Gut organisiert und vorbereitet stellt die DSGVO kein Problem dar!

Ab Ende Mai 2018 müssen alle Gewerbetreibenden in der EU einheitlich den Datenschutz nach der neuen DSGVO gewährleisten. Warum das für Webdesigner, Freelancer und Agenturen jedoch kein großes Problem darstellen sollte, wollen wir euch im folgenden Beitrag erklären.

Auch wenn es zu Zeiten von geringen Aufmerksamkeitsspannen für Medien, Blogger und sonstige Publizisten fast schon überlebenswichtig ist, Klicks mit Katastrophen, Übertreibungen und dem Schüren von Ängsten zu generieren, so ist die Vorgehensweise immer noch falsch. Oft ist es leider auch so, dass diese dem jeweiligen Thema nicht angemessen sind. So ist es auch bei der DSGVO, die in wenigen Wochen in Kraft tritt.


DSGVO-Wissenspaket für Agenturen & Freelancer

Von einem ausführlichen Whitepaper über Checklisten bis hin zu Musterverträgen und -vorlagen: jetzt in unserem Wissenspaket!

Zum DSGVO-Wissenspaket

DSGVO: Datenschutz an zentraler Stelle klar gefasst

Wie bei vielen heiß diskutierten Themen, so zeigt sich auch bei der DSGVO, dass nichts so heiß gegessen wird, wie es gekocht wurde. Wobei in diesem Falle noch hinzukommt, dass die Dramatik eher den Berichtenden zuzuschreiben ist – die DSGVO war nämlich im Entstehungsvorgang nicht so heiß, wie sie es jetzt in der Berichterstattung ist.

Denn schon seit Mai 2016 läuft die Frist für die Umsetzung der getroffenen Regelungen. So hätten sich die Medien schon damals in Sachen Katastrophenszenarien überbieten können. Dieses ist allerdings jetzt erst der Fall – jetzt, wo die DSGVO am 25. Mai 2018 endgültig in Kraft tritt und die Zweijahresfrist endet.

Datenschutz ist in Deutschland kein Neuland, woanders in der EU schon eher

Der Datenschutz ist in Deutschland nicht unbedingt Neuland: So haben wir bereits seit langem das Bundesdatenschutzgesetz, das in seiner nunmehr geänderten Form ebenfalls am 25. Mai 2018 in Kraft treten wird und etwa bestehende Konkurrenzregeln an den Stand der DSGVO anpasst. Auch andere nationale Regelungen, wie das Telemediengesetz oder Teile des Wettbewerbsrechts sowie noch sensiblere Gesetze, wie jenes über den Bundesnachrichtendienst, bedurften der Bearbeitung.

Allgemein kann man sagen, dass die DSGVO die größte Wirkung im Sinne einer Umwälzung bestehender Strukturen nicht hierzulande entfalten wird. Denn in Deutschland gibt es bereits seit Langem ein durchaus als streng zu bezeichnendes Datenschutzrecht. Da die DSGVO allerdings als EU-Recht unmittelbar in der gesamten Europäischen Union gilt, haben Gewerbetreibende in anderen Ländern unserer Gemeinschaft vermutlich weitaus größere Augen gemacht als wir. Auch Unternehmen, die europaweit oder sogar weltweit agieren, werden sich über die einheitlichen Regelungen wohl nur mäßig freuen.

Der Schreck über das 20-Millionen-Bußgeld

Den größten Wirbel und die massivsten Ängste rund um die neue Verordnung hat sicherlich das neue Bußgeld-Level erzeugt: Mit bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes ist der Sanktionsrahmen durchaus als gewaltig zu bezeichnen.

Dennoch sollte sich niemand angesichts der Bußgeld-Maxima den Schlaf rauben lassen – auch die bisherigen Regelungen nach dem Bundesdatenschutzgesetz erlaubten bereits Ahndungen in Größenordnungen von 50.000 bis hin zu 300.000 Euro. Außerdem solltet ihr dabei auch bedenken, dass diese Riesensumme von 20 Millionen auch vielmehr den globalen Playern Angst machen soll.

Wer dem natürlich trotzdem – und verständlicherweise – aus dem Weg gehen möchte, sollte sich gut vorbereiten und so alle Stolpersteine überspringen. Wir helfen euch auch gerne in Form unseres DSGVO-Wissenspakets für Agenturen!

Der Einzelfallgrundsatz lebt

Als Webworker, Freelancer oder Agentur braucht man sich eher nicht vor den Summen zu fürchten – selbst bei Verstößen, die man natürlich vermeiden will und soll, muss es nicht gleich an die Existenz gehen. Der entsprechende Artikel 83 der DSGVO formuliert dazu, dass „die Verhängung von Geldbußen [...] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein muss. Einen Mindestbetrag für das zu erhebende Bußgeld setzt die Verordnung nicht fest.

Zuständig für die Umsetzung der DSGVO – nebst ihren Bußgeldern und sonstigen Sanktionen – sind die nationalen Aufsichtsbehörden, also die schon bisher für den Datenschutz zuständigen Institutionen. Schlimmstenfalls gilt das Prinzip der Einzelfallentscheidung mit all ihren Ausprägungen.

Im Westen nicht viel Neues

Viele Regelungen, etwa zum Einsatz von Cookies, kennen wir bereits. Vor allem hierzu steht in den nächsten Monaten noch die in Arbeit befindende ePrivacy-Verordnung bevor, die sich konkreter mit dem kleinteiligen Datenschutz des Individuums im Rahmen digitaler Kommunikation beschäftigen wird. Hier ist aber noch nichts beschlossen.

Auch der Einsatz von Cookies im E-Commerce ist durch die DSGVO nicht gefährdet. Die Frage, die stets zu klären ist – wenn Daten verarbeitet werden sollen – ist die, ob diese Datenverarbeitung rechtmäßig ist. Ist das der Fall, darf sie erfolgen.

Auch wenn es um den Einsatz von Statistik-Software aus Drittanbieterhand, vor allem Google Analytics, geht, muss sichergestellt werden, dass der bereits bestehende Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag), der mit Google geschlossen wurde, ab dem 25. Mai 2018 durch den neuen Vertrag zur Auftragsverarbeitung (AV-Vertrag) gemäß DSGVO ersetzt wird. Hierbei hilft euch auch unser Wissenspaket, das die genauen Musterverträge und -vorlagen enthält.

Klarer gefasste Regelungen

Somit finden sich in der neuen Datenschutzgrundverordnung neue bzw. klarer ausgedrückte Regelungen, wie unten aufgeführt, vor.

Freiwilligkeit der Einwilligung

Die DSGVO stärkt insbesondere den Begriff der Freiwilligkeit im Umgang des Nutzers mit dem Anbieter. Datenschutzerklärungen etwa müssen künftig so formuliert sein, dass der Nutzer sie lesen und verstehen kann, ohne Jurist sein zu müssen oder einen solchen zurate zu ziehen.

Freiwillig müssen auch immer Einwilligungen etwa zum Erhalt des Newsletters sein. Das bisher übliche „Gib mir deine E-Mail-Adresse für den Newsletter und ich gebe dir ein kostenloses E-Book” dürfte danach nicht mehr zulässig sein, weil der Erhalt des E-Books von der Einwilligung abhängig ist, aber gar nichts mit dem eigentlichen Objekt der Zustimmung, nämlich dem Newsletter zu tun hat. Unkritisch dürfte es hingegen sein, sich freiwillig eintragende Nutzer mit einem E-Book zu belohnen. Aber auch hierbei kommt es immer auf die Formulierung an. ;-)

Einheitlich geregelt ist nun erstmals ein Mindestalter für Einwilligungen Minderjähriger. Die Praxisrelevanz dieser Regelung bleibt indes abzuwarten.

Bedeutsamer dürfte es da schon sein, dass mit der DSGVO der Grundsatz der Erforderlichkeit der Datenverarbeitung stärker in den Vordergrund tritt. Dieser bedeutet unter anderem, dass man nur jene personenbezogenen Daten erheben darf, die für die Erbringung der vertraglichen Leistung tatsächlich benötigt wird. Nicht dazugehören dürfte zum Beispiel die Erhebung des Geburtsdatums für das Abonnement eines allgemein-technischen Newsletters. Was erforderlich ist, ergibt sich natürlich ganz konkret im Einzelfall. Wenn ihr generell sparsam mit der Datenerhebung seid, ist das sicherlich keine schlechte Strategie.

Datenportabilität

Neu ist ebenso, dass Verbraucher nun ein Recht auf Datenportabilität haben. Das bedeutet, dass diese vom Betreiber eines Angebots verlangen können, dass dieser die Daten des Verbrauchers in einer technisch gängigen und kompatiblen Form exportiert und ihm übergibt, damit ein anderer Anbieter diese Daten wieder einspielen kann. Könnte so der Wechsel von Facebook nach Google+ mit allen Beiträgen seit 2011 gelingen? Wir sind gespannt.

Berichtigung und Löschung

Das bereits vielfach durch die Medien gegangene Recht auf Vergessenwerden hat in der DSGVO einen eigenen Artikel ( Art. 17) erhalten und muss daher nicht mehr durch Rechtsauslegung bestimmt werden, sondern bekommt Verordnungsrang. Tatsächlich erleichtert das nur die Durchsetzbarkeit – das Recht bestand schon vorher.

Auch das Recht auf Berichtigung nach Artikel 16 der DSGVO könnte praktische Relevanz erlangen: Hier erhält der Verbraucher die Möglichkeit, vom Anbieter die Berichtigung fehlerhafter personenbezogener Daten zu verlangen. Dazu gehört ausdrücklich die Ergänzung unvollständiger Angaben oder sogar die Hinzufügung einer Erklärung.

Fazit:Es geht auch entspannt durch den DSGVO-Dschungel

Inhaltlich bietet die DSGVO für Freelancer und Agenturen eher Neuerungen im Detail, aber nichts, was einen aus der Bahn werfen könnte/sollte. Dennoch ist es schwer, sich in dem ganzen DSGVO-Dschungel zurechtzufinden. Um dem Inkrafttreten beruhigt und entspannt entgegenblicken zu können, bieten wir euch unser DSGVO-Wissenspaket an.

Hinweis: Da der Autor dieses Artikels kein Jurist ist, stellt dieser Artikel weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wenden Sie sich im Zweifel an einen Rechtsanwalt.

Kommentar hinzufügen