Am 25. Mai 2018 ist die Datenschutz-Grundverordnung https://dsgvo-gesetz.de in Kraft getreten. Der Bundesgesetzgeber hatte bereits im vergangenen Jahr das Bundesdatenschutzgesetz https://www.gesetze-im-internet.de/bdsg_2018 grundlegend neugestaltet und an die neuen EU-weiten Regelungen angepasst. Auch die Landesgesetzgeber haben ihre für die Behörden der Länder geltenden Datenschutzbestimmungen zwischenzeitlich angepasst und somit die europarechtlichen Regelungen in nationales Recht umgesetzt.
Geltungsbereich
Für Anbieter von Informationsdienstleistungen innerhalb der EU gilt die Datenschutz-Grundverordnung uneingeschränkt und unmittelbar. Die Mitgliedsstaaten sind aber berechtigt, ergänzende Vorschriften zu erlassen. Der Bundesgesetzgeber hat hiervon keinen Gebrauch gemacht, sondern im Bundesdatenschutzgesetz lediglich die Kompetenzen des Bundesdatenschutzbeauftragten geregelt. Daher sind für alle Unternehmen die EU-Regelungen bindend und unmittelbar anwendbar.
Die Regelungen verdrängen auch die bisher für Webseiten relevanten Regelungen des Telemediengesetzes, was jedoch durch die Vereinheitlichung gleichzeitig zu einer Vereinfachung in der Rechtsanwendung führt.
Sachlich sind alle diejenigen von den Regelungen betroffen, die Daten verarbeiten. Nachdem bereits der Empfang von E-Mails ein Datenaustausch darstellt, fällt faktisch jedermann unter den Anwendungsbereich des DSGVO. Es kommt auch nicht auf den Umfang der gespeicherten und verarbeiteten Daten an, sondern auf das ob überhaupt eine Datenspeicherung.
Die EU hat dabei den Geltungsbereich der EU-Regelungen auch auf Unternehmen außerhalb der EU ausgedehnt soweit EU-Bürger in irgendeiner Weise davon betroffen sind. Können sich Unternehmen aus weiter entfernten Ländern noch diesem Geltungsanspruch dadurch entziehen, dass sie keine besonderen Kontakte zu Bürgern der EU haben, trifft dies auf europäische Staaten nicht mehr zu, zumal für die mit der EU assoziierten Länder entsprechende Verweisvorschriften geltend gemacht werden und damit auch eine unmittelbare Anwendung gegeben ist.
Ist eine Einwilligungserklärung erforderlich?
Die Frage kann man ganz generell mit JA beantworten, denn bereits die Stellung von Rechnungen bedeutet die Verarbeitung personenbezogener Daten. Aber auch eine Anstellung von Mitarbeitern ist mit einer Verarbeitung von personenbezogenen Daten verbunden. Der Gesetzgeber geht jedoch davon aus, dass nicht jede Verarbeitung einer expliziten Zustimmung der Betroffenen bedarf. Für die Verwendung der Daten in den engen Grenzen der reinen Auftragsabwicklung, ist die Zustimmung mit der Auftragserteilung inhärent. Die Zweckbestimmungsklausel erlaubt die Nutzung solcher Daten, die ohne weitere Speicherung und Verwendung erfolgen. Allerdings sind gesetzliche Speicherfristen von der Zweckbestimmung abgedeckt.
Praktisch bedeutet dies, dass beispielsweise bei einem Bezahlvorgang mit Kreditkarte, die Speicherung und Verarbeitung der dabei verwendeten Daten, wie die Kreditkartennummer, keiner gesonderten Zustimmung bedarf. Sie sind erforderlich, um den Bezahlvorgang abzuwickeln und müssen auch gespeichert werden, bis alle Rücklauffristen abgeschlossen sind.
Sollen die erhobenen Daten jedoch auch zu anderen Zwecken, wie Werbemaßnahmen genutzt werden, ist unabhängig von der Art der Werbung, eine aktive Zustimmung des Betroffenen zwingend notwendig. Dies bedeutet, dass jede Speicherung der Daten über den eigentlichen Zweck hinaus – unabhängig vom Umfang der Nutzung oder Dauer der Speicherung – der Zustimmung des Betroffenen bedarf.
Es empfiehlt sich daher, immer eine Zustimmung einzuholen. Dies kann durch eine Klausel innerhalb des Vertragswerkes geschehen, oder bei Internetbestellungen, über ein Zwangsfeld, ohne dessen Zustimmung eine weitere Verarbeitung gar nicht erfolgt.
Grundsatz der Zweckbindung
Bereits bisher ging das Datenschutzrecht vom Grundsatz der Datensparsamkeit aus. Daten sollen nur in dem Umfang gespeichert werden, wie dies zur Erfüllung des vereinbarten Zweckes auch notwendig ist. Dies wird ergänzt durch den neuen Zweckbindungsgrundsatz: Sind der ursprüngliche Zweck der Erhebung und der Zweck der Weiterverarbeitung durch die gleiche verantwortliche Stelle kompatibel, dürfen die Daten auf Basis der ursprünglichen Rechtsgrundlage weiterverarbeitet werden. Besteht also kein Sachzusammenhang zwischen dem Grund der Datenerhebung und dem Zweck der beabsichtigten Weiterverarbeitung, bedarf die Nutzung über den ursprünglichen Zweck hinaus der Einwilligung des Dateneigentümers.
Praktisch bedeutet dies: Als Gutachter haben Sie die Daten Ihrer Kunden für die Erfüllung des Auftrages erhoben und gespeichert. Wollen Sie nun einen zusätzlichen Geschäftszweig aufbauen und hierfür die Daten zu Werbezwecken nutzen, so benötigen Sie für den neuen Nutzungszweck eine zusätzliche Einwilligung. Um Ihre Kunden über den bisherigen Geschäftszweck zu informieren, ist die Datennutzung grundsätzlich zulässig, jedoch empfiehlt es sich, sich dies bereits bei Vertragsabschluss durch den Kunden bestätigen zu lassen. Widerspricht er bereits hier den darüber hinaus gehenden Regelungen, scheidet eine Nutzung der Daten, über die Erfüllung des Auftrages hinaus, jedoch auf jeden Fall aus. Dieser Nutzungsausschluss kann dabei auch zu jedem späteren Zeitpunkt ausgesprochen werden.
Betrieblicher Datenschutzbeauftragter
Die bisherige Regelung zur Bestellung eines betrieblichen Datenschutzbeauftragten wurde weitergefasst und nahezu jeder Betrieb wurde dazu verpflichtet, eine solche Position zu schaffen. Eine Vereinfachung gibt es jedoch: eine schriftliche Bestellung ist nicht mehr erforderlich – dafür muss er gegenüber der Aufsichtsbehörde benannt werden.
Die Grundlage für die Bestellung ist zweigeteilt: während in Art. 37 Abs. 1 DGSVO eine Bestellung verlangt wird, wenn die Datenverarbeitung zum Kerngeschäft gehört, schreibt § 38 Abs. 1 BDSG (2018) unabhängig davon, die Bestellung ab einer Beschäftigtenzahl von 10 Personen in dem jeweiligen Betriebsteil vor. Der deutsche Gesetzgeber hat die Regelung daher verschärft, da bereits bei der überwiegenden Zahl der Betriebe die Datenverarbeitung, vor dem Hintergrund der umfangreichen Erhebung und Verarbeitung personenbezogener Daten in der heutigen Geschäftswelt, wohl als Teil des Kerngeschäfts anzusehen ist. Ob das Unternehmen den Datenschutzbeauftragten dabei intern benennt oder eine externe Person mit der Aufgabe betraut, bleibt dem Betrieb jedoch selbst überlassen und wird auch entscheidend von der Größe des Unternehmens abhängig sein. Der Gesetzgeber verlangt hier auch keine spezielle Ausbildung, sondern eine Fachkunde, die auch durch Qualifizierungen bei Bildungsträgern nachgewiesen werden kann. Die Entscheidung für oder gegen einen internen Datenschutzbeauftragten dürfte auch davon abhängen, welche arbeitsrechtlichen Konsequenzen eine solche Benennung hat: der Datenschutzbeauftragte genießt Kündigungsschutz, unabhängig davon wie hoch der Anteil seiner Arbeitszeit für die Funktion ist. Hintergrund ist, dass die Position unabhängig sein soll und hier deshalb ein gewisser Schutz vor arbeitsrechtlichen Konsequenzen notwendig ist.
Auskunft zu den gespeicherten Daten
Jeder, dessen Daten durch ein Unternehmen verarbeitet werden, hat Anspruch auf Auskunft zu seinen Daten. Die gespeicherten Daten gehören rechtlich dem Nutzer und nicht dem Unternehmen, was bereits durch das Grundrecht auf informationelle Selbstbestimmung gewährleistet ist.
Der Auskunftsanspruch ist unbeschränkt und umfasst auch gespeicherte E-Mails oder Datenbankauszüge. Mit dem neuen Datenschutzrecht hat der Eigentümer der Daten jedoch auch einen Anspruch auf Auskunft, an wen seine Daten weitergegeben und in welcher Form diese innerbetrieblich kategorisiert wurden. Die Auskunft kann nur verweigert werden, wenn durch die Weitergabe Rechte Dritter verletzt würden oder diese Daten noch zur Durchsetzung zivilrechtlicher Ansprüche dienen. Denn hier kann nicht verlangt werden, dass beispielsweise die Prozessstrategie offengelegt würde und somit eine prozessuale Schlechterstellung eines Unternehmens erfolgt. Hier kommt jedoch eine nachgeordnete Auskunftspflicht zur Geltung, wenn die Gründe für die Verweigerung entfallen sind.
Allerdings setzt der Gesetzgeber der Auskunftspflicht Grenzen. Denn die Auskunft ist zwar kostenfrei, allerdings sollen Unternehmen durch eine exzessive Nutzung des Auskunftsrechts nicht in ihrem eigentlichen Geschäftshandeln behindert werden. In diesem Fall kann das datenverarbeitende Unternehmen sich dadurch wehren, in dem es die Auskunft ganz verweigert oder die hierdurch entstandenen Kosten gegenüber dem Auskunftsbegehrer verlangt. Als Faustregel kann wohl gelten, dass ein Auskunftsanspruch einmal im Jahr besteht und dass Anhaltspunkte für eine Datenspeicherung bestehen müssen. Denn auch ein Rundumschlag eines Externen ist nicht zulässig.
Geldstrafen bei unzulässiger Auskunftsverweigerung
Eine Auskunftsverweigerung sollte auch deshalb sehr gut bedacht sein, weil der Gesetzgeber hierfür hohe Strafen vorgesehen hat. Bis zu 20 Mio. EUR, kann einem Unternehmen die unzulässige Verweigerung der Auskunftspflicht kosten.
Mitgliedern des BDSF Qualitätsverbundes werden die Dokumente zum Datenschutz zur Verfügung gestellt.