06.04.2019

DSGVO aktuell

Was ist seit Mai 2018 passiert?

© dp@pic - stock.adobe

Am 18. Mai 2018 trat die EU-Datenschutzgrundverordnung (DSGVO) mit ihren EU-weit einheitlichen Regeln in Kraft. Bereits im Vorfeld gab es große Unsicherheit darüber, wie die strengen Vorgaben denn nun konkret auszulegen und anzuwenden seien. Inzwischen sind Datenschutzbehörden und Gerichte aktiv geworden und haben einige Fragen geklärt. Was für den gewerblichen Mittelstand und die freien Berufe relevant ist, lesen Sie hier.

Verhängung von Bußgeldern, verstärkte Kontrollen

Die Datenschutzbehörden der Länder, die die für die Kontrolle und Sanktionierung von Verstößen gegen die DSGVO zuständig sind, haben deutschlandweit bereits Bußgelder verhängt. Damit reagieren die Behörden nicht nur auf Beschwerden – sie führen auch eigenständig Kontrollen durch, z.B. zu den Anwendungsfeldern Online-Shops, Verschlüsselung, Bewerbungsverfahren oder Facebook-Fanpage.

Umsetzungshilfen der Behörden

Die Datenschutzkonferenz des Bundes und der Länder stellt in ihrer Infothek inzwischen diverse Umsetzungshilfen bereit (s. www.datenschutzkonferenz-online.de). Themen sind z.B.

  • Gestaltung rechtskonformer Einwilligungen
  • Liste der Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung durchzuführen ist
  • branchenbezogene Anwendungsfragen (u.a. Einsatz von Bodycams durch private Sicherheitsfirmen)

Die Datenschutzbehörden der Länder informieren auch selbst und ergänzend.

Abmahnungen nach UWG nicht zulässig

Es ist nicht zulässig, Unternehmen wegen Verstößen gegen die DSGVO nach dem Gesetz gegen den unlauteren Wettbewerb (§ 3a UWG) abzumahnen oder gar zu verklagen. Mehrere Gerichte haben das inzwischen entschieden. Sie verweisen darauf, dass die DSGVO die Sanktionen abschließend regelt (s. Art. 77ff. DSGVO). Danach kann jeder, auch ein Mitbewerber, gegen den Verstoß bei der zuständigen Datenschutzbehörde Beschwerde einlegen, die ggf. ein Bußgeld verhängt.

Recht am eigenen Bild wie bisher nach KUG

Bereits im Juni 2018 hat das OLG Köln entschieden, dass die Veröffentlichung von Personenfotos weiterhin nach dem Kunsturhebergesetz (KUG) zu beurteilen sei – es gehe für den Anwendungsfall als Spezialgesetz der allgemeinen DSGVO vor.

Umgang mit Datenpannen

Unternehmen, denen Datenpannen unterlaufen, etwa durch mangelnde Verschlüsselung oder infolge eines Hackerangriffs, müssen diese den Datenschutzbehörden melden (Art. 33 DSGVO). Wann und wie das konkret zu geschehen hat, erläutert der Hamburger Datenschutzbeauftragte in einer Orientierungshilfe. Anderenfalls drohen Bußgelder.

Marketing, Werbung

Wer personenbezogene Daten für Werbezwecke verarbeitet, kann sich nun an das Kurzpapier Nr. 3 „Verarbeitung personenbezogener Daten für die Werbung“ sowie die Orientierungshilfe „Verarbeitung personenbezogener Daten für Direktwerbung“ der Datenschutzkonferenz halten. Demnach dürfen z.B. werbefinanzierte (kostenlose) Online-Dienste die Nutzung weiterhin von der Einwilligung des Nutzers in das Setzen von Cookies für Werbezwecke abhängig machen. Die Nutzer müssen hierüber nur klar informiert werden – eine Einwilligung ist nicht erforderlich.

Fazit

Die Umsetzungshilfen der Datenschutzbehörden und Gerichtsurteile bringen langsam mehr Klarheit. Die Datenschutzbeauftragten der Unternehmen haben viel zu lesen und noch mehr zu tun.

copyright BPF Best Practice Forum GmbH

Drucken