Zur Navigation springen Zum Inhalt springen Zum Footer springen

Was Website-Betreiber über die neue Datenschutzgrundverordnung wissen sollten

(2)

Die Datenschutzgrundverordnung kommt. Sie liegt bereits vor, anwendbar wird sie ab 25.05.2018. Sie ersetzt die bisherigen Regelungen des deutschen Telemediengesetzes, was die Datenschutzfragen angeht. Dann gilt sie aber auch – ohne weitere Übergangsfrist! Das bedeutet: Bis dahin muss alles an die neuen Regelungen angepasst sein.

Allerdings stellt man einen Blick in das Regelwerk fest, dass es gar keine konkreten Regelungen zu Websites, Verknüpfungen zu Social Media oder allgemein nicht zu konkreten Fragen des Internetrechts gibt. Vielmehr bleibt die Datenschutzgrundverordnung auf einem eher allgemeinen, abstrakten Level.

Das bedeutet aber natürlich nicht, dass man die Regelung als „abstraktes europäisches Zeug“ ignorieren könnte. Denn mit der Datenschutzgrundverordnung ist für Unternehmen ein großes Haftungsrisiko verbunden: Die Bußgelder wurden im Vergleich zu bisherigen gesetzlichen Regelung versechzigfacht, und es gibt in der neuen Datenschutzgrundverordnung Sanktionierungsmöglichkeiten auch für Themen und Vorgaben, die bisher kaum sanktioniert waren. Darüber hinaus sind die Datenschutzbehörden zur Umsetzung der Verordnung und Sanktionierung verpflichtet, dementsprechend wird bereits über eine Aufstockung des Personals bei den Aufsichtsbehörden berichtet. Das betrifft Webseitenbetreiber natürlich besonders, da mit Suchfunktionen Datenschutz-Verstöße gut ermittelbar sind, und einige Landesdatenschutzbehörden über Spezialsoftware zu eben diesem Zweck verfügen.

Die Datenschutzbehörden haben bereits durchblicken lassen, dass mit deutlich höheren Bußgelder und mehr Verfahren (aufgrund häufigerer Prüfungen) zu rechnen ist. Außerdem können durch die öffentliche Diskussion sensibilisierte unzufriedene Mitarbeiter, Kunden oder potenzielle Kunden die Datenschutzbehörde einschalten. Theoretisch sind auch Ermittlungen und Berichte der Presse denkbar.

Nach den bisherigen Regelungen ist gemäß § 43 BDSG ein Bußgeld von bis zu 300.000,00 EUR pro Einzelfall möglich, und es gibt strafrechtliche Sanktionen gem. § 44 BDSG. Nach der DSGVO gilt nun: Die maximale Geldbuße beträgt bis 20 Mio. Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Es gilt der Jahresumsatz des gesamten Konzerns („großes Bußgeld“, für einige Verstöße ist ein „kleiner Bußgeldrahmen“ festgelegt: bis 10 Mio. Euro oder 2 % des Konzernjahresumsatzes). Als weitere Sanktionen drohen Gewinnabschöpfung, Anordnung zur Beendigung des Verstoßes, zeitlich begrenztes oder endgültiges Verbot der Datenverarbeitung. Schon deshalb: Nehmen Sie das Thema ernst!

Als Bemessungskriterien für die Höhe des Bußgelds spielen neben Art, Schwere und Dauer des Verstoßes auch der Vorsatz bzw. Fahrlässigkeit und die getroffenen Maßnahmen zur Minderung des entstandenen Schadens eine Rolle. Wichtig sind aber auch der Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen. Auch unter diesem Aspekt besteht daher Handlungsbedarf, um sich bestmöglich vorzubereiten oder bei Verstößen entsprechend milder belangt zu werden, da man als Unternehmen zumindest erforderliche Maßnahmen ermittelt, getroffen und dokumentiert hat. Hieraus folgt die Notwendigkeit, Datenbestand, Datenflüsse und Datenverarbeitungsprozesse vollständig zu ermitteln, zu dokumentieren und anzupassen. Auch und besonders mit Bezug auf die Website, etwa Datenerhebung und Datenflüsse, Datenschutzerklärung und eventuellem E-Mail-Marketing oder Trackern bzw. Analysesoftware.

Folgende wichtige Anforderungen stellt die Datenschutzgrundverordnung auf. Hierbei handelt es sich um zentrale Anforderungen, die Aufstellung ist nicht erschöpfend:

  • Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen sicherstellen
  • Verzeichnis von Verarbeitungstätigkeiten erstellen; hier müssen umfangreiche Informationen über die (jeweils konkreten) Verarbeitungen von Daten zusammengestellt werden, insbesondere Zweck, Kategorien von betroffenen Personen, personenbezogenen Daten, Empfängern, Löschungsfristen und technischen und organisatorischen Maßnahmen, Empfängern, Übermittlung an Drittländer. Natürlich auch für alles, was mit der Website zu tun hat.
  • Regelungen zu Informationspflichten gegenüber dem Betroffenen wurden deutlich erweitert, darüber hinaus wird in vielen Erwägungsgründen der DSGVO eine „faire und transparente Verarbeitung“ gefordert. Werden personenbezogene Daten erhoben, müssen den Betroffenen verschiedene Informationen mitgeteilt werden – und zwar unabhängig davon, ob die Daten beim Betroffenen selbst oder in anderer Weise erhoben werden.
  • Kooperationspflicht, wenn die Aufsichtsbehörde dies verlangt
  • Notwendigkeit von Datenschutz-Folgenabschätzungen, wenn eine Verarbeitung wahrscheinlich ein hohes Risiko verursacht (neue Technologien, aufgrund des Wesens, Umfangs, Kontextes oder der Zwecke) muss eine solche Abschätzung erfolgen. Wenn ein hohes Risiko ermittelt wird, ist die Behörde zu informieren, bei einigen Aktionen muss die Behörde auch vorher eingebunden werden. Hierzu wird es eine Positiv-/Negativ-Liste zu Technologien geben, wann die Behörde wie zu informieren ist. Hier muss sichergestellt sein, dass derartige Prozesse sofort identifiziert und die Meldung veranlasst wird, ein Datenschutzbeauftragter ist einzubeziehen, ggf. ist auch der Betroffene miteinzubeziehen.
  • Meldepflicht bei „Data Breach“: Verletzungen des Schutzes personenbezogener Daten müssen an die Aufsichtsbehörde gemeldet werden, es sei denn, dass ein Risiko für Rechte und Freiheiten unwahrscheinlich ist. Data Breaches können sein: Hackerangriff, Verlust eines USB-Sticks, Diebstahl eines Smartphones oder unbefugtes Weitergeben von Daten durch Mitarbeiter. Versehentliche Einsehbarkeit von gesammelten E-Mail-Adressen. Unverzügliche Meldung (ohne schuldhaftes Zögern!) bedeutet idealerweise sofortige Information binnen 24 Stunden. Vollständige Meldung muss dann binnen höchstens 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Grundsätzlich besteht auch die Pflicht, den Betroffenen zu benachrichtigen, es sei denn, dass kein hohes Risiko besteht. Wenn also etwas schiefgegangen ist, herrscht sofort Alarmstufe Rot!

Um die Anforderungen zu erfüllen und auch die Nachweispflicht gegenüber den Behörden sicherzustellen ist es empfehlenswert, ein Datenschutzmanagementsystem einzuführen. Dieses muss, auch wenn Sie als „Einzelkämpfer” unterwegs sind, folgende Punkte mindestens abdecken:

  • Sicherstellung des Schutzes der personenbezogenen Daten
  • Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten sicherstellen
  • Erstellung und Pflege eines Verzeichnisses aller Verarbeitungstätigkeiten, Sie müssen also alle Tools und Systeme auflisten, die personenbezogene Daten speichern, und dokumentieren, wie die Datenflüsse laufen, was also genau mit den jeweiligen Daten passiert.
  • Datenschutzfolgenabschätzung für alle relevanten Prozesse, auch künftig hinzukommende Risiken und mögliche Probleme bei der Datenverarbeitung müssen erkannt und bewertet werden
  • Prozesse zur Information der Betroffenen bei Datenerhebung definieren, Einwilligungserklärungen neu fassen, auch sämtliche bestehende Einwilligungen sind zu prüfen, da diese nur fortgelten, wenn sie bereits die Vorgaben der DSGVO erfüllen.
  • Technische und organisatorische Maßnahmen zum Datenschutz: Sie müssen interne Strategien festlegen und Maßnahmen treffen, die den Datenschutz sicherstellen. Hierzu müssen alle Prozesse geprüft und ggf. angepasst werden (z. B. Minimierung der Verarbeitung personenbezogener Daten, raschestmögliche Pseudonymisierung,
  • Transparenz bei Funktion und Verarbeitung personenbezogener Daten, Überwachungsmöglichkeiten für betroffene Personen, Schaffung und Verbesserung von Sicherungsfunktionen)
  • Überarbeitung der Datenschutzerklärungen der Homepage: Präzise, transparente, verständliche, klare und einfache Sprache
  • Jedenfalls bei Unternehmen, die über einen Solo-Selbständigen hinausgehen: Erstellung einer Datenschutzrichtlinie für das Unternehmen. Diese muss Fälle definieren, in denen die Mitarbeiter den Datenschutzbeauftragten anzusprechen und einzubinden haben (regelmäßig: Beschwerden von Betroffenen (Mitarbeiter, Kunden), Einführung eines neuen Tools/Systems, Einsatz eines neuen Dienstleisters, Werbemaßnahmen (z. B. Versand von Newslettern), Onlinemarketingmaßnahmen, Tracking-Tools, etc.). Die Richtlinie muss tatsächlich umgesetzt werden, und Sie sollten dokumentieren, wie Sie das sicherstellen. Außerdem müssen Mitarbeiter geschult und für das Thema sensibilisiert werden.
  • Einbindung des Datenschutzbeauftragten (falls bestellt)
  • Lösch- und Sperrkonzepte für personenbezogene Daten sind verpflichtend („Recht auf Vergessenwerden“). Wenn Sie Daten an Dritte weitergegeben oder veröffentlicht haben, müssen Sie die Löschungsanfrage eines Betroffenen weitergeben oder wenn Sie es ohne Zustimmung des Betroffenen getan haben, sogar die Löschung für den Betroffenen durchsetzen.
  • Umfassende Nachweispflichten: Nicht nur Vorschriften einhalten, sondern dies auch nachweisen können! Daher muss durch das Datenschutzmanagement sichergestellt werden, dass sämtliche Maßnahmen auch dokumentiert werden und die Dokumentationen für Dritte (Behörde) nachvollziehbar sind. Ist ein Nachweis nicht möglich, drohen Bußgelder, Schadenersatzansprüche und weitere Nachteile.

Um diese vielfältigen Anforderungen umzusetzen und auch Änderungen im Blick zu behalten, ist es wichtig, dass jemand die Verantwortung hierfür übernimmt und sich auch darum kümmert, dass die Website datenschutzrechtskonforme ist und die dort erhobenen Daten entsprechend behandelt werden. Wenn Sie Ihr Unternehmen alleine betreiben, wissen Sie, der diese zusätzliche Aufgabe nun auch noch übernimmt. Sind in einem etwas größeren Unternehmen tätig, ist es wichtig, dass ein konkreter Ansprechpartner dies erledigt und auch mit einem eventuell bestellten Datenschutzbeauftragten koordiniert.Denn dieser ist nicht dafür zuständig, sich eigenverantwortlich um die Angelegenheit zu kümmern!

Das Risiko bei Datenschutzverstößen steigt also drastisch: neben sechzigfach erhöhten Bußgeldern und einem erweiterten Kreis an Abmahnern fallen besonders die umfangreichen Dokumentations- und Organisationspflichten auf. Hier heißt es auch für Websitebetreiber: Datenschutz-Management einrichten, auf das Datenschutz-Management des Gesamtunternehmens abstimmen, und dokumentieren, dokumentieren, dokumentieren!


Rechtstipp vom 27.12.2016
aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.