Gerade große Unternehmen, die viele personenbezogene Daten sammeln, sind aufgrund der DSGVO in der Pflicht. Eine wesentliche Rolle spielt dabei die Einwilligungserklärung. Denn die Datenerhebung, Datenverarbeitung und Datennutzung ist künftig nur noch dann erlaubt, wenn es hierfür entweder eine gesetzliche Grundlage gibt oder eben, wenn die betroffene Person eine Einwilligung erteilt hat. Eine solche Einwilligung ist aber nur dann wirksam, wenn zuvor in ausreichendem Maße darüber informiert wurde, in was genau man denn überhaupt einwilligt. So muss beispielsweise der Verarbeitungszweck genannt und über eine mögliche Weitergabe der Daten an Dritte aufgeklärt werden.

Noch komplizierter wird es, wenn es um die Einwilligungserklärungen von Kindern geht. So sieht die DSGVO vor, dass Kinder künftig nur wirksam einwilligen können, wenn sie mindestens 16 Jahre alt sind. Diese neue Anforderung lösen große Unternehmen bislang auf unterschiedliche Weise. So fordert Facebook derzeit unter 16-jährige Kinder, die über ein Profil verfügen, auf, einen Elternteil zu verlinken. Dieser soll dann die Einwilligung erklären. WhatsApp lässt sich dagegen von dem Nutzer bestätigen, dass er mindestens 16 Jahre alt ist. Überprüft wird diese Angabe derzeit aber offenbar nicht. Die EU-Verordnung gibt den Mitgliedstaaten die Möglichkeit, eine niedrigere Altersgrenze festzulegen. Deutschland hat von dieser Möglichkeit bislang keinen Gebrauch gemacht.

Aber nicht nur große Unternehmen müssen sich an die DSGVO halten. Letztlich muss jeder die Vorschriften der DSGVO berücksichtigen, also auch kleine Unternehmen und beispielsweise gemeinnützige Vereine. Nicht betroffen sind Privatpersonen, die Daten ausschließlich für persönliche oder familiäre Tätigkeiten verarbeiten. Gerade für kleine Unternehmen ist es jedoch nicht einfach, zu durchschauen, welche Verpflichtungen die DSGVO ihnen eigentlich auferlegt und wie sie diese meistern können. So müssen unter bestimmten Umständen Datenschutzfolgeabschätzungen vorgenommen werden, ein Verzeichnis der Verarbeitungstätigkeiten muss angelegt werden und Auftragsverarbeitungsverträge mit Dienstleistern müssen geschlossen werden. Zudem muss die Homepage mit einer Datenschutzerklärung versehen werden und es müssen – bei Bedarf – wirksame Einwilligungserklärungen bei den Kunden eingeholt werden. Unter bestimmten Voraussetzungen müssen Unternehmen einen Datenschutzbeauftragten benennen. Dies kann ein eigener Mitarbeiter oder ein externer Datenschutzbeauftragter sein.

Es gab auch bisher bereits Datenschutzvorschriften, die zu beachten waren. Das neue Datenschutzrecht ist jedoch deutlich schärfer als das bisherige. So sieht die DSGVO erhebliche Bußgelder bei Verstößen gegen die Datenschutzvorschriften vor. Die betroffenen Personen, deren personenbezogene Daten nicht ordnungsgemäß behandelt wurden, können Schadensersatzansprüche gegen die Unternehmensleitung geltend machen. Zudem besteht für Unternehmen das Risiko, von Konkurrenten wettbewerbsrechtlich abgemahnt zu werden, wenn sie die Regeln der DSGVO nicht ordnungsgemäß umsetzen.

Zwar sollte man in Anbetracht der neuen DSGVO nicht in Panik verfallen – sie zu ignorieren ist aber auch keine Lösung. Wer als Unternehmensinhaber seine Verpflichtungen noch nicht abschließend umgesetzt hat oder gar bislang noch keine Vorkehrungen getroffen hat, sollte sich dringend mit der Thematik beschäftigen und gegebenenfalls anwaltliche Beratung in Anspruch nehmen.