Anpassungsbedarf bei online abrufbaren Datenschutzbestimmungen

Download PDF

(c) BBH

Das Thema Datenschutz ist derzeit in aller Munde. Zuletzt etwa musste sich der Facebook-Gründer Mark Zuckerberg öffentlich für den Vorfall um den Missbrauch von Daten von bis zu 87 Mio. Facebook-Usern durch das Unternehmen Cambridge Analytica entschuldigen. Man habe keine ausreichenden Maßnahmen gegen Missbrauch ergriffen. Für Facebook bedeutet die aktuelle Diskussion einen erheblichen Imageschaden und – nach dem jüngsten Rutsch des Aktienkurses – auch einen massiven Wertverlust.

Der Fall Facebook zeigt: Das Thema Datenschutz ist allmählich in der Mitte der Gesellschaft angekommen.

Passend zur aktuellen Diskussion rückt zudem das Datum näher, zu dem die Vorgaben der vom europäischen Gesetzgeber erlassenen  Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679), unionsweit unmittelbar Geltung erlangen (wir berichteten). Stichtag ist der 25.5.2018. Zum gleichen Zeitpunkt tritt das vom deutschen Gesetzgeber erlassene Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) in Kraft. Dieses Gesetz soll die Vorgaben der DS-GVO in nationales Recht überführen. Das neue, unionsweit harmonisierte Datenschutzrecht weicht in verschiedenen Punkten vom bisher geltenden Datenschutzrecht ab. Dadurch entsteht für Unternehmen an verschiedenen Stellen Handlungsbedarf.

Eine dieser Stellen ist das „datenschutzrechtliche Aushängeschild“ eines Unternehmens – nämlich die auf der Internetpräsenz für jedermann abrufbare Datenschutzerklärung.

Die rechtlichen Anforderungen an den Inhalt dieser Datenschutzerklärungen ändern sich durch die neuen Regelungen teils erheblich. Im Vergleich zur bisherigen Rechtslage (vgl. § 13 Abs. 1 Satz 1 TMG) stellt die DS-GVO für Inhaber von Webseiten beispielsweise deutlich detailliertere Informationspflichten auf. So müssen Inhaber von Webseiten in der Datenschutzerklärung nunmehr über sämtliche der in Art. 13 f. DS-GVO aufgelisteten Punkte informieren. Künftig sind beispielsweise nicht nur die Zwecke der Datenverarbeitung zu nennen, sondern auch die entsprechenden Rechtsgrundlagen für die Erhebung und Verarbeitung personenbezogener Daten anzugeben. Darüber hinaus sind auch die Auskunftsrechte der betroffenen Personen erweitert worden.

Diese Vorgaben müssen alle Unternehmen unabhängig von Branche und Größe umsetzen.

Konsequenzen bei Verstößen

Ob und welche Sanktionen mit einer unzureichenden Umsetzung der Vorgaben der DS-GVO einhergehen können, hängt vom Einzelfall ab. Fest steht aber, dass es der Unionsgesetzgeber mit der Umsetzung der Vorgaben der DS-GVO ernst meint. Bei Verstößen drohen Bußgelder bis zu 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. In Bezug auf die online abrufbaren Datenschutzerklärungen kommt hinzu, dass Verstöße gegen die Vorgaben der DS-GVO von Konkurrenten oder Verbraucherschutzverbänden als unlauterer Wettbewerb abgemahnt werden könnten.

Um auf der sicheren Seite zu sein, sollten Betreiber von Webseiten, die ihre Datenschutzerklärung noch nicht an die spezifischen Vorgaben der DS-GVO angepasst haben, bis zum 25.5.2018 prüfen, ob eine Anpassung der Datenschutzerklärungen im Einzelfall erforderlich ist. Da bislang keine Referenzrechtsprechung existiert und die rechtlichen Vorgaben teils durchaus komplex sind, bietet es sich an, nahe am Wortlaut der einzelnen Bestimmungen der DS-GVO zu bleiben und zur Auslegung ergänzend auf die entsprechenden Erwägungsgründe zurück zu greifen.

Ansprechpartner: Nils Langeloh/Alexander Bartsch/Inga Rieke/Maximilian Festl-Wietek

PS: Sie interessieren sich für das Thema, dann schauen Sie auch gern hier und hier.