Datenschutz-Grundverordnung (DSGVO) Zusammenfassung und Checkliste

Am 25. Mai 2018 trat die neue Datenschutz-Grundverordnung der EU (DSGVO) in Kraft. Rund fünf Jahre arbeiteten EU-Gremien an dieser europaweit gültigen Datenschutzreform. Zuvor galt noch die Datenschutzrichtlinie aus dem Jahr 1995 (Datenschutzrichtlinie 95/46/EG), doch die technologischen Veränderungen der vergangenen Jahrzehnte machten eine Überarbeitung der Datenschutzgesetze unumgänglich – schließlich steckte das Internet 1995 noch in den Kinderschuhen. Heute muss sich der EU-weite Datenschutz mit Big Data, Industrie 4.0, Robotik und künstlicher Intelligenz auseinandersetzen – eine Neuerung der Bestimmungen war also dringend notwendig.

Die neue Datenschutz-Grundverordnung dient vor allem einem Ziel: Sie soll den Umgang mit Daten europaweit einheitlich regeln. Für Unternehmen ergeben sich daraus also zwei Fragen: Welche Neuregelungen gibt es? Und was müssen Unternehmen und Webseitenbetreiber beachten? Denn seitdem die Verordnung am 25. Mai in Kraft getreten ist, hat sich auch einiges für den Onlinehandel und den Arbeitnehmerdatenschutz in Unternehmen geändert. Wir bieten im Folgenden eine Zusammenfassung der neuen Gesetzeslage und stellen in einer DSGVO-Checkliste gebündelt dar, welche Maßnahmen Sie in Ihrem Unternehmen ergreifen müssen.

Gesetze nehmen auf europäischer Ebene für gewöhnlich einen langen Weg – selbst noch, nachdem sie bereits offiziell in Kraft getreten sind. Denn wird eine neue EU-Richtlinie nach langen Debatten im Parlament in Brüssel beschlossen, so werden den 28 Mitgliedsstaaten oft großzügige Übergangsfristen eingeräumt, um das Gesetz in die nationale Rechtsprechung zu übernehmen. Bis der Umsetzungsdruck auch bei einzelnen Unternehmen ankommt, kann viel Zeit verstreichen.

Neben Richtlinien gibt es aber noch eine zweite Art von EU-Gesetzen: Verordnungen. Sie bieten nahezu keine inhaltlichen und zeitlichen Spielräume. Sie sind sofort und für alle Staaten einheitlich rechtlich bindend – dies schließt die Geschäftspraxis eines jeden KMU unmittelbar mit ein. So ist es auch im Falle der DSGVO: Sie ist keine Richtlinie, sondern eine Verordnung.

Im Mai 2016 trat die Datenschutz-Grundverordnung der EU mit einer Übergangsfrist von zwei Jahren in Kraft – und seit dem 25. Mai 2018 gilt sie in allen EU-Staaten als offizielles Datenschutzgesetz, das der nationalen Gesetzgebung übergeordnet ist. Das bedeutet: keine weiteren Übergangsfristen mehr. Alle Unternehmen und öffentlichen Stellen, die mit personenbezogenen Daten arbeiten, müssen die neuen Regeln der EU zum Datenschutz befolgen und entsprechende Maßnahmen in ihrem Betrieb umsetzen.

Doch auch heute scheint dieser Umstand nicht allen Unternehmen bewusst zu sein: Erst im Januar 2019 stellte das Software-Unternehmen cobra in einer Blitz-Umfrage fest, dass fast 20 Prozent der Unternehmen Ende des Jahres immer noch nicht ihre Unternehmensstrukturen und IT-Systeme an die Anforderungen der DSGVO angepasst haben werden. Damit bestätigten diese Ergebnisse eine BITKOM-Studie mit dem Titel „Vier Monate DSGVO – wie weit ist die deutsche Wirtschaft?“ vom September 2018 und weisen darauf hin, dass die Inhalte des neuen Datenschutzgesetz entweder vielen Verantwortlichen immer noch nicht bekannt sind oder wissentlich missachtet werden.

Jedoch ist nicht immer bloße Ignoranz der Grund für diese Versäumnisse: Die größten Hürden bestehen laut den genannten Organisationen auch weiterhin bei der Rechtsunsicherheit und dem unklaren Aufwand, der mit der Umsetzung der DSGVO einhergeht. Viele Betroffene halten die neue Vorgabe, bei jedem Datenaustausch vom Nutzer zuerst ein konkretes Einverständnis einzuholen und diesen über die Datenverwertung zu informieren, für untragbar. So könne strenggenommen sogar die Übergabe einer Visitenkarte zu einem rechtlichen Problem werden:

Den betroffenen Unternehmen drohen bei Verstößen hohe Bußgelder: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr können als Strafmaßnahme erhoben werden. Insbesondere deutsche Behörden nehmen das Thema Datenschutz sehr ernst. Zudem ist die Abmahnung von Verstößen in Deutschland ein potenziell lukratives Geschäft.

Doch zumindest diesbezüglich scheinen sich die schlimmsten Prognosen nicht zu bestätigen: Zwar hat es schon einige Phasen verstärkter Abmahnungen gegeben, die sich vor allem gegen kleinere Firmen richteten, eine große Abmahnwelle ist jedoch ausgeblieben – was wohl darauf hindeutet, dass sie auch in Zukunft nicht mehr im befürchteten Umfang eintreten wird.

EU-Verordnungen haben Vorrang vor nationalen Gesetzen und gehen bei Widersprüchen vor. Allerdings enthält die Datenschutz-Grundverordnung einige Öffnungsklauseln, die es Staaten ermöglichen, bestimmte Datenschutzregeln abzuschwächen oder zu verstärken. Und so ist am 25. Mai 2018 ein weiteres, nationales Datengesetz in Kraft getreten: Das neue Bundesdatenschutzgesetz (BDSG-neu) nutzt den Spielraum, den die DSGVO bietet, und schafft flankierende nationale Regeln für den Datenschutz.

Für Unternehmen bedeutet dies: Es gibt keine weiteren Veränderungen der Neuregelungen. Der Text der Datenschutz-Grundverordnung der EU steht fest und auch die Öffnungsklauseln sind durch das BDSG-neu bereits festgeschrieben.

Oberstes Ziel der Datenschutz-Grundverordnung ist die Vereinheitlichung des europäischen Datenschutzes. War auf EU-Ebene zuvor die Datenschutzrichtlinie von 1995 in Kraft, die in jedem EU-Staat unterschiedlich umgesetzt wurde, birgt die neue Verordnung wenig Spielraum für nationale Alleingänge.

Ein zweiter Kernbereich, den die Datenschutz-Grundverordnung adressiert, bezieht sich auf die gravierenden technologischen Veränderungen der zurückliegenden 25 Jahre – und die noch kommenden technischen Entwicklungen. Denn viele Herausforderungen des Datenschutzes liegen noch vor uns. Ein Beispiel: Die Erfassung biometrischer Daten von Mitarbeitern ist für bestimmte Arbeiten mit intelligenten Maschinen zwingend erforderlich. Geht ein Unternehmen sensibel mit solchen Daten um, so stellt dies an sich noch kein Problem dar. Doch sind diese Informationen erstmal beim Arbeitsgeber, besteht auch die Verlockung, sie für andere Zwecke zu verwenden – beispielsweise zur Leistungskontrolle. Auch auf Entwicklungen dieser Art soll die neue europäische Datenschutz-Grundverordnung reagieren.

Eine Zusammenfassung der Datenschutz-Grundverordnung muss als erstes auf die Veränderungen eingehen, die mit personenbezogenen Daten zusammenhängen. Denn in diesem Bereich haben die größten Veränderungen durch die europäische Datenschutz-Grundverordnung stattgefunden: Wenngleich nicht in dem Maße, wie ursprünglich geplant, wurde der Schutz der Daten von Privatpersonen mit der DSGVO erkennbar gestärkt. Eine ganze Reihe von Paragrafen soll das Sammeln von personenbezogenen Daten nachvollziehbar und sachgemäßer regulieren.

Beispielsweise wird die Rechenschaftspflicht von Unternehmen (Accountability) ausgeweitet: Nun bestehen umfangreichere Dokumentations- und Nachweispflichten darüber, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet. In diesem Sinne bedeutet die Datenschutz-Grundverordnung vor allem Fleißarbeit bei der Dokumentation. Unternehmen, die bereits Wert auf Datenschutz legen und ein Verzeichnis der Datenverarbeitungsverfahren geführt haben, haben es bei der Umsetzung der Verordnung deutlich leichter.

Insgesamt jedoch enthält die DSGVO nirgends eine grundlegende Neuausrichtung des Datenschutzes – vielmehr bleiben die bereits bekannten Datenschutzprinzipien gültig und werden von der Datenschutz-Grundverordnung fortgeführt. Sie sind die Grundlage für die Neuregelungen, werden allerdings deutlicher ausformuliert und ausgebaut. Die wichtigsten dieser Prinzipien lauten:

1. Verbot mit Erlaubnisvorbehalt: Dieses Prinzip meint: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist erlaubt. Dies war schon bisher so und ist nicht unumstritten. Schließlich sind nicht alle Daten gleich wichtig. Das Verbotsprinzip gilt nach der DSGVO jedoch unterschiedslos für alle Daten mit Personenbezug.
    
2. Zweckbindung: Unternehmen dürfen Daten nur zweckgebunden erheben und verarbeiten. Dafür muss zu Beginn der Erhebung der Zweck ausformuliert und die zukünftige Verwendung der Daten dokumentiert werden. Ein Beispiel aus der Arbeitswelt: Daten, die ein Unternehmen für die Erfüllung eines Vertrages erhoben hat und zu Recht speichert, dürfen nicht für Werbezwecke verwendet werden. Dies ist ein anderer Zweck, der gesondert rechtfertigungsbedürftig ist. Nachträgliche Zweckänderungen sind nur unter bestimmten Umständen zulässig.
    
3. Datenminimierung: Das Prinzip der Datenminimierung fordert, dass Unternehmen so wenige Daten wie möglich erheben. Es gilt: So wenig wie möglich, so viel wie nötig. Es darf nicht mehr gesammelt werden, als für die Ausführung des Erhebungszwecks notwendig ist. Damit untersagt dieses Prinzip die „blinde“ Datenerhebung auf Vorrat.
    
4. Transparenz: Die Datenverarbeitung soll für die Betroffenen nachvollziehbar sein. Dies erfordert einerseits verständliche Datenschutzerklärungen, andererseits erhalten Nutzer mit den Neuerungen der DSGVO umfangreiche Rechte: Wie bisher müssen Unternehmen auf Anfrage mitteilen, welche Daten ihnen vorliegen und wie sie diese verwenden.
    
5. Vertraulichkeit: Unternehmen haben dafür zu sorgen, dass sie die personenbezogenen Daten ihrer Kunden technisch und organisatorisch schützen – sei es vor unbefugter Verarbeitung oder Veränderung, vor Datendiebstahl oder Vernichtung. Die ausdrückliche Pflicht zu technischen Schutzmaßnahmen ist neu. Dennoch sind diese Maßnahmen in der Datenschutz-Grundverordnung nicht präzise ausformuliert und bieten Auslegungsspielraum. Im Falle eines Datendiebstals kommt es darauf an, ob die technischen und organisatorischen Schutzmaßnahmen dem Risiko und der Art der gespeicherten Daten angemessen waren.

Zunächst einmal ist die DSGVO eine gute Nachricht für jeden Verbraucher und Betroffenen von Datenverarbeitung. Denn ihnen gilt der ausgebaute Schutz in der DSGVO. Darüber hinaus betreffen die Regelungen der DSGVO aber auch allgemein die Rechte von Arbeitnehmern. In diesem Bereich hat der deutsche Gesetzgeber von einer Öffnungsklausel Gebrauch gemacht und weitere Regelungen zum Beschäftigtendatenschutz im BDSG-neu getroffen.

Diese Regeln sind für alle Unternehmen relevant, die Mitarbeiter beschäftigen. Insofern sind zahlreiche Firmen doppelt betroffen: Hinsichtlich des Datenschutzes ihrer Angestellten (Beschäftigungsdatenschutz) und in Bezug auf Kunden, Lieferanten und Webseitenbesucher.

Eine besondere Relevanz hat die DSGVO natürlich für die Berufsgruppe der Datenschutzbeauftragten. Ihre Zahl wird durch die DSGVO europaweit beträchtlich wachsen. Denn ab jetzt müssen europaweit alle öffentlichen Stellen und Unternehmen, deren Kerntätigkeit sich auf die Handhabung von Personendaten bezieht, einen betrieblichen Datenschutzbeauftragten benennen. Selbst wenn die Kerntätigkeit nicht auf die Datenverarbeitung bezogen ist, muss ein Datenschutzbeauftragter bestellt werden, wenn im Betrieb mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das dürfte für zahlreiche Mittelständler gelten.

Auch für Datenschutzbeauftragte, die bereits in einem Unternehmen angestellt sind, bedeutet die Datenschutz-Grundverordnung eine große Umstellung. Denn ihre Rolle im Unternehmen ändert sich grundlegend: Sollte der Datenschutzbeauftragte bisher auf die Datenschutz-Konformität hinwirken, so ist er nun für die Überwachung der Maßnahmen verantwortlich. Damit weitet sich sein Aufgabenfeld aus und auch sein Haftungspotenzial steigt.

Für Datenschutzbeauftragte bedeutet die neue Verordnung also eine Menge Arbeit: Sie müssen sich detailliert in die neue Gesetzeslage einarbeiten. Dennoch hat das neue Gesetz für sie auch positive Seiten: Ihre Expertise wird in nächster Zeit besonders gefragt sein und mit den zunehmenden Aufgaben ist auch eine Aufwertung ihrer Position im Unternehmen verbunden.

Im Folgenden geben wir eine Zusammenfassung der Datenschutz-Grundverordnung, die besonders die Neuerungen für Webseitenbetreiber und Unternehmen berücksichtigt.

• Dokumentationspflicht: Ein Schwerpunkt der Datenschutzgrundverordnung liegt auf der Rechenschaftspflicht von Unternehmen, auch Accountability genannt. Anders als bisher sind Unternehmen verpflichtet, die Datenschutz-Compliance durch eine hausinterne Dokumentation belegen zu können. Sie müssen den Behörden jederzeit durch Vorlage eines entsprechendes Verzeichnisses darlegen können, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden und wann das Unternehmen sie löscht.

• Privacy by Design: Das Prinzip Privacy by Design bedeutet, dass Unternehmen bereits beim technischen Aufbau ihrer Geschäftsprozesse den Datenschutz berücksichtigen müssen. Sie dürfen Maßnahmen zum Datenschutz technisch nicht erst nachträglich (also zweitrangig) implementieren, sondern müssen sie bereits in der Erarbeitungsphase in den Arbeitsprozess integrieren. Produkte und Prozesse sollen also so konzipiert werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen.

• Privacy by Default: Diese Vorschrift der Datenschutz-Grundverordnung schreibt vor, dass grundsätzlich die datenschutzfreundlichste Variante technisch voreingestellt sein muss. Das erspart es Verbrauchern, sich durch komplexe technische Einstellungen zu kämpfen, um Beschränkungen der Datenverarbeitung zu erwirken.

• Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung): Auch künftig müssen Individuen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen. Zudem ist die Einwilligung des Arbeitnehmers oder Verbrauchers nur für den anzugebenden Verwendungszweck gültig. Außerdem muss die Einwilligungserklärung verständlich formuliert und grundsätzlich widerrufbar sein. Der Widerruf muss für den Kunden ebenso einfach sein wie die Einwilligung. Die Anforderungen an eine wirksame Einwilligung sind nach der DSGVO gestiegen. Ein grobes Ungleichgewicht zwischen den Beteiligten kann die Freiwilligkeit ebenso ausschließen, wie die Kopplung der Erteilung an den Vertragsschluss.

• Löschung von Daten: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Erlischt die Verarbeitungsbefugnis (etwa weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.

• Auskunftsrecht und Recht auf Löschung: EU-Bürger haben das Recht, auf Anfrage zu erfahren, über welche ihrer Daten ein Unternehmen verfügt und wie es diese verwendet. Außerdem können Verbraucher bei Unternehmen einfordern, ihre Daten zu löschen. Diesem „Recht auf Vergessenwerden“ muss demnach auch ein Großkonzern wie Google Folge leisten und Links zu personenbezogenen Informationen auf Anfrage aus den Ergebnissen seiner Suchmaschine löschen.

Die Datenschutz-Grundverordnung enthält kaum explizite Regeln für den Onlinehandel. Sie formuliert vielmehr allgemeine Grundsätze des Datenschutzes, deren Teilbereiche in weiteren Gesetzen und Verordnungen geregelt werden. Dennoch bringen die abstrakten Normen der DSGV auch für den Onlinehandel einige Neuerungen. Mehr dazu erfahren Sie in den beiden folgenden Abschnitten.

Das Wichtigste vorweg: Neben den bereits genannten Regelungen für Unternehmen bedeutet die DSGVO für den Onlinehandel zunächst vergleichsweise wenige Änderungen. Die für Webseitenbetreiber zentralen Themen – Cookies, User-Tracking, Spam- und Direktmarketing – werden voraussichtlich ab Frühling 2019 neu reguliert. Aber der Reihe nach:

Derzeit gelten für Webseitenbetreiber die allgemeinen Grundsätze aus der Datenschutzrichtlinie 95/46/EG sowie das nationale Telemediengesetz (TMG). Letztgenanntes regelt die besondere Gesetzeslage für Telemedien, speziell das Internet. Seit Mai 2018 hat nun die DSGVO Vorrang vor dem nationalen TMG. Das bedeutet: Die Artikel 11 ff. des TMG (die sich auf Datenschutz beziehen) werden von den allgemeinen Normen des DSGVO beeinflusst. Was das in der Praxis bedeuten soll, ist unter Juristen umstritten. Jedenfalls werden die allgemeinen Grundsätze auch für Webseiten, Big Data und Social Media gelten. Auch der Einsatz von Cookies, Tracking-Tools und Targetingmaßnahmen muss sich nun nach der DSGVO richten.

Allerdings ist die Datenschutz-Grundverordnung gewissermaßen eine Übergangslösung: Denn ursprünglich sollte gemeinsam mit der Datenschutz-Grundverordnung und dem BDSG-neu noch eine weitere Neuregelung des Datenschutzes in Kraft treten: die E-Privacy-Verordnung der EU. Inzwischen geht man aber davon aus, dass es bezüglich des Verordnungsentwurfs frühestens Anfang 2019 eine Einigung geben wird. Es ist nämlich nicht zu erwarten, dass der Europäische Rat die Verordnung einfach so durchwinken wird: Der Entwurf sieht ein strenges Einwilligungserfordernis für Cookies vor. Würde dieser Entwurf Gesetz, hätte dies gravierende Auswirkungen auf Tracking, Targeting und personalisierte Werbung. Welche Änderungen hier im weiteren Gesetzgebungsprozess tatsächlich kommen werden, ist noch offen. Daher ist es derzeit zu früh, sich konkrete Gedanken über die E-Privacy-Verordnung zu machen.

Dennoch sollten Webseitenbetreiber und Onlinehändler die E-Privacy-Verordnung unbedingt im Blick behalten. Denn im Gegensatz zur Datenschutz-Grundverordnung, die datenschutzrechtliche Grundsätze regelt, wird sich die E-Privacy-Verordnung auf einen sehr speziellen Bereich beziehen: den Schutz der Privatsphäre im digitalen Alltagsleben. Hier warten also weitere Neuregelungen auf Webseitenbetreiber.

Doch was hat sich dann im Mai 2018 mit der Datenschutz-Grundverordnung der EU wirklich geändert? Die wichtigsten Veränderungen für Webseitenbetreiber sind folgende:

1. Die umfassende Dokumentationspflicht der Datenschutz-Grundverordnung
2. Die komplexeren Erlaubnistatbestände
3. Die Grundsätze von Privacy by Design und Privacy by Default
4. Erweiterte Auskunftsrechte und das Recht auf Löschung
5. Das Recht auf Datenübertragbarkeit
6. Deutlich umfangreichere Informationspflichten (z. B. für die Datenschutzerklärung einer Website)
7. Das Kopplungsverbot bei Einwilligungen
8. Sehr hohe Bußgelder

Einige Punkte haben wir in den vorherigen Abschnitten bereits erläutert. Die beiden Themen: Datenschutzerklärung und Koppelungsverbot werden im Folgenden dargestellt. Denn sie betreffen hauptsächlich Webseitenbetreiber.

Die wichtigste Neuerung der DSGVO für Webseitenbetreiber stellen die Vorgaben zu den Datenschutzbestimmungen dar. Bereits laut TMG musste jede Webseite eine Datenschutzerklärung enthalten. Doch während das TMG lediglich vorschrieb, dass Datenschutzerklärungen über Art, Umfang und Zwecke der Erhebung unterrichten sollten, enthält Art. 13 Abs. 2 der DSGVO einen ausführlichen Katalog von Informationen, die eine Datenschutzerklärung enthalten muss. Auch die Form die Datenschutzerklärung wird in der DSGVO deutlicher geregelt: Die Erklärung muss in verständlicher Sprache und inhaltlich nachvollziehbar erfolgen. Transparenz wird dabei in der DSGVO groß geschrieben.

Im Kopplungsverbot wiederum sehen Experten die größte Restriktion, die sich für die Netzwirtschaft aus der Datenschutz-Grundverordnung ergibt. Nach dem Kopplungsverbot darf ein Webseiten-Betreiber seine potenziellen Kunden nicht mehr zur Abgabe von Daten verpflichten, die für die eigentliche Leistung nicht notwendig sind. Ein Beispiel: Fordert man für das Zustandekommen eines Vertrages zugleich die Anmeldung für einen Online-Newsletter, so verstößt man gegen EU-Recht. Oberstes Prinzip der Einwilligung ist die Freiwilligkeit. Bei vielen gekoppelten Einwilligungen dürfte diese jedoch fehlen. Die so eingeholten Einwilligungen sind folglich unwirksam.

Zuletzt noch einmal der Hinweis: Beachten Sie unbedingt die Änderungen zu Dokumentationspflichten, Erlaubnisgrundlagen, Speicherung, Auskunftsrechten und zum Recht auf Löschung. Im Einzelnen können auch weitere Neuregelungen Webseitenbetreiber und Unternehmen betreffen.

Möchte man mit der Umsetzung der neuen europäischen Datenschutz-Grundverordnung beginnen, gilt zunächst: Die erforderlichen Maßnahmen fallen je nach Unternehmen unterschiedlich aus. Dennoch gibt es eine Reihe an Vorkehrungen, die jedes Unternehmen berücksichtigen sollte. Wir haben diese in einer DSGVO-Checkliste für Sie zusammengefasst.

• Etablieren Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
• Richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein.
• Richten Sie Kommunikationsrouten für Kunden-Anfragen zum Datenschutz ein.
• Prüfen Sie, ob Sie einen Datenschutzbeauftragten beauftragen müssen.
• Passen Sie die Datenschutzerklärung auf Ihrer Website an die Neuregelungen an.
• Beraten Sie sich mit dem Leiter Ihrer Technikabteilung und dem Datenschutzbeauftragten, ob die aktuellen technischen Maßnahmen zum Datenschutz ausreichen. Unter Umständen müssen weitere Maßnahmen eingeleitet oder bestehende Maßnahmen besser in die IT-Infrastruktur integriert werden.
• Alle erhobenen personenbezogenen Daten, die gegen das Kopplungsverbot verstoßen, müssen fortan anders eingeholt und als freiwillig ausgegebene Daten erhoben werden.
• Falls Sie externe Dienstleister damit beauftragt haben, personenbezogene Daten für Ihr Unternehmen zu verwalten, sollten Sie mit ihnen klären, ob die getroffenen Vereinbarungen der Datenschutzreform entsprechen. Passen Sie die Vereinbarungen gegebenenfalls den neuen Vorgaben an.
• Überprüfen Sie, wie Sie in Ihrem Onlineshop die Einwilligungen Ihrer Kunden einholen und passen Sie die Vorgehensweise an die Regelungen der Datenschutz-Grundverordnung an.
• Bleiben Sie aufmerksam, was die E-Privacy-Verordnung angeht: Sie wird künftig regeln, wie Onlinehändler mit Analyse- und Trackingtools umgehen.
• Falls Sie unsicher sind, nutzen Sie entsprechende professionelle Beratung.

Der Tenor aus den politischen Reihen war bei der Verabschiedung der Datenschutz-Grundverordnung mehrheitlich positiv. Sie schaffe Rechtssicherheit für Verbraucher und Unternehmer und stelle die gleichen Bedingungen für alle europäischen Marktteilnehmer sicher – so ließ es 2016 die Datenschutzbeauftragte Andrea Voßhoff verlauten und sprach von einem „Meilenstein“ für den Datenschutz. Auch aus dem Bundeswirtschaftsministerium gab es überwiegend zufriedene Stimmen zur europäischen Datenschutz-Grundverordnung: Zwischen Datenschutz und Big Data sei fair vermittelt worden, erklärte Staatssekretär Rainer Sontowski. Europäische Harmonisierung bei genügend unternehmerischem Freiraum – so lautete das allgemeine Urteil.

Doch gab es zur Verabschiedung der Datenschutz-Grundverordnung bereits 2016 auch kritische Stimmen. Datenschutzinitiativen sprachen von einem verwässerten Gesetz, dessen ursprüngliche Funktion besonders von der deutschen Regierung ausgehöhlt worden sei. Weitere Kritik kam vom Bundesverband Digitale Wirtschaft (BVDW), der schon während des Prozesses vage Formulierungen bemängelte, die das Risiko geringer Rechtssicherheit trügen. Dennoch wurde auch bei Kritikern die Initiative im Grundsatz begrüßt.

Abschließend einige Stellungnahmen zur Datenschutz-Grundverordnung im Überblick.

Über die möglichen Konsequenzen der Datenschutz-Grundverordnung wird schon seit Jahren heftig diskutiert. Seit dem 25. Mai 2018 scheinen sich nun sowohl einige der positiven als auch einige der negativen Voraussagen zu bewahrheiten. An dieser Stelle finden Sie deshalb eine Kurzübersicht über alle relevanten Entwicklungen, die mit der DSGVO zusammenhängen und Unternehmen oder Verbraucher betreffen:

Organisationen wie der Digitalverband Bitkom haben in der vergangenen Zeit immer wieder festgestellt, dass die Umsetzung der Datenschutz-Grundverordnung deutlich zu träge verläuft. Insbesondere bei kleinen und mittleren Unternehmen besteht nach wie vor ein großer Nachholbedarf. Dieser könnte sich theoretisch auf ihre wirtschaftlichen Performance auswirken, genaue statistische Erkenntnisse dazu gibt es zu diesem Zeitpunkt aber noch nicht.

Digital-Native-Konzerne wie Facebook haben die Veränderungen dagegen dank Millionenbudget und geballter Fachexpertise scheinbar unbeschadet überstanden und nutzen die DSGVO nun sogar fürs Eigenmarketing: So wirbt etwa Google damit, für die Implementierung der neuen Datenschutzmaßnahmen „500 Menschenjahre Arbeit“ aufgewendet zu haben.

Wie sich in den vergangenen Monaten immer wieder gezeigt hat, sorgt die DSGVO nicht nur hierzulande für Verwirrung. Sondern zum Beispiel auch in den USA: Statt ihre eigenen Datenschutzrichtlinien an die neuen europäischen Regelungen anzupassen, blockieren viele dort ansässigen Unternehmen sowie etwa 1.100 Nachrichtenseiten einfach Nutzer mit europäischen IP-Adressen, reduzieren das angebotene Informationsangebot oder schalten dieses nur gegen einen Aufpreis frei. Zudem sind aus Angst vor Bußgeldern auch viele kleine Websites vom Netz genommen worden und seitdem nicht mehr online gegangen. Diese Entwicklungen spielen direkt in das Szenario der „Datenflucht“ hinein, das von vielen DSGVO-Kritikern befürchtet wird.

Gleichzeitig hat das Inkrafttreten der DSGVO einen internationalen Diskurs über das Thema Datenschutz angestoßen, der – so sind sich Datenschützer einig – in diesem Ausmaß längst überfällig war. Große Internetkonzerne wie Google und Facebook stehen nun häufiger im Mittelpunkt der medialen Aufmerksamkeit und werden auch von ihren Nutzern kritisch beobachtet. Schließlich verarbeiten die Big Player auch die personenbezogenen Daten von EU-Bürgern, deren Schutz einen höheren Stellenwert genießt als es aktuell noch im US-Recht der Fall ist.

Die große „Abmahnwelle“, die von vielen Wirtschaftsakteuren lange Zeit befürchtet wurde, erweist sich weiterhin als Phantom. Trotzdem flattern seit Januar 2019 immer mehr E-Mails mit unheilvollem WortlautMahnungen  in die Postfächer vieler Unternehmen. Die IHK Hannover warnt: Bei den angeblich offiziellen Mahnungsschreiben handelt es sich um eine Betrugsmasche, die Mails enthalten gefährliche Malware im Anhang und sollten deshalb schnell als Spam eingestuft und gelöscht werden.

Das lässt an die vereinzelten Betrugsfälle denken, von denen einige Anwälte bereits im Mai 2018 berichteten, und bei denen ebenfalls versucht wurde, die Unsicherheit bezüglich der DSGVO für kriminelle Machenschaften auszunutzen.

Obwohl sich die Angst vor einer Abmahnwelle als übertrieben herausgestellt hat, meldeten der Bund und die Länder im Dezember 2018 einen starken Anstieg der Häufigkeit von Datenschutzbeschwerden: Zahlreiche Hinweise zu Verstößen in Unternehmen gingen bei den Datenschutzbeauftragten ein. Laut Andrea Voßhoff, der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), deute dies darauf hin, „dass die DSGVO bei aller Kritik angenommen wird und Bürger ihre Rechte wahrnehmen.“

Nahezu zeitgleich haben die deutschen Datenschutzbehörden mit der Verhängung der ersten Bußgelder begonnen. Zuvor war eine von der Bundestagsfraktion CDU/CSU vorgeschlagene Soforthilfe“-Initiative gegen Abmahngebühren gescheitert. Stattdessen hatten sich die zuständigen Stellen inoffiziell auf eine vorübergehende „Schonfrist“ geeinigt, in der keine Strafen verhängt wurden. Doch die ist nun vorbei: Im November 2018 musste der Social-Media-Dienstleister Knuddels.de ein Bußgeld von 20.000 Euro zahlen, nachdem er Passwörter und E-Mail-Adressen unverschlüsselt und gehasht gespeichert hatte und dadurch leichtes Opfer eines Hacker-Angriffs geworden war.

Die Unsicherheit gegenüber der DSGVO trug in der Vergangenheit immer wieder kuriose und zugleich medienwirksame Blüten: So will etwa der Immobilienverband „Haus & Grund“ die Klingelschilder all seiner Mieter anonymisieren, weil sie angeblich gegen das neue Datenschutzrecht verstoßen könnten. Viele Juristen bezweifeln dies, auch wenn sich Argumente für diese Annahme finden lassen. Ein endgültiger Gerichtsbeschluss steht aber noch aus.

Bei manch anderem Thema hat die Rechtsprechung dagegen bereits für Klarheit gesorgt:

• Dürfen direkte Wettbewerber Abmahnungen aufgrund von Datenschutzverstößen in Unternehmen aussprechen? Wenn es nach dem Landgericht Würzburg geht, lautet die Antwort „Ja“. Im September 2018 hat es mit dieser Einschätzung einen bereits häufig zitierten Präzedenzfall geschaffen.
   
• Hat die DSGVO Auswirkungen auf die bisherigen Praktiken bei der Verwendung von Bildern? Hierzu hat das Oberlandgericht Köln entschieden, dass das Kunsturhebergesetz, das bislang die Urheberschaft und Verbreitung von Bildern regelte, trotz der Datenschutz-Grundverordnung auch weiterhin gültig ist.