Seit dem Inkrafttreten am 25. Mai 2018 (IGU berichtete in der Ausgabe 3/2017) ist die Datenschutz-Grundverordnung in aller Munde und beschert Gewerbetreibenden viel Kopfzerbrechen. Welche Regelungen sind zu beachten, wie kann man sich im Fall eines unbeabsichtigten Verstoßes schützen und welche eigenen Rechte hat man?
Hintergrund
Die Datenschutz-Grundverordnung soll den Datenschutz in der EU vereinheitlichen und ins moderne Internetzeitalter befördern. Als EU Verordnung gilt sie unmittelbar für alle Mitgliedsstaaten gleich. Neben der DSGVO ist gleichzeitig das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft getreten. Zweck des BDSG-neu ist es unter anderem, Vorgaben zur nationalen Umsetzung der DSGVO zu erfüllen und beispielsweise strafrechtliche Regelungen aufzunehmen.
Inhalte
In 99 Artikeln regelt die DSGVO, wie Unternehmen – aber auch z. B. Behörden und Vereine – mit personenbezogenen Daten umgehen sollen. Viele Unternehmen haben schon reagiert. Offensichtlichste Veränderungen, die in den letzten Monaten Nutzern auf fast jeder Webseite, aber auch im sonstigen Geschäftsalltag begegneten, sind überarbeitete Datenschutzerklärungen und Allgemeine Geschäftsbedingungen (AGB). Auch die IGU hat in der Ausgabe 2/2018 der „inhalte“ ihre Mitglieder darauf angesprochen.
Kontrolle
In jedem EU-Land sollen unabhängige Aufsichtsbehörden über die Umsetzung der Verordnung wachen. In Deutschland sind das die Datenschutzbehörden der Bundesländer und die Bundesdatenschutzbeauftragte Andrea Voßhoff. Die Aufsichtsbehörden haben das Recht, zum Beispiel von Firmen Informationen einzufordern, die die Kontrolleure für ihre Arbeit benötigen. Dafür dürfen sie auch Ortsbesuche in den Geschäftsräumen machen. Außerdem führen die Behörden Datenschutzüberprüfungen durch.
Sanktionen
Die zuständigen Aufsichtsbehörden können Verwarnungen aussprechen und fordern, dass der Missstand innerhalb einer Frist behoben wird, sie können dafür sorgen, dass personenbezogene Daten eines Nutzers berichtigt, gelöscht oder in ihrer Verarbeitung eingeschränkt werden. Vor allem können sie auch Bußgelder verhängen, die deutlich höher sind als bei Verstößen gegen das bisherige Bundesdatenschutzgesetz – je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder bis zu 4 Prozent des Vorjahresumsatzes. Unter Umständen haften Verantwortliche sogar mit ihrem Privatvermögen – je nach Unternehmensform. Darüber hinaus besteht die Gefahr, dass Bußgeldverfahren öffentlich werden und zu Reputationsschäden führen.
Datenschutzverstöße können auch Straftatbestände nach sich ziehen. Diese sind im BDSG-neu geregelt und sehen einen Strafrahmen von bis zu 3 Jahren vor.
Schadenersatz
Mit Artikel 82 DSGVO wurde eine zentrale Anspruchsgrundlage zum Ersatz materieller und immaterieller Schäden aufgrund Datenschutzverletzungen geschaffen. Durch eine Beweislastumkehr wird die Anspruchsbegründung der Betroffenen erheblich erleichtert und die ersten Klagewellen sind bereits zu verzeichnen. Die Schadenersatzsumme ist in der Höhe nicht begrenzt. Zur Bestimmung des materiellen Schadens ist unter Berücksichtigung der EuGH Rechtsprechung eine weite Auslegung zu erwarten. Die Höhe des Schmerzensgeldes wird sich dann wohl – ähnlich der amerikanischen Rechtsprechung – an der Genugtuungs- und Abschreckungsfunktion und nicht an der in der Regel wesentlich günstigeren Ausgleichsfunktion orientieren.
Rechtsschutzversicherung
Wenn aufgrund eines Verstoßes gegen die DSGVO oder gegen das BDSG-neu gegen einen Gewerbetreibenden ein Ordnungswidrigkeiten- oder gar Strafverfahren eingeleitet wird, kann er gelassen bleiben, sofern er eine gute Rechtsschutzversicherung hat. Diese übernimmt das Prozessrisiko. Im Einzelnen:
In den gängigen Rechtsschutzversicherungen ist der Ordnungswidrigkeiten Rechtsschutz im selbstständigen Bereich enthalten. Bessere Rechtsschutzversicherungen bieten hierfür im Rahmen eines Spezial-Strafrechtsschutzes einen wesentlich weitergehenden Rechtsschutz, z. B. wenn der mandatierte Rechtsanwalt über das gesetzliche Honorar hinaus eine Honorarvereinbarung verlangt oder gar eine Straftat nach dem BDSG-neu vorgeworfen wird. Mit einem Daten-Rechtsschutz ist auch die gerichtliche Abwehr von Ansprüchen Betroffener auf Auskunft, Sperrung oder Löschung nach der DSGVO bzw. dem BDSG-neu versichert.
Geht es um die Geltendmachung von eigenen Schadenersatzansprüchen im gewerblichen oder privaten Bereich, weil ein Dritter gegen die Vorschriften des DSGVO bzw. des BDSG-neu verstoßen hat, besteht über den Schadenersatz-Rechtsschutz Deckung.
Tipp: LVM-Rechtsschutz stärkt seinen Gewerbekunden mit dem Gewerbe-Kombi Rechtsschutz den Rücken mit einem umfassenden Paket – auch im Hinblick auf die DSGVO und das BDSG-neu. Von Ordnungswidrigkeiten-Rechtsschutz über Spezial-Straf-Rechtsschutz bis hin zum Daten-Rechtsschutz sind alle wichtigen Leistungen enthalten. Das gilt natürlich auch für den Schadenersatz-Rechtsschutz. LVM-Rechtsschutz bietet seinen Versicherten darüber hinaus hilfreiche Services: Mit einer anwaltlichen E-Mail-Beratung kann z. B. die firmeneigene Webseite datenschutzrechtlich gecheckt werden. Eine einzigartige Dienstleistung wird mit dem Service-Partner „Dein guter Ruf“ geboten: Dieser sorgt dafür, dass rufschädigende Einträge im Internet, die das Persönlichkeitsrecht verletzen, gelöscht werden.
■ Anne Hilchenbach