EU Datenschutz-Grundverordnung

Was sie für Unternehmen bedeutet

Foto: skylarvision/Pixabay

Für viele Unternehmer ist der 25. Mai 2018 der Tag, vor dem sie großen Respekt haben. Denn seit einigen Monaten hört und liest man überall von dem Inkrafttreten der neuen EU-Datenschutz-Grundverordnung in den Unternehmen. Bei der großen Informationsflut zu dem Thema leidet leider die Übersichtlichkeit, was überhaupt diese Verordnung ist und welchen Einfluss sie auf den geschäftlichen Alltag in Unternehmen hat. Dieser Artikel soll darüber Klarheit bringen und die Verunsicherung in den Unternehmen beseitigen.

Überblick
Bereits im Jahr 2016 verabschiedeten alle EU-Mitgliedstaaten einstimmig die neue EU-Datenschutz-Grundverordnung, vielfach auch unter der Abkürzung DSGVO bekannt. Seit diesem Datum wurde den Unternehmen der EU-Staaten Zeit gegeben, die Verordnung genau zu studieren und ihre internen Abläufe auf die Änderungen anzupassen. Ein gravierender Unterschied, der die Wichtigkeit der DSGVO unterstreicht, ist die juristische Formulierung. Man spricht nicht mehr wie bisher beim Datenschutz und Internet von Richtlinien, sondern von einer Verordnung. Eine solche ist per Definition in allen EU-Mitgliedstaaten unmittelbar ab Inkrafttreten am 25.05.2018 gültig. Die Absicht dahinter ist einleuchtend. Alle europäischen Mitgliedsländer sollen das gleiche Niveau beim Datenschutz erreichen, um Wettbewerbsverzerrungen zu vermeiden.

Ab Inkrafttreten der EU-Datenschutzgrundverordnung gilt das neue Marktortprinzip
Galt bisher in der EU beim Thema Datenschutz das Sitzlandprinzip, so tritt ab Mai 2018 das Marktortprinzip in Kraft. Der Unterschied liegt darin, dass das neue geschaffene Datenschutzrecht dann verbindlich für alle Unternehmen gilt, die auf dem europäischen Markt tätig sind. Das gilt im Vergleich zu früher nun auch für Unternehmen, deren Firmensitz sich außerhalb der EU befindet, z.B. für US-amerikanische Unternehmen.

Stärkung der Nutzerrechte stehen im Vordergrund
Viele Einzelpunkte der Datenschutzreform wurden dem Verbraucherschutz gewidmet. Das Ziel ist es, die Nutzerrechte deutlich zu stärken. So muss nun jeder Verbraucher in jedem Fall seine eindeutige und freiwillige Einwilligung zur Verarbeitung personenbezogener Daten geben. Außerdem muss sichergestellt werden, dass sich der Verbraucher der beabsichtigten Nutzung seiner Daten zu jeder Zeit bewusst ist.

Zweckgebundenheit der Daten
Konnten Unternehmen bisher einmal erhobene Daten für verschiedene Zwecke verwenden, so ist das mit der neuen Verordnung nicht mehr möglich. Demnach dürfen personenbezogene Daten nur noch für „eindeutig festgelegte und rechtmäßige Zwecke“ erhoben werden. So dürfen beispielsweise personenbezogene Daten, die für den Abschluss eines Kaufvertrages benötigt werden, nicht auch automatisch für Werbe- und Marketing-Aktionen genutzt werden.

Neue Pflichten, die sich für Unternehmer ergeben
War in der Vergangenheit die Speicherung von personenbezogenen Daten von Unternehmen bei Cloud-Anbietern immer wieder ein kritischer Punkt, so werden solche Anbieter nun dazu verpflichtet, die Sicherheit der ihnen anvertrauten Daten zu wahren. Dem Verbraucher wird nun im Unterlassungsfall sogar die Möglichkeit eingeräumt, diese Datenverarbeiter auf Schadenersatz zu verklagen, wenn mit ihren Daten Missbrauch betrieben wird.

Was sich beim Jugendschutz ändert
Hier ist die DSGVO nicht eindeutig in der Formulierung. Wie bei der bisher gültigen alten Datenschutzrichtlinie ist nicht zweifelsfrei festgelegt, ab welchem Alter Kinder und Jugendliche sich rechtskonform auf Webseiten anmelden dürfen. Die EU hat hier lediglich ein Mindestalter von 13 Jahren festgesetzt. In einigen EU-Ländern dürfen Jugendliche beispielsweise erst ab 16 Jahren einen Facebook-Account eröffnen, ohne Zustimmung der Eltern.

Informationspflicht für Unternehmen steigt deutlich
Der Nutzer hat nach Inkrafttreten der neuen Datenschutz-Grundverordnung Anspruch darauf, dass der Unternehmer offenlegt, unter welcher Rechtsgrundlage er die Daten speichert, den Zeitraum der Datenspeicherung sowie die eventuelle Weitergabe von personenbezogenen Daten an Dritte, sofern das überhaupt noch möglich sein wird. Aktuell sorgt das US-amerikanische Unternehmen Facebook für große Verunsicherung, da Facebook personenbezogene Daten im großen Stil an fremde Unternehmen ohne Einwilligung der Nutzer weitergegeben hat. Es ist zu erwarten, dass im Zuge der Reformen die Weitergabe an Dritte zukünftig vollständig untersagt wird.

Fazit:
Die neuen Regeln der EU-Datenschutz-Grundverordnung sind sehr komplex und kleinteilig. Unternehmer sollten sich daher intensiv mit der Thematik auseinandersetzen, um negative Auswirkungen für ihr Unternehmen zu vermeiden. Auf der anderen Seite schafft die DSGVO an vielen Stellen Klarheit für den Verbraucher, was den Umgang mit seinen persönlichen Daten betrifft.