Teil 1: Ziele, Rechtswirkung, Strafen

Jetzt gilt’s: seit dem 25.05.2018 ist die EU-Datenschutz-Grundverordnung nun geltendes Recht. Doch wie wir in der Zusammenarbeit mit unseren Kunden merken, besitzt die DSGVO für die Betreiber von Websites und Online Shops nach wie vor großes Erklärungspotenzial. Aus diesem Grund haben wir mit Lena Ludwig von der Firma PSW GROUP Consulting eine Expertin für Datenschutz und IT-Sicherheit darum gebeten, Licht ins Dunkel zu bringen. In einem zweiteiligen Interview gibt Sie Antworten zu den wichtigsten Fragen über die DSGVO.

Was sind die Ziele der EU-Datenschutz-Grundverordnung?

Das Hauptziel der europäischen Datenschutzgrundverordnung ist die Harmonisierung des europäischen Datenschutzrechts. Bisher gab es einen Flickenteppich aus unterschiedlichen Datenschutzniveaus. Das erschwerte es insbesondere Unternehmen, die ihre Produkte und Dienstleistungen in verschiedenen europäischen Ländern anbieten wollen, datenschutzkonform zu handeln. Mit der DSGVO werden die Rahmenbedingungen für ganz Europa vereinheitlicht. Die DSGVO betrifft zudem nicht nur europäische Unternehmen, sondern auch jene, die ihre Services an Europäer richten, ohne einen Sitz in der EU zu haben.

Welche Rechtswirkung hat die DSGVO in Deutschland?

Da es sich bei DSGVO um ein europäisches Rahmenwerk handelt, ist sie für alle Länder Europas bindend und demnach auch in Deutschland übergeordnetes Recht. In der Verordnung sind diverse sogenannte „Öffnungsklauseln“ enthalten, die es den Mitgliedstaaten erlauben, einzelne Sachverhalte über lokale Gesetze zu regeln. So kann beispielsweise das Alter herabgesenkt werden, ab dem Kinder eigenständig eine Einwilligung zur Datenverarbeitung erteilen können, obwohl die DSGVO hierfür ein Alter von 16 Jahren vorsieht. Laut Öffnungsklausel darf die Altersgrenze hierfür auf 13 Jahre herabgesenkt und somit nationalen Jugendschutzvorschriften angeglichen werden. Deutschland hat diese Öffnungsklausel nicht genutzt, weswegen bei Kindern unter 16 Jahren eine zusätzliche Zustimmung zur Datenverarbeitung seitens der Eltern erfolgen muss.

Was ändert die DSGVO für die Betreiber von Websites und Online Shops?

Im Zusammenspiel mit der kommenden ePrivacy-Verordnung legt die DSGVO neue Standards für die Datenverarbeitung fest. Allgemein müssen durch die DSGVO für alle Verarbeitungen geeignete technische und organisatorische Maßnahmen getroffen werden, um die folgenden sieben Grundsätze zu gewährleisten.

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 a)

Website- und Online Shop-Betreiber müssen ihre Datenschutzerklärungen anpassen, sodass die Datenverarbeitung transparent und verständlich gestaltet ist. Nutzer und Kunden müssen verstehen können, was tatsächlich mit ihren Daten geschieht und auf welcher Rechtsgrundlage sie erhoben werden.

  1. Zweckbindung (Art. 5. Abs. 1 b)

Personenbezogene Daten dürfen i. d. R. nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden.

  1. Datenminimierung (Art. 5 Abs. 1 c)

Website- und Online Shop-Systeme müssen so angepasst werden, dass die Abfrage von personenbezogenen Daten nur in dem Maße erfolgt, wie es für die Zweckerfüllung notwendig ist. Dies betrifft beispielsweise Pflichtfelder in Formularen. Ist es für eine Newsletter-Anmeldung wirklich notwendig, den Wohnort als Pflichtangabe abzufragen? Die Notwendigkeit für die Zweckerfüllung müssen dahingehend überprüft werden.

  1. Richtigkeit (Art. 5 Abs. 1 d)

Gespeicherte Daten sollten richtig und aktuell gehalten werden. Es müssen entsprechende Verfahren implementiert werden, um unrichtige Daten korrigieren oder gegebenenfalls löschen zu können.

  1. Speicherbegrenzung (Art. 5 Abs. 1 e)

Personenbezogene Daten dürfen nicht unbegrenzt gespeichert werden. Sobald der Verarbeitungszweck entfallen ist und gesetzliche Aufbewahrungsfristen erloschen sind, müssen diese Daten gelöscht werden. Hierfür wird ein dezidiertes Löschkonzept benötigt. Zudem empfiehlt es sich, geeignete Löschroutinen einzuführen.

  1. Integrität und Vertraulichkeit (Art. 5 Abs. 1 f)

Websites müssen insbesondere an den Stellen sicher sein, an denen Daten abgefragt werden. Deswegen muss beispielsweise der Datentransfer von Kontaktformularen oder im Bestellprozess verschlüsselt werden. Um die Vertraulichkeit zu wahren, ist der Einsatz von SSL-Zertifikaten zwingenden erforderlich.

Auch bei der Bearbeitung von Korrespondenz mit Kunden und Nutzern ist hierauf zu achten. Beim Austausch von persönlichen Informationen via E-Mail empfiehlt es sich, eine Verschlüsselung wie PGP oder S/MIME einzusetzen und einen neutralen Betreff zu wählen. Schließlich ist eine unverschlüsselte E-Mail mit einer einfachen Postkarte vergleichbar, da beide potentiell mitgelesen werden können.

  1. Rechenschaftspflicht (Art. 5 Abs. 2)

Der für Unternehmen bei weitem am schwierigsten umzusetzende Teil der DSGVO ist der Absatz 2 aus Artikel 5. Hier werden Unternehmen dazu verpflichtet, jederzeit nachweisen zu können, dass sie sich an die vorherig genannten Vorgaben aus Absatz 1 halten. Hierdurch entstehet eine massive Dokumentationspflicht. Die Beweislast, alle Datenschutzvorgaben einzuhalten, liegt nun beim Website-Betreiber.

Welche Maßnahmen müssen ergriffen werden?

Um diese Vorgaben bei Websites und Online Shops erfüllen zu können, müssen Informationen über die Datenverarbeitung und die Rechte der Betroffenen klar, transparent und leicht verständlich dargestellt werden. Dies umfasst zum einen die Anpassung der Datenschutzerklärung und zum anderen, falls noch nicht geschehen, die Verschlüsselung von Kontakt- und Bestellformularen einer Website. Zusätzlich muss die Vertragsgestaltung mit Dienstleistern und Auftragnehmern dahingehend geprüft werden, ob bestehende Auftragsdatenverarbeitungsverträge, bzw. mit der DSGVO Auftragsverarbeitungsverträge, die Anforderungen der DSGVO erfüllen. Ist dies nicht der Fall oder sollten noch gar keine Verträge vorliegen, müssen Auftragsverarbeitungsverträge geschlossen oder ergänzt werden. Zuletzt gilt es, angemessene technische und organisatorische Maßnahmen zu treffen, welche die Risiken der Datenverarbeitung senken. Darunter fallen selbst alltägliche Vorrichtungen wie der Einsatz einer Firewall, eine Berechtigungssteuerung im Unternehmen sowie eine Passwortrichtlinie. Für alle Maßnahmen gilt, dass sie stets dem „Stand der Technik“ entsprechen sollten.

Welche Strafen drohen bei Verstößen gegen die DSGVO?

Mit dem Inkrafttreten der DSGVO entsteht ein neuer Aspekt in der Sanktionierung von Verstößen, denn „[…] Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“ (Art. 84 Abs. 1 DSGVO). Die Höhe der Strafe wird anhand folgender Kriterien ermittelt:

  • Art, Schwere und Dauer des Verstoßes
  • Umfang, Zweck und Zahl der Betroffenen
  • Ob vorsätzlich gehandelt wurde
  • Ob angemessene Schutzmaßnahmen beim Verantwortlichen (oder Auftragsverarbeiter) getroffen wurden
  • Ob es bereits frühere Verstöße gab
  • Welche Datenkategorien betroffen sind
  • Wie die Aufsichtsbehörde über den Verstoß informiert wurde
  • Ob genehmigte Verhaltensregeln oder Zertifizierungsverfahren vorlagen
  • Ob der Verstoß genutzt wurde, um Verluste zu vermeiden oder zusätzliche Gewinne zu erzielen

Es können Geldbußen in der Höhe von bis zu 10.000.000 € oder 2 % des gesamten weltweit erzielten Jahresumsatzes verhängt werden, wenn gegen

  • die Pflichten der Verantwortlichen und der Auftragsverarbeiter (gemäß den Artikel 8, 11, 25 bis 39, 42 und 43 DSGVO)
  • die Pflichten der Zertifizierungsstelle (gemäß den Artikeln 42 und 43 DSGVO)
  • die Pflichten der Überwachungsstelle (gemäß Artikel 41 Absatz 4 DSGVO)

verstoßen werden. Bei Verstößen gegen

  • die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung (gemäß den Artikeln 5, 6, 7 und 9 DSGVO)
  • die Rechte der betroffenen Person (gemäß den Artikeln 12 bis 22 DSGVO)
  • die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation (gemäß den Artikeln 44 bis 49 DSGVO)
  • die Nichtbefolgung einer Anweisung, einer vorübergehenden oder endgültigen Beschränkung der Aussetzung der Datenübermittlung durch die Aufsichtsbehörde (gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1 DSGVO)

sind Bußgelder in der Höhe von bis zu 20.000.000 € oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich.

Gibt es weitere Strafen abseits von Bußgeldern?

Neben weiteren Regelungen droht das deutsche Datenschutz-Anpassungs- und Umsetzungsgesetz EU (kurz BDSG-neu), welches als Ergänzung zur DSGVO verabschiedet wurde, sogar mit Freiheitsstrafen von bis zu 3 Jahren, wenn gewerbsmäßig nicht allgemein zugängliche Daten von einer hohen Anzahl von Personen entweder an Drittstaaten übermittelt oder in anderer Weise zugänglich gemacht werden.

Zwischenfazit

Das war der erste Teil zu unserer zweiteiligen Serie über die DSGVO für Website-Betreiber. Falls Sie Bedenken bezüglich der DSGVO-Anpassungen haben, können wir gerne das Abmahnpotenzial Ihrer Website prüfen. Ansonsten erhalten Sie in Kürze weitere Infos in unserem Blog.