Von Cookies, Chrome und Katzenfotos – Datenschutz nach der neuen Datenschutz-Grundverordnung (DSGVO)

Seit dem 25. Mai 2018 sorgt sie bei Internetnutzern für Verwirrung, Kopfschütteln, Wutausbrüche, pure Angst und sogar für die Abschaltung ganzer Webseiten: die neue „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz: die EU-Datenschutz-Grundverordnung oder DSGVO.

Von Camilla S. Haake

Die neue EU-Datenschutz-Grundverordnung befindet sich in aller Munde. Gerade Unternehmen tun sich offenbar schwer, die Anforderungen zu erfüllen, die das Europarecht – vermeintlich „aus heiterem Himmel“ – an den Versand ihrer Newsletter, die Verarbeitung von Kundendaten oder die Gestaltung der Firmen-Homepage stellt. Daher wählten einige Unternehmen in den vergangenen Monaten sogar den Weg des geringsten Risikos – und schalteten ihre Internetpräsenz einfach ab. Zahlreiche Zeitungen vermeldeten: „Unfortunately, our website is currently unavailable in most European countries”. Und wer sein Eigenheim mit „Smart Home”-Leuchtmitteln oder -Küchengeräten ausgestattet hat, die zur Anpassung von Serviceangeboten Daten über die Gewohnheiten der Bewohner sammeln, dem konnte es passieren, dass er plötzlich im Dunkeln saß oder zwischenzeitlich mit einem störrischen und geradezu zwanghaft auf Datenschutz bedachten Kühlschrank ringen musste. Dabei ist die DSGVO – als Teil der EU-weiten Datenschutzreform, vorgestellt von der Kommission im Januar 2012 – bereits am 24. Mai 2016 offiziell in Kraft getreten. In Art. 99 Abs. 2 DSGVO wurde jedoch eine zweijährige Übergangs- und Anpassungsfrist festgelegt, weshalb die DSGVO erst seit dem 25. Mai 2018 anzuwenden ist.

Verordnung vs. Richtlinie
Im Gegensatz zu der nun außer Kraft getretenen EU-Datenschutz-Richtlinie 95/46/EG „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ von 1995 gilt die DSGVO mit ihren 99 Artikeln als Verordnung im Sinne des Art. 288 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) in allen EU-Mitgliedstaaten unmittelbar. Einer Umsetzung in nationales Recht bedarf sie zu ihrer Gültigkeit grundsätzlich nicht. Sie ist also automatisch Teil der Rechtsordnungen aller Mitgliedstaaten geworden, Einzelregelungen sind nur in begrenztem Umfang über sog. Öffnungsklauseln möglich. Die DSGVO dient so der Vereinheitlichung des Datenschutzes innerhalb der EU und damit einer Angleichung der bisher sehr unterschiedlichen Datenschutzniveaus in den Mitgliedstaaten. Um möglichst flexibel auf neue technische Entwicklungen reagieren zu können, enthält die DSGVO – anders als die alte Datenschutz-Richtlinie – eher technikneutral und offen formulierte Regelungen.

Die DSGVO ersetzt das bisherige deutsche Bundesdatenschutzgesetz (BDSG a.F.), das innerdeutsch den Umgang mit personenbezogenen Daten und ihre Verarbeitung (manuell oder unter Verwendung von Informations- und Kommunikationssystemen) regelt. Eine überarbeitete Fassung des Gesetzes erlangte als BDSG n.F. zeitgleich mit der neuen Verordnung am 25. Mai 2018 Gültigkeit. Neben der DSGVO gilt weiterhin die „Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation“ (Datenschutzrichtlinie für elektronische Kommunikation oder EU-ePrivacy-Richtlinie). Diese bildet die europarechtliche Basis für das deutsche Telemediengesetz (TMG), das Datenschutzgesetz für Internet-basierende Dienste wie E-Mail und das World Wide Web (WWW). Die Novellierung der ePrivacy-Richtlinie war ursprünglich zeitgleich mit dem Inkrafttreten der DSGVO geplant, schließlich jedoch verschoben worden.

Sollte es einmal zu einer Kollision der DSGVO mit deutschem Datenschutzrecht kommen, hat das EU-Recht grundsätzlich Vorrang in der Anwendung. Ausnahmen bilden Öffnungsklauseln innerhalb der Verordnung, die dem nationalen Gesetzgeber in bestimmten Regelungsbereichen der DSGVO Spielräume zur Schaffung eigener nationaler Normen lassen. Die nationalen Regelungen bleiben selbstverständlich bestehen und gelten fort für rein innerstaatliche Sachverhalte.

Berechtigte und Verpflichtete
Laut ihrem Art. 1 Abs. 1 ist primäres Ziel der DSGVO der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“.
Doch was sind „personenbezogene Daten“? Darunter sind jedenfalls der Name und die Anschrift einer natürlichen Person, also eines jeden Menschen, zu verstehen. Auch das Geburtsdatum, die E-Mail-Adresse inkl. der entsprechenden Login-Details oder Konto- und Kreditkartendaten fallen unter diesen Begriff. Ausgehend von einem Beschluss des BGH vom 05.10.2017 (Az. I ZR 7/16) sind sogar IP-Adressen und „Cookies“ (engl. Keks, Plätzchen; lokal auf einem bestimmten Rechner gespeicherte Daten einer Webseite, die dazu genutzt werden können, eine Person, die mittels dieses Rechners eine Webseite im WWW aufruft und nutzt, zu identifizieren) unter bestimmten Voraussetzungen erfasst (sog. „Online-Kennungen“ im Sinne des Art. 4 Nr. 1 DSGVO; Erwägungsgrund 30). Nach der Definition in Art. 4 Nr. 1 DSGVO sind personenbezogene Daten folglich alle Informationen, die sich auf eine „identifizierte oder identifizierbare natürliche Person“ beziehen. Es geht also um Daten, mit deren Hilfe eine Person auch und insbesondere im Internet identifiziert werden kann.

Die „Verarbeitung“ von Daten liegt nach Art. 4 Nr. 2 DSGVO beispielsweise vor, wenn Daten im oben genannten Sinne (manuell oder automatisiert) erhoben, gespeichert, angepasst oder verändert, verwendet, übermittelt, gelöscht oder vernichtet werden. In die Erfassung und Verarbeitung ihrer Daten, etwa durch die Verwendung von Cookies auf einer Webseite, muss die betroffene Person explizit einwilligen (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO). Das geht jedoch nur, wenn sie „informiert“ wurde und zwar u.a. über den geplanten Nutzungszweck der Daten. Das geschieht etwa im Wege einer in möglichst einfacher Sprache formulierten Datenschutzerklärung. Entsprechende Muster werden mittlerweile vielfach kostenlos online zur Nutzung durch Private und Unternehmen zur Verfügung gestellt. Das verarbeitende Unternehmen darf nicht lediglich „vermuten“, dass der Nutzer seiner Dienste stillschweigend auch der Verarbeitung seiner Daten zustimmt. Die Einwilligung muss der Kunde jederzeit widerrufen können, wobei er natürlich auch auf dieses Widerrufsrecht hingewiesen werden muss. Die Datenschutzerklärung muss nach dem Grundsatz der Transparenz der Datenverarbeitung (Art. 5 Abs. 1 lit. a), 3. Fall DSGVO) zwingend enthalten: Name und Anschrift des für die Verarbeitung der Nutzerdaten Verantwortlichen sowie die Kontaktdaten des Datenschutzbeauftragten des verarbeitenden Unternehmens (vgl. dazu Art. 37 DSGVO und § 38 BDSG n.F. bzw. § 4f BDSG a.F.) den Zweck der Datenverarbeitung, eine Auflistung der Daten, die verarbeitet werden, sowie die Speicherdauer, Hinweise zur Verwendung von Cookies und Anwendungen wie Google Analytics und – ganz wichtig! – eine Liste der Rechte, die der Nutzer im Zusammenhang mit der Verarbeitung seiner Daten hat, etwa das Recht auf Auskunft über die verarbeiteten Daten (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) und Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO) und das Recht, auch einer rechtmäßigen Datenverarbeitung unter bestimmten Umständen zu widersprechen (Art. 21 DSGVO).

Besonders strenge Vorgaben gelten für die Verarbeitung „besonderer Kategorien“ personenbezogener Daten im Sinne des Art. 9 DSGVO, also z.B. „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“ sowie „Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Die Verarbeitung solcher Daten ist grundsätzlich verboten (Art. 9 Abs. 1 DSGVO), Ausnahmen gelten nur in bestimmten Fällen (dazu Art. 9 Abs. 2 lit. a)-j) DSGVO), etwa bei ausdrücklicher und wirksamer Einwilligung des Betroffenen in die Verarbeitung (Art. 9 Abs. 2 lit. a) DSGVO) oder wenn er oder sie die Daten bereits „offensichtlich öffentlich gemacht hat“. Darunter fallen wohl auch solche Daten, die eine Person in sozialen Netzwerken der Öffentlichkeit zugänglich macht, etwa Fotos oder sonstige Angaben zur Person (Vor- und Nachname, Geburtsdatum, E-Mail-Adresse, Informationen zum Erscheinungsbild etc.), daneben auch Daten, die von der Person im Rahmen einer Pressemitteilung veröffentlicht werden.

Ein „Ende der Fotografie, wie wir sie kennen“ sagten daher auch viele (Hobby-)Fotografen voraus, denn auch für sie sind die Regelungen der DSGVO von Bedeutung. Das – bewusste oder unabsichtliche – (digitale) Fotografieren einer Person gilt nämlich auch als „Verarbeitung personenbezogener Daten“, da häufig Informationen wie Datum, Uhrzeit und per GPS sogar der Ort der Aufnahme gespeichert werden. Zudem zeigt ein Foto, wie die fotografierte Person aussieht, macht sie damit also identifizierbar. Dabei kommt es nicht darauf an, ob das Foto anschließend veröffentlicht wird, ob es also etwa auf Facebook hochgeladen oder zu Werbezwecken auf die Homepage eines professionellen Fotografen gestellt wird. Wer auch heute noch analog fotografiert, ist dagegen überwiegend auf der datenschutzrechtlich sicheren Seite, und auch Fotos und Veröffentlichungen, die vor dem 25. Mai 2018 gemacht wurden, sind nicht rückwirkend an den Maßgaben der DSGVO zu messen. Alle anderen, mit Ausnahme der Angehörigen der sog. „institutionalisierten Presse“, müssen die Fotografierten vor dem „Abdrücken“ eine schriftliche Einverständniserklärung unterschreiben lassen. Das sieht auch der innerdeutsch auf nicht grenzüberschreitende Sachverhalte weiterhin anwendbare § 22 Kunsturhebergesetz (KUG) vor. Dass das beim Ablichten großer Menschenmengen, etwa in Fußballstadien oder Festivals, praktisch kaum umsetzbar ist, ist offensichtlich (und nach § 23 KUG im Zusammenhang mit rein nationalen Sachverhalten auch nicht notwendig). Als sog. bereichsspezifische Regelung im Sinne des § 1 Abs. 2 BDSG ist das KUG nach Ansicht der Rechtsprechung des Bundesarbeitsgerichts (BAG) und der Zivilgerichte vorrangig gegenüber dem BDSG. Unklar ist aber, ob sich dieser Grundsatz entsprechend auf das Verhältnis des KUG zur DSGVO übertragen lässt. Dabei kommt es auf die bisher nicht abschließend geklärte Frage an, ob Art. 85 Abs. 1 DSGVO eine Öffnungsklausel enthält und den nationalen Gesetzgebern so die Möglichkeit gibt, neben der DSGVO eigene Regeln für die Veröffentlichung von Fotos zu privaten oder beruflichen Zwecken zu etablieren. Im Juni dieses Jahres bejahte das Oberlandesgericht (OLG) Köln dies für den journalistischen Bereich (OLG Köln, Beschl. v. 18.06.2018 – Az. 15 W 27/18). Dasselbe soll nach Erwägungsgrund 153 der DSGVO gelten für die Datenverarbeitung zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, dabei insbesondere im Rahmen der Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven.

Gebunden an die Vorgaben zum Datenschutz sind Private, Unternehmen und öffentliche Stellen, die Webseiten betreiben (egal ob Blogger, Online-Händler oder Behörde), die mit der Unterhaltung dieser Seite nicht nur rein persönliche oder familiäre Zwecke verfolgen (Art. 2 Abs. 2 lit. c) DSGVO). Voraussetzung ist, dass die verarbeitende Tätigkeit im Rahmen eines grenzüberschreitenden Sachverhalts auftritt, andernfalls ist das Unionsrecht und damit auch die DSGVO nicht anwendbar (Art. 2 Abs. 2 lit. a) DSGVO). Dabei löst schon die bloße Bereitstellung einer Webseite die Anwendung der DSGVO aus, denn bereits beim reinen „Lesezugriff“ wird die IP-Adresse des Nutzers an den Betreiber übermittelt. Wer dagegen mittels einer Webseite ausschließlich die Familienmitglieder im weit entfernten Australien an seinem Leben mit dem heißgeliebten Kater Schnurri teilhaben lassen möchte und tagtäglich ein weiteres süßes Foto von Schnurri über die passwortgeschützte Webseite hochlädt, wird sich nicht mit den Regelungen der DSGVO auseinandersetzen müssen. Abgesehen von den Familienmitgliedern, denen das Passwort mitgeteilt wird, kann niemand sonst auf die Seite zugreifen. Wird der Nutzerkreis aber erweitert, und werden auf der Seite Werbung und Affiliate-Links (engl. affiliate „angliedern“; Marketing-System, in dem ein (privater) Webseitenbetreiber auf Provisionsbasis als Vertriebspartner eines kommerziellen Anbieters fungiert) zu Katzenfutter und Kleintierbedarf geschaltet, sieht es schon anders aus: Dann verlässt der Anbieter den privaten Bereich und muss sein Handeln an der DSGVO messen lassen.

In der Pflicht sind jedenfalls Internet-Riesen wie Google, Facebook oder Amazon, und zwar auch dann, wenn diese ihren Sitz nicht in einem Mitgliedstaat der EU haben. So wirkt die DSGVO u.a. der datenschutzrechtlichen „Rosinenpickerei“ großer Unternehmen entgegen. Gemäß Art. 3 DSGVO müssen sich nämlich auch sie an die neuen EU-Vorschriften halten (vgl. Erwägungsgrund 23 der DSGVO), sofern sie auf dem europäischen Markt agieren und auf dem Gebiet eines EU-Mitgliedstaats Waren oder Dienstleistungen anbieten. Das gilt unabhängig davon, ob sie ihren Sitz in der EU haben, wo genau die Datenverarbeitung stattfindet (sog. Marktortprinzip) und ob der Verantwortliche die Daten selbst verarbeitet oder die Verarbeitung durch einen Beauftragten (sog. Auftragsverarbeiter) vornehmen lässt.

Ein Auftragsverarbeiter in diesem Sinne kann etwa der Betreiber eines Newsletter-Services oder eines Cloud-Dienstes sein. Auch die Nutzer und Betreiber von Cloud-Services sind folglich von den Änderungen betroffen. Juristisch betrachtet ist das Verarbeiten von Daten in der Cloud eine „Auftragsdatenverarbeitung“ (nach Art. 28 DSGVO „Auftragsverarbeitung“). Jeder Cloud-Anbieter ist in der Pflicht, mit geeigneten technischen und organisatorischen Maßnahmen für den Schutz der Daten der Betroffenen zu sorgen und so das Risiko der Datenverarbeitung möglichst gering zu halten. Die Höhe des Risikos bestimmt sich ab sofort aus Sicht der betroffenen natürlichen Person, nicht aus der Sicht des Betreibers der Webseite. Daher muss der Betreiber als Auftraggeber der Datenverarbeitung regelmäßig die Arbeit seines Cloud-Dienstleisters kontrollieren (vgl. Art. 32 Abs. 1 lit. d) DSGVO), etwa, ob dieser bei der Verarbeitung Subunternehmer einsetzt oder vorhat, die Daten in Staaten außerhalb der EU zu transferieren (vgl. dazu Art. 44ff. DSGVO).

Probleme bereitet in der Praxis der Umstand, dass oft unklar bleibt, wer überhaupt für die Speicherung der Daten verantwortlich ist. So wird eine Webseite mit unterschiedlichen Inhalten in der Regel von einem Betreiber verwaltet und gepflegt, die Seite ist aber auf dem Server eines anbietenden Unternehmens (sog. Webhost) erstellt und gespeichert worden. Der Webhost verarbeitet die Daten der Seitenbesucher und -nutzer, jedoch nur im Auftrag des Betreibers, sog. Auftragsverarbeitung (Art. 28ff. DSGVO). Der Europäische Gerichtshof (EuGH) in Luxemburg entschied jüngst, dass für den Datenschutz auf Fanpages auf Facebook die Social Media-Plattform selbst und die Seitenbetreiber gleichermaßen verantwortlich seien (EuGH, Rs. C-210/16, Urt. v. 05.06.2018). Die Entscheidung erging zwar zu der alten Datenschutz-Richtlinie, die jedoch wortlautgleich wie die DSGVO definiert, wer für die Datenverarbeitung „verantwortlich“ zeichnet (vgl. Art. 2 lit. d) Datenschutz-Richtlinie, Art. 4 Nr. 7 DSGVO).

Endnutzer als Datenschutz-Gewinner
Während auf Webseitenbetreiber neue Pflichten zukommen, sind die Endnutzer nach Ansicht vieler die großen Gewinner der EU-Datenschutzreform.
Die DSGVO erweitert den Bestand der Betroffenenrechte sowie die Dokumentationspflichten der Verantwortlichen (vgl. Art. 5 Abs. 2 DSGVO) und führt neue Bußgeldtatbestände mit drastisch erhöhten Bußgeldern (bis zu 20 Mio € oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, vgl. Art. 83 Abs. 6 DSGVO) ein. Einige Neuerungen der DSGVO nimmt der folgende Abschnitt unter die Lupe.

Nutzung von Angeboten der Informationsgesellschaft durch Kinder, Art. 8 DSGVO
Neu ist u.a. der bessere Schutz von Kindern bei der Verwendung von Daten zu Werbezwecken sowie bei der Erstellung von Persönlichkeits- oder Nutzerprofilen. Nach Art. 8 DSGVO ist es Jugendlichen unter 16 Jahren nicht mehr möglich, allein und ohne Einbeziehung ihrer Erziehungsberechtigten in die Verarbeitung ihrer Daten einzuwilligen. Die Öffnungsklausel des Art. 8 Abs. 1 Satz 3 DSGVO erlaubt es den Mitgliedstaaten jedoch, diese Grenze bis auf 13 Jahre herabzusetzen. Stimmt der gesetzliche Vertreter der Verarbeitung nicht zu, so bleibt dem Jugendlichen etwa die Nutzung des Messengers Whatsapp und der Social Media-Plattform Facebook verwehrt. Allein diese Regelung könnte die Anbieter in tiefe Sinnkrisen stürzen, verwendeten doch im Jahr 2017 allein 98% aller 14- bis 19-jährigen Internetnutzer auch Whatsapp. Haben die Nutzer schließlich die magische Grenze des 16. Geburtstags überschritten, so müssen diejenigen Anbieter, die ausschließlich auf Online-Angebote für Kinder spezialisiert sind, auf ihren Seiten Informationen in einfacher Sprache zur Verarbeitung von Daten (z.B. Informationen rund um Datenschutzerklärungen) zur Verfügung stellen, damit die 16- bis 18-jährigen ebenso wie die Erwachsenen „informiert“ einwilligen können.

Auskunftsrecht der betroffenen Person, Art. 15 DSGVO
Die betroffene Person hat grundsätzlich ein Auskunftsrecht gegenüber dem Verarbeiter ihrer Daten, „zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind“ (Erwägungsgrund 63 der DSGVO). In ähnlicher Form stand Betroffenen bereits gem. §§ 34, 35 BDSG a.F. ein Recht auf Auskunft über die Daten sowie auf ihre Berichtigung, Sperrung oder Löschung zu. Neu ist allerdings, dass der Betroffene nun per elektronischem Auskunftsantrag eine konventionelle Kopie in Papier oder sogar ein elektronisches Backup all seiner persönlichen Daten, die das Unternehmen erhoben hat, kostenlos abfragen kann (Art. 15 Abs. 3 DSGVO). Laut Art. 12 DSGVO muss das Unternehmen spätestens einen Monat nach Eingang des Antrags antworten und die Daten versenden. Dasselbe gilt für Anträge auf Berichtigung (Art. 16 DSGVO) oder Löschung bestimmter Daten (Art. 17 Abs. 1 lit. c) DSGVO, sog. „Recht auf Vergessenwerden“, dazu sogleich).

Recht auf Vergessenwerden, Art. 17 DSGVO
Über die Einführung dieses Rechts werden sich Internetnutzer besonders gefreut haben. Danach müssen Unternehmen personenbezogene Daten in Zukunft auf Wunsch und auf Antrag eines Nutzers vollständig löschen. Damit reagierte der EU-Gesetzgeber u.a. auf ein Urteil des EuGH vom 13.05.2014 (EuGH, Rs. C-131/12), das die Suchmaschine Google im konkreten Fall zur Löschung von die Privatsphäre der Betroffenen verletzenden Suchergebnissen aufforderte.

Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Besondere Bedeutung kommt auch dem neuen Recht auf Datenübertragbarkeit, sog. Datenportabilität, zu. Danach haben Nutzer, die sich z.B. entscheiden, ihren Facebook-Account zu löschen, die Möglichkeit, samt persönlicher Daten wie Fotos, Videos und persönlichen Nachrichten sowie Freundeslisten zu einem anderen Netzwerk „umzuziehen“. Unklar ist noch, ob diese Vorschrift auch auf selbst erstellte Playlists bei Musik- oder Video-Streaming-Diensten anwendbar ist, und auch die Umsetzbarkeit in der Praxis wurde noch nicht getestet.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Art. 25 DSGVO
Die Regelungen der DSGVO basieren u.a. auf den Grundsätzen „Privacy by Design“ (Art. 25 Abs. 1 DSGVO) und „Privacy by Default“ (Art. 25 Abs. 2 DSGVO).
„Privacy by Design“ ist in etwa gleichbedeutend mit „Datenschutz durch Technikgestaltung“. Bereits bei der Entwicklung („design“) neuer Technologien sollen Datenschutzlecks identifiziert und nach Möglichkeit bereits im Vorfeld ihres Auftretens gestopft werden. Zeit- und Kostenersparnis der nachträglichen mühsamen Beseitigung von Problemen dieser Art sind das Ziel. Ein Beispiel für „privacy by design“ ist das bekannte Verschlüsselungsprotokoll SSL („Secure Sockets Layer“, engl. „sichere Sockelschicht“), mit dem sensible Daten wie Kreditkarteninformationen beim Online-Shopping vor unerwünschtem Zugriff durch Dritte geschützt werden.

Das Prinzip „Privacy by Default“ dagegen verpflichtet Online-Dienste (z.B. Browser, Apps etc.) zum sparsamen und achtsamen Umgang mit personenbezogenen Daten. Problematisch sind vor diesem Hintergrund die seitens vieler Unternehmen vorgenommenen Voreinstellungen von Browsern zu bewerten: So akzeptiert etwa Google Chrome als meistgenutzter Browser beim Besuch einer Webseite automatisch die Cookies von Drittanbietern, also etwa von Werbedienstleistern. Die Anwendung von Privacy by Default trägt zu einer deutlich verbraucherfreundlicheren Surf-Umgebung bei, ist aber für die werbetreibende Industrie unter Umständen mit drastischen finanziellen Einbußen verbunden.

Auftrags(daten)verarbeitung, Art. 28ff. DSGVO
Lässt der Betreiber einer Webseite die Verarbeitung der Daten seiner Nutzer durch einen Dritten vornehmen (etwa den Anbieter eines Newsletter-Services), so ist eine Verletzung des Schutzes personenbezogener Daten grundsätzlich nach Art. 33 Abs. 1 DSGVO vom Verantwortlichen „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“ an die nach Art. 55 DSGVO zuständige Aufsichtsbehörde zu melden. Betroffene wenden sich zur Geltendmachung ihrer Rechte auf Auskunft, Berichtigung oder Löschung und bezüglich Schadensersatzansprüchen an den Verantwortlichen selbst. Dieser hat nämlich dafür zu sorgen, dass sich der von ihm mit der Verarbeitung von Daten Beauftragte an die geltenden Vorschriften zum Datenschutz hält. Die Grundlage der Verarbeitung der Daten durch einen sog. Auftragsverarbeiter bildet ein schriftlich abzufassender Auftragsverarbeitungsvertrag (AVV-Vertrag; nach BDSG: Auftragsdatenverarbeitungsvertrag, ADV-Vertrag) zwischen Auftraggeber und Auftragnehmer. Dieser Vertrag darf neuerdings nach Art. 28 Abs. 9 DSGVO auch in elektronischer Form geschlossen werden.

Sanktionen und Unschuldsbeweis, Art. 83 Abs. 6 DSGVO
Angst macht vielen (Klein-)Unternehmern der neue Art. 83 der Verordnung, der harte Strafen für Datenschutzverstöße vorsieht. Unternehmen sollen künftig bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes als Strafe zahlen. Dabei liegt die Beweislast bei den Unternehmen. Sie müssen nachweisen, dass sie bei der Datenverarbeitung keine Fehler gemacht haben. Die bisherige Rechtslage sah vor, dass die zuständigen Aufsichtsbehörden den Nachweis der Verantwortlichkeit erbringen mussten. Diese Vorschrift ist die Quelle der Furcht vieler Webseitenbetreiber vor regelrechten „Abmahnwellen“. Sorgen müssen sich „Ersttäter“ jedoch wohl nicht machen. Bei der Frage des Einsatzes und der Berechnung derart horrender Geldstrafen werden einzelfallabhängige Spezifika berücksichtigt, wie die Art der betroffenen Daten, potenzielle frühere Verstöße, und ob der Verantwortliche vorsätzlich oder fahrlässig gehandelt hat, vgl. Art. 83 Abs. 2 lit. a)-k) DSGVO.

Fazit: Datenschutz nach der DSGVO – Alter Wein in neuen Schläuchen?
Der „neue“ Datenschutz nach der DSGVO ist im Ergebnis gar nicht so neu, wie viele erwartet und befürchtet hatten. Durch die verbraucherfreundlichen Zielsetzungen der Verordnung werden zwar die Rechte des Einzelnen im Verhältnis zu datenverarbeitenden Unternehmen gestärkt, und technikneutrale Regeln lassen hoffen, dass eine abermalige Novellierung des Datenschutzrechts auf absehbare Zeit nicht nötig sein wird. Jedoch enthielt zumindest das deutsche BDSG a.F. viele Regelungen bereits in ähnlicher Form. Zudem fehlt der DSGVO nach Ansicht einiger eine klare Regelungsstruktur, weshalb die Verordnung insbesondere für den Rechtsanwender wenig greifbar bleiben könnte. Erschwerend kommt hinzu, dass bisher unklar ist, ob alle Regelungen des neuen BDSG von den Öffnungsklauseln der DSGVO gedeckt sind. Dies ist vor allem mit Blick auf die Informationspflicht von Unternehmen über die Verarbeitung privater Daten umstritten. Träfe dies nicht zu, verstießen die nationalen Normen gegen Europarecht und könnten daher in Zukunft auf Grund des Anwendungsvorrangs des Europarechts doch nicht zur Regelung grenzüberschreitender Sachverhalte herangezogen werden. Neu sind jedoch insbesondere die Möglichkeit der Geltendmachung von Nichtvermögensschäden aus Datenschutzverletzungen (Art. 82 Abs. 1 DSGVO), die Änderungen im Zusammenhang mit der Beweispflicht bei Umsetzung datenschutzrechtlicher Vorgaben durch datenverarbeitende Unternehmen (Art. 82 Abs. 3 DSGVO) sowie die Einführung des Klagerechts von Verbrauchern und Verbänden nach Art. 80 DSGVO.

Eine weitere Präzisierung der DSGVO, insbesondere im Bereich der elektronischen Kommunikation, soll übrigens im Zuge einer neuen ePrivacy-Verordnung erfolgen. Im Januar 2017 veröffentlichte die EU-Kommission einen ersten Entwurf für die Neufassung der Richtlinie 2002/58/EG, im Oktober schließlich beschloss das EU-Parlament einen eigenen Entwurf. Im Anschluss an weitere Beratungen rechnet man bis Ende 2019 mit dem Inkrafttreten der neuen ePrivacy-Verordnung, die voraussichtlich 2020 bzw. 2021 zur Anwendung gelangen könnte.

 

Den offiziellen Text der DSGVO in der deutschen Übersetzung sowie weitere Hinweise finden Sie unter

dsgvo-gesetz.de und www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html.