Verschärfter Datenschutz durch die DSGVO

Nach zweijähriger Umsetzungsfrist gilt zum Stichtag des 25.05.2018 europaweit die neue EU-Datenschutzgrundverordnung (DSGVO). Betriebe und Unternehmen, die Daten von Kunden verarbeiten, müssen ihre internen und externen Prozesse hieran anpassen. Gleichwohl das gesetzliche Datenschutzniveau hierzulande bereits zuvor hoch war, rückt das Thema Datenschutz insbesondere durch eine Verschärfung der Haftungsregelungen und Strafen – es drohen Strafen bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes – weiter ins Zentrum des geschäftlichen Handelns. Ziel dieses Artikels soll es sein, Grundsätzliches und Haftungsprobleme hinsichtlich der DSGVO zu erläutern. Anspruch auf Vollständigkeit wird nicht erhoben.

Zentrale Begriffe

Zu Beginn werden in der DSGVO zentrale Begriffe erläutert und verschiedene Akteure benannt. Vorliegend relevant sind in erster Linie der Verantwortliche1), die betroffene Person, der Auftragsverarbeiter und die Aufsichtsbehörde. Verantwortlicher im Sinne der DSGVO sind private oder juristische Personen, die personenbezogene Daten verarbeiten. Hierzu zählen – anders als man vielleicht denken mag – auch Betriebe aus der Bau-, Handwerks- und Immobilienbranche. Die betroffene Person ist jede Privatperson, also sowohl Kunden als auch Mitarbeiter. Die Datenverarbeitung wird von Unternehmen in der Regel vielfältig outgesourct. Dritte, wie etwa IT-Dienstleister, Call-Center usw., nennt die DSGVO „Auftragsverarbeiter“. Letztlich versteht man unter Aufsichtsbehörde diejenige staatliche Stelle, die die Unternehmen hinsichtlich der Datenverarbeitung bzw. der Datensicherheit kontrolliert.

Sinn und Zweck der DSGVO ist es unter u. a., personenbezogene Daten von Privatpersonen zu schützen. Hierbei steht die Integrität und Vertraulichkeit des Verarbeitungsvorganges im Mittelpunkt. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen […]. Dieser Begriff ist sehr weit gefasst. Exemplarisch seien genannt: Name, Geschlecht, Familienstand, Einkommen, Beruf und dergleichen mehr.

Unter welchen Voraussetzungen ist das Verarbeiten personenbezogener Daten erlaubt?

Hier hält die DSGVO keine spektakulären Neuerungen zum bisherigen Recht bereit. Vereinfacht gesagt ist die Nutzung personenbezogener Daten erlaubt, wenn der Betroffene ausdrücklich eingewilligt hat oder wenn das Gesetz es erlaubt. Hinsichtlich der Einwilligung ist zu beachten, dass diese freiwillig erfolgen muss. Neu ist, dass sie auch mündlich erfolgen kann. Aus Gründen der Nachweisbarkeit ist allerdings anzuraten, eine schriftliche Einwilligung einzuholen.

Fehlt eine Einwilligung, normiert Art. 6 DSGVO Erlaubnis­tatbestände. Hiernach ist die Datenverarbeitung ohne Einwilligung unter anderem erlaubt, wenn die Verarbeitung (1) für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist oder (2) zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgt oder (3) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist. Zu beachten ist, dass besondere Vorschriften bei der Verarbeitung von sensiblen Daten (etwa rassische oder ethnische Herkunft, Gesundheitsdaten etc.) gelten.

Pflichten der verantwortlichen Stelle und Recht des Betroffenen – ein Auszug

Um die betroffenen Personen vollumfänglich zu schützen, sieht die neue DSGVO eine Reihe neuer Schutzmechanismen vor. Diese äußern sich sowohl in Informationspflichten der Verantwortlichen, als auch in Auskunftsansprüchen der betroffenen Personen.

Erheben Betriebe personenbezogene Daten, etwa eines Kunden, müssen sie diesem gemäß Art. 13 DSGVO verschiedene Mitteilungen machen. Diese Mitteilungen müssen proaktiv durch das jeweilige Unternehmen erfolgen und dürfen nur dann unterbleiben, wenn der Betroffene bereits informiert ist.

Weiterhin müssen Betriebe zukünftig ein sogenanntes „Verzeichnis der Verarbeitungstätigkeit“ führen. Hierin soll generalisiert unter anderem aufgenommen werden, zu welchem Zeitpunkt welche Daten zu welchem Zweck im Unternehmen verarbeitet werden. Hierbei sind die verschiedensten Verarbeitungstätigkeiten denkbar: das Führen von Personalakten, das Buchen von Dienstreisen, das Anlegen von Kundenkarteien, das Anfertigen von Bild- und/oder Tonaufnahmen auf dem Betriebsgelände usw. Vorab sollte man eine Risikobewertung durchführen und hierbei hinterfragen, wie hoch das Risiko der Datenverarbeitung ist. Sollte man hier zu dem Ergebnis kommen, dass ein hohes Risiko vorliegt (etwa weil besonders sensible Daten verarbeitet werden oder besonders viele), sieht Art. 35 DSGVO die Erstellung einer sogenannten „Datenschutz-Folgenabschätzung“ vor. Im Rahmen dieser Folgenabschätzung werden Maßnahmen zur Risikominimierung erarbeitet, welche dann umgesetzt werden.

Spiegelbildlich zu den Pflichten der Unternehmen stehen die Rechte des Betroffenen. Hier ist insbesondere der Auskunftsanspruch des Betroffenen zu nennen. Dieser kann sich gemäß Art. 15 DSGVO darüber informieren, ob über ihn Daten gespeichert werden. Auf eine solche Anfrage, welche in der Regel schriftlich bzw. per E-Mail gestellt wird, muss der Verantwortliche grundsätzlich binnen vier Wochen kostenfrei antworten. Die erteilte Auskunft muss dann sämtliche gesetzlich genannten Informationen erhalten.

Weiterhin hat die betroffene Person das Recht, ihre Daten korrigieren oder auch löschen zu lassen. Gerade das Recht auf Löschung ist jedoch verschiedentlich eingeschränkt. Letztlich steht dem Betroffenen auch noch eine Widerspruchsmöglichkeit zur Seite. Diese greift jedoch gemäß Art. 21 DSGVO nur in Sonderfällen.

Datenschutzbeauftragter (DSB)

Sind in Ihrer Firma 10 oder mehr Personen beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, haben Sie einen DSB zu bestellen. Wichtig ist, dass sowohl der Begriff des Beschäftigten als auch der der automatisierten Verarbeitung weit zu verstehen ist – regelmäßige Tätigkeit am PC bzw. Tablet ist ausreichend. Wenn diese Voraussetzungen erfüllt sind, stellt sich die Frage, wer DSB werden soll. Mitglieder der Geschäftsführung, Leiter der IT-Abteilung usw. scheiden aus – andernfalls wäre eine effektive Kontrolle nicht gewährleistet, da es quasi zu einer Selbstkontrolle käme. Weiterhin in Frage kommen Angestellte oder Externe. Entschließt man sich dazu, einen Angestellten zum DSB zu machen, sollte man die Auswahl sorgfältig treffen. Durch die Bestellung zum Datenschutzbeauftragten verändern sich unter anderem die Kündigungsmöglichkeiten in Bezug auf diesen Arbeitnehmer zum Teil erheblich. Weiterhin kann DSB nur werden, wer seine Fachkenntnis im Bereich Datenschutz nachweisen kann.

Auftragsverarbeitung

Wie bereits eingangs beschrieben, kann man unter dem Begriff des Auftragsverarbeiters verschiedenste Dienstleister zusammenfassen. Sobald Ihr Unternehmen sich eines solchen Dienstleisters bedient, welcher Zugriff auf personenbezogene Daten von Kunden oder Mitarbeitern hat, liegt ein Auftragsverarbeitungsverhältnis vor. Hierbei ist es sowohl für den Verantwortlichen, als auch für den Auftragsverarbeiter ratsam, einen schriftlichen Vertrag abzuschließen, welcher sich an der Regelung des Art. 28 DSGVO orientieren muss. Zwar schreibt die DSGVO keine Form vor; aus Gründen der Beweisbarkeit und der Dokumentation ist es aber dringend ratsam, den Vertrag schriftlich zu fixieren.

Umfangreicher Haftungs- bzw. Strafenkatalog

Auch abseits der juristischen Fachpresse hat die DSGVO bereits Wellen geschlagen – nicht zuletzt wegen des deutlich verschärften Bußgeldrahmens. So drohen Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Vorjahresumsatzes – je nachdem, was höher ist.

Diese enorme Strafandrohung zeigt, wie wichtig dem (europäischen) Gesetzgeber das Thema Datenschutz ist. Als Kontrollinstanzen werden sowohl die Aufsichtsbehörden der einzelnen Bundesländer als auch die Betroffenen selbst etabliert.

Die Aufsichtsbehörden sind ausgestattet mit umfangreichen Kontroll- bzw. Untersuchungsbefugnissen. So können sie etwa Datenschutzüberprüfungen durchführen. Zudem dürfen sie grundsätzlich jederzeit(!) Geschäftsräume bzw. Grundstücke betreten. Weiterhin haben die Aufsichtsbehörden Abhilfebefugnisse und können den DSB abberufen.

Außerdem erfährt das für die Datenverarbeitung verantwortliche Unternehmen eine Kontrolle durch den Betroffenen selbst. Dieser kann sich bei der Aufsichtsbehörde beschweren. Diese muss dann binnen drei Monaten über den Stand der Ermittlungen informieren. Ferner kann dem Betroffenen ein Schadensersatzanspruch wegen unrichtiger oder unzulässiger Datenverarbeitung zustehen.

Letztlich ist es jedoch auch denkbar, dass Verstöße gegen datenschutzrechtliche Bestimmungen von Mitbewerbern oder Wettbewerbsvereinen abgemahnt werden. Dies dürfte in der Praxis ein zentrales Thema sein.

Fazit

Unternehmen sämtlicher Branchen, eben aber auch aus der Bau-, Handwerks- und Immobilienbranche, sollten tunlichst dafür Sorge tragen, die Regelungen der DSGVO alsbald umzusetzen. Im Spannungsfeld zwischen den eigenen wirtschaftlichen Interessen und den Interessen der Kunden passieren schnell teure Fehler. Solche Fehler zu ahnden, werden sich nicht nur die Landesdatenschutzbehörden zum Ziel setzen, sondern vielmehr auch die Kunden selbst bzw. Konkurrenten oder Abmahnvereine.