Sind Sie bereit für das neue Datenschutzrecht?

Zum 25. Mai dieses Jahres ist es soweit. Zu diesem Stichtag werden das aktuell noch geltende deutsche Datenschutzrecht, aber auch die datenschutzrechtlichen Vorgaben in den Rechtsordnungen der anderen EU-Mitgliedstaaten, durch das einheitliche, unmittelbar anzuwendende Recht der DSGVO ersetzt. Das nationale Datenschutzrecht ist dann über Nacht praktisch nicht mehr anwendbar – entweder, weil es durch den Gesetzgeber außer Kraft gesetzt wird oder wegen des Anwendungsvorrangs der DSGVO.

Fakt ist, dass die DSGVO keine radikalen Änderungen bringen wird. An den Grundprinzipien ändert sich nichts, vielmehr gilt hier: Der Teufel steckt im Detail. Ausgangspunkt auch des künftigen Datenschutzrechts ist weiterhin das sogenannte Verbotsprinzip, nachdem der Umgang mit personenbezogenen Daten grundsätzlich untersagt ist, es sei denn, der Verarbeiter der Daten kann eine Einwilligung des Betroffenen vorweisen oder eine gesetzliche Erlaubnis für sich in Anspruch nehmen.

Das bislang noch gültige deutsche Recht kennt die gesetzliche Erlaubnis für zahlreiche Verarbeitungssituationen in detaillierter Form, teilweise auch differenziert nach On- und Offline-Sachverhalten. Anders wird dies bei der DSGVO: Eine an spezifischen Verarbeitungssituationen ausgerichtete Regelungsmechanik sucht man hier vergebens. Der Rechtsanwender wird lediglich auf überaus abstrakte Erlaubnistatbestände verwiesen, einschließlich des damit verbundenen Risikos von Fehlinterpretationen. Welche Datenarten etwa in ein Werbescoring einfließen dürfen, wie risikobasierte Zahlartensteuerung im Checkout künftig ausgestaltet sein muss oder ob die Lead-Generierung über Gewinnspiele nach der DSGVO überhaupt noch möglich ist, sind größtenteils ungeklärte Fragen. 

Die Details beachten

Man kann an diesem Punkt feststellen, dass sich für diejenigen, die sich bislang schon weitestgehend an die datenschutzrechtlichen Rahmenbedingungen gehalten haben, keine nennenswerten neuen Probleme auftun werden. Vieles ist bekannt. So sind entgegen häufig zu lesender Meldungen beispielsweise Art und Umfang der nach der DSGVO einzuhaltenden Compliance-Pflichten mit denen nach aktuellem Recht in vielen Punkten identisch. Betroffenenrechte waren auch schon bisher einzuhalten, in annähernd demselben Umfang wie fortan nach der DSGVO.

Und auch mit Blick auf die erwähnte Rechtsunsicherheit lassen die ersten vorsichtigen Verlautbarungen der Aufsichtsbehörden durchaus die vorsichtige Erwartung zu, dass die meisten Datenverarbeitungen, die auf Grundlage des bislang geltenden deutschen Rechts durchgeführt werden durften, auch unter der DSGVO Bestand haben werden. Die typischerweise zu Beginn eines jeden DSGVO -Projekts durchzuführende GAP-Analyse dürfte damit vermutlich keinen allzu großen Aufwand erfordern.

Dennoch sollten gerade Onlinehändler die praktischen Implikationen der neuen Rechtslage in ihren Einzelheiten genau prüfen, da gerade diese Branche verstärkt im Fokus steht für Abmahnungen oder aufsichtsbehördliche Sanktionen. Ein Aufruf der Webseite genügt, um die Einhaltung der gesetzlichen Informationspflichten in der Datenschutzerklärung und den ordnungsgemäßen Einsatz von Tracking- und Targeting-Technologien zu prüfen oder – über eine nicht nur von IT-Spezialisten leistbare – Quelltextanalyse nachzuvollziehen, ob im Hintergrund Daten abfließen, etwa beim Einsatz von Social Plug-ins. Kurz gesagt: Das Frontend muss sauber sein.

Proaktive Informationen

Hinsichtlich Art und Umfang der proaktiv zu erteilenden Informationen hält die DSGVO einen umfangreichen Katalog bereit. Worüber ein Unternehmen proaktiv informieren muss, weiß es aber nur dann, wenn alle Teilprozesse bekannt und definiert sind. In einem vorgelagerten Schritt muss also – sofern nicht ohnehin der Fall – ein vollständiger Überblick über sämtliche Datenverarbeitungsverfahren und alle eingeschalteten Dienstleister geschaffen werden. Dieser Schritt ist nicht nur notwendige Voraussetzung für die Einhaltung von gesetzlichen Informationspflichten und anderen Betroffenenrechten. Vielmehr erfährt der Stellenwert von Dokumentation an sich durch die DSGVO eine deutliche Aufwertung, was bedeutet: Datenschutz wird unter der DSGVO mehr denn je zu Paperwork. Fehlt es beispielsweise an der oben genannten Aufstellung, stellt dies künftig einen sanktionierbaren Verstoß gegen die Verordnung dar mit einem Bußgeldrahmen von bis zu 20 Mio. Euro pro Einzelfall.

Kunden, die sich schlecht oder ungerecht behandelt fühlen, sind erfahrungsgemäß das zweite typische „Einfalltor“ für ein Einschreiten der Datenschutzaufsicht. Schon bislang und erst recht vor dem Hintergrund der DSGVO lohnt es sich also, auch mit Blick auf die Einhaltung der zahlreichen Betroffenenrechte gut vorbereitet zu sein. Das bedeutet zum Beispiel konkret: Werden Sie Auskunftsersuchen Ihrer Kunden ab dem 25. Mai 2018 „unverzüglich“, d. h. ohne „schuldhaftes Zögern“ beantworten können? Wissen Sie, welche Daten von einem solchen Auskunftsersuchen erfasst sind? Und wie planen Sie, das neu eingeführte Recht auf Datenportabilität in der Praxis umzusetzen? Entscheidend dürfte auch an dieser Stelle sein, dass für jedes einzelne Betroffenenrecht ein klarer Prozess unter Zuweisung eindeutiger Zuständigkeiten im Unternehmen geschaffen wird. Ist dies der Fall, werden nicht nur die Kunden befriedet, sondern auch die Behörden auf Distanz gehalten.

Unabhängig davon, welcher Stellenwert dem Datenschutz bislang in einem Unternehmen beigemessen wurde: Sich mit dem neuen Recht zu befassen und zumindest die Basics im Griff zu haben, ist unumgänglich. Noch bleibt Zeit, sich vorzubereiten.

Foto: Fotolia/BirgitKorber

Weitere Informationen: www.bevh.org