Datenschutz neu: Graubereiche, hohe Strafen
Chefsache Daten: vom Newsletter bis zu anderen personenbezogenen Daten. Die neue Grundverordnung verlangt viel, droht hohe Strafen an – birgt aber auch Potenzial für Unternehmen.
Wien – Heiß diskutiert ist die ab 25. Mai 2018 wirksam werdende Datenschutz-Grundverordnung (DSGVO), die darauf abzielt, die rechtliche Grundlage zur Verwendung personenbezogener Daten EU-weit einheitlich zu regeln. Es soll das Vertrauen der Menschen in digitale Dienste dahingehend verbessert werden, dass personenbezogene Daten von allen Teilnehmern besser geschützt sind. Zwar sind einige neue Verordnungen dazugekommen beziehungsweise genauer und spezifischer geworden, teilweise hat sich aber bloß die Terminologie geändert. Der Anwendungsbereich der Ver- ordnung wird auf alle EDV-Verarbeitungen ausgeweitet, die sich an EU-Bürger richten und personenbezogene Daten von diesen verarbeiten. Das bedeutet, dass somit auch Unternehmen, die außerhalb der EU angesiedelt sind, diesem Recht unterworfen sind, sofern sie Daten von EUBürgern verarbeiten.
Zudem wurden die Anforderungen an die informierte, freiwillige Einwilligung graduell erhöht, und dabei wurde auf die Verwendung der Daten geachtet. Beispielsweise reicht die Übergabe einer Visitenkarte nicht mehr ohne weiteres aus, um diese Person in einen Newsletter-Verteiler aufzunehmen – dazu müsste man die Person auf die Datenschutzbestimmungen im Vorfeld hinwiesen. Bei Kindern unter 16 Jahren ist die Einwilligung nur mit Zustimmung der Eltern gültig. Auch das Widerspruchsrecht und die Löschpflicht wurden erweitert. Wobei das Recht auf Löschung, das es im Kern heute schon gibt, zu einem Recht auf Vergessenwerden ausgebaut wurde. Weitere Neuerungen sind das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit. Diese vieldiskutierte Vorschrift betrifft freiwillig zur Verfügung gestellte, personenbezogene Daten, wie es sie etwa bei digitalen „Wunschzetteln“oder „Einkaufswägen“bei Onlineshops gibt. Ziel ist es hier, dass Nutzer ihre Profildaten mit wenigen Klicks bei einem Dienst exportieren und bei einem vergleichbaren Dienst importieren können. Damit soll Personen das Wechseln zu anderen Anbietern möglichst erleichtert werden, und KMUs sollen damit gefördert werden. Allerdings müssen hier auch die Unternehmen mitspielen und die erforderlichen Voraussetzungen schaffen. Problematisch könnte dabei sein, dass diese ihre Kunden ungern samt den wertvollen Daten an die Konkurrenz verlieren.
Keine Peanuts
Was nun aber wirklich neu ist, ist die Höhe der Sanktionen. Während die Verletzung eines Datenschutzrechts bisher mit maximal 10.000 Euro geahndet wurde, können Strafen ab Mai 2018 bis zu 20 Millionen Euro oder vier Prozent des gesamten Vorjahresumsatzes ausmachen – je nachdem, welcher Betrag höher ist. Sprich, jetzt bekommt das Thema wirklich Gewicht, und wer sich nicht an die DSVGO hält, wird ordentlich zur Kassa gebeten.
Für Unternehmen heißt das ganz klar, der Datenschutz muss – sofern er das noch nicht ist – zur