DSGVO kompakt: Das gilt in 2020

Die heute gültige Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft. Mit ihr wurden wichtige datenschutzrechtliche Grundlagen festgelegt, die das bis dahin gültige Bundesdatenschutzgesetz aufhoben. Die datenschutzrechtlichen Grundlagen betreffen den Umgang von Betrieben mit gespeicherten personenbezogenen Daten. Das betrifft nicht nur das Speichern, sondern auch das Nutzen und Verbreiten dieser Daten.

Was ist die Datenschutzgrundverordnung (DSGVO) und was regelt sie?

Auch gewisse Auskunftsrechte sind in dem Gesetz geregelt. So sind Unternehmen beispielsweise dazu verpflichtet, Kunden auf Anfrage Auskunft darüber zu geben, wie ihre Daten im Unternehmen gespeichert und gegebenenfalls auch weitergegeben werden. Diese personenbezogenen Daten können Namen, Geburtstage, Telefonnummern und Adressen sein. Aber auch digitale Datensätze, wie IP-Adressen und Nutzernamen gehören dazu.

Dieser Ratgeber-Artikel dient als Einstieg in die aktuell geltende Datenschutzgrundverordnung und gibt Ihnen einen Überblick darüber, inwiefern Ihr Unternehmen sich an die Anforderungen anpassen sollte und womit Sie am besten anfangen.

Bitte beachten Sie, dass Sie für die Umsetzung der Verordnung selbst verantwortlich sind. Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

Datenschutzgrundverordnung in 2020

Wie betrifft die DSGVO kleine Betriebe und Unternehmen?

Das Gesetz betrifft schon kleinste Betriebe, die über eine kleine Datenbank mit Kundendaten verfügen. Bei den Daten kann es sich bei Geburtstagen und Nachnamen um vertrauliche Daten handeln, die unter die DSGVO fallen. Grundsätzlich dürfen Betriebe diese Daten sammeln, sofern sie für die Entstehung des Kundenverhältnisses notwendig sind oder wegen gesetzlicher Vorgaben gespeichert werden müssen. Beispiel: Ein E-Business darf die Daten der Kunden zu Garantiezwecke sowie Finanznachweisen speichern. Ebenso dürfen Vergabestellen im Zuge der eVergabe die eingehenden Angebote sowie Daten der Bieter speichern, um die Angebote zu vergleichen.

Wie vertraulich sind die gespeicherten Daten?

Regel Nummer 1 der DSGVO im Umgang mit persönlichen Daten ist, dass sie unter keinen Umständen an Dritte weitergegeben werden dürfen. Auch darf zu bereits gespeicherten Daten lediglich eine Person aus dem Betrieb Zugriff haben, dies trifft etwa auf den ausführenden Handwerker zu oder ein bearbeitender Sachbearbeiter nach einem Kauf eines Produktes auf einer E-Marketplaces-Plattform. Dabei untersteht er einem Datengeheimnis. Er hat also sowohl während des Kundenverhältnisses als auch danach eine Schweigepflicht über die erhobenen Daten.

Außerdem dürfen die Daten in der Regel nur so lange gespeichert werden, bis der Auftrag und somit das Kundenverhältnis erledigt ist. Sollten die Daten länger gespeichert werden, muss der Kunde darüber informiert werden und es bedarf einer schriftlichen Genehmigung.

Welche Auskunftsrechte gelten und wer kann davon Gebrauch machen?

Betroffene Personen haben nach Art. 15 Abs. 1 DSGVO das Recht, bei einem Unternehmen anzufragen, ob eigene personenbezogene Daten vorliegen und im Unternehmen verarbeitet werden. Dieser Prozess gliedert sich in zwei Stufen. So muss der Verantwortliche (das Unternehmen) zunächst prüfen, ob überhaupt personenbezogene Daten des Auskunftssuchenden verarbeitet werden. Die betroffene Person muss darüber informiert werden, ob das der Fall ist oder nicht. Die zweite Stufe besteht darin, den betroffenen darüber aufzuklären, welche Daten über ihn wie verarbeitet werden. Das Auskunftsrecht umfasst Angaben über:

  • Verarbeitungszwecke der personenbezogenen Daten
  • Empfänger und Kategorie der Empfänger
  • Speicherdauer und Kriterien der Festlegung
  • Angaben zur Herkunft der Daten, falls diese nicht bei der Person selbst erhoben wurden
  • Informationen zu den Betroffenenrechten bei Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Verarbeitungsvorgänge bei Weitergabe der Daten an Dritte

Die Auskunft kann gemäß Art. 12 Abs. 1 Sätze 2 und 3 DSGVO entweder schriftlich, elektronisch oder mündlich erfolgen. Die Frist, in der die Auskunft erfolgen muss, liegt außerdem bei höchstens einem Monat. Grundsätzlich gilt, dass die Auskunft unverzüglich erfolgen muss. Länger als einen Monat darf sich das Unternehmen nur in begründeten Ausnahmefällen Zeit lassen.

Die Auskunftsleistung erfolgt unentgeltlich. Lediglich bei angeforderten Kopien oder Dokumenten können Verwaltungskosten verlangt werden. In Ausnahmefällen kann der Verantwortliche einen Auskunftsantrag außerdem verweigern. Das ist zum Beispiel bei unbegründeten oder exzessiven Anträgen der Fall.

Wann und warum sind Einverständniserklärungen notwendig?

Grundsätzlich legt die DSGVO fest, dass keine personenbezogenen Daten ohne Benachrichtigung und Einwilligung der betroffenen Personen weitergegeben werden dürfen. Das fängt beispielsweise schon damit an, dass im Betrieb ein Kalender mit allen Geburtstagen der Angestellten im Betrieb aushängt. Da hierdurch im Prinzip schon private, personenbezogene Daten weitergegeben werden, muss von allen betroffenen Angestellten vorher eine schriftliche Einwilligung vorliegen. Das gleiche gilt auch für interne Adress- und Telefonbücher.

Werden personenbezogene Daten länger zur Verarbeitung oder zu Werbezwecken behalten, als vereinbart, muss der Betroffene darüber informiert werden und auch hier sein schriftliches Einverständnis geben. Hier reicht keine kurze Benachrichtigung – es bedarf einer ausführlichen Erklärung darüber, welchem Zweck die Weiterverarbeitung dient und auch, in welchem Umfang die Daten weiterhin verarbeitet werden. Sobald die Person, deren Informationen verwendet werden, eine Löschung der Daten aus der Datenbank wünscht, muss diesem Wunsch Folge geleistet werden.

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter sorgt im Betrieb dafür, dass der Datenschutzgrundverordnung Folge geleistet wird. Unternehmen und Behörden, die regelmäßig mit sensiblen personenbezogenen Daten arbeiten, müssen regelmäßig einen solchen Datenschutzbeauftragten bestellen. Er fungiert im Betrieb als unabhängiges Kontrollorgan, seine Aufgaben sind unter anderem:

  • die Prüfung aller Arbeitsabläufe mit Daten
  • die Überwachung von Prozessen zur Datenschutz-Folgenabschätzung
  • die Schulung von Mitarbeitern in Sachen Datenschutz
  • Zusammenarbeit mit der Aufsichtsbehörde

Stellt er einen Verstoß oder einen problematischen Umgang mit vertraulichen Daten fest, setzt er sich mit der Geschäftsführung in Verbindung und berät darüber, wie damit in Zukunft umgegangen werden sollte.

Unternehmen können selbst entscheiden, ob sie einen Mitarbeiter zum internen Datenschutzbeauftragten ernennen oder ob sie einen externen Experten bestellen.

Ab wann ist ein Datenschutzbeauftragter Pflicht?

Anders als in öffentlichen Stellen wie Ämtern und Behörden, wo immer ein Datenschutzbeauftragter bestellt werden muss, gilt das für Unternehmen nicht immer. Die Regelungen dazu, ab wann ein Datenschutzbeauftragter in einem nicht-öffentlichen Unternehmen Pflicht ist, finden sich in Art. 37 der Datenschutzgrundverordnung (DSGVO) und in § 38 des Bundesdatenschutzgesetzes (BDSG).

So ist eine Bestellung dann notwendig, wenn die Haupttätigkeit der Stelle eine regelmäßige und systematische Überwachung der Betroffenen erforderlich machen oder diese Haupttätigkeit darin besteht, besondere Arten von personenbezogenen Daten zu bearbeiten.

Auch die Anzahl der Mitarbeiter ist ausschlaggebend dafür, ob ein Datenschutzbeauftragter gemäß BDSG bestellt werden muss. Die Grundregel besagt, dass der Experte ab einer Menge von zehn Mitarbeitern, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, Pflicht ist.

Welche Strafen und Bußgelder können auf Betriebe zukommen?

Bei schwerwiegenden datenschutzrechtlichen Vergehen sind die nationalen Aufsichtsbehörden dazu verpflichtet, nach der Datenschutzgrundverordnung Bußgelder zu verhängen. Die Bußgelder gehen meist mit anderen Anordnungen, wie zum Beispiel der Aufforderung zur Beendigung bestimmter Vorgänge oder der Löschung von Daten, einher.

Wie werden die Strafen und Höhen der Bußgelder bestimmt?

Um faire und angepasste Strafen zu verhängen, steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung. Ausschlaggebend für die Höhe der Strafe sind unter anderem:

  • welcher Schaden entstand
  • ob das Unternehmen mit Absicht handelte
  • wie viele Personen die Datenschutzverletzung betrifft
  • ob das Vergehen schon einmal vorkam
  • wie lange die Datenschutzverletzung anhielt
  • wie kooperativ der Datenschutzbeauftragte des Unternehmens gehandelt hat

Für besonders schlimme Verstöße nach Art. 83 Abs. 5 DSGVO kann die Geldstrafe bis zu 20 Millionen Euro oder im Falle eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres betragen. Die Behörden wählen immer den höheren der beiden Beträge. Bei kleineren Unternehmen sind auch kleinere Beträge als Bußgelder möglich. Grundsätzlich ist das Ziel der Strafen, die Unternehmen bei schwerwiegenden Fehlern abzuschrecken und so erneute Vergehen zu verhindern.

Um möglichen Strafen aus dem Weg zu gehen und auf der sicheren Seite zu sein, sollte man als Unternehmen immer ordentlich prüfen lassen, ob der Datenschutz in allen Bereichen zureichend eingehalten wird. Bei der Frage, ob Anpassungen und Änderungen in manchen Bereichen notwendig sind, sollte ein Anwalt konsultiert werden.

Erweiterung um ePrivacy-Verordnung

Als Entwurf liegt neben der bereits bestehenden Grundverordnung außerdem noch die sogenannte ePrivacy-Verordnung vor. Sie soll die DSGVO um weitere Regelungen rund um die elektronische Kommunikation ergänzen und das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) größtenteils ablösen. Bis Ende 2020 wird der Entwurf voraussichtlich im EU-Rat diskutiert. Vor 2021 oder sogar 2022 wird die Verordnung allerdings nicht in Kraft treten.

Betroffen sind von der Erweiterung elektronische Kommunikationsvorgänge wie zum Beispiel das Versenden von Werbemails und die Verarbeitung von personenbezogenen und auch nicht personenbezogenen Daten. Auch die bekannten Cookies, die die Nutzer von Websites derzeit noch zulassen oder annehmen können, werden nach der neuen Verordnung nicht mehr so problemlos möglich sein. Als Cookies bezeichnet man Textinformationen, die von einem Internetbrowser über den Nutzer gesammelt werden. Sie dienen dem Browser dazu, den Nutzer wiederzuerkennen und Inhalte, wie zum Beispiel Werbung von Onlineshops an sie anzupassen.

Bestehendes Verfahren zu ePrivacy um Unternehmen Planet49

Um solche Cookies im Web geht es auch in einem aktuellen Fall rund um das Glückspiel-Unternehmen Planet49. So ist es auf Websites oft der Fall, dass die Aufforderung an den Nutzer, die Cookies zu akzeptieren, schon mit einem aktiven Haken voreingestellt ist. Mit nur einem Knopfdruck auf „Akzeptieren“ willigt der Nutzer ein, dass Cookies gesammelt werden. So auch auf der Website von Planet49. Um der Sammlung von Cookies zu widersprechen, muss der Nutzer die Vorauswahl zunächst auf „nicht akzeptieren“ umändern und dann bestätigen.

2013 wurde das Unternehmen deshalb vom deutschen Bundesverband der Verbraucherzentralen (VZBV) auf Unterlassung verklagt. Statt der Möglichkeit, das voreingestellte Häkchen wieder zu entfernen (Opt-Out-Verfahren), sollte das entsprechende Kästchen eigentlich leer sein, damit der Nutzer selbst den Haken bei „akzeptieren“ oder eben „nicht akzeptieren“ setzt (Opt-In-Verfahren).

2014 folgte dann die Verurteilung zur Zahlung von Abmahnkosten und zur Unterlassung durch das Landgericht Frankfurt am Main. Danach hatten die Angeklagten allerdings Erfolg mit einer Berufung und beide Parteien legten die vom Oberlandesgericht zugelassene Revision ein.

Im Oktober 2019 beantwortete der Europäische Gerichtshof (EuGH) dann allerdings einige offene Fragen, die der Bundesgerichtshof 2017 an ihn weiterleitete. So sieht der Europäische Gerichtshof die bisherige Regelung der Planet49 GmbH mit dem Opt-Out-Verfahren datenschutzrechtlich als nicht ausreichend an. “Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers“, heißt es vom EuGH. Die Betonung liegt hierbei auf dem Wort „aktiv“. Eine bereits voreingestellte Checkbox mit einem Haken an der richtigen Stelle reiche hier nicht aus.

In dem Urteil heißt es außerdem: “Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten […] keine Einwilligung darstellen.” Am 28. Mai 2020 hat der Bundesgerichtshof die Revision daher zurückgewiesen und das Berufungsurteil und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Um Strafen oder sogar Klagen vorzubeugen, sollte auf einer eigenen Website daher unbedingt darauf geachtet werden, den Nutzer aktiv dazu aufzufordern, der Sammlung von Cookies entweder zuzustimmen oder sie abzulehnen.


Abschließender Hinweis
Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen und personenbezogenen Hauptwörtern auf dieser Website die männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.

Jacqueline Segeth - Redakteurin bei der ibau GmbH
Jacqueline Segeth

Jacqueline Segeth ist seit 2019 bei der ibau GmbH in Münster tätig. Als Redakteurin recherchiert und verfasst sie Ratgeber- und Glossarartikel für unsere Onlinemagazine. Ihre vielseitige und strukturierte Schreibweise erlaubt es ihr, Inhalte verschiedener Themenbereiche strukturiert und verständlich aufzubereiten.