Die EU-Datenschutzgrundverordnung (DSGVO) ist zurzeit ein ganz heißes Thema, da sie seit dem 25. Mai 2018 in allen EU-Mitgliedsstaaten gilt. Ihr Ziel ist es – unter anderem – europaweit ein einheitliches Datenschutzniveau zu schaffen.
Dem ein oder anderen bereitet sie Kopfzerbrechen oder gar schlaflose Nächte. Sie bringt – wie so viele neue gesetzliche Regelungen – einige Rechtsunsicherheiten mit sich. Angst ist jedoch kein guter Ratgeber. Wie immer ist Wissen macht und eine gute Vorbereitung schafft Sicherheit. Bisher hat sich jedoch nicht jeder Unternehmer oder jedes Unternehmen solide auf die DSGVO vorbereitet und entsprechende Maßnahmen ergriffen. Dies sollte – in Anbetracht der fortgeschrittenen Zeit – schleunigst nachgeholt werden. Der nachfolgende Beitrag soll für die neuen Regelungen sensibilisieren. Ein vollständiger Ratgeber zum Thema ist er nicht. Wir geben Ihnen jedoch am Ende einen Überblick, auf welchem Wege Sie weitere Informationen einholen können.
Fangen wir an:
Wen betrifft die DSGVO?
Die DSGVO betrifft grundsätzlich jeden, der automatisiert personenbezogene Daten verarbeitet. Eine Ausnahme gilt für den ausschließlich persönlichen und familiären Bereich.
Was sind „personenbezogene Daten“ und was meint „verarbeiten“? Vereinfacht dargestellt sind personenbezogen Daten alle Daten, die einer Person irgendwie zugeordnet werden können und es ermöglichen, eine Person hierdurch zu identifizieren oder identifizierbar zu machen. Beispiele sind Name, E-Mail-Adresse, Telefonnummer, aber auch IP-Adresse oder Standortdaten über GPS. Für ein verarbeiten reicht aus, wenn beispielsweise eine E-Mail-Adresse gespeichert oder die Telefonnummer eines Kunden durch einen Mitarbeiter erfasst wird.
Beinahe jeder (Klein-) Unternehmer, jedes (mittelständische) Unternehmen oder Verein verarbeitet beispielsweise durch den Einsatz von E-Mail, personenbezogene Daten. Sie alle haben sich daher den Regelungen der DSGVO entsprechend aufzustellen. Das kann einen erheblichen zusätzlichen Aufwand bedeuten und nicht zu unterschätzende Risiken bergen.
Für Privatpersonen
Die DSGVO soll für den Bürger unter anderem zu einer größeren Transparenz hinsichtlich der Verarbeitung bzw. Verwendung seiner Daten führen. Er soll wissen, wer und warum seine Daten verarbeitet. Hierfür stattet ihn die DSGVO mit weitreichenden Rechten aus. Beispielsweise hat eine Privatperson ein Recht auf Information (also „wer erhebt warum“ meine personenbezogenen Daten), Auskunft (Nachfragen bei Unternehmen, welche Daten zu welchem Zweck verarbeitet werden), Datenübertragbarkeit (Anspruch, dass gespeicherte Daten auf einen anderen Anbieter übertragen werden) und ein Recht auf Vergessen (Löschen meiner Daten, wenn eine Speicherung nicht mehr notwendig ist).
Ein Blick über den großen Teich zeigt, wie sinnvoll Regelungen zum Datenschutz für Bürger sind. Der wohl noch präsenteste Beleg hierfür, ist der Datenskandal um Facebook und Cambrige Analytica. Hiervon waren bis zu 87 Millionen Nutzer weltweit betroffen.
Vor diesem Hintergrund ist es nachvollziehbar, den Schutz der personenbezogenen Daten des Einzelnen und seine Rechte gegenüber „Datenkraken“ wie Facebook, Amazon und Google zu stärken. Für den Unternehmer und Unternehmen – gerade für den ohnehin bürokratiegeplagten Mittelstand – bringen die Regelungen der DSGVO unter Umständen erheblichen Mehraufwand mit sich.
Für Unternehmer und Unternehmen
Wie eingangs erwähnt, gibt es der Rahmen dieses Beitrags nicht her, jede Veränderung, die die DSGVO mit sich bringt und ihre Auswirkung für Unternehmer und Unternehmen im Einzelnen darzustellen. Wir haben uns auf einige wichtige Punkte beschränkt.
Wann darf ich personenbezogene Daten verarbeiten?
Grundprinzip ist, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn eine Einwilligung vorliegt oder die Verarbeitung unter anderem
- zur Erfüllung eines Vertrags (Beispiel: Bei einem Heizungsbauer, das Speichern der Adresse des Kunden, um bei ihm vor Ort eine Reparatur der Heizungsanlage durchführen zu können),
- zur Durchführung vorvertraglicher Maßnahmen (Beispiel: Speichern der E-Mail-Adresse des Kunden, um ihm einen gewünschten Kostenvoranschlag zu übersenden) oder
- zur Wahrung berechtigter Interessen (des Unternehmers oder eines Dritten) (Beispiels: das analysieren bereits vorhandener Daten, um Kunden ein spezifisches Produkt anzubieten) erforderlich ist.
Liegt einer der vorstehenden Punkte vor, ist die Datenverarbeitung rechtmäßig. Ihr Zweck (also z.B. die Erfüllung eines Vertrages) muss dokumentiert werden und die Daten sind, nachdem der Zweck erfüllt ist, zu löschen. Das Löschen von nicht mehr erforderlichen Daten ist – wie bereits im Bundesdatenschutzgesetz (BDSG) – ein wichtiger Wesenszug der DSGVO. Zu löschen sind Daten übrigens auch, wenn eine betroffene Person ihre Einwilligung in die Datenverarbeitung widerruft. Das bringt uns zu unserem nächsten Punkt:
Die Einwilligung in die Datenverarbeitung
Für Unternehmen gilt, dass sie personenbezogene Daten verarbeiten dürfen, wenn eine wirksame Einwilligung vorliegt. Dieser Grundsatz hat sich im Vergleich zum BDSG nicht geändert. Die DSGVO erhöht jedoch die Anforderungen an eine informierte, freiwillige Einwilligung. Zudem werden die Anforderungen an einen Widerruf der Einwilligung herabgesetzt und das Kopplungsverbot verschärft.
Was braucht es für eine rechtmäßige Einwilligung:
- Einfache, klare Sprache und Gestaltung (Transparenz)
- Freiwilligkeit: Derjenige, der die Einwilligung abgibt, muss eine echte Wahl haben. Es darf für ihn kein Zwang bestehen, die Einwilligung abzugeben. Eine Einwilligung gilt unter Umständen nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrags von der Einwilligung abhängig gemacht wird, obwohl die Einwilligung für die Erfüllung des Vertrages nicht erforderlich ist (Kopplungsverbot). Beispiel: Ein Online-Händler möchte bei der Registrierung eines neuen Kunden unter anderem dessen Anschrift speichern, um dem Kunden von Zeit zu Zeit Werbung per Briefpost zu schicken. Im Bestellprozess lässt sich der Händler bestätigen, dass der Kunde damit einverstanden ist. Weil der Händler die Einwilligung in die Nutzung der Adresse zu Werbezwecken in den Bestellprozess integriert hat und dies nicht zur Vertragserfüllung notwendig ist, soll diese Einwilligung nicht freiwillig sein. ABER: Wie bei Juristen so häufig, ist diese strenge Auslegung des Kopplungsverbots nicht unumstritten und der Gesetzeswortlaut gibt Interpretationsspielraum. Bis hier erste oberinstanzliche Rechtsprechung vorliegt, besteht Rechtsunsicherheit.
- „Informiert“, „Bestimmt“, „Unmissverständlich“: die betroffene Person muss mindestens wissen, wer die personenbezogenen Daten (die DSGVO nennt ihn den „Verantwortlichen“, also Name des Unternehmens, Adresse) verarbeitet und für welchen Zweck (z.B. Vertragsabwicklung, Auslieferung von Ware) dies geschieht. Unmissverständlich ist eine Einwilligung beispielsweise abgegeben, wenn der Kunde bewusst seine Unterschrift unter eine (natürlich ordnungsgemäße gestaltete) Einwilligungsformular setzt oder online ein Double-Opt-In Verfahren verwendet wird.
- Der Einwilligende muss auf die Möglichkeit, die Einwilligung jederzeit widerrufen zu können, hingewiesen werden. Der Widerruf selbst muss so einfach wie die Einwilligung erfolgen können. Wer die Einwilligung per E-Mail einholt, muss auch den Widerruf per E-Mail ermöglichen.
Bei minderjährigen gelten nochmals besondere Erfordernisse. Eine bestimmte Form muss die Einwilligung nicht haben. Sie ist jedoch zu dokumentieren und zu speichern. Daher bieten sich schriftliche Einwilligungen, bzw. solche in Textform oder mit sicherem elektronischen Verfahren an.
Für viele stellt sich jetzt die drängende Frage, ob bereits vorliegende Einwilligungen („Alt- Einwilligungen) weiterhin fortgelten. Sofern die bisher erteilten Einwilligungen den Anforderungen des BDSG entsprechen und damit rechtmäßig waren, sollen diese grundsätzlich weiterhin gültig sein. Rechtswidrig sind jedoch die „Alt-Einwilligungen“, die gegen das Gebot der Freiwilligkeit verstoßen. Das ist für jede Alt-Einwilligung zu prüfen.
Ist eine Einwilligung unwirksam, kann ihr Vorliegen nicht nachgewiesen werden oder liegt keine andere gesetzliche Erlaubnis vor, ist die Verarbeitung der personenbezogenen Daten unzulässig und kann mit einem Bußgeld belegt werden (zur Höhe dieser Bußgelder später mehr).
Informationspflichten
Die DSGVO listet zahlreiche Informationspflichten auf, die es zu erfüllen gilt. Insbesondere Website-Betreiber können so gut wie sicher sein, dass Sie Ihre Datenschutzerklärung anpassen müssen.
Demjenigen, dessen personenbezogene Daten verarbeitet werden (die DSGVO spricht hier von der „betroffenen Person“) sind in präziser, transparenter, verständlicher und leicht zugänglicher Form u.a. die folgenden Informationen zu erteilen sind:
- Name und Kontaktdaten des Datenverarbeiters,
- Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters,
- Zweck(e) der Verarbeitung,
- die „berechtigten Interessen“ im Sinne der DSGVO, sofern sich hierauf seitens des Datenverarbeiters berufen wird,
- Empfänger der erhobenen Daten (z.B. Auftragsverarbeiter der erhebenden Stelle),
- Etwaige Absicht, die Daten in einen Staat außerhalb der EU zu übermitteln (sofern diese besteht),
- Dauer der Speicherung, bzw. wann die Daten gelöschte werden,
- Belehrung der betroffenen Person über ihre Rechte (Auskunft, Löschung etc.),
- Information über Widerruflichkeit der Einwilligung (sofern Verarbeitung auf dieser basiert)
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
- bestehende gesetzliche Vorschriften zur Bereitstellung der erhobenen Daten,
- Informationen zum Bestehen einer „automatisierten Einzelentscheidung“ im Kontext der jew. Verarbeitung
Nicht in jedem Fall, sind alle Informationen zu geben. Sie müssen aber wissen, wann, welche Informationen bereitgestellt werden müssen.
Dies führt uns zu einem weiteren Punkt:
Datenmanagement
Die DSGVO macht ein durchdachtes Datenmanagement in Zukunft unverzichtbar. Sie bringt schlicht eine Fülle an Informations-, Dokumentations- und Nachweispflichten mit sich, die ohne eine saubere Struktur nicht eingehalten werden können. Sie müssen sich unter anderem Fragen, ob ein Verzeichnis von Verarbeitungstätigkeiten notwendig ist, Verträge mit Auftragsverarbeitern DSGVO konform sind, eine Datenschutz-Folgeabschätzung erforderlich ist und ein funktionierendes System zur Meldung von Verletzungen des Schutzes personenbezogener Daten installiert ist.
Auf den ein oder anderen Unternehmer bzw. Unternehmen kommt also einiges an Arbeit zu. Nicht jede der zuvor aufgezählten Maßnahmen ist zwingend erforderlich. Sie müssen jedoch für Ihren Einzelfall prüfen (oder prüfen lassen) was Sie benötigen, um die Anforderungen der DSGVO zu erfüllen
Denn wenn nicht…
kann es teuer werden
Jede Person, die Aufgrund einer unberechtigten Datenverarbeitung einen Schaden erlitten hat, kann Schadensersatz fordern. Dabei muss der betroffenen Person nicht einmal ein finanzieller Schaden entstanden sein. Auch immaterielle Schäden müssen durch Schmerzensgeld kompensiert werden (Beispiel: Unberechtigte Weitergabe von Gesundheitsdaten einer Versicherung an den Arbeitgeber).
Darüber hinaus können Aufsichtsbehörden Geldbußen verhängen. Im schlimmsten Fall bis zu 20 000 000 EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.
Was ist zu tun
Verschaffen Sie sich einen Überblick über die Datenverarbeitungsvorgänge in Ihrem Unternehmen. Nur wenn Sie wissen, welche personenbezogenen Daten in Ihrem Unternehmen verarbeiten werden, wie und warum dies geschieht, können Sie die Anforderungen der DSGVO erfüllen.
Es ist Zeit, ein auf Ihre bzw. die Bedürfnisse Ihres Unternehmens abgestimmtes Datenmanagementsystem einzuführen. Nur funktionierende Prozesse und eine saubere Dokumentation werden gewährleisten, dass Sie Anfragen und Ansprüchen von Kunden, Kooperationspartnern und Behörden rechtskonform nachkommen können. Passiert dies nicht, kann es – abgesehen von einem erheblichen Reputationsverlust nach außen – auch finanziell äußerst schmerzhaft werden.
Erste konkrete Schritte, die Sie ergreifen können:
Prüfen und ggfs. Überarbeiten
- von Einwilligungserklärung,
- der Datenschutzerklärungen,
- Verträge mit Auftragsverarbeitern und
- wird ein Verzeichnis von Verarbeitungstätigkeiten benötigt?
Es gibt zwischenzeitlich eine Fülle an Stellungnahmen, Kurzhinweisen und Ratgebern von verschiedenen Landesdatenschutzämtern, Verbänden, Industrie- und Handelskammern und eine 259 Seiten starke Broschüre der Bundesbeauftragten für Datenschutz.
Einige hilfreiche Links finden Sie hier:
https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/
https://www.lda.bayern.de/de/datenschutz_eu.html
Selbstverständlich stehen wir Ihnen auch mit unseren Kooperationspartnern mit kompetentem Rat und effizienter Tat zur Seite!
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.