1

EU ändert DSGVO in letzter Minute

Ab 25. Mai gilt in der gesamten EU die DSGVO. Seit knapp zwei Jahren bereiten sich Unternehmen, Dienstleister und Juristen auf diesen Stichtag vor, viele sind schon fertig mit allen Vorbereitungen. Und nun das: Der Europäische Rat hat ein 386 Seiten-Dokument mit Änderungen der DSGVO beschlossen und veröffentlicht.

Die EU hat ein “Corrigendum” zur DSGVO veröffentlicht. Das Dokument umfasst insgesamt 386 Seiten und ändert alle Sprachfassungen der DSGVO. Die Änderungen für die deutsche Sprachfassung beginnen auf Seite 42 und umfassen 18 Seiten.

Mit solchen Dokumenten sollen eigentlich Rechtschreib- und/oder Grammatikfehler in den einzelnen Sprachvarianten beseitigt werden, die bei der Übersetzung passieren. Die Änderungen, die jetzt veröffentlicht wurden, sind überwiegend auch sprachlicher Natur.

Aber eben nicht nur. Vielmehr wird die DSGVO auch inhaltlich geändert.

Datenschutzfreundliche Voreinstellungen (alt)

Die DSGVO verpflichtet Unternehmen bei der Datenerhebung die Beachtung von datenschutzfreundlichen Voreinstellungen. So heißt es in Art. 25 Abs. 2 Satz 1 DSGVO (bzw. jetzt müssen wir sagen “hieß es bisher”):

“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.”

Das bedeutet z.B. für das Formular zur Newsletter-Anmeldung:

Wirklich erforderlich für den Versand des Newsletters ist nur die E-Mail-Adresse des Empfängers. Der Name, das Alter oder das Geschlecht spielen keine Rolle. Das sind zwar für die Marketing-Abteilung auch wichtige Daten, mit deren Hilfe man den Inhalt des Newsletters an den Empfänger anpassen kann, aber wirklich erforderlich für den Newsletter-Versand an sich sind diese Daten nicht.

Dass man diese zusätzlichen Daten auf freiwilliger Basis abfragen darf, lässt das kleine Wörtchen “grundsätzlich” zu. Denn das bedeutet, dass es eben auch Ausnahmen von dem Grundsatz geben kann. Und wenn der Nutzer diese Daten freiwillig bekannt gibt, ist ja alles gut soweit.

Das bedeutet nach der bisherigen Fassung: Nur die E-Mail-Adresse darf im Formular zur Newsletter-Anmeldung ein Pflichtfeld sein. Die anderen Daten dürfen zwar abgefragt werden, aber eben nur auf freiwilliger Basis, das heißt, die Anmeldung muss auch funktionieren, wenn der Empfänger ausschließlich seine Mail-Adresse angibt und seinen Namen oder sein Geschlecht etc. lieber verschweigen möchte.

Datenschutzfreundliche Voreinstellungen (neu)

Diese Vorschrift wird nun durch das Corrigendum angepasst. Jetzt heißt die Vorschrift:

“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.”

Das Wort “grundsätzlich” wurde ersatzlos gestrichen.

Damit wird der deutsche Wortlaut der DSGVO an die englische Sprachversion angepasst. Wenn so ein Wort gestrichen wird, handelt es sich aber nicht nur um eine sprachliche Korrektur, sondern durch das Streichen wird auch der Inhalt der Vorschrift geändert.

Jetzt steht dort also, dass sichergestellt sein muss, dass nur für den Verarbeitungszweck erforderliche Daten verarbeitet werden dürfen.

Bezogen auf das obige Beispiel des Newsletters könnte das bedeuten, dass die Behörden es in Zukunft als Verstoß gegen Art. 25 DSGVO ansehen, wenn bei der Anmeldung zum Newsletter neben der Mail-Adresse noch weitere Daten erhoben werden – auch wenn diese keine Pflichtfelder sind.

Verstöße gegen Art. 25 DSGVO können mit einem Bußgeld in Höhe von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist, geahndet werden.

Fazit

Die Veröffentlichung des Corrigendums ist noch ganz frisch. Ob und in welchem Maße hier Unternehmen evtl. erneut tätig werden müssen, um die (neuen) Vorschriften einzuhalten, ist noch offen. Bisher haben sich die Datenschutzbehörden noch nicht zu den möglichen Folgen der Änderungen geäußert. Sobald es hier Neuigkeiten gibt, werden wir Sie selbstverständlich informieren.

Nochmals der Hinweis: Wir möchten hier keineswegs behaupten, dass die neue Rechtslage das freiwillige Abfragen von zusätzlichen Angaben zur E-Mail verbietet. Wir möchten nur darauf hinweisen, dass das eine mögliche Interpretation der neuen Vorschrift darstellt, wir aber nicht wissen, wie sich die Datenschutzbehörden (und später die Gerichte) in dieser Frage positionieren werden.

Hier haben wir die wichtigsten Informationen zur DSGVO für Sie zusammengetragen. (mr)

Bildnachweis: Bloomicon/shutterstock.com