Vor allem im Online-Handel und im Online-Marketing basiert der Geschäftserfolg zunehmend auf der intelligenten Analyse von Kundendaten. Künftig wird es teurer, wenn dabei der Datenschutz verletzt wird. Das und einige weitere Neuerungen sieht die neue EU-Datenschutzgrundverordnung vor, die am 25. Mai 2018 in Deutschland geltendes Recht wird.

 

Personenbezogene Daten

Jede natürliche Person, ob Kunde oder Beschäftigter, hat ein Grundrecht auf den Schutz der eigenen personenbezogenen Daten. Nach der EU-Datenschutzgrundverordnung (Verordnung (EU) 2016/679, kurz: DGSVO) zählen dazu alle Informationen, die die betroffene Person als natürliche Person identifizieren oder identifizierbar machen. Das sind Name, Kennnummer, Standortdaten, Online-Kennung sowie biometrische, analytische oder sonstige Daten, etwa Aufzeichnungen von Überwachungskameras.

Was umfasst die Schutzpflicht?

Um ein einheitliches und verbessertes Schutzniveau in der EU zu erreichen, verpflichtet die DSGVO die Unternehmen dazu, bei der Erhebung von Kunden- und Beschäftigtendaten folgende Grundsätze zu beachten – und deren Einhaltung nachweisen zu können (Art. 5):

 

  • Es dürfen nur so viel (so wenig) Daten erhoben und verarbeitet werden, wie dies für den Zweck rechtmäßig und erforderlich ist. Nach Erfüllung des Zwecks sind sie zu löschen.
  • Die Verarbeitung muss nach Treu und Glauben und für die betroffene Person transparent und gegebenenfalls mit (eindeutiger) Einwilligung erfolgen. Unrichtige Daten sind unverzüglich zu korrigieren bzw. zu löschen.
  • Das Unternehmen muss dafür Sorge tragen, dass bei der Übermittlung, Speicherung oder sonstigen Verarbeitung dieser Informationen keine Verletzung der Sicherheit stattfindet, „die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“ (Art. 4 Nr. 12 DSGVO).

 

Die wichtigsten Neuerungen

  • Marktortprinzip: Auch Unternehmen, die außerhalb der EU, zum Beispiel in den USA, ansässig sind, müssen sich an die Bestimmungen der DSGVO halten, wenn sie personenbezogene Daten von Kunden verarbeiten, die sich in der EU aufhalten.
  • Informations- und Löschungsrechte: Unternehmen müssen Kunden künftig umfangreicher, transparenter und leichter verständlich als bisher zur Dauer der Datenspeicherung, zur Rechtsgrundlage und zur geplanten Weitergabe an Dritte informieren. Der Kunde hat ein Auskunftsrecht bei Hackerangriffen und in bestimmten Fällen auch Anspruch auf Löschung seiner Daten.
  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Anwendungen, Dienste und Produkte, z.B. im Online-Shop, müssen von Anfang an datenschutzfreundlich konzipiert und konstruiert werden. Die Standardeinstellungen von Geräten und Funktionen dürfen nur die allernotwendigsten Daten abfragen und speichern.
  • Datenschutzfolgeabschätzung: Unternehmen müssen künftig eine Datenschutz-Folgenabschätzung vornehmen, wenn ein erhöhtes Risiko für Datenschutzverletzungen besteht.

 

Erweiterung von Strafrahmen und Haftung

Bei Verstößen können Unternehmen bis zu 20 Mio. EUR oder 4 % des weltweiten Umsatzes des Vorjahres als Bußgeld auferlegt bekommen (vorher 300.000 EUR gemäß §§ 43, 44 Bundesdatenschutzgesetz). Darüber hinaus sind sie für materielle und immaterielle Schäden aus einer Datenschutzverletzung haftbar.

 

Beschäftigtendatenschutz

Der spezielle Beschäftigten-/Arbeitnehmerdatenschutz bezieht sich in der Praxis auf so heikle Fälle wie die Zulässigkeit von Überwachung, die Nutzung biometrischer Daten für Zugangssysteme oder die Datenweitergabe in der Unternehmensgruppe. Die Mitgliedstaaten dürfen hier die allgemeinen EU-Schutzvorschriften selbst ausgestalten oder die Spezifizierung auf die Tarif- und/oder Betriebsparteien übertragen (Art. 88 DSGVO).

Die Bundesregierung hat von der ihr insoweit eingeräumten Kompetenz Gebrauch gemacht und mit § 26 BDSG (neu) eine Regelung zum Arbeitnehmerdatenschutz in das überarbeitete Bundesdatenschutzgesetz aufgenommen.Der neue § 26 fasst zahlreiche Vorschriften zusammen, die in dem bislang geltenden Bundesdatenschutzgesetz u.a. in den § 3 Abs. 10 oder § 32 BDSG geregelt waren. Einwilligungen im Rahmen von Beschäftigungsverhältnissen müssen danach zum Beispiel  -  anders als die allgemeinere Regelung in Art. 7 Abs. 1 DSGVO  - schriftlich erfolgen. In diesem Zusammenhang ist darauf zu achten, dass die Einwilligung tatsächlich freiwillig erteilt wird. In § 26 Abs. 3 wird der Rahmen für die Zulässigkeit der Verarbeitung besonderer Arten von personenbezogener Daten benannt.

Datenschutzmanagement überprüfen

Die anstehende Übergangszeit bis zum 25. Mai 2018 sollte genutzt werden, um das betriebliche Datenschutzmanagement-System zu überprüfen und ggf. eine Anpassung vorzubereiten. Analysieren Sie den IST-Zustand Ihrer technischen und organisatorischen Vorkehrungen und den SOLL-Bedarf mit einem Datenschutzexperten.

 

The Real Estate Transfer Tax is by far the most important tax owed not to the federal government, but to the German federal states. Their increased need to fund multiple projects – from infrastructure to refugees and displaced people - has led to a significant increase of the Real Estate Transfer Tax as one of the principal sources of income for the “Länder”. In North Rhine Westphalia, the most populous “Land” with almost 20 Million inhabitants, the corresponding tax rate has been risen form 3,5% to 6,5% during the last years, an extremely considerable rise.

So far institutional investors have known how to avoid that development for their commercial transactions with an easy trick. Instead of purchasing the piece of real estate with an Asset Deal, they regularly turn to a Share Deal, buying not the piece of real estate and building itself, but the shares of the corporation that owes it. Such a transaction is exempt of Real Estate Transfer as of today, as long as not only one buyer is involved, which would be considered an act of tax avoidance. However, as long as at least a second buyer is taking part in the transaction, purchasing a minimum of 5% of the shares, being the further 95% purchased by the main buyer, no Real Estate Transfer Tax will accrue.

This practice has been considered a vexation by the individual house buyers, who are fully suffering the substantial rise of tax rates. Politicians now have decided to pick up this subject. The Finance Ministers of the “Länder” have recently jointly agreed to present a plan before the end of the year about how to close that loophole in the near future. Thus institutional investors should make sure to hurry up if they indend to still take advantage of the current and extremely beneficial legal situation.