+49 (511) 330 601 11
Im Interview: Rechtsanwalt Dr. Marcus Rayermann zu der neuen EU-DSGVO

Rechtliche Rahmenbedingungen nach der EU-DSGVO

Eine Orientierungshilfe von Rechtsanwalt Dr. Marcus Rayermann

Dr. Marcus Rayermann ist Rechtsanwalt und Partner der Kanzlei RAYERMANN DITTMEIER in München. Nach einigen Stationen in nationalen und internationalen Anwaltskanzleien hat Herr Dr. Rayermann im Jahre 2000 seine eigene Kanzlei gegründet und sich u.a. auf das Online-Recht spezialisiert. Die Beratung bei der Gestaltung von Marketingmaßnahmen ist heute ein wesentlicher Bereich der Kanzlei.

In der EU-DSGVO werden Datenschutzgrundsätze aufgeführt, die Unternehmen einhalten müssen. Was sind die wichtigsten Änderungen für den Bereich des E-Mail Marketings?

Zunächst ist festzustellen, dass die Anforderungen an die Erhebung und Verarbeitung von personenbezogenen Daten im Vergleich zur bisherigen deutschen Rechtslage vielfach verschärft werden. Das betrifft etwa die Voraussetzungen für eine Einwilligung in die Datennutzung (keine vorangekreuzten Optionskästchen) oder auch deren Verbindung mit anderen Leistungen (Koppelungsverbot, „take it or leave it“). Erweiterte Löschpflichten für alte Daten sowie veränderte Informationspflichten betreffen insbesondere den Bereich E-Mail Marketing. Zudem ist „privacy by default“ in der DSGVO verankert, also werden viele Online-Formulare darauf angepasst werden müssen, dass die datensparsamste Möglichkeit voreingestellt ist. Viele andere Regelungen sind aber nur geringfügig anders als im BDSG bisher. Eine weitere Herausforderung ist die ganz anders zu führende Dokumentation der Datenschutzkonzepte. Die Unternehmen müssen in Zukunft von sich aus Konzepte bereitstellen und nachweisen, wie bei ihnen die Datenschutzgesetze eingehalten werden.

In der EU-DSGVO sind Grundsätze zur Zweckbindung, Datenminimierung und Speicherbegrenzung enthalten. Sie beschränken die Verarbeitung personenbezogener Daten für einen bestimmten Zweck und zur ausschließlichen Bereitstellung der Daten, die für diesen Zweck erforderlich sind und anschließend gelöscht werden müssen.

Was bedeutet das für die bereits vorhandenen Permissions eines Unternehmens? Verfallen diese oder bedürfen sie einer Aktualisierung? Wie detailliert muss dabei die Zweckbindung sein?

Ein kompletter Verfall der erteilten Einwilligungen ist nicht anzunehmen, aber in Anbetracht veränderter Informationspflichten und verstärkter Koppelungsverbote wird nicht jede alte Einwilligung die aktuellen Datenverarbeitungsvorgänge ausreichend legitimieren. Noch problematischer als die schon länger bestehende Zweckbindungspflicht ist eher die neue Regelung, dass bereits bei der Datenerhebung über die Kriterien der Frist für die Löschung der Daten informiert werden muss. Ausgearbeitete und umgesetzte Löschkonzepte für alte Daten haben die wenigsten Unternehmen, geschweige denn dass sie schon bei der Datenerhebung darüber informieren.

Der Grundsatz der Rechenschaftspflicht verlangt von Unternehmen, dass sie Einhaltung mit den Datenschutzgrundsätzen der EU-DSGVO nachweisen.

Wie umfassend müssen die Prüfprotokolle der Datenübertragungsaktivitäten sein?

Verbindliche Kataloge dafür, welche Nachweise von den Aufsichtsbehörden akzeptiert werden, gibt es bisher nicht – die deutschen Aufsichtsbehörden haben bereits angekündigt, dass sie vor Inkrafttreten der EU-DSGVO auch keine solchen Kataloge vorlegen werden. Mehr als bloße Absichtserklärungen und allgemeine interne Anweisungen, die Datenschutzvorschriften einzuhalten, werden aber definitiv erforderlich sein. Je nach Größe des Unternehmens und Datenmenge wird sich auch der geforderte Detailgrad der geforderten Nachweise unterscheiden. Wir gehen aktuell davon aus, dass bis zur Veröffentlichung von Prüfkatalogen seitens der Aufsichtsbehörden auch weniger detaillierte Protokolle akzeptiert werden, solange die Protokolle nicht absichtlich lückenhaft sind.

Bei Nichteinhaltung der EU-DSGVO sollen Unternehmen zu Strafzahlungen verpflichtet werden, der mögliche Bußgeldrahmen ist nach oben gegangen.

Wie ernst ist die Situation wirklich? Wie hoch kann die Strafe ausfallen? Wird es Ihrer Meinung nach massenhaft Urteile regnen?

Die Aufsichtsbehörden in Deutschland müssen sich selbst erst im neuen Recht zurecht finden, zudem ändert sich die Systematik der Prüfung, da nun die Nachweise über das im Unternehmen vorliegende Datenschutzkonzept umfassend geprüft werden, statt wie bisher einzelne gesetzliche Datenschutztatbestände zu überprüfen. Der mögliche Bußgeldrahmen ist nach oben gegangen, bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens können verlangt werden. Ob er aber voll ausgeschöpft wird, lässt sich leider nicht vorhersagen. Dass Unternehmen, die solide Anstrengungen zeigen, die Datenschutzvorschriften einzuhalten, bei kleinen Fehlern hart abgestraft werden, ist eher nicht zu erwarten. Gerade im Hinblick darauf sollten Unternehmen sich aber bewusst sein, dass ein gut ausgearbeitetes und zum Inkrafttreten der EU-DSGVO bereits voll implementiertes Datenschutzkonzept immer einen besseren Eindruck bei den Aufsichtsbehörden machen wird. Noch bleibt ein wenig Zeit, sich auf die neue Rechtslage einzustellen. Diese Zeit sollten die Unternehmen nutzen.

Um den Anforderungen der EU-DSGVO begegnen zu können, sollten Unternehmen schon jetzt die entsprechenden organisatorischen Schritte einleiten und technische Voraussetzungen schaffen.

Können die neuen Anforderungen der EU-DSGVO auch ohne hohe Investitionen erfüllt werden?

Wie hoch der individuelle Investitionsbedarf für die Maßnahmen ist, hängt natürlich vom Unternehmen ab. Dabei ist entscheidend, welche Daten wo durch wen auf welche Art und Weise verarbeitet werden. Aber natürlich auch davon, welche bisherigen Maßnahmen es schon gibt, wie dafür die Dokumentation aussieht und welche Vorarbeiten bereits erledigt wurden. Es ist ja nicht so, dass der Datenschutz mit der EU-DSGVO erstmals eingeführt wird. Es wird in den meisten Unternehmen bereits Vorkehrungen geben, die den Anforderungen der EU-DSGVO entsprechen – aber aus diesen einzelnen Maßnahmen muss eben ein schlüssiges Konzept werden, das mit ordentlicher Dokumentation den Aufsichtsbehörden vorgelegt werden kann. Das ist eine Investition in die Zukunft der Unternehmen, die sich lohnt. Zurückgefahren wird das Datenschutzniveau voraussichtlich nicht mehr – „Aussitzen“ ist also keine Option.

Verwandte Beiträge

Leave a comment

Sie müssen eingeloggt sein , um einen Kommentar schreiben zu können.