Im Jahr 2018 kamen mit der neuen EU-Datenschutzverordnung (DSGVO) weitreichende Änderungen für alle Unternehmen, die im World Wide Web aktiv sind. Vor allem die extrem hohen Bußgelder in Millionenhöhe und etliche offenen Fragen bereiten vielen Unternehmen Schwierigkeiten mit der korrekten Umsetzung neuer Datenschutzmaßnahmen. Im Folgenden erklären wir, was Sie unbedingt beachten sollten, damit Sie als Webseitenbetreiber die DSGVO erfüllen.
Was ist das Ziel der EU-Datenschutzverordnung
Die DSGVO vereinheitlicht das Datenschutzrecht innerhalb der Europäischen Union. Bisher galten in den einzelnen EU-Staaten verschiedene Datenschutzgesetze und damit auch unterschiedliche Standards hinsichtlich des Datenschutzes. Unternehmen können also jetzt darauf vertrauen, dass EU-weit ein einheitliches Datenschutzgesetz gilt. Die DSGVO gilt übrigens auch für Unternehmen, die ihren Sitz außerhalb der Europäischen Union haben und Daten von Personen aus der EU verarbeiten. Das zweite Ziel, das mit der neuen Verordnung verfolgt wird, ist, dass das Datenschutzrecht vereinfacht werden und für die betroffenen Nutzer "datenschutzfreundlicher" gestaltet werden soll. Bürger sollen im Rahmen des neuen Gesetzes mehr Kontrolle über ihre persönlichen Daten haben. In Kombination mit extrem hohen Bußgeldern soll so sichergestellt werden, dass sich auch Web-Dienste (Facebook, YouTube, Twitter) beispielsweise aus den USA an die neuen Regeln halten.
Wen betrifft die DSGVO?
Das neue Datenschutzrecht betrifft jedes Unternehmen, das im World Wide Web aktiv ist. Vieles ändert sich durch die neue Verordnung, wie beispielsweise:
- Besucher-Tracking
- Kundendaten
- Cookie Consent
- Newsletter
- Online-Werbung
Die DSGVO gilt für alle Unternehmen, die in der Europäischen Union ansässig und in irgendwelcher Form online aktiv sind. Darüber hinaus müssen sich auch Unternehmen, die außerhalb der EU beheimatet sind, an die neuen Datenschutzverordnungen halten.
Dies gilt im Fall, wenn:
- ein Unternehmen eine Niederlassung in einem EU-Staat hat, oder
- ein Unternehmen personenbezogene Daten von EU-Bürgern auswertet
Der wichtigste Punkt der DSGVO sind personenbezogene Daten. Dabei handelt es sich um alle Daten, mit denen sich eine Person eindeutig identifizieren lässt. Personen bezogene Daten sind unter anderem:
- Name
- Adresse
- Geburtstag
- Kontodaten
- IP-Adressen und Cookies
Seit wann gilt die EU-Datenschutzverordnung
Die Datenschutzverordnung trat EU-weit bereits schon am 25. 5. 2016 in Kraft. Webseitenbetreiber und im Internet aktive Unternehmen hatten jedoch bis zum 25. 5. 2018 Zeit, ihre Websites auf die neuen Vorgaben anzupassen. Im Rahmen der neuen Verordnung sind insbesondere die Anforderungen an die Informationen und Belehrungen der betroffenen Besucher stark gestiegen. Alle Datenschutzbestimmungen mit allen relevanten Informationen müssen im Rahmen der DSGVO folgende Merkmale aufweisen:
- Transparenz
- Verständlichkeit
- leichte Zugänglichkeit
- klare und einfache Sprache
Darüber hinaus gibt es weitere Neuregelungen, die eingehalten werden müssen. So gibt es zum Beispiel neue Informationspflichten für Webseiten, die sich in erster Linie an Kinder richten. Außerdem gibt es mit der neuen Datenschutzverordnung ein explizites Kopplungsverbot. Einwilligungen dürfen nicht mehr an den Download von anderen Inhalten verlinkt werden. Ohne eine professionelle Beratung werden wohl viele Unternehmen und Onlinebetreiber Probleme haben, all diese neuen Vorschriften und Richtlinien einzuhalten.
Risiken und Strafen bei DSGVO-Verstößen
Die neuen Vorschriften bringen wesentliche Änderungen bei der Sanktionierung von Verstößen gegen die Datenschutzverordnung. Verstöße können jetzt mit höheren Bußgeldern mit bis zu 10 Millionen Euro oder in Höhe von 2 Prozent des weltweiten Umsatzes geahndet werden. Bei größeren Verstößen sind sogar Bußgelder von bis zu 20 Millionen oder 4 Prozent möglich. Darüber hinaus werden auch Klagen der Mitarbeiter teurer, da sich jetzt auch immaterielle Schäden einklagen lassen. Hinzu kommt noch die Tatsache, dass die Beweislast der Einhaltung der DSGVO vor dem Arbeitsgericht bei dem Arbeitgeber liegt.