Seit wenigen Tagen ist das neue EU-Datenschutzrecht (DSGVO) wirksam. Wer jetzt noch Hilfe sucht, um die drohende Abmahngefahr zu vermeiden, sollte mit unseren Tipps letzte Maßnahmen treffen.

Am 25. Mai 2018 endete die zweijährige Übergangsfrist: Die EU-Datenschutzgrundverordnung (DSGVO), die am 24. Mai 2016 in Kraft getreten ist, entfaltet seit diesem Datum ihre volle Wirkung. Kaum ein EU-Gesetz hat in den letzten Jahren für so viel Wirbel gesorgt. Angst vor Abmahnwellen und horrenden Bußgeldern herrscht bei Weltkonzernen, aber auch unter Bloggern, kleinen Firmen und Vereinen. Und tatsächlich rollt bereits die erste Abmahnwelle.

Doch lassen sich Risiken minimieren, wenn man die Grundzüge der neuen Rechtslage kennt und notfalls auch noch kurzfristig darauf reagiert. Um Sie dabei zu unterstützen, hat sich c't in Ausgabe 11/18 des Themas angenommen und einen kompaktes Booklet "Fit dür die DSGVO" beigelegt. Darin erfahren Sie die wichtigsten Neuerungen und erhalten Anregungen zur schnellen Umsetzung.

Dieses Booklet, aktuelle Entwicklungen und konkrete Leitfäden zur Umsetzung einzelner Aspekte der DSGVO finden Sie auch unter ct.de/dsgvo18 (DSGVO-Booklet (PDF))¶

DSGVO-Konformität prüfen

Jeder sollte prüfen, ob er zumindest in groben Zügen beispielsweise mit seinem Shop oder Blog DSGVO-konform ist. Denn war bislang hierzulande das Datenschutzrecht zahnlos, drohen nun schon bei wenig gravierenden Verstößen erhebliche Bußgelder. Den Aufsichtsbehörden kommt also seit dem 25. Mai eine wesentlich höhere Bedeutung zu als bislang. Zuständig für den privaten Sektor sind in Deutschland die Datenschutzbeauftragten der Bundesländer, nicht etwa die Bundesdatenschutzbeauftragte.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Besonderes Augenmerk gilt allen Handlungen, die – etwa auf Websites – von außen sichtbar sind, also beispielsweise Erklärungen gegenüber Nutzern oder Kunden. Deutsche Betreiber haben vergleichsweise Glück gehabt: Weil für große Teile der DSGVO das strenge deutsche Datenschutzrecht Pate stand

Speicherung personenbezogener Daten

Weiterhin gilt beispielsweise das Verbot mit Erlaubnisvorbehalt. Demnach ist es untersagt, personenbezogene Daten zu erheben, zu speichern oder zu verarbeiten, wenn keine spezielle Rechtsgrundlage oder informierte Einwilligung des Betroffenen vorliegt. Die Zweckbindung wurde sogar erweitert: Personenbezogene Daten darf man nur für einen zuvor festgelegten Zweck erheben und schon gar nicht weiterveräußern.

Generell gilt in der DSGVO wie auch im alten Bundesdatenschutzgesetz das Gebot der Datenminimierung, nach dem so wenige Daten wie möglich und nur so viele wie unbedingt für den Zweck nötig erhoben werden dürfen.

Informierte Einwilligung

Die DSGVO soll Betreiber dazu zwingen, die Verarbeitung personenbezogener Daten transparenter und sicherer zu gestalten. Von der Datenerhebung Betroffene sollen jederzeit gut informiert sein. Deshalb gelten nun erweiterte Auskunftspflichten und das Gebot zu klaren, verständlichen Erklärungen, beispielsweise für die Datenschutzerklärung und Einwilligungstexte.

Um diese Prinzipien durchzusetzen, etabliert die DSGVO eine erweiterte Rechenschaftspflicht: Betreiber müssen einzelne Vorgänge in Verzeichnissen dokumentieren, von größeren Unternehmen fordert das EU-Recht eine fortlaufende Risikoabschätzung aller Datenverarbeitungsprozesse.

Ergänzungsprojekt E-Privacy

Mit der DSGVO ist die EU-Datenschutzreform noch nicht zu Ende. Derzeit durchläuft das Ergänzungsprojekt E-Privacy-Verordnung (E-Privacy-VO) den Gesetzgebungsprozess. Sie wird etliche eher allgemeine Vorgaben der DSGVO konkretisieren. Geplant sind etwa strenge Regeln zum Usertracking, die der werbetreibenden Industrie gar nicht schmecken. Vor 2019 ist allerdings nicht mit einer finalen Version der E-Privacy-VO zu rechnen. (hob)



Die hier aufgeführten Infos stammen aus dem Erste-Hilfe-Booklet der c't, das Sie hier als PDF herunterladen können:

Den kompletten Überblick zur DSGVO finde Sie in c't 11/2018: