessenwerden oder Löschung

Künftig haben „Betroffene“ das Recht, ihre Daten auch im Internet löschen zu lassen. Sie (als (Unternehmen) müssen dabei auch andere Unternehmen, die von Ihnen Adressen erhalten haben, von einem Löschungsbegehren der betroffenen Person informieren!

Es gibt keine Formanforderungen in Bezug auf die „Anträge“ der Betroffenen. Es können also auf allen Kanälen Anträge eingehen, die dann auch fristgerecht bearbeitet werden müssen!

Auftragsdatenverarbeitung wird zur Auftragsverarbeitung

Erleichterungen: die DSGVO sieht es nicht mehr vor, gesonderte und schriftliche Auftragsdatenverarbeitungsverträge zu schließen. Stattdessen reicht die elektronische Form – online per Mausklick und auch zusammen mit dem eigentlichen Auftrag – zu einem rechtskonformen Vertragsschluss aus.

Tipp: Ein erstes Muster für einen Auftragsverarbeitungsvertrag gibt es hier:

Vertragsmuster zur Auftragsverarbeitung

Was ändert sich speziell im E-Mail Marketing und Lead Management?

- Das Listendatenprivileg wurde abgeschafft.

- Neben dem Hinweis auf das Widerrufsrecht muss in der Einwilligungserklärung in jeder einzelnen E-Mail eine Abmeldemöglichkeit (Abmeldelink im Footer) integriert sein!

- Anstelle des Datenschutzbeauftragten muss die Unternehmensführung selbst ein Verzeichnis über alle Verarbeitungstätigkeiten führen. Darin enthalten sein müssen

  • Zweck der Datenverarbeitung
  • Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten
  • Angabe der Kategorien von Empfängern, gegenüber denen die Daten offengelegt wurden oder noch werden
  • Fristen zur Löschung der Daten
  • ggf. Datenübermittlung in Drittstaaten
  • Beschreibung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit
  • Der Betroffenen muss sowohl im Einwilligungstext als auch in der Datenschutzinformation über sein jederzeitiges Widerrufsrecht unterrichtet werden. (Double-Opt-in-Prozess)
  • Die DSGVO gilt auch für Pseudonomisierte Nutzerprofile (Nutzernamen, E-Mail Adressen…)
Personalisiertes Tracking des Nutzerverhaltens - Neue E-Privacy Verordnung

Jede Überwachung der elektronischen Kommunikation soll grundsätzlich verboten sein, es sei denn, sie ist über eine Ausnahmeregelung erlaubt.

Art. 8 E-Privacy-VO regelt dabei den Einsatz von Cookies, Webbeacons usw. und erlaubt ihren Einsatz, wenn sie „für die Messung des Webpublikums nötig“ ist, sofern der Betreiber des Dienstes die Messung selbst durchführt (First-Party-Cookies). Das ist jedoch etwa bei der Nutzung von Cloud-Diensten nicht der Fall, auch wenn die Messung letztlich nur im Rahmen einer Auftragsverarbeitung erfolgt (Third-Party-Cookies).

Cookies für Konfigurationszwecke und für die Warenkorbfunktion beim Online-Shopping sind somit zulässig, wenn eine Einwilligung des Nutzers vorliegt.

Außerdem ist vollkommen offen, ob auch Tracking im Lead Management unter die Ausnahme „Messung des Webpublikums“ fallen kann. Anderenfalls müsste tatsächlich jeweils die Einwilligung des Betroffenen eingeholt werden. Dies soll nach Art. 9 E-Privacy-VO zwar über „technisch mögliche und effektive“ Browser-Einstellungen möglich sein, allerdings ist noch vollkommen offen, wie diese auszusehen haben und wie sich insbesondere der Grundsatz des Privacy by Designs nach Art. 25 DSGVO darauf auswirkt.

Tipp: Wer ganz sichergehen will, holt zukünftig sowohl für das Anlegen und Führen von Nutzerprofilen, als auch für das Tracking die Einwilligung seiner Nutzer ein. Ob das Anlegen des Profils auf das berechtigte Interesse nach der DSGVO gestützt werden kann ist ebenso offen wie die Frage, ob Tracking künftig über die Ausnahmeregelung in der E-Privacy-VO zur Messung des Webpublikums als Opt-Out-Lösung ohne extra Einwilligung zulässig bleiben wird.