Datenschutz-Grundverordnung

1. Einleitung

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (GDPR) in der gesamten Europäischen Union unmittelbar anwendbar. Sie verfolgt drei Hauptziele: die Stärkung der Kontrollrechte betroffener Personen über ihre personenbezogenen Daten, die Gewährleistung von Transparenz und Sicherheit bei der Verarbeitung sowie die Schaffung einheitlicher Verantwortlichkeiten für Datenverarbeiter und Datenverantwortliche. Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt die GDPR dort, wo nationale Regelungsspielräume bestehen, etwa beim Beschäftigtendatenschutz, bei der Datenschutzbeauftragtenpflicht oder bei Bußgeldvorschriften.

2. Anwendungsbereich

Die GDPR gilt für alle Unternehmen und Organisationen mit einer Niederlassung in der EU, unabhängig davon, wo die Datenverarbeitung tatsächlich stattfindet. Sie gilt auch für außerhalb der EU ansässige Verantwortliche, wenn diese Waren oder Dienstleistungen für betroffene Personen in der EU anbieten oder das Verhalten von EU-Bürgern überwachen, beispielsweise durch Cookies, Tracking-Pixel oder Standortdaten. Die rein persönliche oder familiäre Tätigkeit, wie private Adresslisten oder E-Mails mit Freunden, fällt nicht in den Anwendungsbereich der GDPR.

Für Haveronest bedeutet dies: Als Anbieter von Dienstleistungen richtet sich Haveronest nach den GDPR-Vorschriften, sobald es Dienstleistungen für Kunden in Deutschland oder der EU erbringt oder deren Online-Verhalten analysiert.

3. Grundsätze der Verarbeitung personenbezogener Daten

Jede Verarbeitung personenbezogener Daten muss folgenden sieben Grundsätzen genügen. Erstens der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Die Verarbeitung ist nur mit einer Rechtsgrundlage wie einer Einwilligung, einem Vertrag oder einem berechtigten Interesse zulässig, und die betroffenen Personen sind klar und verständlich zu informieren. Zweitens der Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Drittens der Datenminimierung: Es dürfen nur Daten erhoben werden, die für den Zweck unbedingt notwendig sind. Viertens der Richtigkeit: Daten sind sachlich richtig und erforderlichenfalls auf den neuesten Stand zu bringen. Fünftens der Speicherbegrenzung: Daten sind so zu speichern, dass betroffene Personen nur so lange identifiziert werden können, wie es der Zweck erfordert. Sechstens der Integrität und Vertraulichkeit: Es sind angemessene technische und organisatorische Maßnahmen zum Schutz vor unbefugtem Zugriff, Verlust oder Zerstörung zu treffen. Siebtens der Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können.

4. Betroffenenrechte

Jeder Nutzer in Deutschland und der EU hat umfassende Rechte. Das Recht auf Auskunft gibt die Bestätigung, ob Daten verarbeitet werden, und die Bereitstellung einer Kopie. Das Recht auf Berichtigung erlaubt die Korrektur unrichtiger oder die Vervollständigung unvollständiger Daten. Das Recht auf Löschung, auch als Recht auf Vergessenwerden bekannt, ermöglicht die Löschung, wenn Daten nicht mehr benötigt werden oder die Rechtsgrundlage entfällt. Das Recht auf Einschränkung der Verarbeitung erlaubt eine vorläufige Sperrung von Daten, etwa während einer Prüfung der Richtigkeit. Das Recht auf Datenübertragbarkeit gewährt den Erhalt der bereitgestellten Daten in einem strukturierten, gängigen Format und die Weitergabe an einen anderen Verantwortlichen. Das Widerspruchsrecht gilt besonders bei Verarbeitung aufgrund berechtigter Interessen, wie Direktwerbung oder Profiling. Das Recht auf nichtautomatisierte Entscheidungen schützt vor ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung, beispielsweise beim Kredit-Scoring ohne menschliche Prüfung.

In Deutschland kann das Recht auf Auskunft im nicht-öffentlichen Bereich unter bestimmten Voraussetzungen eingeschränkt werden, etwa bei Geschäftsgeheimnissen. Betroffene müssen jedoch immer eine klare Antwort erhalten. Bei Diensten, die direkt einem Kind angeboten werden, ist eine Einwilligung erst ab sechzehn Jahren ohne Zustimmung der Erziehungsberechtigten möglich. Deutschland kann eine niedrigere Altersgrenze von dreizehn Jahren festlegen. In Deutschland können Betroffene durch letztwillige Verfügung oder schriftliche Erklärung bestimmen, welche ihrer datenschutzrechtlichen Rechte nach ihrem Tod von bestimmten Personen ausgeübt werden sollen. Fehlt eine solche Erklärung, gehen die Rechte auf die Erben über, soweit kein überwiegendes Interesse des Verstorbenen entgegensteht.

5. Pflichten von Verantwortlichen und Auftragsverarbeitern

Jeder, der personenbezogene Daten verarbeitet, wie zum Beispiel Haveronest, muss bestimmte Pflichten erfüllen. Mit externen Dienstleistern sind Auftragsverarbeitungsverträge gemäß Artikel 28 der GDPR abzuschließen. Es sind technische und organisatorische Maßnahmen umzusetzen, darunter Verschlüsselung, Pseudonymisierung, Firewalls, Zugriffskonzepte und regelmäßige Backups. Ein Verfahrensverzeichnis ist gemäß Artikel 30 der GDPR zu führen; für Unternehmen ab zwanzig Mitarbeitern in Deutschland ist dies in der Regel schriftlich erforderlich. Bei Datenschutzverletzungen besteht eine Meldepflicht: Innerhalb von zweiundsiebzig Stunden nach Bekanntwerden ist die zuständige Aufsichtsbehörde zu benachrichtigen, bei hohem Risiko für die betroffenen Personen auch die betroffene Person selbst. Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, etwa bei groß angelegtem Profiling oder der Verarbeitung sensibler Daten. Ein Datenschutzbeauftragter ist zu bestellen, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn besonders schutzwürdige Daten verarbeitet werden, oder wenn die Verarbeitung einer Kontrolle durch die Aufsichtsbehörde unterliegt. Für Haveronest wird empfohlen, auch wenn nicht gesetzlich zwingend, einen externen Datenschutzbeauftragten zu benennen, um Vertrauen aufzubauen und Bußgelder zu vermeiden.

6. Übermittlung personenbezogener Daten in Drittländer

Eine Übermittlung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums, beispielsweise in die USA, ist nur unter bestimmten Voraussetzungen zulässig. Entweder hat die Europäische Kommission ein angemessenes Schutzniveau für das Drittland festgestellt, etwa für Japan oder die Schweiz. Oder es liegen geeignete Garantien nach Artikel 46 der GDPR vor, insbesondere die Standardvertragsklauseln der EU-Kommission oder verbindliche interne Datenschutzvorschriften für multinationale Konzerne. Zusätzliche Sicherheitsmaßnahmen wie Ende-zu-Ende-Verschlüsselung, Pseudonymisierung und technische Sperren sind erforderlich, wenn das Risiko eines Zugriffs durch ausländische Behörden besteht. Da Haveronest seinen Sitz in den USA hat, übermittelt es Daten in ein Drittland. Daher muss Haveronest Standardvertragsklauseln mit jedem Kunden oder Nutzer vereinbaren und zusätzlich Verschlüsselung einsetzen.

7. Aufsichtsbehörden und Sanktionen

In Deutschland ist jeder Bundesstaat für seinen Bereich zuständig. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist für Bundesbehörden zuständig, während die Landesdatenschutzbeauftragten für private Unternehmen und Landesbehörden zuständig sind. Die Aufsichtsbehörden verfügen über weitreichende Befugnisse, darunter Prüfungen und Audits auch vor Ort, die Anordnung von Unterlassungen oder Löschungen sowie vorläufige oder endgültige Einschränkungen von Verarbeitungen. Bei Verstößen gegen die GDPR sind Bußgelder möglich. Bei niedrigen Verstößen beträgt das Bußgeld bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, wobei der höhere Betrag maßgeblich ist. Bei schwerwiegenden Verstößen, wie der Verletzung von Betroffenenrechten oder unerlaubter Übermittlung, beträgt das Bußgeld bis zu zwanzig Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Zusätzlich können betroffene Personen Schadensersatz nach Artikel 82 der GDPR verlangen, sowohl materiellen als auch immateriellen Schadensersatz.

8. Bedeutung der GDPR für Nutzer, Plattformen und den Markt

Für die Nutzer bringt die GDPR mehr Transparenz, eine stärkere Kontrolle über ihre eigenen Daten und neue Durchsetzungsmöglichkeiten. Für Plattformen wie Haveronest bedeutet sie eine Senkung rechtlicher Risiken, die Vermeidung von Reputationsverlusten und eine klare Compliance gegenüber Suchmaschinen wie Google im Hinblick auf deren Werberichtlinien. Für den digitalen Markt schafft die GDPR eine vertrauenswürdigere Umgebung, faire Wettbewerbsbedingungen und höhere Datensicherheitsstandards. Die GDPR wird durch die geplante ePrivacy-Verordnung ergänzt, die speziell Cookies, elektronische Kommunikation und direkte Werbung regeln wird.

9. Kontakt und Datenschutzorganisation bei Haveronest

Der Verantwortliche im Sinne der GDPR ist Haveronest mit der Adresse 500 CHEW LANDING RD APT 603, LINDENWOLD, NJ 08021-6726 in den USA. Der Kundenservice ist auf Deutsch und Englisch telefonisch unter +1(347) 234-3562 und per E-Mail unter assist@haveronest.com erreichbar. Die Erreichbarkeit zu den Mitteleuropäischen Zeiten ist montags bis freitags von 9:00 bis 12:30 Uhr und von 14:00 bis 18:00 Uhr. Der externe Datenschutzbeauftragte von Haveronest ist unter der E-Mail-Adresse dpo@haveronest.com erreichbar; diese Adresse wird empfohlen und sollte bei Bedarf eingerichtet werden. Jeder Nutzer hat das Recht, sich bei einer Aufsichtsbehörde seiner Wahl zu beschweren, zum Beispiel bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit.

10. Zusammenfassung für die Praxis

Die GDPR ist in der EU und damit auch in Deutschland seit 2018 Pflicht. Haveronest als US-amerikanisches Unternehmen muss bei Angeboten für den deutschen Markt die GDPR einhalten. Zentrale Rechte der Betroffenen sind Auskunft, Löschung, Widerspruch und Datenübertragbarkeit. Zentrale Pflichten des Verantwortlichen sind der Abschluss von Auftragsverarbeitungsverträgen, die Umsetzung technischer und organisatorischer Maßnahmen sowie die Meldung von Verstößen innerhalb von zweiundsiebzig Stunden. Bei der Übermittlung in Drittländer wie die USA sind Standardvertragsklauseln und eine zusätzliche Verschlüsselung erforderlich. Die maximalen Geldbußen betragen zwanzig Millionen Euro oder vier Prozent des globalen Umsatzes. Es wird empfohlen, einen Datenschutzbeauftragten zu benennen und die Kontaktdaten klar zu kommunizieren.