Die Datenschutz-Grundverordnung – Was passiert am 25. Mai 2018?
Stefan Heiermann | Rechtsanwalt | Fachanwalt für Strafrecht
Vermutlich beinahe jeder/jede Zweite hat in letzter Zeit irgendwo den Begriff Datenschutz-Grundverordnung (kurz: DS-GVO) aufgeschnappt und sich vielleicht die Frage gestellt, was das eigentlich Mystisches sein mag. Die Frage ist berechtigt und entsprechende Aufklärung soll sicher niemandes Schaden sein. Vorab: Die DS-GVO betrifft die Rechte von Verbrauchern und die Pflichten, insbesondere von kleinen Unternehmen, freiberuflich Tätigen, wie z. B. niedergelassenen Ärzte sowie Vereinen und ähnlichen Organisationen etc., die unbedingt prüfen sollten, was sie diesbezüglich zu veranlassen haben um künftig keine Schwierigkeiten zu bekommen.
Wieso das? Nun, ab dem 25. Mai 2018 gilt in Deutschland die neue DS-GVO. Sie löst das deutsche Bundesdatenschutzgesetz ab und ist Teil eines dann mit gleichem Datum in der gesamten Europäischen Union geltenden neuen Datenschutzrechts, namentlich der „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“. Sie regelt den Umgang von Unternehmen und Behörden, aber zum Beispiel auch Vereinen, mit personenbezogenen Daten, die diese verarbeiten. Verbraucher spüren die Neuerung daher eher nicht, wohl aber die mit der Verordnung Verpflichteten.
Aber was bedeutet nun eigentlich „Verarbeitung personenbezogener Daten?“
Personenbezogene Daten sind zB. Namen oder physische, einem Menschen zuordbare Merkmale wie zB. Hautfarbe, Geschlecht etc.
Verarbeitet werden solche Daten immer dann, wenn sie ua. erhoben, gespeichert, verwendet, oder verknüpft werden. Thema der DS-GVO ist also, wie viele Daten über jeden einzelnen Verbraucher erhoben, verarbeitet, weiterverbreitet und kommerzialisiert werden und welche neuen Auskunfts-, Lösch- und Widerspruchsrechte, diese ab dem 25. Mai 2018 haben. Die Verbraucherposition im Umgang mit über sie gespeicherten Daten werden also gestärkt. Beispielsweise können Bürger bei Unternehmen nun anfragen, ob und falls ja, welche Informationen dort über sie gespeichert sind, auch für welchen Zweck und wie lange diese Daten gespeichert werden. Für die Unternehmen gibt es dann Fristen von maximal drei Monaten, um entsprechende Auskunft darüber zu geben. Andernfalls können die Verbraucher sich bei den Datenschutzbehörden, die die Einhaltung der Regeln kontrollieren, beschweren und dann drohen den Unternehmen Sanktionen.
Betreiber von Internetseiten müssen also künftig jeden Besucher, sofern ihre Seite nicht ausschließlich persönlichen oder familiären Zwecken dient – denn die Verarbeitung von personenbezogenen Daten für ausschließlich persönliche und familiäre Tätigkeiten fällt nicht in den Anwendungsbereich der DS-GVO – darüber aufklären, welche und zu welchem Zweck, sie personenbezogenen Daten die sie erheben und wie lange sie diese speichern. Ausgenommen von den Regeln der DSG-VO sind, um ein weiteres Beispiel zu nennen, auch die Daten von Strafverfolgungs- und Justizbehörden, sofern diese die Aufdeckung, Verfolgung oder Verhinderung von Straftaten betreffen. Solche Daten werden in der neuen EU-Richtlinie für den Datenschutz bei Polizei und Justiz geregelt. Schon wer in seinem Internetauftritt gleich wie Daten von Nutzern verarbeitet – ausreichend ist dabei bereits zB. wenn Nutzer im Rahmen von Kommentaren ihren Namen hinterlassen – dürfte von dem Geltungsbereich der DS-GVO erfasst sein.
Wie sehen die Strafen bei Verstößen aus? Bei geringen Verstöße drohen Verwarnungen und die Aufforderung, den Missstand alsbald zu beheben. Es können aber auch Bußgelder verhängt werden und zwar deutlich höhere, als die bislang nach dem Bundesdatenschutzgesetz vorgesehenen. Je nachdem wie schwer der Verstoß ist, bis zu 20 Millionen Euro oder bei Großkonzernen sogar bis zu vier Prozent von deren weltweitem Umsatz im vorangegangenen Geschäftsjahr.
Damit nicht genug sind im Lichte dessen diejenigen, die von der DSG-VO in die Pflicht genommen werden, gut beraten, ihre Internetseiten und das jeweilige dortige Impressum, der Verordnung schnellstens anzupassen, denn neben staatlichen Sanktionen können überdies auch noch kostenintensive Abmahnungen durch Mitbewerber in Haus stehen.
Vor dem Hintergrund der Komplexität der ab dem 25. Mai geltenden Neureglungen dürften jedenfalls die eingangs erwähnten „Verpflichteten“ gut daran tun fachkundigen und qualifizierten Rechtsrat einzuholen.
S. Heiermann
Rechtsanwalt & Avvocato
Fachanwalt für Strafrecht