#8 / 2018

datenschutzgrundverordnung:

darauf müssen medienhäuser achten

Ein Bußgeld von 20 Millionen Euro oder 4 % vom weltweiten Konzernumsatz, das sind die Aussichten, die das Thema Datenschutzrecht in eine neue Dimension gehoben haben. Während frühere Vorgaben zum Datenschutzrecht in privaten Unternehmen gelegentlich eher lax umgesetzt wurden, ist seit der Einführung der DSGVO eine spürbare Geschäftigkeit in den Unternehmen entstanden.

Die DSGVO, deren Regelungen nach Ende der Übergangszeit am 25. Mai 2018 endgültig europaweit in Kraft treten, ist eine europäische Verordnung mit direktem Regelungscharakter, das heißt: Ohne dass es einer Transformation in nationales Recht bedarf, sind die Vorschriften in den Mitgliedsstaaten der EU direkt gültig.

Wer sich noch nicht mit dem Text der Verordnung beschäftigt hat: Unter www.dsgvo-gesetz.de kann man eine gute Aufbereitung abrufen. Hier finden sich neben dem Wortlaut der DSGVO auch die Erwägungsgründe und die ergänzenden Regelungen des (neuen!) Bundesdatenschutzgesetzes (BDSG). Auf Englisch heißt die Richtlinie übrigens General Data Protection Regulation (GDPR).

Für deutsche Unternehmen bleiben viele Anforderungen gleich, auch wenn die Rechtsgrundlagen sich natürlich geändert haben. Aber schon bisher mussten viele Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen; Werbung per E-Mail im Wege der Kaltakquise war nicht unbedingt erlaubt. Trotzdem gibt es nun viele wichtige Neuerungen, auf die ein Medienunternehmen achtgeben muss.


Am 25. Mai tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Bis zu diesem Termin müssen Unternehmen ihre Datenverarbeitungs-Prozesse an die neuen Regeln anpassen. Ein dpr-Webinar zeigt Ihnen am 23. April 2018 (13 bis 14 Uhr), worauf Sie achten müssen.




Das Datenschutzrecht im Rückblick

Das Bundesdatenschutzgesetzes (BDSG) entstand bereits 1977. Im Zuge der Volkszählung Anfang der 1980er Jahre entschied das Bundesverfassungsgericht in dem sogenannten Volkszählungsurteil, dass das Recht auf informationelle Selbstbestimmung eine Ausprägung des Allgemeinen Persönlichkeitsrechts ist, also eines Grundrechtes, das in Artikel 2 des Grundgesetzes geregelt ist.

1990 wurde das BDSG überarbeitet, und 1995 trat die Datenschutzrichtlinie der EU in Kraft, die im BDSG 2001 umgesetzt wurde. Es folgten einige Novellen, die den neuen technischen Entwicklungen insbesondere dem Internet Rechnung tragen sollten.

Mit der Einführung der DSGVO soll nun ein einheitliches europäisches Datenschutzrecht geschaffen werden, auch mit der für Unternehmen positiven Folge, dass Daten leichter in der Europäischen Union bewegt werden können. Gleichzeitig soll mit den erhöhten Bußgeldandrohungen den Regelungen auch entsprechender Nachdruck verliehen werden.

Die oben beschriebene Hektik dieser Tage in den Unternehmen zeigt, dass die gewünschte Abschreckungswirkung der Sanktionsdrohungen durchaus Wirkung zeigt.

Schutzzweck der DSGVO

Im Artikel 1 des DSGVO heißt es:

  1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Der Schutzzweck der DSGVO ist somit die informationelle Selbstbestimmung, insbesondere bezüglich der personenbezogenen Daten von natürlichen Personen. In der Regel sind dies die sogenannten Stammdaten, als Name, Adresse, Telefonnummern, auch E-Mail-Adresse, aber auch IP-Adressen. Der Bundesgerichtshof (BGH) hat schon 2017 entschieden, dass auch IP-Adressen personenbezogene Daten sind.

In der Regel bezieht sich der Datenschutz auf die automatische oder teilautomatische Verarbeitung von personenbezogenen Daten. In bestimmten Fällen werden aber auch Papierarchive geschützt, wenn sie in einem Dateisystem gespeichert werden. 

Wir werden uns auf die praktisch relevante automatische Datenspeicherung konzentrieren.

Regelungen des Datenschutzrechts

Das Datenschutzrecht unterliegt dem sogenannten Verbotsprinzip. D.h. Datenspeicherung ist verboten, wenn keine Erlaubnisgründe vorliegen. Erlaubnistatbestände können sein:

  • Einwilligung des Betroffenen
  • Vertrag
  • Erfüllung einer rechtlichen Verpflichtung
  • Schutz von lebenswichtigen Interessen
  • Ausübung einer öffentlichen Aufgabe oder öffentlicher Gewalt
  • Berechtigtes Interesse, sofern nicht das Schutzinteresse des Betroffenen überwiegt.

Auch wenn Daten gespeichert werden dürfen, gilt der Grundsatz der Datensparsamkeit. Man darf also nur genau die Daten speichern, für die es eine Erlaubnis gibt, und keine weiteren Daten darüber hinaus.

Der Betroffene hat bezüglich seiner Daten eine Reihe von Rechten:

  • Er darf Auskunft über die über ihn gespeicherten Daten verlangen. 
  • Er hat Anspruch darauf, dass die über ihn gespeicherten Daten richtig sind und kann einen Berichtigungsanspruch geltend machen. 
  • Schließlich kann er die Löschung von Daten verlangen. Einwilligungen zur Datenspeicherung kann er jederzeit widerrufen.

Umgang mit Kundendaten - Vertrag und Einwilligung

Wenn Sie die Daten von Kunden speichern, z.B. für eine Bestellung, dann beruht die Erlaubnisgrundlage in der Regel auf dem geschlossenen Vertrag. Sie dürfen daher die für die Abwicklung des Vertrags notwendigen Daten speichern. Dies dürfen Sie solange tun, wie es für die Abwicklung des Vertrags notwendig ist und solange Ihnen die gesetzlichen Vorschriften das Vorhalten der Daten vorschreibt. Diese Aufbewahrungsfristen können erfordern, dass ein Löschanspruch des Betroffenen zurückstehen muss.

Einer der wichtigsten Erlaubnistatbestände ist die Einwilligung zur Datenspeicherung. Diese ist insbesondere für Werbetreibende interessant, wenn man einen Kreis von Personen ansprechen will, der noch nicht Kunde ist. Es ist zu beachten, dass das Datenschutzrecht in Deutschland durch das Gesetz gegen den unlauteren Wettbewerb (UWG) flankiert wird. In § 7 UWG finden sich zahlreiche Regelungen, wann und wie potentielle Kunden angesprochen werden können. Insbesondere bei der Werbung per E-Mail sind hier scharfe Regelungen zu beachten. Bestandskunden können Sie in der Regel per E-Mail bewerben, wenn Sie gleichartige Waren oder Dienstleistungen anbieten. Personen aus einer interessanten Zielgruppe können Sie nicht per E-Mail einer Kaltakquise unterziehen. Der beliebte Trick, diese Einwilligung der Kunden durch Auslobung von Vorteilen, wie z.B. der kostenlose Download eines Testhefts, zu bekommen, ist schon von der Rechtsprechung des Bundesgerichtshofs gestoppt worden. Dieses sogenannte Koppelungsverbot ist jetzt auch durch die DSGVO geregelt worden. Allerdings widersprechen sich hier Wortlaut der Vorschrift und die Erwägungsgründe. Lesenswert dazu ist das Kurzpapier Nr. 3 der Datenschutzkonferenz, insbesondere der letzte Absatz auf Seite 2, der sich mit kostenlosen Angeboten beschäftigt.

Vorgehen beim Einsatz von Google-Analytics

Die notwendigen Maßnahmen, die ein Medienunternehmen vornehmen muss, kann man gut beim Einsatz von Google Analytics veranschaulichen:

  • Bei Google-Analytics wird die IP-Adresse Ihrer Webseiten-Besucher zur statistischen Auswertung an Google übermittelt. Hierbei handelt es sich um eine Speicherung und Weitergabe von personenbezogenen Daten. 
  • Google ist in diesem Moment Auftragsverarbeiter Ihrer Daten und Sie müssen eine entsprechende Vereinbarung zur Auftragsverarbeitung mit Google abschließen.
  • Sie müssen sicherstellen, dass Sie Google-Analytics datenschutzkonform einsetzen, indem Sie die IP-Adressen anonymisieren (anonymizeIP).
  • Weiter müssen Sie die Datenschutzerklärungen im Netz entsprechend anpassen. Beachten Sie dass diese Erklärung mit einem Klick von jedem Ort Ihrer Webpräsenz erreichbar ist. Die Datenschutzerklärung muss jetzt auch die Rechtsgrundlage für die Datenspeicherung enthalten!
  • Vergleichbar müssen Sie mit anderen Diensten vorgehen, die Sie auf Ihrer Webseite betreiben.

Weitere Infos:

Literatur: Niko Härting, Datenschutz-Grundverordnung  Das neue Datenschutzrecht in der betrieblichen Praxis, 2016 Verlag Dr. Otto Schmidt KG

Links:


Andre Schaper

Rechtsanwalt, Studium der Rechtswissenschaften an der Universität Osnabrück, Referendariat am OLG Oldenburg, seit 1994 beim Verlag Dr. Otto Schmidt in Köln, seit 1995 als Leiter Elektronische Medien. Seit 2003 ist er betrieblicher Datenschutzbeauftrager und auch auch als Externer Datenschutzbeauftragter tätig.

DSGVO Kurzform
Checkliste DSGVO
DSGVO Verarbeitungsverzeichnis
dpr-Webinar zu DSGVO