ÜBER DIE DSGVO

Es hängt alles davon ab, ob Sie persönliche Daten von EU-Bürgern speichern oder nutzen. Dabei ist es übrigens unerheblich, ob diese Personen Kunden, Interessenten oder Mitarbeiter sind. Falls Sie EU-Bürger beschäftigen, haben Sie vermutlich deren Namen, Anschrift und Kontoverbindung in der Datenbank. Solche Informationen gelten aber nach Lesart der Europäischen Kommission als persönliche Daten, und damit sind Sie gehalten, die entsprechenden Vorgaben der Verordnung zu erfüllen. So müssen Ihre Mitarbeiter der Nutzung ihrer Daten zustimmen und können obendrein bestimmte Rechte ausüben, wie zum Beispiel das Recht auf Berichtigung. Außerdem müssen Sie all das den zuständigen Aufsichtsbehörden gegenüber jederzeit dokumentieren können.

Das hängt davon ab, welche Art von Daten Sie verarbeiten. Lassen sich anhand dieser Daten Personen identifizieren? Falls ja (und das wird in den meisten B2B-Unternehmen der Fall sein), verarbeiten Sie in den Augen der Europäischen Kommission persönliche Daten und unterliegen denselben Vorschriften wie B2C-Unternehmen.

Die einfache Antwort lautet: Ja, das sind Sie. Wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten, müssen Sie die DSGVO beachten, egal wo Sie sich befinden – EU-Mitglied oder nicht.

Nein, nicht notwendigerweise. Zwar sah ein früher Entwurf der DSGVO vor, dass ab 250 Mitarbeitern ein Datenschutzbeauftragter zu beschäftigen sei, aber in der endgültigen Fassung ist das leider nicht mehr klar definiert. Fakt ist, dass ein Datenschutzbeauftragter für öffentliche Behörden ebenso zwingend vorgeschrieben ist wie für Unternehmen, die in großem Umfang spezielle Kategorien persönlicher Daten verarbeiten (z. B. gesundheitsrelevante Angaben) und zu deren Kernaufgaben die „regelmäßige und systematische Kontrolle von Datensubjekten in großem Umfang“ zählt. Das gilt für die meisten großen Einzelhändler. Falls Sie in dem Punkt nicht ganz sicher sind, sollten Sie juristischen Rat einholen.

Ja, die DSGVO sieht eine sogenannte Begrenzung der Datenspeicherdauer vor. Das bedeutet, dass persönliche Daten nur für die Dauer der entsprechenden Verarbeitungsvorgänge gespeichert werden dürfen. Persönliche Daten dürfen dabei nur dann über einen längeren Zeitraum vorgehalten werden, wenn das im öffentlichen Interesse liegt oder zu Archivierungs-, Forschungs- oder Statistikzwecken geschieht.

Ja. Verbraucher haben heute das Recht auf Übertragung ihrer Daten. Dazu die DSGVO: „Das Datensubjekt hat das Recht, die ihn betreffenden Daten, die er dem Datenverantwortlichen bereitgestellt hat, in einem strukturierten, üblichen und maschinenlesbaren Format zu erhalten. Zudem hat er das Recht, diese Daten ohne Behinderung vom ursprünglichen Datenverantwortlichen an einen anderen zu übertragen.“

Die DSGVO beeinflusst Ihre Marketingabläufe ebenso wie die Auswahl der durch Sie ansprechbaren Zielgruppen, und zwar im B2C- und im B2B-Bereich. So besagen die Regeln für die Ersteinholung der Zustimmung des Verbrauchers, dass Sie von jeder einzelnen Person eine explizite Zustimmung zur Nutzung ihrer Daten und zur Übermittlung von Marketingkommunikation benötigen. Früher wurden Kontakte einfach in die Datenbank aufgenommen und die Verbraucher wurden dann auch über andere Plattformen und für andere Kommunikationszwecke angesprochen als den bei der Ersterfassung angegebenen. Die DSGVO sieht dagegen vor, dass die Zustimmung des Verbrauchers nur für den genannten Verarbeitungszweck gilt. Mit anderen Worten, die alte Regel „Einmal im Boot, immer im Boot“ greift nicht mehr. Wenn Sie einen Verbraucher erneut bzw. auf andere Weise ansprechen wollen, benötigen Sie dessen Zustimmung für diesen spezifischen Zweck. Zudem müssen Sie sämtliche Zustimmungen sauber archivieren und sie den Aufsichtsbehörden auf Anfrage jederzeit dokumentieren können.

Schon, aber der Empfänger muss dabei bestimmte Datenschutzanforderungen erfüllen. So gestattet die DSGVO die Übermittlung persönlicher Daten an nicht in der EU domizilierte Unternehmen sowie in Nicht-EU-Staaten, denen die Europäische Kommission attestiert hat, dass sie ein „adäquates“ Maß an Schutz gewährleisten. Auch unter bestimmten Umständen, wie bei der Nutzung von Standardvertragsklauseln oder falls verbindliche unternehmensinterne Vorschriften greifen, sind solche Datentransfers möglich.

Die DSGVO wurde auch entwickelt, um Unternehmen die Verwaltung persönlicher Daten in einer multinationalen Umgebung zu erleichtern und die Risiken ernsthafter Datenschutzverletzungen zu minimieren. Dabei hat die DSGVO weitestgehend die bislang greifenden nationalen Gesetze ersetzt, wodurch letztlich eine europaweite Harmonisierung der Datenschutzregeln erreicht wurde. Zudem bieten nationale Aufsichtsbehörden den Unternehmen den Vorteil, dass sie sich mit allen Fragen zu persönlichen Daten an eine zentrale Stelle wenden können.

Erfüllt Ihr Unternehmen die Vorgaben der Verordnung nicht, sind potenziell heftige Bußgelder die Folge. So werden bei Verstößen, die sich auf die Bereiche Kontrolle und Beherrschung beziehen, Bußgelder von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes verhängt. Bei Verstößen im Bereich Rechte und Pflichten sieht es noch düsterer aus. Hier werden bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes eingefordert.