Law Lounge

Foto: vege / Fotolia.com
Foto: vege / Fotolia.com

Sie haben eine Firma, Hotel, Restaurant oder sind auf andere Art und Weise in Thailand geschäftlich aktiv und werben mit Ihren Waren und Dienstleistungen auch in Europa? Dann wird es Zeit sich mit der ab dem 25. Mai 2018 in Kraft tretenden „Datenschutzgrundverordnung der Europäischen Union“ zu beschäftigen.

Die Datenschutzgrundverordnung dient vor allem einem Ziel: Sie soll den Umgang mit Daten europaweit einheitlich regeln. Für Unternehmen ergeben sich daraus also zwei Fragen: Welche Neuregelungen gibt es? Und was müssen Unternehmen und Webseitenbetreiber beachten? Denn sobald die Verordnung am 25. Mai in Kraft tritt, ändert sich auch einiges für den Onlinehandel und den Arbeitnehmerdatenschutz in Unternehmen. Aus den bestehenden Datenschutzgesetzen der Länder der EU wurden nachfolgende Punkte übernommen:

1. Das maßgebliche Ziel der in der zum Datenschutz errichteten Grundverordnung der EU bleibt: Es sollen die Grundrechte und Grundfreiheiten jeder natürlichen Person geschützt werden – allen voran das Recht auf informationelle Selbstbestimmung.

2. Als Grundsatz bleibt zudem bestehen, dass personenbezogene Daten ohne Bezug zur Geschäftsausübung nicht erhoben oder verarbeitet werden dürfen, sofern keine andere Rechtsvorschrift Abweichendes bestimmt. Ausnahmen müssen streng reguliert sein.

3. Die Verarbeitung besonders sensibler personenbezogener Daten unterliegt auch nach der EU-Datenschutzgrundverordnung weiterhin strengen Vo­raussetzungen und bedarf zum Beispiel der vorherigen Einwilligung des Betroffenen.

4. Weiterhin muss in Unternehmen ab 250 Mitarbeitern, laut EU-Datenschutzverordnung, ein betrieblicher Datenschutzbeauftragter installiert sein. Unternehmen unter 250 Mitarbeitern brauchen eine Person im Betrieb, welche die interne Datenverwaltung sowie die EU-Richtlinien kennt und sicherstellt, dass diese eingehalten werden.

5. Die Weiterverarbeitung von Daten ist von der jeweiligen Zweckbestimmung abhängig. Erhobene personenbezogene Daten dürfen mithin nicht zweckentfremdet werden. Die jeweiligen Vorgänge müssen entsprechend transparent sein.

Das hat sich im Wesentlichen geändert

EU-weiter Datenschutz: Die Grundverordnung ist mit Inkrafttreten zum 25. Mai 2018 für alle Mitgliedstaaten verbindlich.

1. Der Anwendungsbereich hat sich erweitert: Mithin unterliegen auch Unternehmen und Anfragende aus Drittländern denselben Vorgaben wie die Mitgliedstaaten, sobald die Vorgänge EU-Bürger betreffen bzw. deren personenbezogene Daten.

2. Die Einwilligungshandlung muss strengeren Vorgaben genügen (z. B. durch Kontrollkästchen auf Webseiten, Auswahl spezifischer Einstellungen usf.). Das stillschweigende Einverständnis genügt nicht mehr. Sind unterschiedliche Datenverarbeitungsvorgänge geplant, muss in jedem einzelnen gesondert eingewilligt werden können.

3. Die erteilte Einwilligung muss der Betroffene jederzeit und unbegründet widerrufen können. Der Widerruf muss einfach und verständlich möglich sein.

4. Es muss dem Betroffenen möglich sein, aktiv gegen einzelne Zwecke der Datenverarbeitung – etwa dem Profiling oder Direktmarketing – zu widersprechen.

5. Das bereits bestehende Koppelungsverbot wurde in der EU-Datenschutzgrundverordnung noch einmal verschärft: Ein Vertrag darf etwa nicht mehr davon abhängig gemacht werden, dass der Betroffene eine Einwilligung in die Datenverarbeitung erteilt.

6. Die Auskunftsrechte der Betroffenen wurden inhaltlich erweitert: Nunmehr sollen auch Angaben zu der jeweiligen Rechtsgrundlage der erhobenen und verarbeiteten Daten oder die Dauer der Speicherung bzw. der Kriterien genannt werden.

7. Mit der neuen EU-Verordnung zum Datenschutz müssen Unternehmen ferner in der Lage sein, die von dem Betroffenen überlassenen Daten in einem portablen und dennoch sicheren Format an diesen oder – auf dessen Wunsch – direkt an einen Dritten auszuhändigen.

8. Die Pflicht zur Löschung veralteter oder falscher Daten wurde erweitert, sodass nunmehr die öffentlichen und nicht öffentlichen Stellen, die solche an Dritte weitergegeben haben, die jeweiligen Ansprechpartner kontaktieren und über die Unrichtigkeit in Kenntnis setzen müssen.

9. Daten-Verarbeiter können bei Fehlern und Pannen vom Betroffenen mitunter auch direkt zur Verantwortung gezogen werden (Schadensersatzansprüche u. ä.).

10. Es bedarf einer regelmäßigen Risikobewertung (Datenschutzfolgenabschätzung).

11. Die Meldepflicht im Falle einer Datenpanne wurde beschränkt auf einen Zeitraum von 72 Stunden, sobald die Rechte und Pflichten des Betroffenen durch die Panne einem Risiko ausgesetzt sind.

12. Die Geldbußen im Falle eines Verstoßes gegen die in der EU-Datenschutzgrundverordnung festgehaltenen Grundsätze wurden noch weiter erhöht: auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes des Unternehmens (der höhere Wert entscheidet am Ende).

Für alle eingangs erwähnten Unternehmen ist es wichtig, abzuklären wie diese Datenschutzverordnung intern umzusetzen ist. Kritiker sehen schon eine Abmahnungswelle auf Unternehme weltweit zukommen. Dies mag auch in Thailand der Fall sein. Im Moment mag noch hilfreich sein, dass man einen Verstoß gegen die EU-Datenschutzverordnung in Thailand geltend machen müsste, da ein Urteil aus einem europäischen Land in Thailand nicht vollstreckbar ist. Unternehmen oder kleinere Betriebe, welche nur über Facebook mit möglichen europäischen Kunden in Kontakt treten, mögen sich auf die Ankündigung von Facebook verlassen, das mitgeteilt hat, ca. 1,5 Mrd. Webseiten intern so umzustrukturieren, dass keine Schadenersatzansprüche aus der EU geltend gemacht werden können. Ein Webseitenbetreiber mag die Möglichkeit diskutieren, den Zugang seiner Webseite räumlich zu beschränken. Dies kann aber auf Kosten des Geschäfts gehen. Auf jeden Fall sollte man jedoch seine Kundendatenbanken einmal durchgehen und diese auf die Vorgaben der Datenschutzverordnung hin überprüfen. Im Zweifel löschen oder mit den Kunden in Kontakt treten. Dies kann auch gutes Marketing sein, da man seinen Kunden zeigt, dass man ein seriöses Unternehmen ist und den Kunden zeigt, dass die Daten desselben sehr wichtig – und deshalb auch gut geschützt sind. Ähnliche Anstrengungen unternimmt auch gerade der thailändische Gesetzgeber, da in jüngster Vergangenheit einige Fälle von erheblichem Datenmissbrauch bekannt wurden.


Über den Autor dieser Kolumne

Der deutsche Rechtsanwalt Markus Klemm, zugelassen am Landgericht Stuttgart, schreibt die FARANG-Rechtsberatungs-Kolumne. Zusammen  mit Amnat Thiengtham ist er gleichberechtigter Geschäftsführer der Kanzlei Asia LawWorks an der Thepprasit Road in Pattaya, welche  auf der Anwaltsliste der deutschen Botschaft aufgeführt ist. Immer wieder geraten Residenten in Streitangelegenheiten mit rechtlichen Folgen. DER FARANG möchte mit dieser Kolumne aufklären, um das Leben in Thailand leichter zu gestalten. Die Law Lounge-Kolumne ersetzt jedoch keine persönliche Beratung. Ebenfalls erfolgt keine Rechtsberatung per Telefon! 

Rechtsanwalt Klemm kann per E-Mail: talk2us@asialawworks.com oder telefonisch unter +66 38 411 591 kontaktiert werden. 

Überzeugen Sie sich von unserem Online-Abo:
Die Druckausgabe als vollfarbiges PDF-Magazin weltweit herunterladen, alle Artikel vollständig lesen, im Archiv stöbern und tagesaktuelle Nachrichten per E-Mail erhalten.