Online-Wet­ten und DSGVO – das müs­sen Sie wis­sen

Nach zähen und jah­re­lan­gen Ver­hand­lun­gen haben sich die euro­päi­schen Mit­glied­staa­ten im Dezem­ber 2015 auf die neue EU-Daten­schutz-Grund­ver­ord­nung (EU-DSGVO oder DSGVO) geei­nigt. Die­ses Gesetz führt zu einer Ver­ein­heit­li­chung des euro­päi­sches Daten­schutz­rech­tes und been­det bis­her bestehen­de natio­na­le Daten­schutz­be­stim­mun­gen. Wel­che Aus­wir­kun­gen das für Unter­neh­men – wie zum Bei­spiel Anbie­ter von Online-Wet­ten – hat, lesen Sie im fol­gen­den Arti­kel.

Online-Wet­ten und DSGVO – das müs­sen Sie wis­sen

Was ist die DSGVO?

Die DSGVO ist eine euro­päi­sche Ver­ord­nung und Teil der EU-Daten­schutz­re­form, die von der Euro­päi­schen Kom­mis­si­on im Janu­ar 2012 vor­ge­stellt wur­de. Die neue Ver­ord­nung ver­ein­heit­licht EU-weit die Regeln zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Pri­vat-Unter­neh­men und öffent­li­chen Stel­len wie bei­spiels­wei­se Behör­den oder Orga­ni­sa­tio­nen. Ziel der neu­en DSGVO ist der freie Daten­ver­kehr inner­halb der EU (Art. 1 Abs. 3 DSGVO) und der Schutz per­so­nen­be­zo­ge­ner Daten für EU-Bür­ger (Art. 1 Abs. 2 DSGVO).

Die DSGVO ersetzt die seit 1995 stam­men­de Ver­ord­nung (Richt­li­nie 95/​46/​EG zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr). Die neue Grund­ver­ord­nung trat zum 24.Mai 2016 in Kraft und fin­det am 25. Mai 2018 ihre euro­pa­wei­te Anwen­dung. Die neue DSGVO ersetzt das bestehen­de deut­sche Daten­schutz­recht – bie­tet aber Mög­lich­kei­ten von sog. „Öff­nungs­klau­seln“ an, in denen ein­zel­ne Staa­ten bestimm­te Aspek­te des Daten­schut­zes auf natio­na­ler Ebe­ne anpas­sen kön­nen.

Wo fin­det die DSGVO Anwen­dung?

Art. 2 Abs. 1 der DSGVO defi­niert den Anwen­dungs­be­reich der neu­en EU-Grund­ver­ord­nung: „Die­se Ver­ord­nung gilt für die ganz oder teil­wei­se auto­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie für die nicht­au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die in einem Datei­sys­tem gespei­chert sind oder gespei­chert wer­den sol­len.“

Ver­ein­facht gesagt, gilt die neue DSGVO für alle, die per­so­nen­be­zo­ge­ne Daten von User ver­ar­bei­ten – also Blogs, Online-Wett­an­bie­ter, News-Por­ta­le, Online-Shops aber auch Soci­al-Media-Platt­for­men wie Face­book, You­Tube oder Insta­gram. Auch Clou­dan­bie­ter sind von der neu­en DSGVO betrof­fen.

Wich­tig: Ab Mai 2018 muss laut neu­er Ver­ord­nung jedes Unter­neh­men, wel­ches pri­mär die Erhe­bung und Ver­ar­bei­tung von Kun­den­da­ten zur Erfül­lung des Geschäfts­zwecks betreibt, einen Daten­schutz­be­auf­trag­ten benen­nen.

In den ver­gan­ge­nen Mona­ten wie­sen vor allem Daten­schutz­recht­ler und IT-Exper­ten dar­auf hin, dass eine über­wie­gen­de Mehr­heit deut­scher Unter­neh­men die DSGVO immer noch nicht umge­setzt haben.

Inhalt­lich glie­dert sich die neue Ver­ord­nung in 99 Arti­keln, die in elf Kapi­tel unter­teilt sind:

  • Kap. 1: All­ge­mei­ne Bestim­mun­gen
  • Kap. 2: Grund­sät­ze
  • Kap. 3: Rech­te der betrof­fe­nen Per­so­nen
  • Kap. 4: Ver­ant­wort­li­cher und Auf­trags­ver­ar­bei­ter
  • Kap. 5: Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder an inter­na­tio­na­le Orga­ni­sa­tio­nen
  • Kap. 6: Unab­hän­gi­ge Auf­sichts­be­hör­den
  • Kap. 7: Zusam­men­ar­beit und Kohä­renz
  • Kap. 8: Recht­be­hel­fe, Haf­tung und Sank­tio­nen
  • Kap. 9: Vor­schrif­ten für beson­de­re Ver­ar­bei­tungs­si­tua­tio­nen
  • Kap. 10: Dele­gier­te Rechts­ak­te und Durch­füh­rungs­rechts­ak­te
  • Kap. 11: Schluss­be­stim­mun­gen

Recht­mä­ßig­keit der Ver­ar­bei­tung

Art. 6 Abs 1 der DSGVO regelt die Recht­mä­ßig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Eine Recht­mä­ßig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist dem­nach gege­ben, wenn:

  • Die Ein­wil­li­gung der betrof­fe­nen Per­son vor­liegt
  • Sie zur Erfül­lung eines Ver­tra­ges oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men dient
  • Zur Erfül­lung einer recht­li­chen Ver­pflich­tung führt
  • Sie zum Schut­ze lebens­wich­ti­ger Inter­es­sen führt
  • Zur Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt oder
  • Auf­grund einer Inter­es­sen­ab­wä­gung erfor­der­lich ist

Wel­che Stra­fen sieht die neue DSGVO vor?

Hal­ten sich Unter­neh­mer nicht an die neue DSGVO, kön­nen Buß­gel­der von bis zu 20 Mil­lio­nen Euro bzw. 4% des jähr­li­chen welt­wei­ten Umsat­zes ver­hängt wer­den (Art. 83 DSGVO). Doku­men­tiert ein Unter­neh­men zum Bei­spiel die Auf­zeich­nun­gen der Daten in der fal­schen Abfol­ge oder führt kei­ne Fol­ge­ab­schät­zung bei Daten­ver­lust durch, kann ein Buß­geld von 2% des jähr­li­chen, welt­wei­ten Umsat­zes ver­hängt wer­den.

Wel­che Pro­zes­se und Doku­men­te muss ich über­prü­fen?

Unter­neh­men soll­ten schleu­nigst über­prü­fen, wel­che per­so­nen­be­zo­ge­ne Daten erho­ben und ver­ar­bei­tet wer­den, denn die neue DSGVO führt eine Rei­he von Doku­men­ta­ti­ons­pflich­ten ein. So sol­len Nut­zer mit der neu­en EU-Daten­schutz-Grund­ver­ord­nung u. a. über­prü­fen kön­nen, wel­che per­so­nen­be­zo­ge­nen Daten erho­ben, ver­ar­bei­tet und genutzt wur­den. Die­se Infor­ma­tio­nen muss jeder User auf der Web­site des betref­fen­den Unter­neh­mens ein­se­hen kön­nen. Nach Art. 30 der DSGVO müs­sen Unter­neh­mer ein Ver­zeich­nis aller Ver­ar­bei­tungs­tä­tig­kei­ten von per­so­nen­be­zo­ge­nen Daten füh­ren.

Ach­tung: Die neue Infor­ma­ti­ons­pflicht gilt jetzt auch für Unter­neh­men mit weni­ger als 250 Mit­ar­bei­ter. Das heißt: Auch Arzt­pra­xen, Hand­wer­ker oder Apo­the­ker müs­sen spä­tes­tens ab dem 25. Mai ein Ver­zeich­nis aller Ver­ar­bei­tungs­tä­tig­kei­ten von per­so­nen­be­zo­ge­nen Daten füh­ren.

Sind Anbie­ter von Online-Wet­ten DSGVO-kon­form?

Da die meis­ten Anbie­ter von Online-Wet­ten ihren Sitz auf Mal­ta oder in Luxem­burg haben, gel­ten auch für die­se Unter­neh­men die neue DSGVO. Und selbst, wenn das Land nicht zur EU gehö­ren wür­de (Bei­spiel Groß­bri­tan­ni­en oder Schweiz), gel­ten auch für die­se Unter­neh­mer die neue DSGVO, da die­se Unter­neh­men Diens­te auch für Bür­ger in EU-Län­der anbie­ten.

Online-Wet­ten-Anbie­ter erhe­ben und ver­ar­bei­ten nicht nur per­so­nen­be­zo­ge­ne Daten, son­dern ver­wal­ten zusätz­lich sen­si­ble Infor­ma­tio­nen wir Bank­da­ten und Trans­fer­bu­chungs­da­ten. Wer­den die­se Daten von Drit­ten gestoh­len, müs­sen Wett-Anbie­ter dies unver­züg­lich mel­den und eine Fol­ge­ab­schät­zung bei Daten­ver­lust abge­ben.

Die Fra­ge, ob Anbie­ter von Online-Wet­ten DSGVO-kon­form sind, ist daher abhän­gig von deren bis­her umge­setz­ten Maß­nah­men. Für die­se Anbie­ter gel­ten die glei­chen Rech­te und Pflich­ten wie für ande­re Unter­neh­mer auch. (Bestel­lung eines Daten­schutz­be­auf­trag­ten, Ver­zeich­nis aller ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten). Inter­es­sant wird es bei der Auf­sichts­be­hör­de: Da jedes Land eine eigen­stän­di­ge Auf­sichts­be­hör­de für die neue EU-Daten­schutz-Grund­ver­ord­nung besitzt, müs­sen sich deut­sche Kun­den von Online-Wet­ten-Anbie­ter an die jewei­li­ge Auf­sichts­be­hör­de wen­den, in des­sen Land der Wett-Anbie­ter sei­nen Sitz hat. Gera­de bei recht­li­chen Fra­gen kann dies auf Ver­brau­cher­sei­te für Kon­flik­te sor­gen.

Fazit

Die neue EU-Daten­schutz-Grund­ver­ord­nung trifft Wett-Anbie­ter und ande­re Unter­neh­men glei­cher­ma­ßen hart. Denn die neu­en Vor­schrif­ten sehen nicht nur erheb­li­che Stra­fen bei Nicht­ein­hal­tung der Vor­schrif­ten vor, son­dern erhö­hen den Arbeits­auf­wand in der Auf­zeich­nung der ver­ar­bei­ten­den Daten. Kri­ti­ker wei­sen zudem auf die vie­len Öff­nungs­klau­seln hin, die bis­her aus­ge­han­delt wur­den. Für Unter­neh­mer bedeu­tet dies: noch mehr Unsi­cher­hei­ten und eine Ver­wäs­se­rung der DSGVO. Juris­ten attes­tie­ren daher der neu­en Grund­ver­ord­nung eher den Cha­rak­ter einer Richt­li­nie als einer weg­wei­sen­den Ver­ord­nung.