zurückDSGVO: Die wichtigsten Neuerungen auf einen Blick

DSGVO: Die wichtigsten Neuerungen auf einen Blick

29.01.2018: Der deutsche Gesetzestext der neuen DSGVO (Datenschutz-Grundverordnung), die mit 25. Mai 2018 in Kraft getreten ist, umfasst 88 Seiten. Über 170 Erwägungsgründe und 99 Artikel bilden den Rahmen für die kommende grundlegende Erneuerung des Datenschutzes.

Aber was davon ist wirklich neu und anders? Und was sind nun die wichtigsten Punkte, die insbesondere für Online-Marketing relevant sind?

Wir fassen die wesentlichen Neuerungen im Überblick zusammen:

  • Mehr Eigenverantwortung: Es ist einer der Eckpfeiler der DSGVO: Unternehmen, die personenbezogene Daten verarbeiten, müssen sich eigenverantwortlich um das Thema Datenschutz kümmern. Es gibt keine Vorab-Prüfungen oder Genehmigungen durch Behörden mehr – die Unternehmen müssen selber dafür sorgen, dass alle Vorschriften eingehalten werden.
  • Klare Regeln für eine Verwendungs-Einwilligung: Wenn Daten über Personen erhoben bzw. verarbeitet werden, müssen diese darüber aufgeklärt werden und der Verwendung zustimmen. Dazu gehört der Zweck der Verarbeitung, der Umfang, ob Daten ev. weitergegeben werden (und an wen), usw. Der Betroffene muss also erfahren, was genau mit seinen Daten geschieht.
  • Umfassende Dokumentations-Pflichten: Im Zweifel müssen Sie bei einer Beschwerde oder einer Prüfung nachweisen, dass ein Betroffener der Daten-Verarbeitung zugestimmt hat – und auch wann, wo und wie der Inhalt der Einwilligung war. Sie sollten daher entsprechende Informationen aufbewahren – von der Newsletter-Anmeldung bis zur Gewinnspiel-Teilnahme.
  • Privacy by Design: Damit ist eine datenschutz-freundliche Technikgestaltung gemeint, d.h. es muss das Thema Datenschutz bei jeder Maßnahme (auch Website oder App) technisch und organisatorisch auf dem aktuellen Stand der Technik berücksichtigt werden. Ein Beispiel dafür ist die Verschlüsselung von personenbezogenen Daten in einer Datenbank (insb. sensible Daten oder Passwörter).
  • Privacy by Default: Ebenso müssen alle Voreinstellungen datenschutz-freundlich getroffen werden. Eine Einwilligungs-Checkbox in einem Website-Formular darf also nicht vor-angekreuzt sein, sondern muss durch den Betroffenen explizit angeklickt werden.
  • Ander-Verwendung nicht zulässig: Was bisher schon nicht erlaubt war, wurde nun noch klarer geregelt: Die Verwendung von Daten ist nur für den Zweck erlaubt, für den sie erhoben wurden. Die Daten einer Kontaktanfrage dürfen also nicht für einen Newsletter-Versand verwendet werden. Ebenso müssen die Daten gelöscht werden, wenn der Zweck der Speicherung beendet ist und es keinen Grund für eine weitere Speicherung gibt.
  • Datenschutz-Folgeabschätzung: Wenn es bei der Datenverarbeitung ein hohes Risiko für einen möglichen Schaden für die Betroffenen gibt (z.B. Gesundheitsdaten, strafrechtlich relevante Daten, Scorings über die finanzielle Lage usw.), dann muss das Unternehmen verpflichtend eine Bewertung des Risikos und der Konsequenzen (und der Schutz-Maßnahmen) durchführen.
  • Recht auf Vergessen-werden: Neu ist das Recht jedes Betroffenen, dass seine Daten auf Antrag vollständig gelöscht werden müssen – sofern dem nicht andere gesetzliche Regelungen (z.B. Aufbewahrungspflichten) entgegenstehen oder es (schwerer wiegende) berechtigte Gründe für die Verarbeitung gibt.
  • Einwilligung wird verpflichtend: Wenn man die Betroffenen korrekt informiert hatte, war das bislang in vielen Fällen ausreichend. Das änderte sich mit der DSGVO - jetzt muss es eine konkrete Einwilligung sein. Denn die DSGVO verlangt eine "Erklärung oder eine eindeutige zustimmende Handlung" des Betroffenen. Das bedeutet im Klartext: Es muss eine Checkbox in das Formular aufgenommen werden und diese darf nicht vor-angehakt sein.
  • Alle Behörden sind zuständig: Mit der DSGVO kann ein Betroffener in seinem Wohnsitz-Land einen Antrag (z.B. auf Vergessen-werden) einbringen. Dies war bisher nur in dem Land möglich, in dem das Unternehmen seinen Sitz hat.
  • Meldepflicht bei Verletzungen: Kommt es in einem Unternehmen zu einer Verletzung des Datenschutzes (z.B. eine Datenbank wird gehackt oder ein USB-Stick mit wichtigen Daten gestohlen), müssen die Betroffenen sowie die Datenschutz-Behörde innerhalb von 72h informiert werden.
  • Datenschutz-Beauftragter: Einige Unternehmen – insb. jene, die sensible Daten verarbeiten oder Datenverarbeitung als Kerntätigkeit durchführen – müssen einen Datenschutz-Beauftragten bestellen. Dieser ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich und zentraler Ansprechpartner für Mitarbeiter, Behörden und Betroffene.
  • Hohe Strafen: Die Höchststrafen liegen bei 20 Mio. Euro oder 4% des weltweiten Vorjahresumsatzes des Unternehmens. Diese hohen Strafen der DSGVO sollen klar abschreckend wirken und die Eigenverantwortung der Unternehmen einmahnen. Auch wenn diese Summen wohl kaum gleich verhängt werden, sollte das Thema Datenschutz sehr ernst genommen werden.

Die DSGVO sieht übrigens keine Untergrenzen nach Umsatz oder Mitarbeiterzahl vor. Die Bestimmungen gelten für alle Unternehmen, die personenbezogene Daten verarbeiten.

Was hat sich NICHT geändert?

Ebenso wichtig wie die Neuerungen ist auch eine Übersicht über wichtige Rahmenbedingungen, die sich durch die DSGVO nicht wesentlich ändern sondern weiterhin gelten. Hier ein Überblick:

  • Datenverarbeitung nur mit Einwilligung: Für viele Datenverarbeitung benötigen Sie die Einwilligung der Betroffenen. Der Gesetzgeber sieht hier nur einige wenige Ausnahmen vor (z.B. wenn die Daten bereits öffentlich sind, bei überwiegendem Interesse, zur vertraglichen Erfüllung (z.B. in einem Web-Shop) oder bei einer unmittelbaren Gefahr für Leib und Leben.
  • Datenverarbeitung nur mit Zweck: Kein Unternehmen darf (personenbezogene) Daten "einfach so" sammeln. Für jede Datenverarbeitung bedarf es einer Rechtfertigung (z.B. durch eine Satzung oder aufgrund eines gesetzlichen Auftrags).
  • Prinzip der Datensparsamkeit: Es dürfen nur jene Daten erhoben werden, die für den Zweck auch unmittelbar erforderlich sind. Für einen Rückruf-Wunsch dürfen Sie also natürlich nach der Telefonnummer fragen – aber nicht bei einer Newsletter-Anmeldung.
  • Recht auf Auskunft und Berichtigung: Jeder Betroffene hat das Recht (einmal pro Jahr kostenfrei) Auskunft über seine gespeicherten Daten zu bekommen – und falsche Daten korrigieren (bzw. sie löschen) zu lassen.
  • Datenübertragung ins EU-Ausland problematisch: Der Gesetzgeber stellt an die Übermittlung von personenbezogene Daten in das EU-Ausland strenge Anforderungen (insb. muss dort ein angemessenes Schutzniveau gegeben sein, das mit jenem der EU vergleichbar ist). In viele Länder der Welt – vor allem die USA – ist eine solche Übertragung daher sehr problematisch.

Und das ist alles fix? Ein Fazit

Eines ist auf jeden Fall sicher: Die DSGVO ist da – und damit die Neuerungen und Änderungen für ganz Europa. Denn die Verordnung gab es bereits, nur die Übergangsfrist endete mit 25. Mai 2018 (eine Verordnung wird automatisch in jedem Land der EU unmittelbar rechtswirksam, sie muss nicht erst in lokales Recht übersetzt werden).

Doch das bedeutet leider nicht, dass alle Fragen geklärt sind: Einerseits bietet die DSGVO den Mitgliedsländern einige Anpassungs-Möglichkeiten (in Österreich: Datenschutz-Anpassungs-Gesetz); hier muss noch beobachtet werden, inwieweit die Länder davon Gebrauch machen.

Andererseits werden auch viele Unklarheiten und offene Fragen für die Praxis wohl erst mit Entscheidungen durch die Datenschutz-Behörden bzw. durch Gerichte verbindlich werden. Doch das wird voraussichtlich noch einige Jahre dauern.

Bis dahin kann man Unternehmen nur eines empfehlen: Die (datenschutzrechtlichen) Hausaufgaben machen und das Thema ernst nehmen!

Möchten Sie mehr?

In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.

Newsletter-Kuvert