Heimlich, still und leise trat bereits vor knapp zwei Jahren, am 25. Mai 2016 die neue EU-einheitliche in Kraft. Darin festgehalten wurde eine zweijährige Übergangsfrist, damit die Betroffenen ausreichend Zeit für die vollumfängliche Umsetzung haben. Betroffen ist u.a. jedes Unternehmen, jeder Selbstständige, jeder, der eine Webseite zu gewerblichen Zwecken betreibt. Auf diese Gruppen wollen wir in diesem Beitrag eingehen.

 

Zunächst ist es erstaunlich, dass vor allem der Mittelstand und Freelancer erst wenige Monate vor der „Scharfstellung“ begonnen haben, sich mit dieser spezifischen Materie zu befassen. Dies kann auch damit zusammenhängen, dass derartige Themen nicht im Fokus der Medienöffentlichkeit stehen. Zudem benötigten die einschlägigen IT-Unternehmen mit der notwendigen Weiterentwicklung bzw. Ergänzung der Softwarelösungen für ihre Kunden einige Zeit. Nun drängt die Zeit, es ist gewissermaßen 5 vor 12!

Grundsätzlich verfolgt die Europäische Union mit dieser Novelle das Ziel, den Datenschutz innerhalb der Staatengemeinschaft zu vereinheitlichen und dadurch ein gleich hohes Niveau zu etablieren. Bislang hat jeder Mitgliedsstaat seine eigene Datenschutzrichtlinie. Einige Länder handhaben den Datenschutz bislang sehr lax. Man kann generell festhalten, dass sich diese Verordnung am oberen Ende der Skala befindet, was den Schutz der personenbezogenen Daten sowie der Grundrechte und -freiheiten natürlicher Personen in der EU betrifft. Der Einzelne soll dadurch mehr Kontrolle über seine Daten erhalten, für Wirtschaftstreibende gelten zudem stärkere Transparenz- und Informationspflichten zum Schutz der Betroffenen. Beim letzten Punkt ist Compliance ein wichtiger Punkt.

 

Da wir in Deutschland bereits einen sehr streng ausgelegten Datenschutz leben, ändert sich für uns im Vergleich z. B. zu südosteuropäischen Mitgliedsländern relativ wenig, aber der Teufel steckt im Detail!

 

Zunächst müssen wir uns die Grundsätze beim Datenschutz vergegenwärtigen:

 

Datenvermeidung und Datensparsamkeit
Man darf nur so viele Daten verarbeiten und speichern, wie für den Zweck notwendig sind. Wenn Sie als Reifenhändler einem Kunden halbjährlich die Pneus wechseln und seine Reifen einlagern, ist es nicht erforderlich, dass Sie seinen Familienstand oder gar das Hochzeitsdatum wissen und speichern. Für einen Juwelier, der sich auf Hochzeitsringe spezialisiert hat, kann dies aus Marketinggründen (Gratulation zum Hochzeitstag etc.) von Bedeutung sein.

 

Zweckbindung
Unser Reifenhändler aus dem vorherigen Beispiel darf die Daten seines Kunden nur für die Geschäftsbeziehung im Hinblick auf das spezifische Autozubehör verwenden.

 

Verbot des Erlaubnisvorbehalts
Normalerweise ist unsere Rechtsordnung darauf ausgelegt, dass jeder Bürger tun darf, was nicht verboten ist. Beim Datenschutz wird dies umgekehrt: man darf nur tun, was explizit rechtlich erlaubt ist.

 

Transparenz
Betroffene, deren Daten ausgelesen und gespeichert werden, müssen zwingend darüber informiert werden, warum, wo und wann dies passiert, wer speichert und wie lange.

In Zeiten elektronischer Datenbanken, sogenannte ERP-Lösungen arbeiten die meisten Unternehmen, zunehmend aber auch Selbstständige vor allem im Bereich Werbung, Akquisition und Marketing mit hochsensiblen persönlichen Daten von Einzelpersonen. Die technischen Möglichkeiten, welche sich vor allem in den vergangenen beiden Jahrzehnten im Schatten des Siegeszugs der vernetzten Büro-EDV sowie dies Internets sukzessive ergeben haben, rissen anfangs riesige schwarze Löcher in das Netz des Datenschutzes. Kontinuierlich wurden die Lücken auf nationaler Ebene geschlossen. Mal mehr, mal weniger. Die EU hat nun für alle 28 Mitgliedsstaaten eine einheitliche, verbindliche Richtlinie erlassen, die nun ins nationale Recht überführt wurde.

 

Ausgangslage

Datenbanksysteme aller Art, vom klassischen Papierordner über Visitenkartensammlungen bis hin zu diversen EDV-Systemen bestimmen den Arbeitsalltag der meisten Menschen in nichtgewerblichen Berufen. Vergessen wir hierbei auch nicht Personalabteilungen, welche Bewerbungsunterlagen und Mitarbeiterstammdaten verarbeiten und archivieren.

Somit handelt es sich keineswegs nur um ein Thema für die IT-Abteilung, jeweils das ganze Unternehmen ist bis ins Detail betroffen. Die wichtigsten Neuerungen in aller Kürze finden Sie hier in diesem Blog:

 

Online Identifier gelten ab 25. Mai 18 als personenbezogenes Datum

Momentan gelten als sogenanntes personenbezogenes Datum nur jene Informationen, die eine natürliche Person eindeutig identifizieren konnten. So zum Beispiel fallen Vor- und Nachname, Telefonnummer oder die E-Mail-Adresse darunter. Mit der neuen Regelung gelten erweitert sich dies auf Online Identifier. Unter diesem technischen Begriff sind Cookies, User-IDs oder IP-Adressen als klar personenbezogene Daten eingeschlossen und benötigen künftig VOR einer Verarbeitung die Einwilligung des Betroffenen.

Allerdings ist die Sachlage hier nicht ganz so kompliziert, wie es auf den ersten Blick scheint. Bezugnehmend auf den Artikel 6 der EU-DSGVO wird es in vielen Fällen praktisch nicht erforderlich sein, diese Einwilligung einzuholen. Entscheidend ist das berechtigte Interesse des Datenverarbeiters. In diesen Fällen ist eine einwilligungslose Verarbeitung rechtlich möglich. Konkret wird dies der Fall sein, wenn z. B. für die Erfüllung eines Vertragsverhältnisses die Daten zwingend benötigt werden.

 

Strengere Dokumentations- und Informationspflicht

Bisher war im § 11 des Bundesdatenschutzgesetzes (BDSG) geregelt, dass ein Vertrag zur Auftragsdatenverarbeitung erforderlich ist, wenn ein Dienstleister für einen Auftraggeber personenbezogene Daten erhoben, verarbeitet oder genutzt hat. Der § 11 wird nun durch zwei neue Artikel (28,29) der EU-DSGVO ersetzt. Verträge zur Auftragsverarbeitung sind damit an die Vorgaben der neuen Verordnung anzupassen.

Dadurch wird die Protokollierung und Dokumentationspflicht deutlich verschärft. Eine Modernisierung der im Unternehmen eingesetzten Softwarelösungen ist daher in den allermeisten Fällen zwingend notwendig. Zahlreiche Anbieter stellen entsprechende, meist kostenpflichtige Updates zur Verfügung. Die Investition in diese Technologien ist aber Peanuts im Vergleich zu den möglichen Strafen bei Pflichtverletzungen. Es stehen Summen im hohen Millionen Eurobereich im Raum. Übrigens kann es unabhängig von diesen Updates zusätzlich nötig sein, die Arbeitsabläufe und Prozesse dahinter den neuen Gegebenheiten anzupassen. Dazu sollte man sich ausführlich mit dem Datenschutzbeauftragten besprechen und klare Abläufe verbindlich definieren. Wer bisher noch keinen Datenschutzbeauftragten ernannt hat, muss dies ebenso bis zum Stichtag nachholen. Bisher wurde diese verantwortliche Position zwar bei Vorliegen bestimmter Voraussetzungen auch schon gefordert, allerdings nicht sonderlich intensiv kontrolliert. Gerade kleinere und mittelständische Betriebe haben deshalb oftmals bisher auf die Bestellung eines solchen Beauftragten verzichtet.

Der Datenschutzbeauftragte bekommt nun aber mehrere neue Pflichten. Wenn zum Beispiel ein Datenleck auftritt oder eine Datenbank sonst wie „gehackt“ wird, besteht eine strenge Meldeplicht gegenüber der zuständigen Datenschutzaufsichtsbehörde. Es ist ohne schuldhaftes Zögern zu melden. Das heißt für Laien: SOFORT! Und zwar unabhängig davon, wie schwerwiegend die Störung war und ob überhaupt persönliche Daten illegal ausgelesen wurden.

 

Personen haben nun ein verbrieftes Recht auf Vergessen

Ab Ende Mai 2018 ist es Personen nicht nur möglich, die Löschung ihrer gespeicherten Daten vollständig und ohne Angaben von Gründen zu verlangen, zusätzlich wird ein erweitertes Auskunftsrecht eingefordert. Dies bedeutet, dass Personen ein Recht auf Offenlegung aller ihrer gespeicherten Daten samt dazugehörender Vorgänge verlangen können. Lediglich dort, wo das Persönlichkeitsrecht anderer Personen tangiert wird, können bzw. müssen Schwärzungen vor Offenlegung gemacht werden. Wer sich der Löschung verweigert, muss dazu rechtliche Gründe stringent vorlegen. Die Beweislast liegt hier ausschließlich bei jenem, der die Daten gespeichert hat. Dies hat auch Auswirkungen auf die Arbeit der zuständigen Behörden. Durch die Beweislastumkehr müssen diese einen Datenmissbrauch nicht mehr beweisen. Auch deshalb ist es so notwendig, ein schriftliches Datenschutzmanagement zu etablieren. Bei Verstoß gegen diese Darlegungspflicht greifen die bereits erwähnten Strafen, welche bis zu 4 % des letztjährigen, weltweiten Jahresumsatzes oder 20 Millionen Euro betragen können.

 

Werden Newsletter oder sonstige Kundeninformationen per E-Mail versendet?

Begriffe wie Double-Opt-In und Opt-Out sind in Deutschland keine Neuheit mehr. Es ist bereits gemäß nationalem Telemediengesetz (TMG, § 15 Abs. 3) Pflicht, dem Empfängerkreis solcher Nachrichten das jederzeitige Recht des Widerrufs einzuräumen. Und zwar grundlos. Die neue Verordnung geht aber über das bisherige Procedere hinaus. Schon beim Eintrag in solch einen Verteiler müssen Personen den Wunsch nach Erhalt zum einen mittels einer zweiten Zustimmung (Double-Opt-In) bestätigen, zum anderen muss ebendort bereits auf die Möglichkeit eines unbegründeten Widerspruchs (Opt-Out) hingewiesen werden. Dieser Prozess sollte sich auch in der Datenschutzerklärung finden lassen. Wer dies nicht anwendet, kann als sogenannter Spammer unter die bereits genannten harten finanziellen Sanktionen fallen. Es wird damit gerechnet, dass die E-Mail-Flut in dieser Hinsicht EU-weit deutlich abnehmen wird. Zumindest war die Aussendungen seriöser Unternehmen betrifft. Schwierig wird es, wenn man von einem Geschäftspartner eine Visitenkarte erhält. Auch bei mündlicher Einwilligung sollte man unbedingt dieser Person den Link auf das Double-Opt-In per E-Mail senden und um Bestätigung bitten. Diese Form des Erstkontakts ist immer legal und so ist gewährleistet, dass man im Zweifel die Zustimmung beweisen kann.

 

Wie müssen Daten zur Verfügung gestellt werden?

Personen können, wie schon geschildert, von Unternehmen künftig die Übertragung ihrer Daten fordern. Selbstverständlich betrifft dies nur solche Daten, die die Person selbst vorher dem Unternehmen zur Verfügung gestellt hat. Die Datenausgabe muss in einem maschinenlesbaren, gängigen Format bereitgestellt werden. Konkrete Handlungsanweisungen oder Mindeststandards dabei sind bisher noch nicht bekannt. Vermutlich werden sich aber praktikable Lösungen vor allem im Umfeld der Softwareentwicklung herauskristallisieren.

 

Wie können Unternehmen mit Sitz außerhalb der EU verfahren?

Bislang konnten sich z.B. amerikanische Unternehmen darauf stützen, dass sie auch im Europageschäft die Richtlinien der USA (wahlweise anderer Nicht-EU-Staat) anwenden. Das geht nun nicht mehr. Jeder, der innerhalb des EU-Binnenmarkts kommerziell agiert, hat sich an die EU-DSGVO uneingeschränkt und verbindlich zu halten, das heißt strikt danach zu handeln. Man spricht hier vom Marktortprinzip.

 

Gibt es eine Altersgrenze zur wirksamen Zustimmung auf Datenverarbeitung?

Ja, und dies ist eigentlich auch nicht neu. Allerdings wurde die Altersgrenze zum Schutz der Kinder und Jugendlichen von 13 auf 16 Jahre angehoben. Wer also sein 16. Lebensjahr noch nicht vollendet hat, kann keine wirksame Einwilligung geben. Dieser Umstand wird vor allem in der Internetumgebung spannend. Viele Angebote richten sich doch gerade an sehr junge Menschen. Denken wir an Spielzeug oder Onlineangebote speziell für Kids. Selbiges Problem ergibt sich übrigens für soziale Medien wie etwa Facebook. Auf Grund des Marktortprinzips, wie beschrieben, gilt die Verordnung eben auch für die Netzgiganten aus den USA.

 

Alles negativ oder bestehen auch Chancen? Wie hoch ist der Beratungsbedarf?

Grundsätzlich sind Unternehmen, die es bisher schon mit dem Datenschutz sehr genau genommen haben, weitgehend auf der sicheren Seite. Dies gilt auch für den Internethandel und soziale Onlinenetzwerke wie XING oder LinkedIn. Auch geben die meisten IT-Lösungen den rechtlich einwandfreien Weg vor, hier muss unter Umständen noch die betroffene Belegschaft geschult werden. Die Chance besteht darin, dass es nun endlich im gesamten EU-Binnenmarkt mit seinen knapp 500 Millionen Menschen eine einheitliche Regelung gibt. Was man konkret noch nachholen und umsetzen muss, ist eine Detailfrage. Juristische Spezialisten und andere Datenschutzexperten unterstützen Wirtschaftstreibende dabei, dass nicht aus Versehen eine Lücke bleibt – mit den damit verbundenen erheblichen finanziellen Risiken!

 

Wir kooperieren mit der renommierten Rechtsanwältin Frau Astrid Meyer-Krumenacker, die auch auf Grund einschlägiger Erfahrungen als juristische Führungskraft in weltweit agierenden Industrieunternehmen nicht nur die Theorie beherrscht, sondern praxisbezogen durch den Paragraphendschungel führen kann.