Aktuelles

Die DSGVO wirft ihre Schatten voraus - ist Ihr Unternehmen vorbereitet?

Der Schutz persönlicher Daten ist nicht erst seit gestern Bestandteil europäischer Regelungen. Bereits seit 1995 ist die von der EU erlassene Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten (Richtlinie 95/46/EG) in Kraft - und wurde mehr oder weniger strikt von den Ländern umgesetzt. Jetzt kommt die Ablösung: Die EU Datenschutz-Grundverordnung (DSGVO) hat das Ziel, einen einheitlichen Datenschutz in den Ländern der Europäischen Union sicherzustellen. Mit ihr tritt Ende Mai schließlich auch das neue Bundesdatenschutzgesetz (genaugenommen das Datenschutz Anpassungs- und Umsetzungsgesetz-EU / BDSG-neu) in Kraft.

Die DSGVO wirft ihre Schatten voraus - ist Ihr Unternehmen vorbereitet?Das hört sich alles ziemlich kompliziert an. Das ist es auch. Und da ist die ePrivacy-Verordnung der EU noch gar nicht eingerechnet - die soll die DSGVO präzisieren und wird wohl Ende des Jahres langsam Fahrt aufnehmen. Zusammen ergeben sich vielfältige Änderungen, die Unternehmen kennen und darauf reagieren müssen.

In der DSGVO bleiben zunächst einmal die elementaren Grundsätze der Datenverarbeitung erhalten. Alles, was zum Thema Datenschutz bisher im BDSG abgebildet war, findet sich so auch in der DSGVO wieder -  z.B. die Rechtmäßigkeit, Richtigkeit, Sparsamkeit, Zweckbindung, zeitliche Beschränkung, Integrität und Vertraulichkeit der erhobenen Daten. Ebenso gibt es wie bisher eine Rechenschaftspflicht der Verantwortlichen für die Einhaltung o.g. Grundsätze.

Klar ist aber auch, dass Unternehmen, die Daten ihrer Kunden und Interessenten elektronisch verarbeiten, ihre Datenverarbeitungsprozesse auf den Prüfstand stellen müssen. Drei wichtige Punkte sind nachfolgend etwas näher erläutert:

Verpflichtung von Beschäftigten

Im Artikel 29 der DSGVO steht geschrieben, dass Beschäftigte personenbezogene Daten ausschließlich auf Weisung des Arbeitgebers verarbeiten dürfen. "Beschäftigte" können sinngemäß eigene Mitarbeiter, aber auch Auftragnehmer, Mitarbeiter eines Auftragnehmers oder eines anderweitig Verantwortlichen sein - was nach unserer Auffassung natürlich auch freie Mitarbeiter einschließt. Die Verantwortlichen im Unternehmen werden durch Artikel 32 Abs. 4 dazu verpflichtet, genau das sicherzustellen - die DSGVO schreibt indes nicht vor, welche Mittel und Werkzeuge dazu eingesetzt werden. Eine entsprechende Verpflichtungserklärung für alle, die personenbezogene Daten verarbeiten oder mit diesen in Kontakt kommen, wäre schon mal ein guter Anfang. Ein entsprechendes Dokument stellt das Bayerische Landesamt für Datenschutzaufsicht zur Verfügung.

Datenschutzbeauftragter

Während öffentliche Stellen per se dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen (sofern personenbezogene Daten verarbeitet werden), sieht das in der Privatwirtschaft etwas anders aus. Dort muss ein Datenschutzbeauftragter bestellt sein, wenn die "Kerntätigkeit [...] in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen" (Art. 37 Abs. 1 b DSGVO). Das klingt nach Gummiparagraphen - ist es aber nicht. Auch für einen Einmann/Einfrau-Betrieb, ggf. mit ein paar Zulieferern mit Zugriff auf personenbezogene Daten - beispielsweise Betreiber eines Web-Portals oder Online-Shops - scheint genau das zutreffend.

Doch keine Panik bitte, zum Glück gibt es im neuen BDSG ein paar Öffnungsklauseln: Im § 38 Abs. 1 S. 1 wird bestimmt, dass ein Datenschutzbeauftragter benannt werden muss, wenn sich im Unternehmen "mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen". Aber auch da keine Regel ohne Ausnahme: "Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen." Das ist sinngemäß etwa dasselbe, wie im noch aktuellen "alten" BDGS.

Zudem dürfen mit Inkrafttreten der DSGVO laut Art. 37, Abs. 2 "Unternehmensgruppen" einen gemeinsamen Datenschutzbeauftragten bestellen - das gilt jedoch nur, wenn die beteiligten Unternehmen auch schon vorher gemeinsam personenbezogene Daten verarbeitet haben - bei gemeinsamen Projekten mit eigenverantwortlichen Freelancern keine Seltenheit. Der gemeinsame Datenschutzbeauftragte muss für alle Beteiligten benannt werden und persönlich für Anfragen erreichbar sein. Und es reicht nicht, Hernn "Max Mustermann" in die Datenschutzerklärung zu schreiben - die Kontaktdaten des bestellten Datenschutzbeauftragten sind der Landesdatenschutzbehörde mitzuteilen.

Personenbezogene Daten / Verwendung von Cookies

Cookies sind kleine Textdateien, die von einer Website oder einem Onlineshop temporär auf dem Rechner des Users gespeichert werden - beispielsweise um Formulardaten oder den Inhalt eines Warenkorbes zwischenzuspeichern. Cookies von Drittanbietern - Google beispielsweise - helfen dabei, passgenaue Online-Werbung auszuliefern oder sammeln statistische Daten, um Analyseprogramme zu füttern.
Zwar können User via Browser-Einstellungen die Verwendung von Cookies verhindern, doch gerade Online-Shops würden sich danach kaum noch vernünftig bedienen und verwenden lassen.

Der Einsatz von Cookies, OptOut und Verwendungswiderspruch sorgt seit der Änderung der Datenschutzrichtlinie für elektronische Kommunikation - die so genannte "Cookie-Richtline" - für erhitzte Gemüter. Eigentlich schreibt diese Richtlinie vor, dass das Einverständnis des Users vor der Verwendung von Cookies eingeholt werden muss. Nun hat Deutschland aber die Cookie-Richtlinie nicht in nationales Recht umgesetzt - anders etwa als Rumänien und Bulgarien - und immer darauf hingewiesen, dass die entsprechenden EU-Regelungen bereits im § 15 Abs. 3 Telemediengesetz (TMG) ratifiziert seien. Dort heißt es, dass der User über die Verwendung von Cookies informiert werden muss und darauf hinzuweisen ist, dass ein Widerspruchsrecht gegen die Verwendung von Cookies besteht - das so genannte OptOut-Verfahren.

Nicht zuletzt deshalb steht ein entsprechender Hinweis bei vielen Website-Betreibern nicht nur versteckt in der Datenschutzerklärung sondern in einem meist interaktiven Banner, der vom User "weggeklickt" werden muss. Ob das alles ausreichend ist - um beispielsweise die abmahnende Zunft außen vor zu halten -  wird auch in Fachkreisen kontrovers diskutiert, doch besser ist es allemal "mit" statt "ohne".

Bringt die DSGVO da mehr Klarheit? Leider nein. Das Wort Cookie taucht im Text der DSGVO nicht einmal auf. Doch wenn man Cookies auf deren technische Essenz herunterbricht, sind auch die im Sinne des Art.4 Nr.1 DSGVO schlichtweg personenbezogene Daten. Die Verwendung von Cookies als pseudodynamisierte Daten muss jedoch - wie bisher auch - anderswo beschrieben oder geregelt werden. Das bleibt also insbesondere für Unternehmen äußerst unbefriedigend, denn die ganze Paragraphenwüste in der DSGVO zum Thema personenbezogene Daten ist recht schwammig formuliert. Und so sind sich bereits jetzt ganze Heerscharen von Advokaten uneins darüber, ob § 15 Abs. 3 TMG die DSGVO umsetzt und weiter Gültigkeit besitzt - oder eben nicht.

So kann zum Thema Cookies leider keine klare Aussage getroffen werden und der Streit ist vorprogrammiert - am Ende wird es von der zukünftigen Rechtsprechung des EuGHs abhängen, ob konkrete Kriterien dazu in europäische Regelungen oder in nationalen Gesetzen festgenagelt werden. Bis es soweit ist, sollten Website-Betreiber und Online-Händler wie bisher die Verwendung und Anwendungsgebiete von Cookies in ihrer Datenschutzerklärung hinreichend beschreiben - was auch für Cookies Dritter gilt, beispielsweise für Google Dienste, für Analysewerkzeuge oder für soziale Netzwerke.
Allerdings muss in den ab Ende Mai veröffentlichten Datenschutzerklärungen auf die Rechtslage laut Art. 6 Abs. 1 der DSGVO hingewiesen werden - und es müssen berechtigte wirtschaftliche, juristische oder ideelle Interessen seitens des Website-Betreibers bestehen, die die Anwendung von Cookies voraussetzen, beispielsweise die Auslieferung persönlicher angeforderter Informationen, die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung.

Und wenn Sie noch keinen Banner geschaltet haben, der das entsprechende Einverständnis Ihrer Besucher einholt - tun Sie es jetzt, das schont Nerven und Geldbeutel.

Die oben schon genannte und noch ausstehende e-Privacy-Verordnung könnte dann alles wieder etwas vereinfachen - jedenfalls für kleine Website-Betreiber und Online-Händler. Das Einverständnis zum Cookie-Einsatz könnte auf Browsereinstellungen reduziert werden - wenn dadurch jedoch grundsätzlich Cookies Dritter abgelehnt werden, hat nicht unbedingt der Website-Betreiber sondern die Werbewirtschaft ein echtes Problem.

Jetzt müssen Sie nicht gleich in panischen Aktionismus verfallen - aber den Kopf in den Sand stecken, hilft eben auch nicht weiter. So langsam müssen auch kleine Unternehmen aus den Puschen kommen, ihre Online- und Datenspeichertechnik auf Vordermann bringen und datenschutzrechtliche Prozesse implementieren, die diesen Namen auch verdient haben. Denn im schlimmsten Fall drohen Abmahnungen und empfindliche Bußgelder.

Darauf sollten Sie in Ihrem Unternehmen achten:

  • Betriebsvereinbarungen, welche das Thema Datenschutz im Arbeitsverhältnis beinhalten, sollten von Fachanwälten an die Anforderungen der DSGVO angeglichen werden.
  • Auch wenn Sie weniger als 9 Mitarbeiter beschäftigen, sollten Sie ihre Datenschutz-Prozesse auf den Prüfstand stellen: Denn u.U. fallen Sie aufgrund Ihrer Betriebsstruktur in eine Kategorie, die trotz geringerer Mitarbeiterzahlen einen Datenschutzbeauftragten bestellen müssen.
  • Sie sind als Unternehmer in der Beweispflicht, wenn es um die Einwilligung zur Speicherung und Verarbeitung personenbezogener Daten geht!
  • Verbraucherschutzverbände können - ohne dass die Klage eines Betroffenen vorliegt - Auskunfts-, Lösch- und Schadenersatzansprüche Ihnen gegenüber geltend machen.
  • Sie sind verpflichtet, Daten proaktiv zu löschen, wenn die Gründe für eine Speicherung und/oder Verarbeitung personenbezogener Daten nicht mehr vorhanden sind.
  • Die Anforderungen für den Widerruf für die Speicherung und Verarbeitung personenbezogener Daten wurden reduziert.
  • Das Kopplungsverbot bei der Speicherung und Verarbeitung personenbezogener Daten wurde verschärft. Sie dürfen also keine personenbezogenen Daten, die beispielsweise aus einem Vertragsabschluss resultieren, für andere Anwendungsgebiete speichern oder verarbeiten - sofern dies nicht zwingend erforderlich ist für die Erbringung einer Dienstleistung oder die Erfüllung eines Vertrages.
  • Bei Datenpannen sind Sie als Unternehmer verpflichtet, diese Ihrer Landesdatenschutzbehörde zu melden!
  • Bei Verstößen gegen die Vorgaben der ab Ende Mai gültigen Datenschutzbestimmungen müssen Sie mit empfindlichen Geldbußen rechnen, die Entgelte wurden teilweise dramatisch nach oben korrigiert.

Der Anwalt Ihres Vertrauens hilft Ihnen dabei, die richtige Formulierung für Ihre juristischen Texte wie Betriebsvereinbarungen, Datenschutzerklärung, Cookie-Richtlinie, Widerruf, Streitschlichtung usw. zu finden - und gibt Ihnen wertvolle Tipps für die Verbesserung Ihrer internen Datenverarbeitungsprozesse. Wir von TAGWORX hingegen schrauben dann alles passgenau in ihre Website und unterstützen Sie bei der technischen Umsetzung der neuen Anforderungen.

23.02.2018

RSS Newsfeed
Alle News vom TAGWORX.NET Neue Medien können Sie auch als RSS Newsfeed abonnieren, klicken Sie einfach auf das XML-Symbol und tragen Sie die Adresse in Ihren Newsreader ein!