Aktuelles

DSGVO aktuell – Ein Update zur Datenschutz-Grundverordnung

DSGVO Datenschutzgrundverordnung Aktuell Checkliste

Mai 2018! Schon fast zwei Jahren sind seit der Einführung der DSGVO vergangen. Dieses Ereignis hat damals besonders bei kleinen und mittelständischen Unternehmen zu großer Unsicherheit und Unklarheit geführt.

Kurz zur Erinnerung: In der Frühphase der DSGVO-Einführung wurde es intensiv diskutiert: U. a. wen diese neue Verordnung genau betraf, wer sich mit dieser auseinandersetzen sollte und, insbesondere, was die Unternehmen zur Erfüllung der fraglichen Verpflichtungen in der Praxis umsetzen sollten. Als Vorbereitungshilfe hatten wir kurz vor dem Inkrafttreten mit besonderem Fokus auf die Website-bezogenen Pflichten diese Fragen schon beantwortet.

Viele Unternehmer reagierten 2018 nicht rechtzeitig: bei der Einführung passten nur 24% der Unternehmen die eigenen internen Prozesse vollständig an bzw. unternahmen die relevanten Aktionen1. Wahrscheinliche Gründe dafür waren die von den Unternehmern gespürten Herausforderungen wie z. B. die mangelnde externe Umsetzungshilfe bzw. Unterstützung im Unternehmen, die Rechtsunsicherheit, der schwer abzuschätzende Umsetzungsaufwand, die technischen Aspekte der Umsetzung, usw.2 Die Ängste waren nicht unbegründet: Schon vier Monaten nach der Einführung hat sich der Aufwand größer als erwartet erwiesen3 und 2019 fürchteten viele Unternehmer, dass sich die DSGVO auf ihren Umsatz negativ (33%) auswirken würde4.

WAS HAT SICH SEIT DER EINFÜHRUNG DER DSGVO GEÄNDERT?

Die Datenschutz-Grundverordnung verursachte nach ihrem Inkrafttreten die Änderung bzw. Anpassung einiger deutschen Gesetze wie z. B. das BDSG – Bundesdatenschutzgesetz oder das TMG. Außerdem wurde die damit bezogene Rechtssprechung anhand zahlreicher Meinungen und Gerichtsurteile angereichert. Ein weites und komplexes Thema, zu dem wir die wichtigsten Neuigkeiten zusammenzufassen möchten:

  • Unternehmen sind jetzt erst ab 20 Mitarbeiter verpflichtet (früher ab 10), einen Datenschutzbeauftragten zu benennen. Es wird darüber gestritten, ob dies wirklich ein Vorteil für KMUs ist: Die DSGVO-abhängigen Pflichten bleiben in der Tat bestehen und eine rechtliche Unterstützung ist mit höchster Wahrscheinlichkeit für die meisten noch immer notwendig.
  • Einwilligungen zur Verarbeitung von personenbezogenen Daten sind ab jetzt auch im reinen elektronischen Format gültig. Kurz gesagt: Papierformate und Unterschriften sind nicht mehr zwingend notwendig. Sollte man z. B. eine Einwilligung in schriftlicher Form per E-Mail erhalten haben, ist diese ab jetzt rechtsgültig.
  • 2020 soll die ePrivacy-Verordnung, kurz ePVO, in Kraft treten. Diese wird die Datenverarbeitung im Internet restriktiver regeln, um die personenbezogenen und nicht-personenbezogenen Daten von natürlichen und juristischen Personen besser zu schützen. Wie es sich auf Unternehmen auswirken wird, kann man derzeit nur grob vorsehen. Mit Sicherheit wird die Nutzung von Cookies sowie das Tracking und die Verwendung von sämtlichen Nutzerinformationen noch stärker reglementiert. Eine Opt-In-Option wird sehr wahrscheinlich bei Website-Besuchen zum Standard: Bis jetzt ruhte die Last des Opt-Outs auf den Schultern der Nutzer, zukünftig soll das nicht mehr der Fall sein. Es wird außerdem das Recht auf “Vergessenwerden” entstehen: Das heißt, Nutzer dürfen demnächst nicht nur das Unterbrechen der Daten-Aufnahmen, sondern auch die Löschung der bisherig gespeicherten Daten beanspruchen.
  • Da die DSGVO keine deutlichen Vorgaben zur Kalkulation der Bußgelder bei Verstößen beinhaltet, haben sich alle Datenschutzbehörden der Bundesländer auf ein einheitliches Konzept geeinigt. Laut diesem soll die Ermittlung der Strafen u. a. die Größe der Firma, den Jahresumsatz, Art und Schwere der Ordnungswidrigkeit, Rückfälligkeit, Feststellung von Schuld bzw. Absicht, usw. berücksichtigen.

WURDE DIE DSGVO DURCHGESETZT?

Bislang wurden Bußgelder in unterschiedlichen Höhen in ganz Europa verhängt:

  • In Italien haben die Datenschutzbehörden mit einer Strafe in Höhe von 2 Mio. € eine Telemarketing-Firma geahndet. Der Firma, die ein Call-Center zur Akquise von Neukunden beauftragt hatte, lag keine von den Angerufenen erteilte Einwilligung vor.5
  • In Frankreich haben die Behörden Google bestraft: 50 Mio. € wegen fehlender Transparenz. Außerdem wurde eine andere Firma wegen illegaler Videoüberwachung der Mitarbeiter mit 20.000 € Bußgeld belangt.6 Man sollte sich in dem Fall von der Höhe der Strafgebühr nicht täuschen lassen: Grund dafür ist die Größe der Firma, die nur 9 Mitarbeiter beschäftigte.7
  • In Spanien wurde ein Bußgeld in Höhe von 30.000 € wegen eines nicht ausreichenden Cookie-Hinweises gegen eine Fluglinie verhängt.8

Auch in Deutschland wurden viele Fälle registriert, u. a.:

  • Deutsche Wohnen wurde wegen der unerlaubten Speicherung der Mieterdaten mit 14,5 Mio. € Strafe belangt.9
  • Gegen die Lieferfirma Delivery Hero wurden 200.000 € Bußgeld verhängt. Diese hätte laut Behörden u. a. bis 10 Jahre nach der letzten Transaktion Daten von ehemaligen Kunden nicht gelöscht.10
  • Eine kleine Klinik musste 20.000 € zahlen, weil aus Versehen ein Schwerbehindertenausweis dem falschen Patienten ausgehändigt wurde.11 Gegen eine weitere Klinik wurden 105.000 € verhängt, da diese dreimal gegen die DSGVO verstieß (es wurden “strukturelle technische und organisatorische Defizite beim Patientenmanagement“ festgestellt).12

Streaming-Dienstleister, Banken, Online-Shops, KMUs und sogar die Feuerwehr wurden aus unterschiedlichen Gründen zu einer Geldstrafe verurteilt. Die Liste ist lang: seit Einführung der DSGVO wurden über 850 Verstöße gemeldet.14

KLEINE DSGVO CHECKLISTE

Die DSGVO und die damit verbundenen nationalen Gesetze sind sehr umfassend. Deshalb empfehlen wir einen Datenschutz-Experten zu beauftragen und zumindest diese wichtigen Punkte sofort zu berücksichtigen:

  • Auf allen Websites ist eine für die eigene Zielgruppe verständliche und konforme Datenschutzerklärung erforderlich. Ist die Website mehrsprachig, dann müssen alle rechtlich relevanten Informationen auch in allen Sprachen verfasst werden.
  • Die Website muss auch mit einem SSL-Zertifikat zur Verschlüsselung der übertragenen Informationen ausgestattet werden.
  • Eine schnell zugängliche Ausstiegsoption für Cookies, Pixels, Tags usw. muss für jeden Besucher vorhanden sein. Das Thema “Google Analytics” bedarf in diesem Zusammenhang besonderer Aufmerksamkeit: eine klare Opt-Out-Klausel muss dem Website-Besucher auch im Datenschutzerklärung-Bereich unmittelbar zugänglich gemacht werden und die Besucher-IP-Adressen müssen anonymisiert werden. Wichtig: Soll eine Website mit einem Analytics-Konto verknüpft werden, ist ein Auftragsdatenverarbeitungsvertrag mit Google erforderlich.
  • Alle Kontakt- bzw. Anmelde-Formulare sollten eine Checkbox zur Datenverarbeitungszustimmung und einen angehängten Einwilligungstext vorsehen. Das Ankreuzen dieser Checkbox soll die Voraussetzung zur Übersendung der Daten sein. Das heißt, die Formulare sollten deaktiviert bleiben, solange die Check-Box nicht abgehakt wird. Der Einwilligungstext muss den Website-Besuchern detailliert erklären, wofür ihre Daten verwendet bzw. gespeichert werden. Sollten die Daten zum Versand von Werbeinformationen verwendet werden, dann ist es empfehlenswert auch die Häufigkeit der Informationszusendung zu erwähnen.
  • Newsletter-Anmeldungen sollen nur über ein Double-Opt-In-Verfahren erfolgen. In jeder E-Mail soll eine Abmeldefunktion bzw. ein Abmeldelink vorhanden sein. Es soll besonders in diesem Zusammenhang das Kopplungsverbot beachtet werden: es ist gesetzlich nicht erlaubt, gegen die Lieferung einer Dienstleistung oder eines Services Nutzerdaten zu fordern.
  • Ist das eigene Unternehmen in den Social-Networks präsent bzw. besitzt diese ein Firmenprofil, auf welcher Produkte oder Dienstleistungen angeboten werden, müssen ein vollständiges Impressum und die Datenschutzerklärung bzw. ein Link zu dieser vorhanden sein.
  • Bei der Einstellung von Personal bzw. einem Bewerbungsgespräch ist die Zustimmung zur Verarbeitung der Daten des Bewerbers einzuholen und diese aufzubewahren. Außerdem soll nur ein klar definierter Kreis von Personen Zugang zu den Bewerberdaten haben.
  • Wenn ein Content-Management-System wie z. B. WordPress zur Verwaltung bzw. Gestaltung der firmeneigenen Website verwendet wird, sollen dieses und die Plug-Ins immer aktuell gehalten werden. Das vermeidet, dass Sicherheitslücken zum Entweichen der Daten führen. Bestenfalls wird auch ein Plug-In installiert, das anhand einer Firewall Angriffe blockiert.
  • Wird ein externes Hosting verwendet oder sollen Besucher-Daten aufgrund eines CMS-Plug-Ins an Dritten übermittelt werden, ist die Erforderlichkeit eines Auftragsdatenverarbeitungsvertrag mit dem Datenschutzbeauftragten zu prüfen.

Viele Aspekte sind zu berücksichtigen: sollten Sie für Ihre Firma noch keinen Datenbeauftragten ausgewählt haben, stehen wir Ihnen mittels unterschiedlicher KMU-zugeschnittener Lösungen zur Seite.

Quellen:

1https://www.heise.de/tr/artikel/Statistik-der-Woche-Die-Deutschen-und-die-DSGVO-4075880.html
2https://de.statista.com/statistik/daten/studie/861808/umfrage/herausforderungen-bei-der-umsetzung-der-dsgvo-in-unternehmen-in-deutschland/
3https://de.statista.com/statistik/daten/studie/917537/umfrage/aufwand-durch-die-dsgvo-in-unternehmen-in-deutschland/
4https://de.statista.com/statistik/daten/studie/878051/umfrage/auswirkungen-der-dsgvo-auf-die-entwicklung-des-umsatzes/
5https://www.datenschutzbeauftragter-info.de/italien-2-millionen-euro-bussgeld-fuer-telemarketing-ohne-einwilligung/
6https://www.zeit.de/digital/datenschutz/2019-01/frankreich-datenschutzbehoerde-cnil-google-strafe-dsgvo
7https://www.datenschutzbeauftragter-info.de/geldbusse-von-20-000-euro-wegen-illegaler-mitarbeiterueberwachung/
8https://www.haufe.de/compliance/recht-politik/bei-der-eprivacy-verordnung-wird-ein-ganz-neuer-anlauf-gestartet_230132_506196.html
9https://www.tagesspiegel.de/berlin/rekordbussgeld-wegen-datenschutzverstoessen-deutsche-wohnen-muss-14-5-millionen-euro-strafe-bezahlen/25191038.html
10https://www.heise.de/newsticker/meldung/Datenschutzverstoesse-Essenszusteller-Delivery-Hero-muss-200-000-Euro-zahlen-4533862.html
11https://www.e-recht24.de/artikel/datenschutz/11271-achtung-hohe-dsgvo-bussgelder-verhaengt.html
12https://www.onlinehaendler-news.de/e-recht/gesetze/132101-mainzer-universitaetsklinik-muss-105-000-euro-dsgvo-bussgeld-zahlen
13https://www.e-recht24.de/artikel/datenschutz/11271-achtung-hohe-dsgvo-bussgelder-verhaengt.html
14https://www.e-recht24.de/news/datenschutz/11794-dsgvo-strafe-uniklinik.html

Luca Dalmasso

HABEN SIE FRAGEN ZU UNSEREN DIENSTLEISTUNGEN? KONTAKTIEREN SIE UNS UNTER: