Home » Blog » Interview mit Dr. Volker Baldus zur EU Datenschutz-Grundverordnung (DSGVO)

Interview mit Dr. Volker Baldus zur EU Datenschutz-Grundverordnung (DSGVO)

17. August 2017

DSGVO -Teaser - NEwsletter2Go


“Die DSGVO schafft innerhalb der EU einen einheitlichen datenschutzrechtlichen Rahmen zur Förderung des europäischen Binnenmarkts”

Volker Baldus Janolaw-Newsletter2Go

Dr. Volker Baldus von Janolaw

Im Mai 2018 tritt die neue EU Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese Verordnung bringt vielerlei Veränderungen für Unternehmer und Verbraucher mit sich. Im folgenden Intveriew erklärt Dr. Volker Baldus von Janolaw AG Newsletter2Go, welche Änderungen eintreten werden und welche Konsequenzen die DSGVO hat. Dr. Volker Baldus ist seit September 2006 als Rechtsanwalt bei Janolaw beschäftigt. Seine Spezialisierungen liegen dabei auf Datenschutz- und E-Commerce-Recht. Seit 2017 ist er vom TÜV Süd zertifizierter Datenschutzbeauftragter.

Newsletter2Go: Im Mai 2018 soll die neue Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Ziel soll es sein, die Datenschutzrechte in Europa zu vereinheitlichen. Was bedeutet diese Verordnung für den Verbraucher und Unternehmen?

Dr. Volker Baldus: Die DSGVO bringt Unternehmern zunächst mehr Pflichten und Verbrauchern mehr Rechte. Langfristig bringt eine Vereinheitlichung des Datenschutzniveaus dem Unternehmer aber auch (rechtliche) Vorteile. So muss sich z.B. ein Onlinehändler beim Verkauf in andere EU-Mitgliedstaaten nicht mehr mit unterschiedlichen nationalen Regelungen auseinandersetzen, sondern nur noch mit der DSGVO. Nach der Vereinheitlichung des Widerrufsrechts am 13. Juni 2014 ist dies also der nächste Schritt zur Beseitigung von nationalen Rechtsschranken und zur Schaffung eines europäischen Online-Binnenmarkts.

Newsletter2Go: Ein Ziel der Verordnung ist auch, den Nutzern künftig leichteren Zugang zu ihren Daten zu geben. Vor allem in der digitalen Welt bzw. im Internet haben persönliche Daten einen großen Wert. Was bedeutet dieses Ziel für Unternehmen, die im Internet agieren?

Dr. Volker Baldus: Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen sich darüber im Klaren sein, dass in Zukunft mehr Nutzeranfragen auf sie zukommen können und sie diese Anfragen auch beantworten müssen. Der Umfang des Auskunftsrechts ist sehr detailliert in Art. 15 DSGVO geregelt. So hat der Nutzer u.a. ein Recht auf Auskunft auf folgende Informationen: Verarbeitungszwecke, Kategorien personenbezogener Daten, Kategorien von Empfängern, Speicherdauer und Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde. Neben dem umfangreichen Auskunftsrecht hat der Nutzer u.a. auch noch folgende Rechte, wie Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Unternehmen sollten sich also Gedanken darüber machen, wie sie diese Rechte in der Praxis zügig umsetzen können.

Der Nutzer hat u.a. ein Recht auf Auskunft auf folgende Informationen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten
  • Kategorien von Empfängern
  • Speicherdauer
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

Weiterhin hat der Nutzer auch folgende Rechte:

  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit

Newsletter2Go: Was genau ändert sich mit der DSGVO im Bezug auf E-Mail Marketing und gibt es dadurch rechtliche Änderungen aufgrund derer die Adresserhebung anders als bisher gestaltet werden muss?

Dr. Volker Baldus: Diese Frage lässt sich aktuell noch nicht eindeutig beantworten, da hier zwei Rechtsordnungen aufeinandertreffen: die künftige DSGVO und das UWG (= Gesetz gegen den unlauteren Wettbewerb). Der einschlägige § 7 UWG bestimmt, dass eine E-Mail-Werbung ohne eine vorherige ausdrückliche Einwilligung des Adressaten nicht verschickt werden darf. Ausnahme: der Unternehmer hat die E-Mail-Adresse im Zusammenhang mit einem Vertragsabschluss erhalten und nutzt sie, um Werbung für ähnliche Waren oder Dienstleistungen zu machen (vgl. § 7 Abs. 3 UWG). § 7 UWG wird auch nach dem Inkrafttreten nach DSGVO weiterhin gelten, so dass man aktuell davon ausgehen sollte, dass sich in Bezug auf das E-Mail Marketing kaum Änderungen ergeben werden.

Newsletter2Go: Welche weiteren Regelungen werden vor allem auf Unternehmen im kommenden Jahr zukommen und welche Konsequenzen sind dadurch zu erwarten?

Dr. Volker Baldus: Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss über diese Verarbeitungstätigkeiten ein Verzeichnis führen. Diese Vorschrift ist ein Ausfluss der in Art. 5 Abs. 2 DSGVO enthaltenen „Rechenschaftspflicht“. Was bedeutet „Rechenschaftspflicht“ in diesem Zusammenhang? Art. 5 Abs. 1 DSGVO enthält die Grundsätze für die Verarbeitung personenbezogener Daten, z.B.: Rechtmäßigkeit, Transparenz, Datenminimierung und Speicherbegrenzung.

Abs. 2 bestimmt, dass der Verantwortliche für die Einhaltung dieser Grundsätze verantwortlich ist und diese Einhaltung auch nachweisen kann. Die DSGVO zwingt Unternehmen also dazu, sich mit den unterschiedlichen Verarbeitungstätigkeiten innerhalb des Geschäftsbetriebs auseinanderzusetzen und dies auch zu dokumentieren. Es soll also eine Art Datenschutzmanagement in jedem Unternehmen installiert werden. Deutschland hat dazu in einer Sonderregelung außerhalb der DSGVO bestimmt, dass auch weiterhin Unternehmen mit mehr als neun Mitarbeitern einen Datenschutzbeauftragten bestellen und diesen bei der zuständigen Aufsichtsbehörde melden müssen. Als Datenschutzbeauftragter kann ein interner Mitarbeiter oder ein externer Dienstleister benannt werden.

Newsletter2Go: Welche Vor- und Nachteile bringt die DSGVO mit sich?

Dr. Volker Baldus: Die DSGVO schafft innerhalb der EU einen einheitlichen datenschutzrechtlichen Rahmen zur Förderung des europäischen Binnenmarkts und grenzüberschreitender digitaler Geschäftsmodelle. Gleichzeitig wird eine Schutzmauer vor der wirtschaftlichen Übermacht von Google, Facebook und Co. geschaffen, die bislang die uneinheitliche Rechtslage in der EU für ihre Geschäftsmodelle ausnutzen. Ein Beispiel: nach aktueller Rechtslage sind nur die deutschen Webseitenbetreiber verantwortlich für die Datenschutzkonformität von Social Plugins oder Webanalyse-Tools. Ab dem 25. Mai 2018 können auch gegen Auftragsverarbeiter wie Google und Facebook für datenschutzrechtliche Verstöße durch diese Tools Geldbußen verhängt werden. Diese Rechts- und Haftungsänderung könnte insbesondere für Nutzer kurzfristig von Vorteil sein, da nun ein effektiver Schutz vor einer unberechtigten und massenhaften Datenverarbeitung zur Verfügung steht.

Ein großer Nachteil der DSGVO liegt in der Unbestimmtheit einiger Formulierungen. Die DSGVO wurde in vielen Bereichen offen formuliert, um auch künftige technische Entwicklungen abdecken zu können. Um den Schutz personenbezogener Daten Nachdruck zu verleihen, wurden die Geldbußen drastisch verschärft. Ein Verstoß gegen Art. 6 DSGVO kann mit Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Unter diesem Bußgelddruck steht der Unternehmer also oftmals vor der schwierigen Frage, wie er die Anforderungen in der Praxis umsetzen kann. Einige Antworten für den Online-Bereich wird hoffentlich die ePrivacy Verordnung liefern, die sich aber noch im Gesetzgebungsprozess  befindet und ebenfalls am 25. Mai 2018 in Kraft treten sollte.

Newsletter2Go: Vielerseits wird die neue Datenschutz-Grundverordnung diskutiert. Kritiker kreiden eine Art Bevormundung des Bürgers an, Befürworter behaupten die Reform als eine Art Milestone in Sachen Verbraucherschutz. Wie schätzen Sie die Veränderungen der Datenschutzrechte ein?

Dr. Volker Baldus: Die DSGVO stellt das bisherige Datenschutzrecht nicht vollständig auf den Kopf. Deutschland hat mit dem aktuell noch gültigen Bundesdatenschutzgesetz (BDSG)  im europaweiten Vergleich bereits ein sehr hohes Datenschutzvniveau erreicht und z.B.  schon seit mehreren Jahren Erfahrung mit dem betrieblichen Datenschutzbeauftragten, der in den Rechtsordnungen der meisten EU-Mitgliedsstaaten unbekannt ist. Die DSGVO sieht nun aber für einige Fälle einen Datenschutzbeauftragten zwingend vor, d.h. andere Unternehmen in der EU haben zum Teil einen deutlich höheren Anpassungsbedarf. Für alle Unternehmen problematisch sind jedoch die bereits erwähnten offenen Formulierungen der DSGVO, d.h. es gibt in vielen Fällen keine konkreten Handlungsanweisungen.

Ein Beispiel: Die Verarbeitung personenbezogener Daten ist u.a. erlaubt, wenn es eine Rechtsgrundlage oder eine Einwilligung des Betroffenen gibt. Konkrete Rechtsgrundlagen gibt es nur wenige, Einwilligung sind umständlich einzuholen. Daher sieht die Art. 6 Abs. 1 f) DSGVO als weiteren Erlaubnistatbestand für die Verarbeitung eine Interessenabwägung vor:

„Die Verarbeitung ist nur rechtmäßig, wenn […] die Verarbeitung […] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Im Streitfall ist es aber dann Aufgabe des Gerichts zu entscheiden, welche Interessen überwiegen. Es wird noch einige Zeit dauern, bis es die ersten Gerichtsentscheidungen und damit die ersten Konkretisierungen in diesem Bereich geben wird. Wenn ein Unternehmen seine Datenverarbeitung also auf Art. 6 Abs.1 f) stützt, setzt es sich einer nicht unerheblichen Bußgeldgefahr aus.

Newsletter2Go: Haben Sie besondere Tipps und Hinweise, wie sich Unternehmen bereits jetzt auf die DSGVO vorbereiten können und was sie genau beachten müssen?

Dr. Volker Baldus:

Wie gerade ausgeführt, enthält die DSGVO mit ihren offenen Formulierungen einige rechtliche Grauzonen. Eine Empfehlung lautet, kritisch gegenüber vermeintlich kostenlosen Social Plugins zu sein. Diese Plugins erfassen personenbezogene Daten und damit verdienen die Anbieter ihr Geld. In Anbetracht der hohen Bußgelder könnten Unternehmer diese Tools unter der Herrschaft der DSGVO teuer bezahlen. Weiterhin sollten sich Unternehmer auch Gedanken über die aktuellen Entwicklungen auf dem Laufenden halten. Die Aufsichtsbehörden veröffentlichen derzeit in unregelmäßigen Abständen Kurzpapiere, um den Einstieg in Themen wie Auskunftsrecht, Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung etc. zu erleichtern. Hier z.B. auf der Seite des Bayerischen Landesamts für Datenschutzaufsicht.

Auch die eigene Datenschutzerklärung auf der Webseite muss bis zum 25. Mai 2018 an die neuen Rechtsvorschriften angepasst werden. Ansonsten drohen hier zusätzlich schnell Abmahnungen von Verbänden. Janolaw bietet für Datenschutzerklärungen einen solchen Aktualisierungsdienst an.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>