DSGVO zwingt Unternehmen jetzt zum Handeln

Eigentlich ist das Spiel bekannt: Im Bestreben, wichtige Rechtsgebiete im Spannungsfeld zwischen Wirtschaft und Verbraucher zu harmonisieren, ersinnt die EU-Kommission in Brüssel ein Gesetz. Dieses durchläuft zahllose Beratungsschleifen und wird schließlich vom EU-Parlament verabschiedet. Danach bekommen die 28 Mitgliedstaaten eine Frist gesetzt, innerhalb derer sie diesen Beschluss in nationales Recht überführen müssen. Erst dann müssen sich Unternehmen in den einzelnen Ländern wirklich darum kümmern.

Bei der EU-Datenschutz-Grundverordnung läuft es anders. Die DSGVO ist kein Gesetz, sie ist eine Verordnung. Deshalb muss sie auch nicht in nationale Gesetze gegossen werden, sie tritt einfach in Kraft, und zwar am Freitag, den 25. Mai 2018, fünf Tage nach Pfingsten. Eine Übergangsfrist ist nicht vorgesehen.

Für Unternehmen, die digitale Daten verarbeiten oder verarbeiten lassen, tickt deshalb die Uhr: Wer bis zu diesem Datum seine Prozesse nicht in Einklang mit der DSGVO gebracht hat, könnte Ärger bekommen, und zwar sofort: Verstöße gegen den Datenschutz gelten in Deutschland als Wettbewerbsverstoß, und Abmahner wittern jetzt schon das große Geschäft. Deshalb ist proaktives Handeln jetzt wichtig.

Die DSGVO soll nicht weniger als den Datenschutz EU-weit harmonisieren. Dennoch enthält die Verordnung eine Reihe sogenannter Öffnungsklauseln, die einzelnen EU-Staaten die Anpassung an ihre nationalen Gegebenheiten erlauben. Sie können auch eigene, neue Datenschutzgesetze erlassen, solange sie der DSGVO nicht zuwiderlaufen. Exakt das hat Deutschland vor. Am 27. April 2017 hat der Bundestag den Regierungsentwurf eines neuen Bundesdatenschutzgesetzes angenommen. Das BDSG-neu, wie es ­unter Juristen griffig abgekürzt wurde, hat im Mai 2017 den Bundesrat passiert und wird am 25. Mai 2018 in Kraft treten - am selben Tag wie die EU-DSGVO.

Das neue Datenschutzgesetz ist erheblich umfangreicher als sein Vorgänger, es umfasst  statt bisher 48 künftig 85 Paragrafen. Es enthält für Unternehmen Erleichterungen, etwa bei der Video-Überwachung von öffentlich zugänglichen Räumen, aber auch Verschärfungen, etwa im Bereich der Verarbeitung personenbezogener Daten. 

Nach Ansicht von Anwälten wie Sabine Heukrodt-Bauer ist der Gesetzgeber bei der Umsetzung der EU-Vorgabe in nationales Recht an vielen Stellen über das Ziel hinausgeschossen, viele Regelungen seien nicht mehr von den Öffnungsklauseln gedeckt. "Es ist davon auszugehen, dass sich die Gerichte mit den Regelungen zu befassen haben", prognostiziert die Juristin von der Kanzlei Res Media aus Mainz: "Dabei wird gegebenenfalls die ­eine oder andere Regelung des BDSG-neu wieder kippen."

Für Unternehmen bedeutet das dennoch keine Entwarnung. Sie sollten sich jetzt schon auf die umfangreichen Neuregelungen einstellen und möglichst bald mit deren Umsetzung und der Überprüfung der eigenen Prozesse beginnen.  

Besonders gravierend fallen die Änderungen bei der Erfassung von personenbezogenen Daten aus. Die Grundverordnung enthält eine Reihe von Paragrafen, die das Sammeln von Daten nur auf Fälle beschränken sollen, die klar nachvollziehbar und sachgemäß sind. Die Grundsatzliste im Verordnungstext enthält Begriffe wie "Treu und Glauben" und "Rechtmäßigkeit". Geht es nach dem Willen der EU-Kommission, dann sind die Zeiten des ­Datensammelns "bis der Arzt kommt" bald Geschichte. 

Zudem erhalten Nutzer umfangreiche Informationsrechte. Sie haben ein Recht zu erfahren, welche Daten über sie gespeichert wurden und warum dies geschah. ­Außerdem können sie eine ­Löschung ihrer Daten verlangen. Das viel diskutierte "Recht auf Vergessenwerden" wurde im der DSGVO ausdrücklich implementiert.

Für Unternehmen bedeutet dies erst in zweiter Linie einen Verlust an unternehmerischen Freiheiten. Viel gravierender ist die unmittelbare Notwendigkeit, für das Sammeln von personenbezogenen Daten Dokumentationsprozesse zu etablieren, um im Zweifel den Nachweis führen zu können, dass ein Datensatz im Einklang mit den einschlägigen Gesetzen erhoben wurde. Ebenso müssen Kommunikationsroutinen im Unternehmen aufgebaut werden, um Anfragen über gespeicherte Daten abarbeiten zu können, ohne dass es die Organisation sprengt.

Auf der Kippe stehen zudem Datenbestände, die in der Vergangenheit erhoben wurden und zu denen keine saubere Dokumentation vorliegt. Vor allem kleinere Unternehmen könnten mit der Lösung dieser Aufgaben an ihre Grenzen stoßen. Die einfachste und sicherste Lösung wäre gleichzeitig auch die verheerendste: einfach alle Kundendaten löschen, zu denen man keine rechtlich einwandfreie Dokumentation vorliegen hat. Und was, wenn es sich dabei um drei Viertel der Kundendateien handelt? 

Ein Ausweg könnte sein, seine Kunden um eine erneute Zustimmung zum Kontakt zu bitten - natürlich per Double-Opt-in - und diese dann sauber zu protokollieren.

Eine besondere Fußangel hält die DSGVO im Artikel 7 Absatz 4 bereit, das sogenannte Koppelungsverbot. Demnach darf ein Website-Betreiber die Erfüllung eines Auftrags nicht davon abhängig machen, dass ihm der Kunde Daten überlässt, die zur Abwicklung des Vertrags nicht wirklich notwendig sind. Mögliches Beispiel: Ein Nutzer bestellt einen E-Mail-Newsletter und muss dabei im Anmeldeformular seine Postadresse angeben. In den Augen des Gesetzgebers dürfte künftig fraglich sein, ob diese Daten wirklich freiwillig übermittelt wurden - schließlich benötigt der Anbieter keine Postanschrift, um eine E-Mail zu verschicken. 

Die technische Lösung ist im Grunde einfach: personenbezogene Daten, die der Nutzer freiwillig geben kann, einfach mit einem entsprechenden Hinweis versehen. Doch was macht man mit Hunderttausenden mühsam angereicherten Kundenprofilen, bei denen nicht nachvollziehbar ist, wie die Daten erhoben wurden?

Auch im Bereich des User-Trackings zieht die EU die Daumenschrauben an - und schafft damit in den Augen des BVDW "nichts anderes als das Ende des werbefinanzierten Internets". In einem Positionspapier zur geplanten E-Privacy-Richtlinie verweist der Verband darauf, dass eine generelle Zustimmungspflicht des Nutzers zur Annahme von First-Party-Cookies zwar die Zahl der Pop-up-Fenster erhöhen würde, nicht aber notwendigerweise den Datenschutz. Besonders ärgerlich aus Sicht des BVDW ist dabei der EU-Plan, Webbrowser künftig per default so ausliefern zu lassen, dass sie Third-Party-Cookies ablehnen, die nicht vom Seitenbetreiber selbst gesetzt werden. 

Damit, so argumentiert man in Düsseldorf, seien die Anbieter im Vorteil, die über eine große Zahl von First-Party-Cookies verfügen. Für andere Akteure fiele dann beispielsweise die Cookie-basierte Nutzung von Analysetools weg: "Kein Webseitenbetreiber (etwa ein Blog) hat die personellen oder wirtschaftlichen Ressourcen, Reichenweiten oder die Auslieferungsqualität für Inhalte zu messen." Dafür, so heißt es in dem Positionspapier, gebe es einen ganzen Markt von Anbietern in der digitalen Wirtschaft. Die neue Regulierung habe zur Folge, dass diese Reichweitenmessungen mangels Kontakt zum Nutzer unterbleiben müssten. Schlechte Zeiten also für die Agof und die IVW.

Eine deutsche Eigenheit bleibt voraussichtlich auch im neuen Datenschutz­gesetz erhalten: der betriebliche Datenschutzbeauftragte. Künftig muss ihn jedes Unternehmen bestellen, wenn eine genügend hohe Zahl an Personen mit der manuellen oder automatisierten Bearbeitung von personenbezogenen Daten beschäftigt ist. Zwingend vorgeschrieben ist ein Datenschutzbeauftragter in Unternehmen, bei denen die Bearbeitung der Daten mit einem besonders hohen Risiko für die Betroffenen verbunden ist. 

Demzufolge müssten Arztpraxen die Verarbeitung ihrer Patientendaten entweder komplett auslagern oder einen Datenschutzbeauftragten bestellen. Bei der Auslagerung in die Cloud sind neue Bestimmungen zu beachten, soweit die Bearbeitung in der EU stattfindet. Jens Eckhardt vom Eco-Verband verweist darauf, dass auch Altver­träge den neuen Gesetzen genügen müssen, sie müssen deshalb auf jeden Fall ­geändert werden. 

Den Aufsichtsbehörden - in der Regel sind das die Datenschutzbeauftragten in den einzelnen Bundesländern - billigt der neue Verordnungsrahmen mehr Durchgriffsmöglichkeiten zu. So sieht die DSGVO vor, dass Unternehmen bei gravierenden Datenlecks die Aufsichtsbehörde binnen 72 Stunden informieren müssen. Auch die Strafen, die die ­Datenschützer verhängen können, sind gesalzen. Lagen die bisher möglichen Höchststrafen bei Datenschutzvergehen bei 300.000 Euro pro Fall, soll sich der Rahmen zukünftig an dem orientieren, was bei Kartellrechtsverstößen üblich ist. 

Die bisherigen Entwürfe sehen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. Es bleibt abzuwarten, wie die Berechnungsgrundlage dazu aussehen wird. Bei einem digitalen Großkaliber wie Axel Springer entsprechen vier Prozent vom Jahresumsatz rund 132 Millionen Euro, bei Google wären es weltweit schon knapp drei Milliarden Euro. 

Angesichts der verschärften Richtlinien für die Einwilligung der Nutzer zur Verarbeitung ihrer persönlichen Daten und der härteren Gangart bei Cookies und Tracking könnte Google nach der Neuregelung des europäischen Datenschutzes zu den großen Gewinnern gehören, genauso wie Facebook oder ­Apple. Die US-Konzerne setzten auf ein einheitliches Kunden-Login für alle angebotenen Dienste. Das Tracking innerhalb ihrer "Walled Gardens" macht ihnen auch die DSGVO nicht streitig. Und mit einem Android-Marktanteil von weit über 75 Prozent am Smartphone-Markt schafft Google die Voraussetzung dafür, dass ­seine Nutzer sich nicht nur brav anmelden, sondern es auch bleiben.

Zeitgleich mit der DSGVO tritt auch eine neue E-Privacy-Richt­linie in Kraft, die die Privatsphäre der Nutzer effektiver schützen soll. Nach dem derzeit geltenden Entwurf sind nach ihr nur noch First-Party-Cookies einsetzbar, die der Seitenbetreiber selbst setzt und ausliest. Ohne Genehmigung dürfen dabei nur Cookies eingesetzt werden, die anonyme Daten liefern, zum Beispiel Zugriffszahlen. Für die Erfassung personenbezogener Merkmale soll die explizite Genehmigung durch den Nutzer erforderlich sein. Die Nutzung von Third-Party-Cookies, die von fremden Diensten gesetzt und ausgelesen werden, soll durch die Richtlinie quasi ausgeschlossen werden, was für viele Seitenbetreiber die Monetarisierung ihrer Seiten infrage stellt.

Internet-Browser sollen zukünftig per Default ein Tracking ausschließen, also der Website mitteilen, dass sie kein Tracking der Session wünschen. Adblocker bleiben erlaubt, Techniken zur Sperrung von Websites für Adblocker-Nutzer allerdings auch.

Eine abschließende Fassung der E-Privacy-Richtlinie liegt noch nicht vor - Betroffene sollten die aktuelle Entwicklung aufmerksam verfolgen.

Die DSGVO gilt für jeden, der personenbezogene Daten von EU-Bürgern verarbeitet oder verarbeiten lässt - die Speicherung in einer Cloud oder die Verarbeitung mit einer SaaS-Lösung gehört ­dazu. Wer Daten von EU-Bürgern außerhalb der EU verarbeiten lässt, muss dafür Sorge tragen, dass auch dabei die EU-Datenschutzgrundsätze eingehalten werden. 

Unternehmen, die mit externen Datenpartnern innerhalb der EU zusammenarbeiten, müssen ihre ADV-Verträge anpassen. Anders als bisher ist nur noch ein Auftrag zur Datenverarbeitung erforderlich, die Verarbeitung muss nicht mehr weisungsgebunden sein. Und: Nicht mehr der Auftraggeber allein haftet, auch für den Dienstleister gelten jetzt gesetzliche Pflichten.

Bei einer Datenverarbeitung ­außerhalb der EU sollten Unternehmen die EU-Standardvertragsklauseln oder Binding Corporate Rules nutzen, die von den Aufsichtsbehörden genehmigt wurden. Diese gelten, seit im Sommer 2016 das EU-US-Privacy-Shield-Abkommen geschlossen wurde. Wichtig: Für dieses Abkommen gibt es derzeit noch keinen Nachfolger, deshalb müssen entsprechende Verträge nicht geändert werden. Dies kann sich aber jederzeit ändern, deshalb sollten betroffene Unternehmer die Entwicklung aufmerksam verfolgen.

Eie Überlegung wert ist es, bei Cloud-Lösungen auf eine wirksame Verschlüsselung zu achten.