Die Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 einheitlich in allen Mitgliedstaaten der Europäischen Union. Eine Übergangsfrist gibt es nicht. Wer am 26. Mai 2018 gegen die Bestimmungen der DSGVO verstößt, hat horrende Bußgelder zu fürchten.

Die DSGVO schafft einheitliches Recht in der gesamten Europäischen Union. Die Verordnung gilt unmittelbar in allen Mitgliedstaaten – also auch in Deutschland. Bisheriges deutsches Recht wird angepasst oder abgeschafft. Online-Unternehmen müssen sich nur um ein Datenschutzrecht kümmern, wenn sie sich international aufstellen. Der Anpassungsbedarf für deutsche Unternehmen ist möglicherweise geringer, als der im Ausland. Viele Prinzipien des derzeitigen deutschen Datenschutzrechts, finden sich auch in der DSGVO wieder.

Ignorieren darf man die DSGVO nicht. Der Teufel steckt im Detail und die Bußgelder sind enorm: Bis zu 20 Millionen, bzw. bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens – drohen für einen Datenschutzverstoß. Doch wichtiger als die Bußgelder sind die konkreten Auswirkungen der neuen Verordnung.

In einem Beitrag für Onpage.Org gehe ich im Einzelnen auf folgende Aspekte der Rechtslage nach der DSGVO ein:

• Einwilligung
  Jede Einwilligung muss freiwillig sein und das soll nur dann der Fall sein, wenn der Einwilligende eine echte und freie Wahl hat. Er soll die Einwilligung verweigern oder zurückzuziehen können, ohne Nachteile zu erleiden. Was das genau heißen soll, ist noch offen.
• Datennutzung zu Vertragszwecken
  Wie bisher auch, dürfen personenbezogene Daten verwendet werden, wenn dies für die Erfüllung eines Vertrages erforderlich ist.
• Berechtigtes Interesse
  Ein berechtigtes Interesse des Datenverarbeiters kann in bestimmten Fällen die Datenverarbeitung rechtfertigen. Nötig ist eine Abwägung der beteiligten Interessen, wobei es auf die vernünftigen Erwartungen der Betroffenen ankommen soll. Einzelheiten? Unklar!
• Opt-Out Möglichkeit
  Für jede Marketing-Maßnahme, bei der personenbezogene Daten verarbeitet werden, muss eine Opt-out-Möglichkeit implementiert werden.
• Compliance-Themen
  Es muss eine Art Verfahrensverzeichnis geführt werden. In vielen Fällen muss vorab eine Datenschutz-Folgenabschätzung vorgenommen werden. Dies gilt insbesondere bei der Bildung von Profilen. Auch Datenschutz- und Datensicherungsmaßnahmen müssen im Detail beschrieben werden.
• Bußgelder
  Für schwere Verstöße drohen 20 Millionen bei weniger schweren Verstößen bis zu 10 Millionen Euro Bußgeld (zum Vergleich: bisher können 300.000,- bzw. bis zu 50.000,- Euro verhängt werden). Bei Großunternehmen geht es teilweise noch deutlich darüber hinaus, weil bis zu 4 bzw. 2 % des weltweiten Jahresumsatzes fällig werden können.
• Tracking
  Inwieweit das Tracking zulässig bleibt, ist noch nicht vollständig geklärt. Klar ist, dass IP-Adresse in Zukunft im Zweifel als personenbezogene Daten angesehen werden werden. Das gilt auch für Cookies und Fingerprint-Verfahren, bei denen eine Zuordnung zu internen Identifiers möglich ist. Wird allerdings ein IP-Masking-Verfahren eingesetzt, ist eine Zuordnung zu einer natürlichen Person nicht mehr möglich. Dann fehlt es am Personenbezug.
  Denkbar ist durchaus, das Tracking über ein berechtigtes Anwenderinteresse zu rechtfertigen. Ohne Einwilligung gerechtfertigt kann aber nur die Erhebung von Daten sein, die für den konkreten Tracking-Zweck notwendig sind.
  Möglich ist, zusätzlich eine Einwilligung einzuholen. Diese muss freiwillig erfolgen. Eine solche Einwilligung kann etwa bei der Eröffnung eines Nutzerkontos abgefragt werden. Auch eine Integration der Einwilligung in einen Cookie-Banner ist in Zukunft denkbar.
• Targeting
  Auch beim Targeting werden nach neuem Recht personenbezogene Daten vorliegen. Die Frage, ob eine Rechtfertigung berechtigte Interessen gestützt werden kann, hängt von dem konkreten Trackingverfahren und den für das Targeting erhobenen Daten ab. Ein berechtigtes Interesse liegt grundsätzlich vor. Bei der Interessenabwägung kommt es im Rahmen der vernünftigen Erwartungen des Nutzers auf den jeweiligen Stand der Targeting-Technologien an. Während Nutzer mit Retargeting-Maßnahmen am gleichen Endgerät rechnen, weil deren (pseudonymer) Einsatz schon lange üblich ist, wird ein Cross-Device-Retargeting eher nicht zu den Erwartungen der Nutzer zählen. Möglich ist auch die (zusätzliche) Einholung einer Einwilligung in die verschiedenen Targeting-Verfahren. Der Betreiber eines Online-Shops kann sich z.B. bei Eröffnung eines Kundenkontos den Einsatz eines Retargeting-Verfahren ausdrücklich bestätigen lassen. Auch die Erwähnung in einer Cookie-Bar – ähnlich wie beim Tracking – ist denkbar. Dort müsste das Targeting-Verfahren kurz beschrieben und auf einen entsprechendes Passus in der Datenschutzerklärung verlinkt werden.
• E-Mail-Marketing
  Die DSGVO ändert nichts daran, dass die Werbung per E-Mail einer Einwilligung des Adressaten bedarf. Die datenschutzrechtliche Einwilligung ist in dem Opt-in inbegriffen. Erforderlich ist aber, dass in der Datenschutzerklärung auch die neuen Informationspflichten erfüllt werden.
  Bei der Werbung an Bestandskunden ist wichtig, dass eine Opt-out-Möglichkeit angeboten und der Kunde ist auf die Widerspruchsmöglichkeit hingewiesen wird. Damit heute erteilte Einwilligungserklärungen auch morgen noch gültig sind, sollte der Hinweis schon jetzt erfolgen.
  Ob die Personalisierung der E-Mail-Werbung ohne Einwilligung zulässig ist, hängt nach der DSGVO von den vernünftigen Erwartungen der Nutzer ab. Ein berechtigtes Interesse des Werbenden liegt jedenfalls vor. Dass Newsletter getrackt und Informationen, die der Versender darüber erhält, ausgewertet werden, dürfte heutzutage im Bereich des Erwartbaren liegen. Dies gilt umso mehr, wenn darüber in transparenter Weise aufgeklärt wird. Werden aber umfassende Kundenprofile angelegt und Daten mit anderen abgeglichen, dürften die Interessen des Nutzers überwiegen und die Datenverarbeitung unzulässig sein. Möglich ist die (zusätzliche) Einholung einer Einwilligung. Problematisch ist dabei das Kopplungsverbot.

Unternehmen, die personenbezogene Daten verarbeiten, sollten schon jetzt ein besonderes Augenmerk auf die DSGVO legen. Werden Kundendaten oder Arbeitnehmerdaten verarbeitet, muss unbedingt schon jetzt bei der Einwilligung auf die DSGVO geachtet werden, da davon auszugehen ist, dass auch im Jahr 2018 das Geschäftsmodell nicht gänzlich über den Haufen geworfen wurde. Quasi für allen langfristig angelegten Geschäftsmodelle oder Vertragstypen gilt dieser Grundsatz.

Testet ein Unternehmen einen potenziell langfristigen Partner im Dienstleistungssegment zunächst für eine kurze Zeit an, so ist der Aufwand der betrieben werden muss, um eine Übereinstimmung mit der DSGVO zu gewährleisten, entsprechend gering. Sollte jedoch, der nun für gut befundene Dienstleister, auf lange Sicht vertraglich gebunden werden, so muss das Unternehmen die Regelungen der DSGVO zwingend beachten.

Hier entlang zum ausführlichen Beitrag „EU-Datenschutzgrundverordnung: Sollten wir uns darum (jetzt schon) kümmern?“ bei Onpage.Org.