Datenschutz ist vor allem in Zeiten des Internets ein wichtige Angelegenheit, weswegen viele Menschen froh über die strenge, neue Datenschutzgrundverordnung sind, die einige wichtige Angelegenheiten in Bezug auf das Speichern und Vergessen von personenbezogenen Daten regelt.
Für Unternehmen ist die Verordnung aber in erster Linie keine unbedingt willkommene Gesetzgebung, denn die DSGVO umsetzen bedeutet für sie in erster Line: Arbeit. Damit sich diese möglichst in Grenzen hält, möchte der folgende Text einige der wichtigsten Schlussfolgerungen aus der DSGVO für Unternehmer erläutern.
Wann muss ich als Unternehmer handeln?
Diese Frage, die oft im Zusammenhang mit der DSGVO gestellt wird, kann zum jetzigen Zeitpunkt nur noch so beantwortet werden: sofort! Anders als beispielsweise bei EU-Richtlinien handelt es sich bei einer Verordnung um eine Form der europäischen Gesetzgebung, die wie bei einem bundesdeutschen Gesetz kaum Interpretationsspielraum zulässt und auch keine Schonfirst hat. Die DSGVO gilt hierzulande als rechtskräftig, seit das EU-Parlament sie laut Beschluss am 25. Mai hat in Kraft treten lassen.
Streng genommen müssen sich also Unternehmen, die ihre Datenverarbeitung online oder offline seit diesem Zeitpunkt noch nicht an die Verordnung angepasst haben, auf Abmahnungen gefasst machen. Also: Besser sofort handeln! Nur, was muss eigentlich beachtet werden?
Welche Daten sind DSGVO-relevant?
Die Datenschutz-Grundverordnung schützt ausdrücklich personenbezogene Daten. Das sind alle Daten, die auf irgendeine Art und Weise einer konkreten Personen zugeordnet werden können. Je nach Datenerhebung kann das beispielsweise bereits eine IP-Adresse sein. Für klassische Dienstleistungen zählen auf jeden Fall Angaben wie Alter, Geschlecht, Wohnort etc. dazu.
Daten, die lediglich eine Masse von Menschen abbilden, aus denen einzelne Individuen nicht abgeleitet werden können, fallen üblicherweise nicht unter die DSGVO. Ein Besucherzähler auf einer Homepage, der also lediglich angibt, wie viele Aufrufe eine Seite pro Tag hatte, ist zunächst unproblematisch.
Was muss mit bereits gesammelten Daten geschehen?
In den meisten Fällen hat ein Unternehmen auch vor Inkrafttreten der DSGVO bereits eine Menge an Daten gesammelt. Das ist zunächst nicht schlimm. Nun gilt es jedoch, die betroffenen Personen über Art und Umfang der gesammelten Daten zu informieren und vor allem ihr Einverständnis zu holen, dass dies auch in Zukunft weiter so geschehen darf.
Durch diese ausdrückliche Erklärung der DSGVO kam es kurz nach Inkrafttreten zu dem kuriosen Umstand, dass zahlreiche Online-Unternehmen, die ihren Kunden normalerweise nicht unaufgefordert Mails zukommen lassen, nun nach Jahren des Nicht-Kontakts um eine solche Erlaubnis bitten.
Unter Umständen kann es für ein Unternehmen auch reichen, die Kunden lediglich über die weitere Verfahrensweise zu informieren und dabei nicht ihre explizite Erlaubnis abzufragen, aber die Möglichkeit zu einem expliziten Widerspruch zu geben. Das wird aktuell auf zahlreichen Homepages sichtbar, die über die Verwendung von Cookies aufklären und Buttons für Zustimmung oder Ablehnung bereitstellen.