Nach zähen und jahrelangen Verhandlungen haben sich die europäischen Mitgliedstaaten im Dezember 2015 auf die neue EU-Datenschutz-Grundverordnung (EU-DSGVO oder DSGVO) geeinigt. Dieses Gesetz führt zu einer Vereinheitlichung des europäisches Datenschutzrechtes und beendet bisher bestehende nationale Datenschutzbestimmungen. Welche Auswirkungen das für Unternehmen – wie zum Beispiel Anbieter von Online-Wetten – hat, lesen Sie im folgenden Artikel.
Was ist die DSGVO?
Die DSGVO ist eine europäische Verordnung und Teil der EU-Datenschutzreform, die von der Europäischen Kommission im Januar 2012 vorgestellt wurde. Die neue Verordnung vereinheitlicht EU-weit die Regeln zur Verarbeitung personenbezogener Daten durch Privat-Unternehmen und öffentlichen Stellen wie beispielsweise Behörden oder Organisationen. Ziel der neuen DSGVO ist der freie Datenverkehr innerhalb der EU (Art. 1 Abs. 3 DSGVO) und der Schutz personenbezogener Daten für EU-Bürger (Art. 1 Abs. 2 DSGVO).
Die DSGVO ersetzt die seit 1995 stammende Verordnung (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Die neue Grundverordnung trat zum 24.Mai 2016 in Kraft und findet am 25. Mai 2018 ihre europaweite Anwendung. Die neue DSGVO ersetzt das bestehende deutsche Datenschutzrecht – bietet aber Möglichkeiten von sog. „Öffnungsklauseln“ an, in denen einzelne Staaten bestimmte Aspekte des Datenschutzes auf nationaler Ebene anpassen können.
Wo findet die DSGVO Anwendung?
Art. 2 Abs. 1 der DSGVO definiert den Anwendungsbereich der neuen EU-Grundverordnung: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Vereinfacht gesagt, gilt die neue DSGVO für alle, die personenbezogene Daten von User verarbeiten – also Blogs, Online-Wettanbieter, News-Portale, Online-Shops aber auch Social-Media-Plattformen wie Facebook, YouTube oder Instagram. Auch Cloudanbieter sind von der neuen DSGVO betroffen.
Wichtig: Ab Mai 2018 muss laut neuer Verordnung jedes Unternehmen, welches primär die Erhebung und Verarbeitung von Kundendaten zur Erfüllung des Geschäftszwecks betreibt, einen Datenschutzbeauftragten benennen.
In den vergangenen Monaten wiesen vor allem Datenschutzrechtler und IT-Experten darauf hin, dass eine überwiegende Mehrheit deutscher Unternehmen die DSGVO immer noch nicht umgesetzt haben.
Inhaltlich gliedert sich die neue Verordnung in 99 Artikeln, die in elf Kapitel unterteilt sind:
- Kap. 1: Allgemeine Bestimmungen
- Kap. 2: Grundsätze
- Kap. 3: Rechte der betroffenen Personen
- Kap. 4: Verantwortlicher und Auftragsverarbeiter
- Kap. 5: Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
- Kap. 6: Unabhängige Aufsichtsbehörden
- Kap. 7: Zusammenarbeit und Kohärenz
- Kap. 8: Rechtbehelfe, Haftung und Sanktionen
- Kap. 9: Vorschriften für besondere Verarbeitungssituationen
- Kap. 10: Delegierte Rechtsakte und Durchführungsrechtsakte
- Kap. 11: Schlussbestimmungen
Rechtmäßigkeit der Verarbeitung
Art. 6 Abs 1 der DSGVO regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Eine Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist demnach gegeben, wenn:
- Die Einwilligung der betroffenen Person vorliegt
- Sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen dient
- Zur Erfüllung einer rechtlichen Verpflichtung führt
- Sie zum Schutze lebenswichtiger Interessen führt
- Zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder
- Aufgrund einer Interessenabwägung erforderlich ist
Welche Strafen sieht die neue DSGVO vor?
Halten sich Unternehmer nicht an die neue DSGVO, können Bußgelder von bis zu 20 Millionen Euro bzw. 4% des jährlichen weltweiten Umsatzes verhängt werden (Art. 83 DSGVO). Dokumentiert ein Unternehmen zum Beispiel die Aufzeichnungen der Daten in der falschen Abfolge oder führt keine Folgeabschätzung bei Datenverlust durch, kann ein Bußgeld von 2% des jährlichen, weltweiten Umsatzes verhängt werden.
Welche Prozesse und Dokumente muss ich überprüfen?
Unternehmen sollten schleunigst überprüfen, welche personenbezogene Daten erhoben und verarbeitet werden, denn die neue DSGVO führt eine Reihe von Dokumentationspflichten ein. So sollen Nutzer mit der neuen EU-Datenschutz-Grundverordnung u. a. überprüfen können, welche personenbezogenen Daten erhoben, verarbeitet und genutzt wurden. Diese Informationen muss jeder User auf der Website des betreffenden Unternehmens einsehen können. Nach Art. 30 der DSGVO müssen Unternehmer ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen.
Achtung: Die neue Informationspflicht gilt jetzt auch für Unternehmen mit weniger als 250 Mitarbeiter. Das heißt: Auch Arztpraxen, Handwerker oder Apotheker müssen spätestens ab dem 25. Mai ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen.
Sind Anbieter von Online-Wetten DSGVO-konform?
Da die meisten Anbieter von Online-Wetten ihren Sitz auf Malta oder in Luxemburg haben, gelten auch für diese Unternehmen die neue DSGVO. Und selbst, wenn das Land nicht zur EU gehören würde (Beispiel Großbritannien oder Schweiz), gelten auch für diese Unternehmer die neue DSGVO, da diese Unternehmen Dienste auch für Bürger in EU-Länder anbieten.
Online-Wetten-Anbieter erheben und verarbeiten nicht nur personenbezogene Daten, sondern verwalten zusätzlich sensible Informationen wir Bankdaten und Transferbuchungsdaten. Werden diese Daten von Dritten gestohlen, müssen Wett-Anbieter dies unverzüglich melden und eine Folgeabschätzung bei Datenverlust abgeben.
Die Frage, ob Anbieter von Online-Wetten DSGVO-konform sind, ist daher abhängig von deren bisher umgesetzten Maßnahmen. Für diese Anbieter gelten die gleichen Rechte und Pflichten wie für andere Unternehmer auch. (Bestellung eines Datenschutzbeauftragten, Verzeichnis aller verarbeiteten personenbezogenen Daten). Interessant wird es bei der Aufsichtsbehörde: Da jedes Land eine eigenständige Aufsichtsbehörde für die neue EU-Datenschutz-Grundverordnung besitzt, müssen sich deutsche Kunden von Online-Wetten-Anbieter an die jeweilige Aufsichtsbehörde wenden, in dessen Land der Wett-Anbieter seinen Sitz hat. Gerade bei rechtlichen Fragen kann dies auf Verbraucherseite für Konflikte sorgen.
Fazit
Die neue EU-Datenschutz-Grundverordnung trifft Wett-Anbieter und andere Unternehmen gleichermaßen hart. Denn die neuen Vorschriften sehen nicht nur erhebliche Strafen bei Nichteinhaltung der Vorschriften vor, sondern erhöhen den Arbeitsaufwand in der Aufzeichnung der verarbeitenden Daten. Kritiker weisen zudem auf die vielen Öffnungsklauseln hin, die bisher ausgehandelt wurden. Für Unternehmer bedeutet dies: noch mehr Unsicherheiten und eine Verwässerung der DSGVO. Juristen attestieren daher der neuen Grundverordnung eher den Charakter einer Richtlinie als einer wegweisenden Verordnung.
