UNSERE TIPPS ZUR DSGVO


Es sind nur noch wenige Tage, bis am 25. Mai 2018 die neue Datenschutz-Grundverordnung (DSGVO) wirksam wird. Dann gelten neue Spielregeln im Umgang mit personenbezogenen Daten. Die DSGVO hat Auswirkungen auf alle Unternehmen und Unternehmensbereiche.

DSGVO: Was ist das eigentlich?

Mit der DSGVO hat der europäische Gesetzgeber einen neuen Rechtsrahmen geschaffen, der EU–weit einheitliche Regelungen schaffen soll und der gleichermaßen für alle Unternehmen gilt, die personenbezogene Daten von EU–Bürgern verarbeiten.

Was sind personenbezogene Daten?

Die DSGVO wird immer dann anwendbar sein, wenn es um die Verarbeitung personenbezogener Daten geht. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung, identifiziert werden kann.

Entscheidend ist demnach allein die Möglichkeit der Identifizierung. Es handelt sich nach der DSGVO also auch dann um personenbezogene Daten, wenn zwar nicht das datenverarbeitende Unternehmen selbst, aber ein Dritter die Möglichkeit zur Identifizierung hat. Die DSGVO hat damit ein weiteres Begriffsverständnis als das momentan geltende Datenschutzrecht und wird auch etwa IP-Adressen und Cookies als personenbezogene Daten erfassen.

Für die tägliche Praxis bedeutet dieses den Personenbezug von Daten im Zweifel eher zu bejahen als zu verneinen, da nahezu jede Information als personenbezogenes Datum definiert werden kann.

Was gilt ab dem 25. Mai konkret?

Die DSGVO wird das Prinzip „Verbot mit Erlaubnisvorbehalt“ beibehalten. Auch zukünftig ist also jegliche Datenverarbeitung verboten. Die DSGVO differenziert nicht nach unterschiedlichen Nutzungszwecken oder Datenkategorien, sondern hält für alle Datenverarbeitungen bestimmte Erlaubnistatbestände bereit. Zum Beispiel die Einwilligung der betroffenen Person, die Erfüllung eines Vertrages oder die Wahrung überwiegender berechtigter Unternehmensinteressen.

Nach den Vorstellungen des Gesetzgebers kann Direktwerbung ein berechtigtes Interesse des werbenden Unternehmens darstellen. Ob und wann dieses Werbeinteresse aber die Interessen oder Rechte des Werbeempfängers überwiegt, ist stets eine Frage des Einzelfalls. Hierbei geht es um die vernünftigen Erwartungen der betroffenen Person und ihre Beziehung zum Verantwortlichen. Wo genau hier die Grenzen verlaufen werden, ist momentan nicht rechtssicher vorherzusagen.

Die Einwilligung der betroffenen Person wird daher auch weiterhin wichtiges Erlaubniskriterium bleiben.

Vieles ist derzeit noch unklar und wird sich erst im Laufe der nächsten Monate und Jahre geraderücken. Trotz dieser Unwägbarkeiten müssen sich alle Unternehmen mit der DSGVO auseinandersetzen und ihre Prozesse anpassen. Je mehr sie bereits nach aktuellem Stand rechtskonform agieren, umso geringer ist der Umstellungsaufwand.