Nach der DSGVO – Was darf ich als Unternehmen noch und woher weiß ich das?

Die neue Datenschutzverordnung

 

Eine Verordnung brachte Unternehmen jeglicher Couleur in diesem Jahr mächtig ins Schwitzen: die europäische Datenschutzgrundverordnung, die zum 25. Mai 2018 in Kraft trat. Viele fragten und fragen sich noch immer, was denn nun noch erlaubt ist und was nicht. Wir teilen mit dir Experteneinblicke zur DSGVO und zeigen darüber hinaus, wie du insgesamt einen entspannten Umgang mit dem Thema Onlinerecht bekommen kannst.

Von Abmahnungen und dem Teufel an der Wand

Als Kooperationspartner und natürlich auch als regelmäßige Besucher der Mercedes Benz Social Media Nights in Stuttgart hatten wir das Glück, einen echten Experten zum Thema DSGVO hören zu können. Der auf IT- und Datenschutzrecht spezialisierte Rechtsanwalt Dr. Carsten Ulbricht sprach im Mai bei der 76. MBSMN genau zu diesem Thema und nahm den Schreckgespenstern erst einmal ordentlich Wind aus den Segeln. Denn auch wenn es inzwischen bereits erste Abmahnungen gab, beruhigte Ulbricht schon damals für die Wochen nach der DSGVO. Denn dass der kleine Zahnarzt vor Ort sofort mit Abmahnungen in Millionenhöhe rechnen muss, weil er einen Cookie-Hinweis auf seiner Website vergessen hatte oder sonstige Dinge, hält er für extrem unwahrscheinlich. Er brachte dem Thema DSGVO eine ganz neue Wendung, nämlich die, dass europäisch einheitliche Datenschutzbestimmungen gar nicht so verkehrt, sondern ziemlich clever seien.

Denn, wenn ein Unternehmen über die Landesgrenzen hinaus Geschäfte macht, musste es sich bisher immer erst intensiv mit den Datenschutzbestimmungen des jeweiligen Landes auseinandersetzen. Hier zeigt sich laut Ulbricht der Vorteil des nun entstandenen Marktortprinzips. Jedes Unternehmen im europäischen Raum hat die gleichen Regeln zu befolgen – das macht es deutlich einfacher, binneneuropäische Geschäfte abzuwickeln. Grund für die zum Teil panischen Ängste vor der DSGVO sieht er nicht, denn es gilt nach wie vor das Gesetz der Verhältnismäßigkeit. Hier schließt sich der Bogen zum kleinen Zahnarzt vor Ort, für den eine millionenschwere Abmahnung für einen kleinen Verstoß schlichtweg nicht verhältnismäßig wäre. Für Big Player, die bislang gerade wegen der Datenschutzbestimmungen Standorte mit niedrigen Anforderungen an eben jenen wählten, muss aber ein Umsetzen eindenken. Wir sind insgesamt aber auch nach der DSVGO ziemlich weit weg vom Teufel an der Wand, so Ulbricht.

 

Datenschutz ernst nehmen

Kern vor und nach der DSGVO: Datenschutz ernst nehmen

Dr. Carsten Ulbricht zieht vor allem eine Sache aus der Datenschutzgrundverordnung: Unternehmen sollen den Datenschutz ernst nehmen und umsetzen. Denn tatsächlich sind die Inhalte der Verordnung keineswegs neu, sondern basieren auf alten Regeln, die aber bisher ohne Verzugsdefizit funktionieren sollten. Wenn ein Unternehmen eine Regel also nicht befolgte, hatte dies bisher nahezu keine Konsequenz. Um hier den Druck ein wenig zu erhöhen, packte man in Brüssel eben jene Regeln in die gefürchtete Verordnung. Eigentlich positiv, denn natürlich ist es sinnvoll, dass sich Unternehmen an grundlegende Datenschutzbestimmungen halten.

Folgende Grundsätze sind dabei relevant, vor wie auch nach der DSGVO:

  • Verarbeiten von Daten muss rechtmäßig sein
  • Datenverarbeitung muss dem festgelegten Zweck dienen
  • Daten sollen möglichst sparsam erhoben werden
  • Personenbezogene Daten müssen beim jeweiligen Unternehmen sicher sein

 

Aber wann genau dürfen denn nun personenbezogene Daten (z. B. Name, Anschrift) verarbeitet werden? Auch hierfür gibt es nach der DSGVO klare Regeln:

  • wenn eine Einwilligung vorliegt
  • wenn die Person darüber informiert wird, dass Daten verarbeitet werden
  • wenn diese Information unmissverständlich ist
  • wenn die Verarbeitung unabhängig von anderen Sachverhalten ist
  • wenn ein Widerruf möglich ist
  • und über diese Möglichkeit des Widerrufs informiert wird
  • wenn das Koppelungsverbot eingehalten wird
  • wenn die Verarbeitung zur Vertragsabwicklung erforderlich ist

 

Informationspflicht der Unternehmen

Informationspflicht als Dreh- und Angelpunkt

Im Grunde geht es darum, dass Daten nicht inflationär, sondern angemessen erhoben werden und die betroffene Person darüber in Kenntnis gesetzt wird. Diese Informationspflicht ist für Ulbricht der Dreh- und Angelpunkt der Verordnung. Im Artikel 13 der Datenschutzgrundverordnung steht, was ein Unternehmen zur Informationspflicht nach Eintreten der DSGVO beachten muss. Dazu gehören Informationen über die Speicherung der Daten und die Auskunft, was genau mit den personenbezogenen Daten im Unternehmen geschieht. Es darf nicht einfach gemacht werden, sondern jedes Unternehmen muss umfassend informieren und transparent agieren.

 

Als Unternehmen online sicher bewegen

Der große Wirbel um die Verordnung offenbart uns nach der DSGVO vor allem eines: Es herrscht eine große Unsicherheit, was rechtlich einwandfrei ist und wo mögliche Grauzonen beginnen oder gar rote Linien übertreten werden. Das gilt nicht nur für die DSGVO, sondern auch für die ePrivacy-Verordnung, die 2019 in Kraft treten wird und ihr nachfolgende Gesetzesänderungen. Für viele Sachverhalte, die im Online-Business völlig normal sind, gibt es nur schwer nachvollziehbare und in die Praxis übertragbare Regeln, die Laien kaum verstehen. Um aber ein Unternehmen in Zeiten der Digitalisierung erfolgreich führen zu können, ist es enorm wichtig, dass Unsicherheit dich nicht ausbremst. Wenn du deine Umsetzung hinauszögerst, weil du nicht genau weißt, was du zum Daten- oder Verbraucherschutz beachten musst, ist das mehr als kontraproduktiv. Genau für solche und ähnliche Fragestellungen lohnt es sich, sich Grundlagen im Medienrecht anzueignen.

  • Was brauchen AGB im E-Commerce?
  • Wie setze ich Webanalysetools rechtlich korrekt ein?
  • Welche Gesetze muss ich einhalten, wenn ich Newsletter-Marketing betreibe?
  • Was muss ich bei Sponsoring beachten?
  • Wie funktioniert Empfehlungsmarketing sicher und transparent?

 

Solche und zahlreiche weitere Fragen treiben Unternehmer, Blogger und Online-Marketer um. Antworten auf diese liefern spezialisierte Fachanwälte, die eine Rechtsberatung zu diesen Themen geben können. Wir bieten dir diesen Input von ausgebildeten Experten seit Kurzem auch online an – in unserem Online-Lehrgang „Medienrecht“ wirst du von vier Fachanwälten für Medien-, Urheber-, Presse-, Marken-, Datenschutz-, Wettbewerbs-, und Vertriebsrecht in vier Modulen fachlich begleitet und lernst die wichtigsten Basics und nützliche Umsetzungstipps vom eigenen Schreibtisch aus. Wie bei der DSGVO gilt es im Medienrecht allgemein: Gut informiert ist halb gewonnen. Wenn dich das Thema betrifft, kommst du hier zur Anmeldung.

Wir wünschen dir einen entspannten Umgang im Bereich Onlinerecht, damit du dein Angebot bestmöglich auf die Straße bringen kannst.

DAS BESTE VOM BLOG PER NEWSLETTER ERHALTEN

Über Romy Weyhrauch 1 Artikel
Jedes Unternehmen sollte sich mit Datenschutz und Datensicherheit auskennen und sich hier sicher bewegen können. Als ausgebildete Rechtsanwalts- und Notarfachangestellte, zertifizierte Human Ressource Managerin und Datenschutzbeauftragte gebe ich meine Expertise heute an Sie weiter. Ich unterstütze Sie auf dem Weg zu Ihrer eigenen Prüfung und helfe Ihnen dabei, Fragen zu Datenschutz und Datensicherheit im Unternehmen verlässlich und klar beantworten zu können.