Neues europäisches Datenschutzrecht – Was bedeutet die DSGVO für Startups?

Ab dem 25. Mai 2018 ist in den EU-Mitgliedsstaaten ein neues Datenschutzrecht anwendbar. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt das bislang geltende Bundesdatenschutzgesetz (BDSG). Sie gilt unmittelbar nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen, die Daten von Betroffenen in der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Verhaltensanalyse erheben oder verarbeiten. In einigen Regelungsbereichen eröffnet die DSGVO einen zusätzlichen Gestaltungsspielraum für die nationalen Gesetzgeber, der in Deutschland nunmehr mit der Verabschiedung des sog. Datenschutz-Anpassungs- und Umsetzungsgesetzes (DSAnpUG-EU) und damit einer Neufassung des BDSG genutzt wurde.

Die Vereinheitlichung des europäischen Datenschutzrechts ist eine der umfassendsten Gesetzesänderungen, die bei den Unternehmen zu einem unmittelbaren Handlungsbedarf führt. Interne Prozesse müssen angepasst werden, um im Einklang mit den neuen Regelungen zu sein. Auch bestehende Verträge mit Dienstleistern oder Lieferanten müssen auf den Prüfstand, wenn personenbezogene Daten betroffen sein könnten. Jedes Unternehmen mit einer eigenen Website muss die dort hinterlegte Datenschutzerklärung an die neuen Anforderungen anpassen.

Neuerungen beachten!

Grundsätzlich gilt aber, wer sich bereits vor dem 25. Mai 2018 um den Datenschutz im eigenen Unternehmen gekümmert hat, der wird regelmäßig entspannter an die Umsetzung gehen können, als derjenige, der sich hierfür bislang gar nicht interessiert hat. Gleichwohl bietet die DSGVO Neuerungen, die es bei der Überprüfung der eigenen Datenschutzcompliance zu beachten gilt.

Die wesentlichen Neuerungen sind dabei u.a.:

  • die Erweiterung der Betroffenenrechte, insbesondere erweiterte Informationspflichten, die eine Anpassung von Datenschutzerklärungen und -hinweisen für Kunden, Lieferanten und Beschäftigte erfordern, sowie die Einführung des „Recht auf Vergessenwerden“ und des „Recht auf Datenportabilität“, die neue Geschäftsprozesse und technische Lösungen erfordern;
  • neue Anforderungen an Einwilligungen;
  • die Einführung einer Datenschutz-Folgenabschätzung;
  • erhöhte Dokumentationspflichten für Datenverarbeiter und Auftragsverarbeiter, z.B. im Hinblick auf das Führen von Verfahrensverzeichnissen;
  • erweiterte Pflichten zur Meldung von Datenvorfällen, die entsprechende unternehmensinterne Prozesse erfordern;
  • die Umsetzung der Vorgaben zu „Privacy by Design“ (Erhebung und Verarbeitung möglichst weniger Daten) und „Privacy by Default“ (Einrichtung datenschutzfreundlicher Voreinstellungen in Datenverarbeitungssystemen);
  • neue Anforderungen an technische und organisatorische Maßnahmen (TOM) in Bezug auf Datensicherheit, Dokumentation und Auditierung;
  • die Neuregelung der Auftragsverarbeitung, die eine Anpassung der Auftragsdatenverarbeitungsverträge erfordert und
  • die Einführung des sog. „Joint-Controllers“.

Nationale Besonderheiten

Trotz einer weitgehenden Harmonisierung innerhalb der EU wird es bei nationalen Besonderheiten bleiben. In Deutschland werden z.B. die in der DSGVO geregelten Fallgruppen für die Benennung eines Datenschutzbeauftragten durch das DSAnpUG-EU erweitert. Zudem müssen sich Unternehmen mit den dort vorgesehenen spezifischen Regelungen für die Bereiche Beschäftigtendatenschutz, Videoüberwachung und Profiling sowie den Sonderregelungen zu Betroffenenrechten befassen.

Verschärfung der Sanktionen

Künftig drohen nach der DSGVO Bußgelder bis zu 20 Millionen oder 4% des konzernweiten Jahresumsatzes. Unternehmen sehen sich mit erheblichen Beweislastverschärfungen für den Nachweis einer datenschutzkonformen Geschäftstätigkeit konfrontiert. Allein vor diesem Hintergrund empfiehlt sich die sorgfältige Prüfung und Anpassung der unternehmensinternen Datenschutzorganisation und datenschutzrechtlich relevanten Dokumente. Man muss allerdings auch dazu sagen, dass gerade diese drohenden Höchststrafen Grund für eine weit verbreitete Panik wegen der Anpassung der eigenen Prozesse war. Selbstverständlich steht die Verhängung eines Bußgeldes im Ermessen der jeweiligen Aufsichtsbehörde. Die zu verhängende Geldbuße muss dabei immer auch im Verhältnis zur Schwere des Verstoßes stehen. Es drohen daher keine Millionenstrafen, wenn die Datenschutzerklärung auf der eigenen Website nicht zutreffend ist.

Diese Erkenntnis sollte allerdings nicht dazu verleiten, kleiner Verstöße aus Bequemlichkeit in Kauf zu nehmen. Gerade bei fehlerhaften Informationen auf der eigenen Website besteht die Gefahr einer wettbewerbsrechtlichen Abmahnung durch einen direkten Konkurrenten.

Datenverarbeitung im Startup: Wann und wie dürfen Daten verarbeitet werden?

Ob und unter welchen Voraussetzungen personenbezogene Daten verarbeitet und genutzt werden dürfen, ist eine der wesentlichen Stellschrauben im datenschutzrechtlichen Regelungsregime. Die DSGVO orientiert sich hier an den bereits bekannten Vorgaben: Auch künftig gilt das Verbot mit Erlaubnisvorbehalt, d.h. nur dann, wenn ein Gesetz bzw. eine Rechtsgrundlage den Umgang mit den Daten erlaubt oder die Einwilligung des Betroffenen vorliegt, ist der Umgang mit den Daten zulässig. Dabei stellt die Einwilligung eine der bedeutendsten Erlaubnistatbestände im Datenschutzrecht dar. Will das Startup beispielsweise an potentielle Kunden einen regelmäßigen Newsletter versenden, benötigt es hierfür die Einwilligung eines jeden Empfängers des Newsletters. Die Voraussetzungen hierfür ergeben sich aus Art. 7 DSGVO. Im Einzelnen:

  • Form: Es ist künftig keine spezielle Form der Einwilligung mehr vorgeschrieben, d.h. mündliche, elektronische und schriftliche Einwilligungen sind zulässig. Die Einwilligung muss in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden. Damit sind mündliche Einwilligungen eher kritisch.
  • Opt-In: Das Opt-In, d.h. der Klick mit der Maus auf ein Kästchen, reicht künftig aus, um eine Einwilligung zu erteilen. Der Opt-Out ist hingegen grundsätzlich nicht mehr zulässig, so dass voreingestellte Klicks oder reine Widerspruchslösungen nicht mehr zulässig sind. Da künftig bei Direktwerbung ein „berechtigtes“ Interesse von Startups vorliegen soll und hier der Opt-Out in Form des Widerspruchsrechts noch möglich ist, ergeben sich gleichwohl Erleichterungen für Startups.
  • Freiwilligkeit: Kopplungen sind nicht zulässig, d.h. die Erfüllung eines Vertrages darf nicht von der Einwilligung abhängig gemacht werden, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist. Der Praxis z.B. die Nutzung eines Webservices von der Einwilligung in die Nutzung von Daten in werbliche Zwecke abhängig zu machen, wird damit eine Absage erteilt. Die Einwilligung ist zudem bei einem eindeutigen Ungleichgewicht zwischen Betroffenem und Datenverarbeiter unzulässig. Damit sind sowohl Einwilligungen im Beschäftigungsverhältnis als auch Einwilligungen im Massenverkehr zwischen Verbrauchern und Unternehmen weiterhin risikobehaftet. Im letzteren Fall ist nie ganz auszuschließen, dass ein solches Ungleichgewicht insbesondere bei Marktführern anzunehmen ist.
  • Inhalt: Die Einwilligung ist klar und leicht verständlich zu formulieren, es sind u.a. die verantwortliche Stelle, die Zwecke und Informationen über das Widerrufsrecht anzugeben. Für verschiedene Datenverarbeitungen sind verschiedene Einwilligungen einzuholen, damit der Betroffene sich frei entscheiden kann, in was er konkret einwilligt bzw. für welchen Zweck er die Einwilligung nicht erteilen möchte. Dies wird in der Praxis nicht leicht umsetzbar sein, da ggf. eine Vielzahl von Einwilligungen einzuholen ist. Ob die Voraussetzungen, deren Einhaltung die Rechtsprechung hinsichtlich der Konkretisierung des Inhalts der Einwilligung zurzeit in Deutschland einfordert, auf dem jetzigen Niveau bleiben oder ob aufgrund abweichender europäischer Praxis eine Absenkung dieser Standards erfolgen wird, bleibt abzuwarten.
  • Nachweis: Startups müssen nachweisen, dass die Einwilligung erteilt wurde. Wie der Nachweis geführt werden soll, ist nicht definiert. Eine umfassende Dokumentation ist allerdings empfehlenswert, da letztlich die Startups für einen aufgrund einer fehlenden Einwilligung unzulässigen Umgang mit Daten haften.

Fazit: Anpassung ja, Angst nein!

Wer frühzeitig seine Datenverarbeitungsprozesse analysiert und bei Bedarf angepasst hat, der kann sich nicht nur die nächsten 25 Tage wieder auf sein eigentliches Geschäft konzentrieren. Alle anderen sollten, will man nicht in das Visier der Aufsichtsbehörden oder seiner Wettbewerber geraten, ihre Prozesse entsprechend anpassen. Je nach eigenem Geschäftsmodell kann der Anpassungsbedarf mal größer und mal geringer ausfallen. Gerade Startups im innovativen, digitalisierten Umfeld sollten dies beherzigen, denn gerade bei datengetriebenen Geschäftsmodellen ist eine vorhandene Datenschutzcompliance wesentlich für die eigene Reputation im Markt.

Update:

Nun gibt es die erste Entscheidung eines deutschen Gerichts, welches festgestellt hat, dass ein Verstoß gegen die Vorgaben der DSGVO von Mitbewerbern über das Wettbewerbsrecht abgemahnt werden können.

Zur Entscheidung des LG Würzburg hier.

Zum Streit über das Verhältnis zwischen DSGVO und UWG hier und hier.

 

Mehr zum Thema hier und hier

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s