Neuer Datenschutz

Seit dem 25. Mai 2018 sind die neuen europäischen Datenschutzvor­schrif­ten anzuwenden. Von wem? Von jedem, der Daten verarbeitet, wenn es über das Sammeln privater Kontakte hinausgeht.

Über Art und Umfang des neuen Datenschutzes zirkulieren die unterschiedlichten Meinungen. Die einen wittern überall Fallen, für die anderen ändert sich so gut wie nichts und von der für Verbraucherschutz zuständigen EU-Kommissarin Věra Jourová kommt in einem ZEIT-Interview der Ratschlag, man soll sich auf den gesunden Menschenverstand verlassen.

Das ist immer angebracht, aber der gesunde Menschenverstand kann den juristischen Sachverstand nicht ganz ersetzen.

Am besten orientiert man sich als Webseiten-Betreiber oder in an­de­rer Wei­se Daten Verarbeitender an den Grund­ideen der neuen Datenschutz-Grundverordnung (DSGVO).

  1. Der Daten Erhebende soll sich einen Überblick da­von verschaf­fen, welche Daten er erhebt und welche personenbezogen sind, denn nur personenbezogene Daten von Menschen sind The­ma der DSGVO. Personenbezogen sind Daten, wenn sie ei­nem Men­schen zugeordnet sind oder zuge­ordnet werden kön­nen. Dazu zählen z.B. Name, Anschrift, Alter, Geschlecht, Per­so­nen­stand, Religion, Bank­ver­bindung, Emal-Adresse, IP-Adres­se im Internet und Bildauf­zeichnungen.
  2. Zu welchen Zweck werden die Daten verar­beitet? Da­tenverarbeitung beginnt schon beim Erheben und Speichern der Daten und das muss nicht elektronisch sein. Notizen auf Papier mit Bleistift kön­nen Datenverarbeitung sein, wenn personenbezogene Daten notiert werden.
  3. Wozu braucht der Datenverarbeiter die Daten und auf welche Daten kann er verzichten (Da­ten­mi­ni­mierung).
  4. Was passiert mit den Daten, wie werden sie verarbeiten? Werden Sie ggf. zum Zwecke der Ver­ar­bei­tung an Dritte weitergegeben (personalisierte Werbesendungen, Etiketten und dgl.).
  5. Wann können bzw. müssen die Daten gelöscht werden.

Das Ergebnis aller Datenschutz-Überlegungen ist zu dokumentieren und der Betroffene ist dem Trans­pa­renz­gebot genügend über die Datenverarbeitung zu informieren.

Wer personenbezogene Daten verarbeitet, der braucht die Einwilligung des Betroffenen. Die Einwilligung muss nicht schriftlich erfolgen. Wer nach seiner Telefonnummer gefragt wird und diese preisgibt, der muss damit rechnen, dass der Fragende die Nummer nicht nur in seinem Hirn abspeichert. Hier liegt in der Bekanntgabe der Rufnummer konkludent die Einwilligung zur Datenverarbeitung.

Im geschäftlichen Bereich muss aber zu einer beweissicheren, schriftlichen Einwilligung geraten werden. Aus dieser muss der Zweck und der Umfang der Datenverarbeitung hervorgehen.

Der Betroffene ist ferner über seine Rechte zu belehren:

  1. Der Betroffene kann der Datenverarbeitung widersprechen und eine früher erteilte Einwilligung für die Zukunft widerrufen.
  2. Er hat das Recht Auskunft über seine von ihnen gespeicherten Daten zu verlangen.
  3. Er hat das Recht Berichtigung falscher Daten zu verlangen.
  4. Er hat das Recht Löschung seiner Daten zu verlangen (Recht auf Vergessen werden).

Das Recht auf Vergessenwerden ist der problematische Teil des neuen Datenschutzes, denn dieses Recht ist an Voraussetzungen geknüpft und es kennt Ausnahmen. Zu den Voraussetzungen zählen z.B.:

  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Der Zweck der Datenerhebung/-verarbeitung ist weggefallen.
  • Der Betroffene hat seine Einwilligung widerrufen oder Widerspruch gegen die Verarbeitung einlegt.

Wenn wenigstens eine dieser alternativen Voraussetzungen vorliegt, ist anschließend zu prüfen, ob eine Ausnahmen von der Löschpflicht besteht.

Ausnahmsweise müssen personenbezogenen Daten beispielsweise nicht gelöscht werden, wenn ihre Verarbeitung erforderlich ist

  • bei bzw. für die Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben
  • um Rechtsansprüche geltend zu machen, oder sich gegen solche zu verteidigen
  • bei im öffentlichen Interesse liegenden Archivzwecken, Forschungszwecken und statistischen Zwecken.

Ein wichtiges, in der öffentlichen Diskussion viel zu kurz kommendes Thema des euro­päischen Da­ten­schutzes ist die Daten­verarbeitung durch Dritte, die Auftrags­verarbeitung (früher Auftrags­datenverar­beitung). Die lauert oft an Stellen, an denen man sie nicht vermutet oder nicht daran denkt: externe Lohn- oder Gehalts­abrechnung, Versand von Werbung durch Lettershops, Callcenter, Cloud-Dienste, Auslagerung der Backup-Sicherheits­speicherung und an­de­rer Ar­chi­vierungen etc.

Hier muss der Auftraggeber durch einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) sicher­stel­len, dass er Herr der Daten bleibt, wenn er sie dem Auftragnehmer zur Verarbeitung überlässt. Leider wird der Auf­trag­nehmer meist der wirt­schaftlich Stärkere sein und den Takt vorgeben. Versuchen Sie mal mit einem Cloud-Anbieter vom Kaliber Amazons, Google, oder Microsoft einen AV-Vertrag auszuhandeln. In 99% aller Fälle wird der Auftraggeber schlucken müssen, was der Auftragnehmer vorgibt. Hier sollte ein Jurist aber für den Auftraggeber zumindest einen Blick darauf werfen, ob der AV-Vertrag den An­for­de­run­gen des Art. 28 DSGVO entspricht, denn sonst kann es teuer werden. Es drohen Bußgelder von bis zu von 10 Millionen Euro oder 2 % des gesam­ten Vorjahr-Umsatze.

Wir helfen Ihnen gerne dabei, dass es soweit nicht kommt und auch bei der Abwehr unberechtigter Ab­mah­nungen wegen angeblicher Verstöße gegen das neue Datenschutzrecht.