DSGVO 2020 – kompakt zusammengefasst

Die Datenschutzgrundverordnung ist seit 25. Mai 2016 in Kraft getreten, die DSGVO 2020 also nach wie vor aktuell. Während zu Beginn das Interesse (gefühlt) gering war, wurden 2018 Ängste geschürt. Der Grund: die Anwendung der DSGVO war ab dem 25. Mai 2018 verpflichtend. Der Tod des Internets wurde bereits verkündet aber ganz so schlimm kam es dann doch nicht.

Sicherheit

Seit dem in Kraft treten 2016 sind ziemlich genau vier Jahre vergangen. Zeit, in der sich auch die Gerichte mit der DSGVO befasst haben. In vielen Punkten herrscht nun Klarheit. Die Angst vor Klagen und Insolvenzen war zum Glück unbegründet. Heute lässt sich aus dem Gesichtspunkt der Risikobetrachtung deshalb sagen, dass die DSGVO 2020 weitaus weniger Angst verbreitet als dies 2018 noch der Fall war. ▶︎ Internet Recht – für 5 EUR pro Monat

Positive Auswirkungen der DGSVO:

1. Grundsätzlich lässt sich feststellen, dass in den vergangenen Jahren der Datenschutz an Bedeutung gewonnen hat. Die massive Überwachung durch Google und Facebook wurden somit in die Schranken gewiesen.
2. Für Privatpersonen besteht nun ein Auskunftsrecht. Firmen müssen die gespeicherten, personenbezogenen Daten jederzeit offen legen können.
3. Es besteht nun Sicherheit, die Ausgestaltung der DSGVO 2020 ist weitaus klarer als dies zu Beginn der Fall war.
4. Die befürchteten Klagewellen sind ausgeblieben.

Negative Auswirkungen der DGSVO:

1. Seitenbesucher fühlen sich von Cookie-Hinweisen und PopUps genervt.
2. Das Auskunftsrecht bedeutet für den Betreiber einer Firmenwebsite zusätzlichen, technischen Aufwand.
3. Firmen ab 9 Mitarbeitern benötigen einen Datenschutzbeauftragten. Für örtliche Handwerker eine kaum lösbare Aufgabe.
4. Firmen ab 25 Mitarbeitern müssen ein Datenregister führen. Es besteht jedoch die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.

Wer ist von der DSGVO betroffen?

Die Datenschutzverordnung gilt grundsätzlich für alle Unternehmer. Egal ob Kleingewerbe, Freelancer, Mittelstand oder Großkonzern – die DSGVO 2020 betrifft wirklich jedes Unternehmen, sobald eine der folgenden Aktionen ausgeführt wird:

• Speichern von Kundendaten (“Kundendatei”)
• Versand von Newslettern
• Werbung auf Google oder Facebook
• Eine eigene Firmenhomepage

Zusätzlich ist der Sitz des Unternehmens maßgeblich. Die DSGVO 2020 gilt für

• alle Unternehmen die in der EU niedergelassen sind.
• Ausländische Unternehme, die eine Niederlassung in der EU betreiben aber auch für
• Ausländische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten.

Dem Gesetzgeber waren vor allem die letzten beiden Punkte wichtig. Hiermit wollte man gezielt verhindern, dass der Sitz in einer Steueroase oder in Übersee als Schlupfloch genutzt werden. Der Schutz der personenbezogenen Daten der EU Bürger steht also tatsächlich im Mittelpunkt. Es ist deshalb wichtig, die Personenbezogenen Daten im Sinne der DSGVO zu verstehen. So ist zum Beispiel ein Besucherzähler auf der Website kein Problem so lange dieser lediglich die Anzahl der Besucher speichert und keine weiteren Daten über den einzelnen Besucher. Auch ein Zähler an der Eingangstür der Bäckerei ist in Ordnung, eine Kamera hingegen nicht.

Personenbezogene Daten im Sinne der DSGVO sind:

• Name / Vorname
• Anschrift / Standortdaten
• Email Adresse
• Telefon- / Handynummer
• IP Adresse
• Cookies
• Kfz Kennzeichen
• Ausweis Nummer / Personalnummer
• Geburtstag
• Kontodaten
• Daten, die Rückschluss auf eine spezifische Person ermöglichen

Vereinfacht lässt sich also festhalten: Personenbezogene Daten im Sinne der DSGVO sind Informationen, die sich auf eine einzelne, identifizierbare Person beziehen. Technisch wird eine solche Identifizierung meist über Nummern gelöst, eine Ausweis Nummer, die Sozialverisicherungsnummer in den USA oder die Personalnummer eines Mitarbeiters etwa. Bei Websitebesuchern ist die IP-Adresse das Identifikationsmerkmal. Sobald Sie ein solches Merkmal speichern möchten, müssen Sie zuvor den betroffenen Menschen um Erlaubnis bitten. Die Erlaubnis kann jederzeit widerrufen werden. Im Falle des Widerrufs müssen Sie auch technisch in der Lage sein, die Daten zu löschen.

Die wichtigsten Fakten zur Datenschutzgrundverordnung

• Datensparsamkeit ist angesagt. Als Unternehmer dürfen Sie deshalb nur Daten erheben und verarbeiten, die tatsächlich konkret benötigt werden.
• Datensparsamkeit ist angesagt. Als Unternehmer dürfen Sie deshalb nur Daten erheben und verarbeiten, die tatsächlich konkret benötigt werden.
• Zweckbindung: das bedeutet, dass gesammelte Daten nur für den Zweck genutzt werden dürfen, für den sie erhoben wurden. Weiterverkauf ist nicht zulässig.
• Datensicherheit: Sie sind für die Daten, die sie speichern, verantwortlich. Das bedeutet, Sie müssen geeignete Maßnahmen ergreifen, um die personenbezogenen Daten vor dem Zugriff Dritter zu schützen.
• Recht auf Vergessenwerden – auch Recht auf Löschung genannt. Hierbei gilt, dass die Einwilligung zur Speicherung widerrufen werden kann. Die gespeicherten Daten müssen deshalb jederzeit löschbar sein. Das klingt einfach, stellt aber viele Unternehmen vor große Herausforderungen. Etwa dann, wenn Kundendaten in vielen Sub-Systemen parallel verarbeitet werden. Details hierzu finden sich in Artikel 17 DSGVO.
• Auskunftsrecht – jeder EU Bürger hat deshalb das Recht, jederzeit Auskunft über die gespeicherten Daten zu erhalten. Auskunftsrecht Artikel 15 DSGVO 
• Es gilt das Verbot mit Erlaubnisvorbehalt. Das bedeutet, die Verarbeitung und Nutzung der  Daten ist grundsätzlich verboten. Speichern und Verarbeitung personenbezogener Daten ist nur zulässig, wenn dies
  • ein Teilgesetzt der DSGVO zulässt,
  • das BDSG die Speicherung geststattet oder
  • die Einwilligung der betroffenen Person vorliegt. Widerspruchsrecht DSGVO

Als Unternehmer unterliegen Sie der Rechenschaftspflicht. Sie müssen deshalb jederzeit nachweisen können, dass Sie den Vorgaben der Datenschutzgrundverordnung nachgekommen sind. Zu den Lösungen des DSGVO gehört also, dass Sie die Gesetze kennen und entsprechend beachten.

Risiko DSGVO Schadensfall

Eins vorweg: wir sind Techniker. Sachverhalte betrachten wir nüchtern und objektiv. Der Artikel ist deshalb auch keine Rechtsberatung sondern eine Zusammenfassung eines komplexen Themas.  Hierfür haben wir Recherchiert und die Rechtstexte der DSGVO gründlich studiert. Fakten waren es also, die zu diesem Artikel hier geführt haben. Interessant dabei ist, dass wir bei unserer Recherche keine nennenswerten Verurteilungen finden konnten. Natürlich gab es die ein oder andere Klage bei der auch die DSGVO zu Hilfe gezogen wurde. Wirkliche Verurteilungen mit hohen Strafen konnten wir hingegen nur in zwei Fällen ausmachen:

• Der Internetanbieter 1&1 wurde zu einer Strafe von 9,5 Millionen verurteilt. Anrufer konnten durch die Nennung von Namen + Geburtsdatum weitreichende Informationen über Dritte erfragen. Diese Praxis war ein Risiko für den gesamten Kundenbestand und wurde deshalb angeklagt. Artikel
• Einen zweiten DSGVO Schadensfall gab es bei einem Telefonanbieter in Österreich. Anrufer wurden ohne Einwilligung permanent von Callcentern angerufen. Auch hier wurde eine Millionenstrafe verhängt.

Beide Fälle richten sich an große Konzerne. In beiden Fällen lag eine gravierende Datenschutzlücke vor. Gemessen an der Anzahl der Unternehmen in Deutschland und Österreich fällt die Bilanz also gering aus. Aus dem Aspekt der Risikobetrachtung erscheint das Risiko einer DSGVO Klage gering. Einen echten DSGVO Schadensfall zu erleiden ist sogar weitaus unwahrscheinlicher. Jedenfalls sind uns keine Fälle bekannt, bei denen mittelständische Unternehmen oder gar Freelancer verurteilt wurden.

Klage nach DSGVO Schadensfall

Woran liegt es, dass es innerhalb von vier Jahren keine nennenswerten Fälle gibt? Wie kann ein Gesetzt, welches einen medialen Sturm ausgelöst hat, juristisch derart unauffällig sein?

Der Grund liegt in der Ausgestaltung. Nach Art. 82 Abs. 1 hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz. Der Anspruch richtet sich gegen den Verantwortlichen – unabhängig davon, ob dieser den Schaden selbst verursacht hat. Ein solcher Anspruch setzt jedoch einen konkreten Schadensnachweis voraus. Dies entschieden die Richter des AG Bochum. Der Geschädigte muss deshalb belegen, dass ihm ein echter Schaden entstanden ist. Lediglich die theoretische Möglichkeit, dass ein Schaden hätte entstehen können, reicht nicht für einen DSGVO Schadensfall. Das bedeutet, dass zunächst der Kläger beweisen muss, dass ein DSGVO Verstoß vorliegt und ihm hieraus ein Schaden entstanden ist.

Fazit zur DSGVO 2020

Das Gesetzt ist richtig und wichtig. Ebenso wichtig ist die Einhaltung der gesetzlichen Vorgaben. Panik oder Angst vor Klagen sind jedoch nicht anzuraten. Die bisherigen DSGVO Schadensfälle sind überschaubar, weil der Kläger in der Nachweispflicht ist. Wir bieten dennoch den Baustein Internet Recht für alle Unternehmer. Der Preis liegt bei 5 EUR pro Monat. Hierfür erhalten Sie

• 24/7 Zugriff auf Videokurse.
• Lösungen und Vorschläge zum Umgang mit DSGVO
• Einladungen zu Webinaren mit den Fachanwälten für Internet Recht 
• Bücher zum Thema Datenschutz