Hinweis und Haftungsausschluss: Dieser Blogpost bietet eine erste Orientierung zum komplexen Thema der DSGVO. Er ist nach bestem Wissen und Gewissen recherchiert. Wir wollen und können mit unserem Artikel keinerlei Rechtsberatung leisten. Dieser Artikel ersetzt auch keine individuelle Rechtsberatung. Für konkrete Maßnahmen, die im Zuge der DSGVO zu Ihren individuellen Aufgabenstellungen passen, konsultieren Sie bitte einem Fachanwalt (drei uns bekannte Kanzleien finden Sie am Ende des Artikels) oder den für Ihr Unternehmen zuständigen Datenschutzbeauftragten. Wir bieten in diesem Artikel einen auszugsweisen Überblick ohne Anspruch auf Vollständigkeit.
Die Zeit läuft: In gut fünf Monaten, am 25. Mai 2018, wird die Übergangsfrist enden und die europäische Datenschutzverordnung (EU-DSGVO) deutsches Recht werden. Die EU-DSGVO bringt insbesondere für Webseiten-Betreiber, also praktisch alle Unternehmen, einige Änderungen mit sich. Wie geben einen knappen Überblick darüber, was Unternehmen und auch Einzelunternehmer beachten sollten.
Wobei wichtig ist zu betonen, dass nicht alle Unternehmen über einen Kamm geschoren werden. Das Gesetz trifft in Art. 13 durchaus eine Unterscheidung zwischen größeren und kleineren Unternehmen: „Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.“
Die gute Nachricht zur europäischen Datenschutzverordnung EU-DSGVO
Die wesentlichen Bestandteile und Grundkonzepte bleiben auch in der neuen DSGVO gleich: Rechtmäßigkeit, Zweckbindung, Datensparsamkeit, Richtigkeit, zeitliche Beschränkung, Integrität und Vertraulichkeit bleiben die Grundprinzipien. Weiterhin gilt auch eine Rechenschaftspflicht der Verantwortlichen, die Auflagen der DSGVO umzusetzen.
Was ebenfalls bleibt, ist das Verbot mit Erlaubnisvorbehalt. Das heißt, Daten zu erheben und zu verarbeiten ist grundsätzlich verboten, es sei denn ein Gesetz oder eine Verordnung erlaubt die Datenverarbeitung ausdrücklich. Nach Artikel 6 der DSGVO gibt es drei Voraussetzungen, um Daten verarbeiten zu dürfen: erstens die Einwilligung des Betroffenen – ein Newsletter darf also nur verschickt werden, wenn der Empfänger der Verarbeitung seiner Daten zugestimmt hat. Zweitens ist die Datenerhebung und -verarbeitung erlaubt, wenn sie zur Durchführung eines Vertrages notwendig sind. Und drittens sind Datenerhebnung und –verarbeitung erlaubt, wenn eine rechtliche Verpflichtung dazu besteht oder wenn es gilt, berechtigte Interessen eines Dritten zu wahren.
Umgekehrt gibt es aber auch Fälle, in denen Daten nicht verarbeitet werden dürfen. Zu diesen Fällen gehören Daten, die über rassische und ethnische Herkunft, politische Ansichten, religiöse oder weltanschauliche Sichtweisen oder die Gewerkschaftszugehörigkeit informieren. Auch genetische Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person unterliegen diesem Verbot. Einen Kundendatensatz eines Online-Händlers darf meinem Verständnis nach also keine Informationen darüber enthalten, welche Kunden hetero- und welche homosexuell sind oder sein könnten, auch wenn der Online-Händler seine Mailings vielleicht genau dazwischen differenzieren möchte.
Darüber hinaus hat der Gesetzgeber aber auch neue Prinzipien sowohl für Konzerne als auch für Unternehmen und Einzelunternehmer eingeführt, die es zu beachten gilt und die wir im Folgenden in Auszügen beleuchten. Sie nicht zu beachten, kann zu empfindlichen Strafen von bis zu 4 Prozent des Jahresumsatzes führen. Compliant zu sein, spart also Ärger … und Kosten. Die Umsetzungsphase läuft bereits und auch die verspätete Einführung kann Bußgelder nach sich ziehen. Es ist also unabdingbar, jetzt zu handeln.
Die Neuerungen in der DSGVO
Grundsätzlich werden die Rechte derjenigen gestärkt, deren Daten verarbeitet werden. Neu in der DSGVO ist etwa das „Recht auf Vergessenwerden“, welches es bisher nur aufgrund von Gerichtsurteilen gibt. Im Mai 2018 wird es Gesetz.
Geräte und Anwendungen – das ist eine weitere Neuerung – sind datenschutzfreundlich voreinzustellen. Es darf also beispielsweise kein Häkchen zur Erlaubnis der Datenverarbeitung in einem Kontaktformular vorausgefüllt sein. Der Nutzer muss dies selbst anklicken, wenn er einwilligen möchte.
Weiterhin gilt die Verordnung auch für Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sich ihre Angebote an EU-Bürger richten. Das betrifft also Google, Facebook und etliche andere global agierende Unternehmen im Markt. Google hat in einem Blogpost vom August 2017 versichert, die neue DSGVO zu beachten und umzusetzen und auch seine Kunden und Partner dazu in die Lage zu versetzen. Auch Facebook bereitet sich auf die neue DSGVO vor, denn ein Facebook-Sprecher teilte auf unsere Anfrage schriftlich mit, dass das Unternehmen die Vereinheitlichung des europäischen Datenschutzes begrüße und mit den betreffenden Behörden zusammenarbeite, um sicherzustellen, dass alle einschlägigen Vorschriften eingehalten werden.
Download-Tipp: Anfang November hat die Landesbeauftragte für den Datenschutz Niedersachsen speziell für kleine und mittelständische Unternehmen einen Fragenkatalog zur DSGVO herausgebracht, der die Vorbereitung zur Umsetzung der DSGVO erleichtern soll. Das Papier ist listet Fragen aus 10 Themenschwerpunkten auf, die sich Verantwortliche im Zusammenhang mit der Umsetzung der DSGVO stellen sollten.
Unternehmen und Konzerne – ob global oder lokal – müssen neuerdings Betroffenen weitergehende Auskünfte darüber erteilen, welche Daten über sie gespeichert sind. Auch das ist eine neue Forderung der europäischen Datenschutzrichtlinie. Neu ist, dass Unternehmen den Betroffenen auch eine Kopie der Daten zu übergeben haben, die über sie gespeichert sind – hier geht die europäische Datenschutzgrundverordnung über derzeit gültiges deutsches Recht hinaus. All dies nimmt selbstverständlich die Unternehmen gegenüber den Betroffenen stärker in die Pflicht.
Ein Beispiel hierfür sind Newsletter: Bei der Abfrage der Nutzerdaten haben Unternehmen die Betroffenen umfangreich zu informieren. Nämlich über
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Nacht Art. 12 sollte das schriftlich, kann aber unter Umständen auch mündlich geschehen. Die Informationen sollen in präziser, klarer, verständlicher Sprache gegeben werden. Es gibt verschiedene Wege, wie die Unternehmen die Betroffenen zu informieren haben; der Gesetzgeber beachtet hier auch den Aufwand. Eine weitere Auskunft müssen Unternehmen nach Art. 19 der neuen DSGVO den Betroffenen erteilen, wenn Daten über sie gelöscht oder geändert werden. Wenn Adressen etwa aus einem Newsletter-Verteiler entfernt werden, ist das also den Empfängern mitzuteilen, sofern das mit vertretbarem Aufwand machbar ist. Mehr zu diesem Thema finden Sie in dem Artikel Die EU-Datenschutzgrundverordnung – was ändert sich 2018? von Rechtsanwalt Christian Solmecke.
„Datenportabilität“ als neue Forderung der DSGVO an Unternehmen und Website-Betreiber
Neu und für Unternehmen wichtig ist das Recht auf Datenportabilität, das in der europäischen Datenschutzrichtlinie niedergelegt ist. Dies bedeutet für Unternehmen, dass sie die Daten ihrer Kunden so vorhalten müssen, dass diese den Anbieter wechseln können, ohne Daten zu verlieren. Für Anbieter bedeutet das weiterhin, dass sie die Daten so vorhalten müssen, dass sie mühelos in das System eines Mitbewerbers zu transferieren sind.
Die DSGVO greift nicht für Daten, die vor dem 25.5.1018 erhoben wurden
Die Daten sollen aber nicht ewig vorgehalten werden – sie sollen auch ins Nirvana transferiert werden können; das ist das oben bereits erwähnte „Recht auf Vergessenwerden“, das mit der neuen DSGVO nun eingeführt wird. Wie das Löschen zu erfolgen hat, ist genau geregelt, nämlich laut Art. 17 (2) so, dass auch öffentliche Kopien gelöscht werden:
„Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.“
Zudem gibt es auch ein Recht auf Korrektur unvollständiger oder fehlerhafter personenbezogener Daten.
Die neue DSGVO enthält viele weitere Regelungen und eine komplette Aufzählung würde den Umfang dieses Blogposts bei weitem sprengen. Wichtig ist uns vor allem, dass betroffene Unternehmen zügig aktiv werden! Etwa um Workflows so schnell wie möglich auf die neue DSGVO umzustellen und bei Bedarf die technischen Voraussetzungen zu schaffen. Zum anderen könnte man die Zeit bis zum 25. Mai 2018 natürlich ebenfalls noch dafür nutzen, um Nutzerdaten zu sammeln, sollte das Ihr Ziel sein. Denn die jetzt gesammelten Daten unterliegen wohl noch nicht den neuen Vorschriften.
Prüfen Sie zusammen mit einem/-r Fachmann/-frau Ihre individuellen Fragen, die sich aus der neuen DSGVO ergeben und behalten Sie dabei besonders folgende Kernpunkte im Blick:
- Speichert unser Unternehmen nur die Daten, die es speichern darf?
- Können wir unserer Auskunftspflicht, der Korrekturpflicht und dem „Recht auf Vergessenwerden“ nachkommen?
- Haben wir die technischen Voraussetzungen dafür, die erhobenen Daten ohne Verlust weitergeben zu können?
Für weitere Informationen finden Sie vertiefendes Material sowie nützliche Checklisten unter folgenden Links:
Eine Übersicht über die EU-DSGVO hat der Branchenverband Bitkom zusammengestellt; in dem Dokument wird auf weitere einschlägige Materialien verwiesen. Außerdem hat Bitkom mittlerweile vier Praxisleitfäden erstellt, wie verschiedene Verpflichtungen aus der Verordnung im Unternehmen umgesetzt werden können: „Datenübermittlung in Drittstaaten“, „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie die „Mustervertragsanlage zur Auftragsverarbeitung“. Alle Informationen stehen zum kostenlosen Download bereit: www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
Wer noch weitere Infos sucht:
Unter socialmediarecht.de schreibt Rechtsanwältin Nina Dierks bereits seit 2016 ausführliche Artikel über die DSGVO. Bisher sind dort erschienen:
Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung
Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt
Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen
Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten
Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten
Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)
Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist
Teil 8 – Der Datenschutzbeauftragte unter der DSGVO
Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I
Teil 10 – Stirbt Active Sourcing unter der ePrivacy Verordnung? – Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung II
Teil 11 – Fragenkataloge der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO
Als weitere Anlaufstellen zum Thema können wir den rechtzweinull.de-Betreiber Dr. Carsten Ulbricht M.C.L. nennen. Er hält zum Thema regelmäßig Seminare und Workshops zum Beispiel bei der W&V Akademie. Und natürlich Rechtsanwalt Christian Solmecke, den wir oben bereits beim Thema Newsletter erwähnt haben.