Für wen gilt die DSGVO – und für wen nicht?
Die Europäischen Union regelt den Datenschutz nun einheitlich. Die neue Datenschutz-Grundverordnung gilt für alle Unternehmen und Selbstständigen, die personenbezogene Daten verarbeiten und die:
- eine Webseite betreiben, welche nicht rein privat ist,
- eine Datenschutzerklärung auf ihrer Webseite veröffentlicht haben,
- Newsletter verschicken,
- oder Google Analytics nutzen.
Selbst viele Blogger müssen darauf achten, dass sie ihre Seite DSGVO-konform gestalten. Website-Betreiber hingegen, die eine rein private Webseite unterhalten, auf der zum Beispiel Familienfotos zu sehen sind, müssen sich um die DSGVO keine Sorgen machen.
Was sind personenbezogene Daten?
Grundsätzlich sind damit alle Daten gemeint, die sich einer bestimmten Person zuordnen lassen. Dazu zählen Name, Anschrift und Telefonnummer. Aber auch IP-Adresse, Standortdaten, Cookies oder auch Merkmale wie Körpergröße, Haarfarbe oder der akademische Titel.
Die neue Datenschutz-Grundverordnung erweitert diese Definition noch (Artikel 4 Ziffer 1 DSGVO): Personenbezogene Daten sind hiernach "Angaben, die bei Zuordnung zu einer natürlichen Person, Einblicke in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität ermöglichen."
Neben den bereits aufgezählten personenbezogenen Daten definiert das Bundesdatenschutzgesetz noch eine Anzahl besonderer personenbezogener Daten. In diese Gruppe fallen viele persönliche Daten. Ethnische Herkunft, politische Meinung, Mitgliedschaft in einer Gewerkschaft und religiöse oder weltanschauliche Überzeugungen gehören dazu. Darüber hinaus fallen Angaben zur persönlichen Gesundheit sowie Angaben zur sexuellen Orientierung oder Sexualleben unter diese Definition personenbezogener Daten. Es geht also durchaus um das Erheben sensibler Daten.
Unter welchen Voraussetzungen ist die Verarbeitung personenbezogener Daten weiterhin erlaubt?
Nach der DSGVO gelten für Unternehmen und Betreiber von Webseiten in der Europäischen Union folgende Grundsätze:
- Sie dürfen personenbezogene Daten nur dann erheben, verarbeiten und speichern, wenn ausdrücklich eine Einwilligung erteilt ist. Dazu muss die betroffene Person eine Einwilligung erteilen, oder die Erlaubnis muss durch ein Gesetz gegeben sein – etwa das Telemediengesetz (TMG).
- Sie dürfen nur Daten speichern und verarbeiten, die sie tatsächlich brauchen. Daten, die nicht unmittelbar gebraucht werden, dürfen nur unter strengen Voraussetzungen erhoben werden. Welche genau das sind, legt die DSGVO fest.
- Die Daten dürfen nur für den Zweck genutzt werden, zudem sie erhoben wurden.
- Recht auf Vergessen: Die Person, über die Daten gespeichert sind, muss auf ihre Daten zugreifen können, wenn sie dies wünscht. Sie hat auch ein Recht darauf, dass ihre Daten auf ihren Wunsch hin umgehend gelöscht werden.
- Webseitenbetreiber und Unternehmen müssen personenbezogene Daten sicher aufbewahren und löschen, wenn sie sie nicht mehr benötigen.
Was passiert, wenn man die Regelungen missachtet?
Die Datenschutzbehörde der EU-Mitgliedsstaaten kontrolliert ab Mai 2018, ob die EU-DSGVO eingehalten wird. Entspricht die Verarbeitung der Daten in den Unternehmen nicht der neuen E-Privacy-Verordnung, weil ein Unternehmen beispielsweise keine Einwilligung einholt, droht ein Bußgeld. Das kann teuer werden: Im schlimmsten Fall beträgt es 20 Millionen Euro oder vier Prozent des Jahresumsatzes – je nachdem, was höher liegt.
Die Bußgelder der EU-Datenschutzbehörde sind das eine. Verstöße gegen die EU-DSGVO könnten jedoch noch weitere juristische Konsequenzen für Unternehmen haben. Gemäß Art. 82 Abs. 1 der neuen Datenschutzverordnung hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz. Und das gegen den Verantwortlichen des Verstoßes beziehungsweise des Auftragsverarbeiters.
Verstoß gegen DSGVO: Bußgeld und/oder Schadensersatzklagen möglich
Damit dieser Anspruch auf Schadensersatz besteht, müssen folgende Voraussetzungen erfüllt sein:
- Es liegt ein Verstoß gegen die Datenschutz-Grundverordnung DSGVO vor,
- durch den Verstoß ist der Person ein materieller oder immaterieller Schaden entstanden,
- Das Verschulden liegt bei dem Verantwortlichen oder dem Auftragverarbeiter.
Nach Art. 82 Abs. 1 DSGVO können auch immaterielle Schäden geltend gemacht werden, wenn zum Beispiel personenbezogene Daten Dritten zugänglich gemacht werden. Hierdurch muss kein direkter Vermögensschaden, also materieller Schaden entstanden sein. Auch bei immateriellem Schaden haben Geschädigte in der EU das Recht, Schmerzensgeld zu verlangen.
Wichtig für Unternehmen, Betreiber von Online-Shops und Webseiten-Betreiber: Die Nachweispflicht liegt in diesem Fall bei den Verantwortlichen, nicht bei der klagenden Person. Unternehmen und ihre Datenschutzbeauftragten müssen also im Zweifelsfall nachweisen, dass sie für den Umstand, durch den Schaden entstanden ist, nicht verantwortlich sind.
Sie betreiben eine Website oder leiten ein Unternehmen und sind sich nicht sicher, ob Ihr Angebot dem neuen Datenschutzrecht vollständig entspricht? Speziell auf Datenschutzrecht geschulte Anwältinnen und Anwälte helfen Ihnen dabei, Ihr Angebot sicher und rechtskonform zu gestalten. Über die Anwaltssuche auf Anwaltauskunft.de finden Sie schnell und einfach Experten im Datenschutz in Ihrer Nähe.
- Datum
- Autor
- red/dav