DSGVO einfach erklärt: Die wichtigsten Fakten auf einen Blick

geschrieben von Martha Wanat
14 min zu lesen
22.10.2024 08:28:11

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Ihre Website vor der Verarbeitung von Nutzerdaten die klare und positive Zustimmung des Nutzers einholen muss.

Die Verordnung (EU) 2016/679 (EU-Datenschutz-Grundverordnung) löst die Europäische Datenschutzrichtlinie aus dem Jahr 1995 (RL 95/46/EG) mit dem Ziel der Harmonisierung und Modernisierung des europäischen Datenschutzrechts ab. Sie fördert den Schutz der Betroffenen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten (Artikel 1 Absatz 1 Datenschutz-Grundverordnung).

Die bis zum 25. Mai 2018 geltende Datenschutzrichtlinie hatten die Mitgliedstaaten sehr unterschiedlich umgesetzt. Dieser Flickenteppich mitgliedstaatlicher Regelungen hinderte den grenzüberschreitenden Datenverkehr in der Europäischen Union. Die Datenschutz-Grundverordnung schafft einen einheitlichen und unmittelbar geltenden Rechtsrahmen, der den freien Verkehr personenbezogener Daten in der Europäischen Union gewährleistet. Dies ist eine wichtige Voraussetzung für die Vollendung des digitalen Binnenmarkts und für gleiche Wettbewerbsbedingungen in der Europäischen Union.

Außerdem wurde das europäische Datenschutzrecht modernisiert und das Grundrecht auf Schutz der personenbezogenen Daten aus Artikel 8 der Europäischen Grundrechtecharta gestärkt. Die Betroffenen erhalten mehr Kontrolle und Transparenz bei der Datenverarbeitung, auch und gerade im digitalen Zeitalter.

Durch die Datenschutz-Grundverordnung werden die Anforderungen an eine rechtswirksame Einwilligung der betroffenen Personen erhöht und deren Rechte, insbesondere auf Information und Auskunft, erweitert. Consent Management ist ein zentrales Thema der DSGVO. Was dies im Genauen bedeutet, erläutern wir im vorliegenden Artikel.

Brauchen Sie Hilfe im Umgang mit dem europäischen Datenschutzgesetz? Dann vereinbaren Sie ein kostenloses Erstgespräch oder laden Sie sich kostenlos unsere Checkliste hier herunter. 

 

I. Für wen gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten. Einzelheiten regeln die Artikel 2 und 3 Datenschutz-Grundverordnung.

Sowohl öffentliche Organisationen als auch private Personen und Unternehmen haben die Anforderungen der Datenschutz-Grundverordnung zu beachten, wenn sie Informationen über eine identifizierte oder identifizierbare natürliche Person verarbeiten.

Ausnahmen gelten

  • bei der nicht automatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen - beispielsweise Akten und Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind;

  • für natürliche Personen, die personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiten - beispielsweise privater Schriftverkehr, Adressbücher oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen persönlicher oder familiärer Zwecke;

  • für Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen - insbesondere die nationale Sicherheit betreffende Tätigkeiten;

  • für die Datenverarbeitung zum Zwecke der Strafverfolgung und Gefahrenabwehr durch die zuständigen Behörden - hier gilt die zeitgleich mit der Datenschutz-Grundverordnung verabschiedete Richtlinie (EU) 2016/680.

Wichtig ist: Auch Unternehmen außerhalb der Europäischen Union unterliegen der Datenschutz-Grundverordnung, wenn sie Waren oder Dienstleistungen in der Europäischen Union anbieten oder das Verhalten von Personen in der Europäischen Union beobachten.

Die Datenschutz-Grundverordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung in der Europäischen Union erfolgt oder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Europäischen Union steht (sog. Marktortprinzip). Dies gilt unabhängig davon, ob die Verarbeitung in der Europäischen Union stattfindet.

Die Datenschutz-Grundverordnung gilt zudem auch dann, wenn das Verhalten betroffener Personen in der Europäischen Union beobachtet werden soll oder die Verarbeitung an einem Ort erfolgt, der aufgrund völkerrechtlicher Bestimmungen dem Recht eines Mitliedstaats der Europäischen Union unterliegt. Es spielt hierbei keine Rolle, ob die verarbeiteten Daten einen Bürger der Europäischen Union betreffen oder nicht.

 

II. Rechtsgrundlagen der Datenverarbeitung gemäß DSGVO

Laut DSGVO gelten die folgenden Grundsätze für die Datenverarbeitung: Zweckbindung, Erforderlichkeit und Datensparsamkeit (Artikel 5).

Der Zweckbindungsgrundsatz wird seit 2018 ergänzt durch Artikel 6 Absatz 4, welcher Kriterien zur Prüfung kompatibler Zwecke benennt. Sind der ursprüngliche Zweck der Erhebung und der Zweck der Weiterverarbeitung durch die gleiche verantwortliche Stelle kompatibel, dürfen die Daten auf Basis der ursprünglichen Rechtsgrundlage weiterverarbeitet werden.

Mit dieser "Rechenschaftspflicht" betont die Datenschutz-Grundverordnung die Verantwortlichkeit der Daten verarbeitenden Stellen für die Einhaltung der Prinzipien und dessen Nachweis (Artikel 5 Absatz 2).

Artikel 6 zählt die Zulässigkeitstatbestände für die Verarbeitung personenbezogener Daten auf. Auch er entspricht weitgehend geltendem europäischen Datenschutzrecht. Wie bisher bedarf jegliche Verarbeitung personenbezogener Daten einer legitimierenden Rechtsgrundlage – unabhängig davon, ob von der Verarbeitung ein hohes oder geringes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht (Artikel 8).

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig

  • mit der Einwilligung der betroffenen Person

oder wenn die Verarbeitung erforderlich ist

  • für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen ,

  • zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person,

  • zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen,

  • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder

  • für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen.

Diese Zulässigkeitstatbestände bilden ein abschließendes System; die Mitgliedstaaten dürfen jedoch in einigen Bereichen die Anforderungen an die Rechtmäßigkeit der Verarbeitung durch nationales Datenschutzrecht konkretisieren und präzisieren (Artikel 6 Absatz 2 und 3). Viele Rechtsgrundlagen, insbesondere für die Verarbeitung personenbezogener Daten durch öffentliche Stellen, finden sich daher nach wie vor im allgemeinen oder besonderen Datenschutzrecht auf nationaler Ebene.

 

III. Der EDSA als zentraler Ansprechpartner

Verantwortlich für die einheitlichen Rechtsanwendung ist der Europäische Datenschutzausschuss (EDSA), der Zusammenschluss der Aufsichtsbehörden aller Mitgliedstaaten auf der Ebene der Europäischen Union. Er bildet die führende Aufsichtsbehörde für die Durchsetzung der DSGVO in der EU und entscheidet verbindlich über zentrale Fragen der Datenschutz-Grundverordnung.

Seine Richtlinien und Entscheidungen bilden die Grundlage für den Vollzug für die nationalen Datenschutzbehörden in jedem EU-Land. Mit dem EDPB am Ort der Hauptniederlassung steht Unternehmen mit grenzüberschreitenden Datenverarbeitungstätigkeiten ein zentraler Ansprechpartner zur Verfügung (sog. One Stop Shop-Prinzip).

 

IV. Verbraucher-Rechte gemäß DSGVO

Die DSGVO definiert die folgenden Betroffenen-Rechte:

Transparenz: Die betroffenen Personen sind nicht nur bei der erstmaligen Erhebung, sondern grundsätzlich bei jeder beabsichtigten Weiterverarbeitung für andere Zwecke über die aufgeführten Aspekte zu unterrichten. Die Informationen hat der Verantwortliche eigeninitiativ, d.h. ohne einen Antrag der betroffenen Person, zur Verfügung zu stellen.

Auskunft: Neben den Informationspflichten steht der betroffenen Person nach Artikel 15 ein umfangreiches Auskunftsrecht über die sie betreffenden personenbezogenen Daten zu. Das Auskunftsrecht umfasst auch den Anspruch, eine unentgeltliche Kopie der verarbeiteten Daten zu erhalten.

Korrektur & Löschung: Unter den Voraussetzungen der Artikel 16 bis 18 können die betroffenen Personen die Berichtigung, Löschung und Einschränkung der Verarbeitung verlangen.

Das Recht auf Löschung umfasst zugleich das sog. "Recht auf Vergessen werden": Hat der Verantwortliche die personenbezogenen Daten öffentlich und damit anderen Verantwortlichen zugänglich gemacht, hat er im Falle einer Löschverpflichtung angemessene Maßnahmen zu treffen, um die anderen Verantwortlichen darüber zu informieren, dass eine betroffene Person die Löschung aller Links zu bzw. Vervielfältigungen dieser personenbezogenen Daten verlangt.

Datenübertragbarkeit: Artikel 20 räumt den betroffenen Personen das Recht auf Datenübertragbarkeit ein. Betroffene haben demnach in bestimmten Fällen das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format ausgehändigt zu erhalten, um sie von einem Verantwortlichen ohne Behinderung auf einen anderen (privaten) Anbieter übertragen zu lassen. Bei dem Anspruch ist zu beachten, dass bei der Übertagung der Daten von einem auf einen anderen Verantwortlichen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen. Dies kann z.B. der Fall sein, wenn auf einem Foto nicht nur die betroffene Person, sondern auch Dritte abgebildet sind.

Widerspruch: Artikel 21 verleiht den betroffenen Personen das Recht, gegen eine (rechtmäßige) Datenverarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch einzulegen.  Zudem besteht ein jederzeitiges Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung. Auf das Widerspruchsrecht sind die betroffenen Personen spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hinzuweisen.

Die Betroffenenrechte gelten nicht, wenn die Datenschutz-Grundverordnung unmittelbare Ausnahmen vorsieht oder die Mitgliedstaaten über Artikel 23 Datenschutz-Grundverordnung Beschränkungen der Betroffenenrechte vorgesehen haben.

 

V. Definitionen & Begrifflichkeiten der DSGVO

Die DSGV ist ein strenges Gesetz und definiert u.a. die folgenden Termini wie folgt:

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Die DSGVO-Definition personenbezogener Daten ist sehr weit gefasst und umfasst auch Informationen, die kombiniert werden können, um ein umfassendes Profil einer bestimmten betroffenen Person herauszufiltern oder aufzubauen.

Nach dieser Definition unterliegen Statistik- (Analyse-Cookies) und Marketing-Cookies (Tracking-Cookies), wie sie von den meisten Webseiten verwendet werden, der DSGVO. Dies bedeutet, dass Sie vor dem Platzieren aller Cookies, die personenbezogene Daten verfolgen, die ordnungsgemäße Zustimmung Ihrer Nutzer benötigen. Ihre Nutzer müssen über alle Trackings informiert werden und ihre Zustimmung dazu geben, bevor Daten verarbeitet werden können, besagt die DSGVO.

Verarbeitung

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Profiling

Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Verantwortlicher

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Auftragsverarbeiter

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Einwilligung

Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Verletzung des Schutzes personenbezogener Daten

Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Genetische Daten

Personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Biometrische Daten

Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

Gesundheitsdaten

Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Vertreter

Eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;

Verbindliche interne Datenschutzvorschriften

Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.

 

VI. Unter welchen Voraussetzungen dürfen Daten an Nicht-EU-Staaten übermittelt werden?

Während Datenübermittlungen in andere Mitgliedstaaten der Europäischen Union keinen zusätzlichen Anforderungen unterliegen und eine Behinderung des freien Datenverkehrs aus Gründen des Datenschutzes unzulässig ist (vgl. Art. 1 Absatz 3), ist ein Transfer personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländer) nur unter den Voraussetzungen des Kapitels V zulässig.

Sinn und Zweck der Regelungen für den internationalen Datentransfer ist die Gewährleistung eines umfassenden Schutzes des Grundrechts auf Datenschutz (Artikel 8): Der innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums gewährleistete hohe Datenschutzstandard soll nicht dadurch ausgehöhlt werden, dass personenbezogene Daten ohne angemessene Schutzvorkehrungen in Drittländer übermittelt werden können.

Für einen Drittstaatstransfer müssen zunächst die allgemeinen Regelungen der DSGVO eingehalten sein (Artikel 44). Insbesondere muss eine Rechtsgrundlage für die Datenübermittlung in der DSGVO oder im nationalen Datenschutzrecht bestehen.

Zusätzlich muss für eine Datenübermittlung in ein Drittland eine der nachstehenden Bedingungen erfüllt sein:

  • Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission nach Artikel 45 DSGVO. Beschlüsse der Europäischen Kommission über ein angemessenes Schutzniveau liegen zum Beispiel für Argentinien, die Schweiz, Kanada, Neuseeland, Uruguay, Japan und Südkorea vor.

  • Vorliegen geeigneter Garantien (Artikel 46 DSGVO), insbesondere in Form von

    • verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules),

    • Standarddatenschutzklauseln oder

    • genehmigten Verhaltensregeln oder eines genehmigten Zertifizierungsmechanismus.

  • Vorliegen einer Ausnahme nach Artikel 49 DSGVO, insbesondere:

    • bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person,

    • zum Schutz lebenswichtiger Interessen der betroffenen Person,

    • bei Erforderlichkeit zur Vertragserfüllung,

    • aus wichtigen Gründen eines öffentlichen Interesses,

    • zur Verfolgung von Rechtsansprüchen oder

    • zur Wahrung zwingender berechtigter Interessen des Verantwortlichen.

 

VII. Was ist eine gültige Einwilligung nach der DSGVO? Die EDSA-Leitlinien

Die DSGVO-Definition der ordnungsgemäßen oder gültigen Zustimmung ist sehr klar und überträgt Website-Eigentümern und -Betreibern alle Verantwortung.

Am 4. Mai 2020 verabschiedete das EDPB Leitlinien zur gültigen Zustimmung in der EU. Diese beinhalten:

  1. Cookie-Banner dürfen keine vorher angekreuzten Opt-in-Felder / Kontrollkästchen haben, da dies nicht dem Erfordernis der klaren und bestätigenden Handlung entspricht. Alle Cookies (außer notwendige Cookies) müssen standardmäßig abgewählt werden. Die Zustimmung muss eine frei gegebene, positive Handlung sein.

  2. Das fortgesetzte Scrollen und Browsen auf einer Website stellt keine gültige Zustimmung dar. Nutzer müssen eine klare und bestätigende Handlung vornehmen, die ihre Wahl der Zustimmung anzeigt.

  3. Cookie-Walls können nicht verwendet werden, um eine gültige Zustimmung zu erhalten, d.h. die Zustimmung des Nutzers vom Zugang zu einer Website und ihren Diensten abhängig zu machen, gilt als ungesetzlich. Das Bündeln von Einwilligungen ist nicht DSGVO-konform.

  4. Stattdessen muss der Cookie-Banner auf Ihrer Website interaktiv sein. Websites dürfen solange keine Cookies aktivieren, die personenbezogene Daten sammeln, bis die Nutzer ausgewählt haben, welche Kategorien von Cookies aktiviert werden dürfen (die so genannte vorherige Einwilligung).

Bedingungen für eine gültige Einwilligung

Artikel 7 der Datenschutz-Grundverordnung behandelt die Bedingungen für die Einwilligung und nennt folgendes als elementar:

  1. Beruht die Verarbeitung auf einer Einwilligung, so kann der für die Verarbeitung Verantwortliche nachweisen, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.

  2. Wird die Zustimmung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so ist der Antrag auf Zustimmung in einer verständlichen und leicht zugänglichen Form unter Verwendung von klarer und einfacher Sprache einzuholen.

    Jeder Teil einer solchen Erklärung, der einen Verstoß gegen diese Verordnung darstellt, ist nicht verbindlich.

  3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.

    Die Entziehung der Einwilligung hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor deren Widerruf.

    Vor der Erteilung der Zustimmung ist die betroffene Person davon zu unterrichten, dass es so einfach ist zurückzutreten wie Zustimmung zu geben.

  4. Bei der Beurteilung der Frage, ob eine Einwilligung freiwillig erteilt wird, wird weitgehend berücksichtigt, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Zustimmung zur Verarbeitung personenbezogener Daten abhängt.

Eine echte DSGVO-Einwilligung ist somit vor jeder Verarbeitung von Nutzerdaten kenntlich gemacht, widerrufbar und nicht an Bedingungen für die Erbringung einer Dienstleistung geknüpft.

Eigenschaften gültiger Einwilligung

Eine gültige Einwilligung muss ein freiwillig erteilter, informierter, spezifischer und eindeutiger Ausdruck der Nutzerwünsche sein. Grundsätzlich müssen Einwilligungen folgende Eigenschaften vorweisen:

Spezifität

Eine gültige Einwilligung muss nach den EDSA-Leitlinien immer spezifisch sein, d. h. es muss eindeutig ein spezifischer, expliziter und legitimer Zweck für die beabsichtigte Verarbeitungstätigkeit festgelegt werden.

Eindeutigkeit

Die EDSA-Leitlinien stellen klar, dass, wenn Ihre Website personenbezogene Daten für mehr als einen Zweck verarbeitet, die Nutzer in der Lage sein müssen, frei zu wählen, welchen Zweck sie akzeptieren – anstatt einem Bündel von Verarbeitungszwecken zustimmen zu müssen. Dies bedeutet für Ihre Website, dass Sie alle Cookies und ihre verschiedenen Zwecke kennen und Ihren Nutzern die Möglichkeit bieten müssen, die Aktivierung einiger Cookies auszuwählen und anderer abzulehnen.

Informiertheit

Eine gültige Einwilligung muss in informierter Weise erfolgen, d. h. die Nutzer müssen wissen und verstehen, worauf sie sich einlassen. Ihre Website muss im Banner mindestens die folgenden Informationen angeben, damit eine Einwilligung als informiert gilt:

  • Sie und die Identität Ihrer Website

  • Zweck der einzelnen Verarbeitungsvorgänge, für die auf Ihrer Website um Einwilligung gebeten wird

  • welche Art von Daten auf Ihrer Website gesammelt und verwendet werden

  • das Recht auf Widerruf der Einwilligung

  • Informationen über die Verwendung der Daten für die automatisierte Entscheidungsfindung

  • mögliche Risiken bei der Datenübertragung auf Grundlage eines Angemessenheitsbeschlusses, wie in DSGVO Artikel 46 beschrieben wird.

Widerrufbarkeit

Tatsächlich ist es eine Bedingung für die Gültigkeit der Einwilligung, dass die Nutzer ihre Einwilligung im Nachhinein auf ebenso einfache Weise widerrufen können.Die Nutzer müssen ihre Einwilligung genauso einfach widerrufen können, wie sie sie erteilt haben.

Dieser Widerruf der Einwilligung muss freiwillig und ohne Konsequenzen vonstattengehen können. Der Widerruf darf keine Verwehrung des Zugangs zu einer Website oder eine Einschränkung der Dienstleistungen zur Folge haben.

 

VIII. Was ist Consent Management?

Consent Management (dt. Einwilligungsverwaltung) ist die Handlung oder der Prozess der Verwaltung von Zustimmungen von Ihren Benutzern und Kunden für die Verarbeitung ihrer personenbezogenen Daten.

Mit anderen Worten: Consent Management bedeutet, Ihren Nutzern die Möglichkeit zu geben, sich für bestimmte Cookie-Kategorien (Präferenzen, Statistiken und Marketing) zu entscheiden, ihre Zustimmung zu erteilen und sie wieder zurückzuziehen, wenn sie dies wünschen. Beim Consent Management geht es darum, Ihre Nutzer in die Lage zu versetzen, ihr Recht auf Privatsphäre auszuüben.

Ein ordnungsgemäßes Consent Management-System umfasst folgendes:

  • Es wird um Einwilligung gebeten, indem klar angegeben wird, wofür die Einwilligung erteilt wird und wie die Daten verwendet werden.

  • Zurückhalten der gesamten Verfolgung, bis die entsprechende Zustimmung erteilt wurde.

  • Sichere Speicherung aller Zustimmungen als Dokumentation, dass die Zustimmung eingeholt wurde.

  • Den Benutzern wird jederzeit die Möglichkeit eingeräumt, ihre Zustimmung zu widerrufen.

  • Die Zustimmung muss jährlich erneuert werden. Einige nationale Datenschutzrichtlinien empfehlen jedoch eine häufigere Erneuerung, z.B. 6 Monate. Prüfen Sie Ihre lokalen Datenschutzrichtlinien auf Einhaltung.

 

IX. Welche Verpflichtungen ergeben sich für Unternehmen?

Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel II) und der Gewährleistung der Verbraucherrechte (Kapitel III) enthält Kapitel IV der Datenschutz-Grundverordnung zentrale Vorschriften für die Pflichten der Daten verarbeitenden Stellen. Diese ergeben sich unmittelbar aus der DSGVO.

Als wesentliche Pflichten bei der Datenverarbeitung sind zu nennen:

  • Gewährleistung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit, Artikel 24, 25 und 32

  • Anforderungen an die Auftragsverarbeitung, Artikel 28

  • Führen eines Verzeichnisses der Verarbeitungstätigkeiten, Artikel 30

  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen, Artikel 33 und 34

  • Durchführung einer Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörden, Artikel 35 und 36

  • Benennung eines Datenschutzbeauftragten, Artikel 37 bis 39

Ob und in welchem Umfang die Pflichten der Datenschutz-Grundverordnung zu erfüllen sind, bemisst sich vor allem nach dem Umfang, den Zwecken und der Schwere des von der Datenverarbeitung ausgehenden Risikos (sog. risikobasierter Ansatz). Lediglich Institutionen, deren Geschäftszweck (Kerntätigkeit) in der Verarbeitung personenbezogener Daten liegt oder die außergewöhnliche, hochriskante Datenverarbeitungsvorgänge vornehmen, unterliegen dem vollen Pflichtenkatalog der Datenschutz-Grundverordnung.

Flexible Einschränkungen von Pflichten gemäß Risikoadäquanz

Entscheidend für die von den Verantwortlichen zu erfüllenden Pflichten ist das Konzept der Risikoadäquanz: Je wahrscheinlicher oder schwerer das von der Datenverarbeitung ausgehende Risiko, desto umfangreicher und höher sind die Pflichten des Verantwortlichen. Dieser flexible Ansatz trägt insbesondere den Belangen kleinerer und mittlerer Unternehmen Rechnung, die nicht risikobehaftete Daten verarbeiten:

  • So sind bei den technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit u.a. die Eintrittswahrscheinlichkeit und Schwere des von der Datenverarbeitung ausgehenden Risikos für die betroffenen Personen im Einzelfall zu berücksichtigen.

  • Von der Pflicht zur Führung eines Verarbeitungsverzeichnisses sind Unternehmen mit weniger als 250 Mitarbeitern u.a. befreit, wenn die Datenverarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.

  • Bei Sicherheitsvorfällen (Verletzungen des Schutzes personenbezogener Daten) entfällt die Meldepflicht gegenüber der Aufsichtsbehörde, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt; eine Pflicht zur Benachrichtigung der betroffenen Personen über einen Vorfall besteht nur dann, wenn die Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat.

  • Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht ebenfalls nur, wenn die Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn aber Datenschutz-Folgenabschätzung bestätigt, dass die Verarbeitung ein solches hohes Risiko zur Folge hätte, besteht eine Pflicht zur vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörde.

 

X. Welche Konsequenzen drohen Unternehmen bei Nichteinhaltung der DSGVO?

Erlangt eine Aufsichtsbehörde durch eine Beschwerde oder eine anlasslose Kontrolle Kenntnis von einem Verstoß gegen die Datenschutz-Grundverordnung oder eine nationale Datenschutzvorschrift, kann sie den Verantwortlichen verwarnen oder Anweisungen, Anordnungen oder Verarbeitungsverbote aussprechen (Artikel 58 Absatz 2 Datenschutz-Grundverordnung).

Zusätzlich oder anstelle der Abhilfebefugnisse kann sie nach Artikel 83 Datenschutz-Grundverordnung Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes verhängen. Dem Gebot der Wirksamkeit, aber auch der Verhältnismäßigkeit, ist hierbei in jedem Einzelfall Rechnung zu tragen. Gegen rechtsverbindliche Verfügungen der Aufsichtsbehörden kann der Verantwortliche einen gerichtlichen Rechtsbehelf einlegen (Artikel 78 Datenschutz-Grundverordnung).

Neben einer Beschwerde bei der zuständigen Aufsichtsbehörde können betroffene Personen zudem Klagen vor den zuständigen Gerichten erheben, wenn sie der Ansicht sind, dass ihre Rechte durch die Verarbeitung ihrer personenbezogenen Daten verletzt wurden (Artikel 79 Datenschutz-Grundverordnung). Entsteht einer Person wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden, hat sie zudem Anspruch auf Schadensersatz nach Artikel 82 Datenschutz-Grundverordnung.

§ 42 BDSG 2018 sieht schließlich Straftatbestände für das unbefugte Verarbeiten nicht allgemein zugänglicher Daten vor, wenn die Tat gewerbsmäßig, gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht begangen wurde.

 

XI. Wie verwalten Sie die Einwilligung zur Einhaltung der DSGVO auf Ihrer Website?

Die Verwaltung der DSGVO-Einwilligung lässt sich am besten mit einer Consent-Management-Plattform (CMP) bewerkstelligen, so dass Sie sicher sein können, dass Ihre Website konform ist und die Privatsphäre Ihrer Nutzer geschützt wird.

Wir von dwc haben uns auf Consent Management spezialisiert und bieten sämtliche Services an, die Sie im Sinne der DSGVO absichern. Vereinbaren Sie jetzt eine kostenlose Erstberatung.