Neues zur DSGVO: Bußgelder in zweistelliger Millionenhöhe drohen – Neue Vorgaben zum Datenschutz beim Asset-Deal

Nach und nach werden die Rahmenbedingungen in Sachen Datenschutz immer konkreter. Die seit Mai 2018 anzuwendende Datenschutzgrundverordnung, kurz: DSGVO, ließ an einigen Stellen noch reichlich Spielraum zu Interpretationen. Diese Spielräume werden nun mit behördlichen Vorgaben ausgefüllt.

Bußgelder in zweistelliger Millionenhöhe drohen

Die zuständigen Behörden haben sich zuletzt verstärkt mit Fragen der Sanktionierung beschäftigt. Im Bereich der Höhe der Bußgelder hat man nun eine gemeinsame Linie gefunden, die den Unternehmen nicht gefallen kann: wie JUVE berichtet, haben die Datenschutzbehörden die Berechnung der Bußgelder bei Verstößen gegen die DSGVO nach einem neuem Modell präzisiert. Die Bemessungsgrundlage für Bußgelder sei bei vielen Datenschutzbehörden bereits seit Juni der weltweite Unternehmensumsatz des Vorjahres multipliziert mit einem Faktor zwischen 1 und 14,4. Auch wiederholte Verstöße sowie die Zusammenarbeit mit der Behörde sollen hierbei Berücksichtigung finden. Die drohenden Sanktionen können also tatsächlich existentiell werden.

Daten und Asset Deal – Wie können Daten verkauft werden?

Darüber hinaus hat sich weitestgehend unbemerkt die unabhängige Datenschutzbehörde des Bundes und der Länder (DSK) im Sommer auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f i. V. m. Abs. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind:
Demnach sind abgestufte Anforderungen anzulegen, je nachdem, ob es sich um laufende Verträge, länger als drei Jahre zurückliegende Verträge, jünger als drei Jahre zurückliegende Verträge oder offene Forderungen und Daten der besonderen Kategorie nach Art. 9 Abs. 1 DSGVO handelt.

Während Daten aus länger als drei Jahren zurückliegenden Verträgen beispielsweise nur zur Aufbewahrung im Rahmen der gesetzlichen Aufbewahrungsfristen genutzt werden dürfen, sind Daten, welche aus Verträgen oder Vertragsanbahnungen der letzten drei Jahre stammen, im Wege einer sog. Widerspruchslösung (opt-out-Modell) mit ausreichend bemessener Widerspruchsfrist zu übermitteln. Die DSK schlägt für das opt-out-Modell als Richtwert 6 Wochen für einen Widerspruch vor und empfiehlt den Widerspruch gegen die Datenübermittlung z.B. im Online-Verfahren durch Klick auf ein Kästchen zu gestalten. Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO können hingegen nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit a), Art. 7 DSGVO übergeleitet werden.

Eine Beratung im Einzelfall ist hier unverzichtbar. Das wird besonders deutlich, wenn man bedenkt, dass zukünftig nach europäischen Vorbild bei Verstößen gegen die DSGVO auch Strafen in zweistelliger Millionenhöhe denkbar sind.