Am 25. Mai 2018 kam die neue EU-Datenschutzgrundverordnung zur Anwendung. In Kraft getreten ist sie bereits am 25. Mai 2016 mit einer Übergangsfrist von zwei Jahren. Sie gilt EU-weit und betrifft somit auch deutsche Unternehmen, da die DSGVO die einschlägigen Regelungen des Bundesdatenschutzgesetzes (BDSG) weitgehend ersetzt.
In der Übergangsfrist sollten die Prozesse in Bezug auf Datenverarbeitung und Datenweitergabe in Unternehmen überarbeitet werden, da ab Mai 2018 die EU-Datenschutzbehörden Sanktionen verhängen können, die ein Ausmaß von bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können. Zuvor lag die festgelegte Höchstgrenze bei maximal 300.000,-€ je Verstoß und Geldbußen wurden eher moderat verhängt.
Besonders die Verarbeitung personenbezogener Daten von EU-Bürgern ist von der Gesetzesänderung betroffen. Die Zweckbindung beispielsweise bleibt weiterhin bestehen, sodass eine Weiterverarbeitung nur zulässig ist, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“. Allerdings ist die Nutzung auch für einen anderen Zweck zulässig, wenn es zur „Wahrung berechtigter Interessen“ der verantwortlichen Stelle erforderlich ist und „kein Grund zur Annahme besteht, dass das schutzwürde Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“.
Die freiwillige Einwilligung in die Verarbeitung von Daten bleibt erhalten und die Anforderungen wurden sogar erhöht. Stillschweigendes Einverständnis oder bereits standardmäßig angekreuzte Felder stellen keine Einwilligung dar und sind somit rechtswidrig. Speziell in Bezug auf Newsletter-Marketing müssen hier die Prozesse angepasst werden. Das Double-Opt-In Verfahren ist obligatorisch und in Online-Shop Check-out-Prozessen dürfen die Felder für den Erhalt zusätzlicher Informationen nicht mehr standardmäßig angekreuzt sein. Verschiedene Datenverarbeitungsprozesse erfordern zudem gesonderte Einwilligung des Betroffenen. Andernfalls fehlt die Freiwilligkeit.
Ein Betroffener kann seine Einwilligung zur Datenverarbeitung „jederzeit“ und „ohne Begründung“ widerrufen und es erfordert eine ebenso einfach gestaltete Möglichkeit des Widerrufs wie bei der Einwilligung. Das Kopplungsverbot wurde zudem verschärft, sodass die Durchführung eines Vertrags nicht mehr von der Einwilligung abhängig gemacht werden darf. „Take it or leave it“-Verträge verstoßen somit gegen die Datenschutzgrundverordnung.
Die Auskunfts- und Informationspflichten wurden erweitert, sodass ein Unternehmen in der Lage sein muss, Informationen zur Datenverarbeitung und Dauer der Speicherung dem Betroffenen aushändigen zu können. Bei einer Weiterverarbeitung der Daten zu einem anderen Zweck müssen dem Betroffenen erneute Informationen zur Verfügung gestellt werden.
Die neue Portabilitätsverpflichtung für Daten besagt, dass zur Verfügung gestellte Daten, dem Betroffenen in gängigem Format wieder ausgehändigt werden können und auf Wunsch sogar an Dritte übermittelbar sein müssen. Auch die Löschpflicht wurde erweitert und falsch übermittelte Datensätze an Dritte müssen korrigiert und auf die Fehlerhaftigkeit hingewiesen werden.
Eine Erweiterung im Widerspruchsrecht betrifft vor allem das Direktmarketing, welcher Betroffene nun, einschließlich der Profilbildung, widersprechen können. Der Betroffene muss klar ersichtlich auf sein Widerrufsrecht hingewiesen werden.
Diese diversen gesetzlichen Änderungen in der DSGVO erfordern ein Handeln von Unternehmen, gerade auch jenen, die Daten aus unterschiedlichen Quellen kombinieren und weiterverarbeiten.
Eine umfangreiche Zusammenfassung aller gesetzlichen Änderungen ist im Leitfaden „FAQ zur Datenschutzgrundverordnung“ von Bitkom e.V. aufgeführt.