Am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft, die sowohl für Unternehmen als auch für Nutzer weitreichende Veränderungen vorsieht.
Im Folgenden haben wir die wichtigsten Informationen zum Thema DSGVO in Bezug auf unsere Produktlösungen und Angebote zusammengestellt:
Für die ADITION als Auftragsverarbeiter, der die Daten im Auftrag unserer Kunden verarbeitet, galten seit jeher schon hohe Datenschutzbestimmungen, die auch durch die DSGVO nicht grundlegend verändert werden. Dies hängt damit zusammen, dass die hier verarbeiteten Daten grundsätzlich nicht personenbezogen sind, weil wir keinen Rückschluss auf eine konkrete Person ziehen können. Im Rahmen des mit unseren Kunden neu abzuschließenden Auftragsverarbeitungsvertrages (AVV), der den bisherigen Auftragsdatenverarbeitungsvertrag (ADV) ersetzt, ergeben sich daher vor allem Änderungen im Aufbau und den Begrifflichkeiten. Weitere Beispiele sind, dass ein Datenschutzbeauftragter nicht mehr bestellt, sondern benannt wird, und auch die besonders sensiblen Daten werden näher definiert. Inhaltlich bleiben die Regelungen ansonsten aber weitgehend gleich, da mit der DSGVO kein neues Datenschutzrecht geschaffen wird, sondern nur innerhalb der EU angeglichene Regelungen geschaffen werden.
Bei unseren Kunden kann das aber gegebenenfalls anders aussehen, etwa weil es über eine eigene Nutzer-ID möglich ist, das Cookie einer konkreten Person zuzuordnen. In diesem Fall ist unter Umständen eine Einwilligung vom Nutzer über ein OptIn im Vorfeld einzuholen. Gegebenenfalls kann sich der Kunde aber auch auf das berechtigte Interesse gem. DSGVO Artikel 6 Abs 1f berufen, für welches ein OptIn nicht erforderlich ist. Insofern ist eine Abwägung seitens des Kunden notwendig. Wichtig für Unternehmen ist zudem, dass bei Verstößen die Maximalstrafen zum Teil deutlich erhöht wurden. Dies sollte aber für Unternehmen unkritisch sein, wenn sie sich (weiterhin) an die datenschutzrechtlichen Vorschriften halten.
Für den Nutzer ergeben sich dahingehend mehr Rechte in Sachen Transparenz, auch wenn es sich dabei nicht um völlig neuen Rechte handelt. So hat der Nutzer beispielsweise nach wie vor ein Auskunftsrecht, welche Daten über ihn gesammelt wurden, kann jedoch darüber hinaus auf Verlangen eine Kopie dieser gesammelten Daten verlangen. Die weiteren Rechte nach der DSGVO, wie das Recht auf falscher (Berechtigung) oder unvollständiger (Vervollständigung) Daten, und das Recht auf Löschung oder Sperrung (heißt jetzt: Einschränkung) gibt es bereits. Das Gleiche gilt für das Recht, der Datenverarbeitung zu widersprechen oder eine Einwilligung zu widerrufen (OptOut). In manchen Ländern der EU mögen diese Rechte ganz oder teilweise neu sein. Im deutschen Recht ist dagegen auch nach dem BDSG schon ein hoher Verbraucherschutz vorgesehen. Möglicherweise ist dies durch die DSGVO nur etwas mehr in den Fokus gerückt.
Bis zum 25. Mai 2018 muss die Umsetzung der neuen DSGVO garantiert sein. Das heißt unter anderem, dass die bestehenden ADVs durch AVVs ersetzt werden müssen. Ebenso müssen bis dahin die Datenschutzerklärungen zum Beispiel auf den Webseiten der Anbieter überarbeitet werden. Hier soll vor allem die Belehrung des Diensteanbieters über die bestehenden Nutzerrechte in den Vordergrund gestellt werden. Im Zuge dessen sollte auch die bereits bestehende Funktion des OptOuts prominent dargestellt sein. In Bezug auf das Auskunftsrecht des Nutzers müssen Unternehmen zudem die Möglichkeit schaffen, im Bedarfsfall dem Nutzer eine Kopie der über ihn gesammelten Daten zur Verfügung stellen zu können.
Aus Sicht von ADITION dürfte sich das größte Mehr an Datenschutz daraus ergeben, dass auch nicht-europäische Unternehmen, die Daten von EU-Bürgern außerhalb der EU verarbeiten, unter die DSGVO fallen können (Art. 3 DSGVO). Solche Unternehmen müssen nun einen Vertreter in der EU benennen, an die sich die Nutzer wenden können. Gegenüber dem Vertreter können die Nutzer ihre Datenschutzrechte geltend machen und auch die Aufsichtsbehörden können eingreifen. Das heißt, es wird deutlich schwieriger, sich dem europäischen Datenschutzrecht zu entziehen als dies bisher der Fall gewesen sein mag. Ansonsten dürfte sich aus der DSGVO im Vergleich zum BDSG kein besonders großes Mehr an Datenschutz ergeben. Denn die wesentlichen Nutzerrechte, wie das Recht auf Auskunft, Löschung und Sperrung, gibt es bereits. Das gleiche gilt für Datenschutzerklärungen, die den Nutzer über die Datenverarbeitung informieren. Und schließlich können sich Nutzer auch jetzt schon an die Aufsichtsbehörden wenden, wobei das BDSG vielleicht nicht so hohe, aber doch empfindliche Strafen, für Datenschutzverstöße vorsieht.
Der kritischste Punkt ist sicherlich, dass es noch keine Rechtsprechungen zur neuen DSGVO gibt. Dadurch können im Einzelfall Unsicherheiten bestehen, wie einzelne Vorschriften tatsächlich in der Praxis umzusetzen sind. Das hängt damit zusammen, dass die Auslegung des Datenschutzrechts durch die DSGVO internationaler wird. Denn während bisher überwiegend deutsche Gerichte die Regelungen des BDSG ausgelegt haben, werden künftig Gerichte in ganz Europa die Regelungen der DSGVO auslegen. Dabei kann es zu unterschiedlichen Auslegungen kommen, die die zuvor genannte Rechtsunsicherheit mit sich bringt. Insgesamt dürfte es wohl einige Jahre, wenn nicht Jahrzehnte dauern, bis sich (über den EuGH) eine einheitliche Rechtsprechung durchgesetzt hat.
Zur ePrivacy-Verordnung gibt es aktuell mehrere Entwürfe mit jeweils mehreren Änderungsvorschlägen. Anders als bei der DSGVO steht also noch nicht fest, wie die ePrivacy-VO genau lauten wird. Erst kürzlich hat der EU-Ratspräsident die ePrivacy-VO noch einmal insgesamt zur Diskussion gestellt. Die ADITION kann daher nicht sagen, wann und mit welcher Umsetzungsfrist die ePrivacy-VO in Kraft treten wird. Ursprünglich war vorgesehen, dass die ePrivacy-VO zusammen mit der DSGVO Ende Mai 2018 in Kraft tritt. Dies wird aber nicht mehr einzuhalten sein.
Trotzdem kann man schon jetzt festhalten, dass die DSGVO nur anwendbar auf die Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 DSGVO) ist. Dagegen wird die ePrivacyVO keine solche Beschränkung enthalten. Bereits daraus folgt, dass es bei der ePrivacy-VO nicht nur um Datenschutz im eigentlichen Sinne geht. Die ePrivacy-VO bedient sich daher, anders als die DSGVO, einem eher technischen Ansatz. Von besonderer Bedeutung für die ADITION und deren Kunden ist der – auch sonst viel diskutierte – Art. 8. Diese Vorschrift befasst sich mit dem „Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen“. Mit der etwas sperrigen Formulierung sind insbesondere Cookies gemeint. Und diese Vorschrift sieht vor, dass Cookies nur noch in den darin geregelten Fällen gespeichert oder ausgelesen werden dürfen. Einer dieser Fälle ist wiederum die Einwilligung. Es fehlt jedoch ein zur DSGVO vergleichbarer Fall des berechtigten Interesses. Es könnte also sein, dass die Datenverarbeitung nach der DSGVO ohne Einwilligung des Nutzers zulässig, das Speichern oder Auslesen des Cookies nach der ePrivacy-VO jedoch unzulässig ist. Dies ist sicherlich ein widersprüchliches und wenig wünschenswertes Ergebnis. Denn damit würde der Datenschutz nicht harmonisiert, sondern hinge von der eingesetzten Technik ab. Es wird daher auch diskutiert, in Art. 8 der ePrivacy-VO das berechtigte Interesse aufzunehmen. Wie aber schon zu Beginn geschrieben, ist der Ausgang aktuell noch ungewiss.
Die ADITION selber kann grundsätzlich keine Rechtsberatung übernehmen, dies muss über einen entsprechenden Rechtsanwalt und/oder Datenschutzbeauftragten geschehen.
Gerne steht unseren Kunden darüber hinaus Jörg Klekamp, Vorstand der ADITION technologies AG, über unser Kontaktformular zur Verfügung. Zudem bietet die ADITION – je nach Bedarf und Nachfrage – Webinare zusammen mit ihrem Datenschutzbeauftragten an, an dessen Ende ebenfalls weiterführende Fragen beantwortet können.