Anwältin/Anwalt finden!

Merkzettel

Es befinden sich noch keine Anwälte in Ihrer Merkliste.

Datenschutz

DSGVO: Was Sie über den neuen Daten­schutz wissen müssen

DSGVO - worauf müssen Unternehmen und Webseiten-Betreiber achten?
DSGVO - worauf müssen Unternehmen und Webseiten-Betreiber achten?

Die Europäische Daten­schutz-Grund­ver­ordnung, kurz DSGVO, tritt im Mai 2018 endgültig Kraft. Besonders für Unter­nehmen bringt sie zahlreiche Änderungen mit sich. Aber was muss von den Daten­schutz­be­auf­tragten umgesetzt werden, bevor Bußgelder drohen? Für wen ist die neue DSGVO überhaupt relevant? Das Recht­sportal Anwaltaus­kunft.de beant­worten die fünf wichtigsten Fragen rund um die Daten­schutz­reform des Europäischen Parla­ments. Der Entwurf dafür kam von der EU-Kommission.

Für wen gilt die DSGVO – und für wen nicht?

Die Europäischen Union regelt den Daten­schutz nun einheitlich. Die neue Daten­schutz-Grund­ver­ordnung gilt für alle Unter­nehmen und Selbstständigen, die perso­nen­be­zogene Daten verar­beiten und die:

  • eine Webseite betreiben, welche nicht rein privat ist,
  • eine Datenschutzerklärung auf ihrer Webseite veröffentlicht haben,
  • Newsletter verschicken,
  • oder Google Analytics nutzen.

Selbst viele Blogger müssen darauf achten, dass sie ihre Seite DSGVO-konform gestalten. Website-Betreiber hingegen, die eine rein private Webseite unter­halten, auf der zum Beispiel Famili­en­fotos zu sehen sind, müssen sich um die DSGVO keine Sorgen machen.

Bis wann müssen die neuen Regelungen der Daten­schutz-Grund­ver­ordnung umgesetzt sein?

Eigentlich ist ist die Europäische Daten­schutz-Grund­ver­ordnung bereits seit dem 25. Mai 2016 in Kraft. Aber erst zwei Jahre später, am 25. Mai 2018, endet die Phase des Übergangs. Dann wird die DSGVO überall gelten und für alle verpflichtend sein. Bis dahin müssen Unter­nehmen und Selbstständige ihre Verar­beitung perso­nen­be­zo­gener Daten den neuen Regeln der Daten­schutz-Grund­ver­ordnung anpassen.

Was sind perso­nen­be­zogene Daten?

Grundsätzlich sind damit alle Daten gemeint, die sich einer bestimmten Person zuordnen lassen. Dazu zählen Name, Anschrift und Telefon­nummer. Aber auch IP-Adresse, Stand­ort­daten, Cookies oder auch Merkmale wie Körpergröße, Haarfarbe oder der akade­mische Titel.

Die neue Daten­schutz-Grund­ver­ordnung erweitert diese Definition noch (Artikel 4 Ziffer 1 DSGVO): Perso­nen­be­zogene Daten sind hiernach "Angaben, die bei Zuordnung zu einer natürlichen Person, Einblicke in deren physische, physio­lo­gische, genetische, psychische, wirtschaft­liche, kultu­relle oder soziale Identität ermöglichen."

Neben den bereits aufgezählten perso­nen­be­zo­genen Daten definiert das Bundes­da­ten­schutz­gesetz noch eine Anzahl beson­derer perso­nen­be­zo­gener Daten. In diese Gruppe fallen viele persönliche Daten. Ethnische Herkunft, politische Meinung, Mitglied­schaft in einer Gewerk­schaft und religiöse oder weltan­schau­liche Überzeu­gungen gehören dazu. Darüber hinaus fallen Angaben zur persönlichen Gesundheit sowie Angaben zur sexuellen Orien­tierung oder Sexual­leben unter diese Definition perso­nen­be­zo­gener Daten. Es geht also durchaus um das Erheben sensibler Daten.

Unter welchen Voraus­set­zungen ist die Verar­beitung perso­nen­be­zo­gener Daten weiterhin erlaubt?

Nach der DSGVO gelten für Unter­nehmen und Betreiber von Webseiten in der Europäischen Union folgende Grundsätze:

  • Sie dürfen personenbezogene Daten nur dann erheben, verarbeiten und speichern, wenn ausdrücklich eine Einwilligung erteilt ist. Dazu muss die betroffene Person eine Einwilligung erteilen, oder die Erlaubnis muss durch ein Gesetz gegeben sein – etwa das Telemediengesetz (TMG).
  • Sie dürfen nur Daten speichern und verarbeiten, die sie tatsächlich brauchen. Daten, die nicht unmittelbar gebraucht werden, dürfen nur unter strengen Voraussetzungen erhoben werden. Welche genau das sind, legt die DSGVO fest.
  • Die Daten dürfen nur für den Zweck genutzt werden, zudem sie erhoben wurden.
  • Recht auf Vergessen: Die Person, über die Daten gespeichert sind, muss auf ihre Daten zugreifen können, wenn sie dies wünscht. Sie hat auch ein Recht darauf, dass ihre Daten auf ihren Wunsch hin umgehend gelöscht werden.
  • Webseitenbetreiber und Unternehmen müssen personenbezogene Daten sicher aufbewahren und löschen, wenn sie sie nicht mehr benötigen.

Was passiert, wenn man die Regelungen missachtet?

Die Daten­schutzbehörde der EU-Mitglieds­staaten kontrol­liert ab Mai 2018, ob die EU-DSGVO einge­halten wird. Entspricht die Verar­beitung der Daten in den Unter­nehmen nicht der neuen E-Privacy-Verordnung, weil ein Unter­nehmen beispiels­weise keine Einwil­ligung einholt, droht ein Bußgeld. Das kann teuer werden: Im schlimmsten Fall beträgt es 20 Millionen Euro oder vier Prozent des Jahres­um­satzes – je nachdem, was höher liegt.

Die Bußgelder der EU-Daten­schutzbehörde sind das eine. Verstöße gegen die EU-DSGVO könnten jedoch noch weitere juris­tische Konse­quenzen für Unter­nehmen haben. Gemäß Art. 82 Abs. 1 der neuen Daten­schutz­ver­ordnung hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materi­ellen oder immate­ri­ellen Schaden erleidet, einen Anspruch auf Schadensersatz. Und das gegen den Verant­wort­lichen des Verstoßes bezie­hungs­weise des Auftrags­ver­ar­beiters.

Verstoß gegen DSGVO: Bußgeld und/oder Schadenser­satz­klagen möglich

Damit dieser Anspruch auf Schadensersatz besteht, müssen folgende Voraus­set­zungen erfüllt sein:

  • Es liegt ein Verstoß gegen die Datenschutz-Grundverordnung DSGVO vor,
  • durch den Verstoß ist der Person ein materieller oder immaterieller Schaden entstanden,
  • Das Verschulden liegt bei dem Verantwortlichen oder dem Auftragverarbeiter.

Nach Art. 82 Abs. 1 DSGVO können auch immaterielle Schäden geltend gemacht werden, wenn zum Beispiel personenbezogene Daten Dritten zugänglich gemacht werden. Hierdurch muss kein direkter Vermögensschaden, also materieller Schaden entstanden sein. Auch bei immateriellem Schaden haben Geschädigte in der EU das Recht, Schmerzensgeld zu verlangen.

Wichtig für Unternehmen, Betreiber von Online-Shops und Webseiten-Betreiber: Die Nachweispflicht liegt in diesem Fall bei den Verantwortlichen, nicht bei der klagenden Person. Unternehmen und ihre Datenschutzbeauftragten müssen also im Zweifelsfall nachweisen, dass sie für den Umstand, durch den Schaden entstanden ist, nicht verantwortlich sind.

Sie betreiben eine Website oder leiten ein Unternehmen und sind sich nicht sicher, ob Ihr Angebot dem neuen Datenschutzrecht vollständig entspricht? Speziell auf Datenschutzrecht geschulte Anwältinnen und Anwälte helfen Ihnen dabei, Ihr Angebot sicher und rechtskonform zu gestalten. Über die Anwaltssuche auf Anwaltauskunft.de finden Sie schnell und einfach Experten im Datenschutz in Ihrer Nähe.

 

 

Themen
Datenschutz

Zurück

Anwältin/Anwalt finden!

Merkzettel

Es befinden sich noch keine Anwälte in Ihrer Merkliste.

Mobilität
Sünden am Steuer: So verlieren Sie schnell Ihren Führerschein
Gesellschaft
DSGVO: Was Sie über den neuen Datenschutz wissen müssen
Wohnen
Wann ein befristeter Mietvertrag gültig ist
Beruf
Gehaltsverhandlung: Das sollten Arbeitnehmer wissen
Leben
Witwenrente und Witwerrente – was Sie wissen müssen
zur
Startseite