Neue Herausforderungen beim Datenschutz ab Mai

Deutschland war weltweit das erste Land mit einem formellen Danteschutzgesetz. Dabei handelt es sich um das Hessische Datenschutzgesetz aus 1970. Ab Ende Mai 2018 ist das nun Geschichte. Dann gilt nämlich eine Verordnung der Europäischen Union – die Datenschutzgrundverordnung, kurz: DSGVO. Diese wird unmittelbar gelten und ist vor nationalem Recht anzuwenden. Der Anwendungsvorrang bezieht sich auf den weltlichen sowie auf den kirchlichen Bereich und betrifft Bundesgesetze ebenso wie Landesgesetze. Das bekannte Bundesdatenschutzgesetz (BDSG) wird sogar aufgehoben und durch ein Rumpfgesetz mit dem sperrigen Namen „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU“ ersetzt. Welche Folgen ergeben sich daraus für die Praxis?

Wann ist das Datenschutzrecht zu beachten?

Von den Datenschutznormen erfasst werden nur Daten von natürlichen Personen. Daten von juristischen Personen bleiben damit außen vor. Die E-Mail-Adresse „info@gesellschaft-xy.de“ ist also weiterhin kein dem Daten­schutz­recht unterfallendes Datum, die E-Mail-Adresse „vorname.nachname@gesellschaft-xy.de“ hingegen schon. Diese Unterscheidung ist nicht selbst­verständlich. In Österreich und der Schweiz unterfallen nämlich auch Daten einer juristischen Person dem Daten­schutz­recht.
Ebenso wie nach dem bisherigen Recht bleibt im Ausgangs­punkt jeglicher Umgang mit personenbezogenen Daten verboten, es sei denn es greift eine von wenigen Erlaubnis­vorschriften ein. Bereits das Abfragen des Namens eines Kunden mit dem Ziel, den Namen im Computer­system zu speichern, stellt eine Erhebung von Daten dar, für die eine solche Erlaubnis­norm zu finden ist.

Was ändert sich bei Datenerhebungen?

Erhebliche Änderungen ergeben sich bei der Erhebung von Daten. Denn ab Ende Mai 2018, konkret ab dem 25.05.2018, ist bei jeder Erhebung von Daten eine große Anzahl an Einzel­informationen zur Verfügung zu stellen. Die DSGVO führt hierzu zwölf Punkte an und zwingt damit zu einer Anpassung der eigenen Prozess­abläufe. Denn es genügt in Zukunft nicht mehr lediglich, die Einwilligung einzuholen und dabei – wie bisher – über den sachlichen Umgang mit den Daten aufzuklären. Vielmehr müssen nun Informationen über Umstände erteilt werden, die bei vielen Unternehmen gegenwärtig nicht vollständig bekannt sein werden.
So ist nun z. B. über die Rechts­grundlage der Daten­verarbeitung und die Dauer der Speicherung zu informieren. Die Rechts­grundlage für die Daten­verarbeitung ist oftmals nicht einfach zu ermitteln. Was soll z. B. gelten, wenn drei verschiedene Rechts­grundlagen in Betracht kommen? Bislang konnte man darauf vertrauen, dass wohl schon eine der drei Rechtsgrundlagen eingreift. Die neue Rechtslage zwingt jedoch dazu, sich genauer Gedanken zu machen. Was gelten soll, wenn zwei Rechts­grund­lagen zugleich eingreifen oder was gilt, wenn eine Rechtsgrundlage vergessen wird, ist auch unter den Rechts­wissen­schaftlern noch nicht geklärt.
Erheblich komplexer wird die Erfüllung der Informationspflicht, wenn mehrere Beteiligte in die Daten­verarbeitung eingebunden sind. Beispiel: Der Name des Kunden wird per E-Mail erhoben und dann im Computer­system des Unternehmens gespeichert. Das ist zwar ein alltäglicher Sachverhalt. Was ist aber, wenn es sich – wie dies häufig der Fall ist – bei dem eigenen E-Mail-Server um einen angemieteten Server handelt, der physikalisch bei einem Dritten steht? Was ist nun die Rechts­grundlage für die Verarbeitung, also die Erhebung und die Einbindung des Dritten? Und wann werden die Daten wieder gelöscht? Denn auch darüber ist zu informieren. Vergessen Sie dabei nicht, dass auf dem E-Mail-Server auch Backups durchgeführt werden, die bestimmungs­gemäß spät oder gar nicht gelöscht werden. Und werden E-Mails aus Ihrem eigenen Posteingang wirklich gelöscht? Das Unternehmen darf auch nicht einfach eine beliebige Löschfrist festsetzen, denn die DSGVO sieht vor, dass die personen­bezogenen Daten unverzüglich zu löschen sind, wenn sie nicht mehr benötigt werden.
Vorstehend wurde lediglich auf zwei von zwölf Informations­pflichten bei der Erhebung von Daten eingegangen. Bereits die Erfüllung dieser zwei Informations­pflichten führt jedoch zu einer erheblichen Komplexität bei der Ausgestaltung einer Daten­erhebung. Es ist daher nicht nur erforderlich, die eigenen Dokumente, z. B. die Aufklärungs­dokumente im Zusammen­hang mit Einwilligungen, anzupassen, sondern auch die eigenen Prozess­abläufe, z. B. im Hinblick auf die Löschung von Daten.

Was ändert sich bei der Erteilung von Einwilligungen?

Änderungen ergeben sich auch im Bereich der Einwilligung. Zwar verbleibt es dabei, dass die Erteilung einer Einwilligung als Erlaubnis­tatbestand zulässig ist. Jedoch muss nun bereits bei der Abgabe der Einwilligung über das Recht, die Einwilligung widerrufen zu dürfen sowie die Folgen des Widerrufs, belehrt werden. Ferner gilt ein strengeres Freiwillig­keit­sgebot (oder Koppelungsverbot). Muss ein Kunde im Rahmen eines Vertrags­abschlusses z. B. zwingend zugleich in den Erhalt eines Newsletters einwilligen, wird die Einwilligung nicht freiwillig und damit unwirksam sein.

Welche weiteren Neuregelungen gibt es?

Zahlreiche Grundstrukturen des bisherigen Daten­schutz­rechts werden zwar beibehalten. Zugleich kommt es jedoch zu etlichen Neuerungen. Zu nennen ist etwa die Pflicht, Daten­schutz­verletzungen innerhalb von 72 Stunden der Aufsichts­behörde zu melden. Neu sind auch die Anforderungen an die Gestaltung von Technik selbst und zwar durch die Grundsätze „Datenschutz durch Technik­gestaltung“ und „daten­schutz­freundliche Vorein­stellungen“. Danach müssen technische Systeme im Grundmodus so konfiguriert sein, dass sie möglichst wenig personen­bezogene Daten verarbeiten. Ferner gelten für Online­auftritte neue Informationspflichten.

Was gilt für den Bereich der Sozialgesetze?

Eine Änderung der Sozial­gesetzbücher (SGB I und SGB X) wurde bereits beschlossen. Danach werden die daten­schutz­rechtlichen Regelungen der Sozial­gesetz­bücher ebenfalls unter die Geltung der DSGVO gestellt. Es wurden jedoch Öffnungs­klauseln der DSGVO genutzt, sodass die meisten der bisherigen Regelungen im Grundsatz bestehen bleiben. Auch im Sozialbereich sind nun aber z. B. die oben dargestellten Informations­pflichten bei der Erhebung von Daten zu beachten.

Was gilt für den kirchlichen Bereich?

Die Neuregelungen der DSGVO entfalten auch Wirkung für den kirchlichen Bereich. In der DSGVO ist jedoch eine Öffnungsklausel vorgesehen, wonach kirchliches Datenschutzrecht weiterhin gelten darf. Dies jedoch nur, soweit das kirchliche Datenschutzrecht mit der DSGVO „in Einklang gebracht“ werden kann. Auch im kirchlichen Bereich erfolgen daher Anpassungen. So hat die Synode der Evangelischen Kirche in Deutschland im November 2017 den Beschluss über ein an die DSGVO angepasstes EKD-Daten­schutzgesetz gefasst.

Welche Rechtsfolgen sind bei Verstößen vorgesehen?

Datenschutzverstöße können unter der Geltung der DSGVO erhebliche Folgen haben. Denn die DSGVO sieht an großen Wirtschafts­unternehmen orientierte Bußgeld­rahmen vor, nämlich von bis zu 20 Mio. EUR oder – falls höher – 4 % des weltweiten Jahres­umsatzes. Die Bußgelder sollen in jedem Einzelfall zwar noch angemessen, aber ausdrücklich „abschreckend“ sein. Bislang betrug der Bußgeldrahmen nach dem BDSG lediglich bis zu 0,3 Mio. EUR.
Erwartungsgemäß war der Bußgeld­rahmen ein Punkt, der bei der Anpassung des kirchlichen Daten­schutz­rechts abweichend geregelt wurde. Auch im kirchlichen Bereich ist nun jedoch ein vergleichsweise hoher Bußgeld­rahmen von bis zu 0,5 Mio. EUR vorgesehen.
Eine weitere, bedeutende Folge eines Daten­schutz­verstoßes kann die folgende sein: Die Recht­sprechung entscheidet zunehmend, dass Daten­schutz­verstöße abmahnfähig sind. Das bedeutet, dass Mitbewerber oder z. B. Schutz­verbände Schreiben versenden lassen können, in denen neben einer Kosten­erstattung insbesondere zur Unterlassung und zur Abgabe einer strafbewehrten Unterlassungs­erklärung aufgefordert wird. Neben einem Vorgehen der Daten­schutz­behörden ist deshalb zunehmend mit einem Vorgehen von Mitbewerbern und Verbänden zu rechnen.

Datenschutz 4.0 – Weitere Ergänzungen für die elektronische Kommunikation

Die DSGVO soll durch eine Verordnung für den Bereich der elektronischen Kommunikation (E-Privacy-Verordnung) flankiert werden. Diese Verordnung liegt derzeit allein im Entwurf vor. Der bislang geplante Geltungs­beginn zusammen mit der DSGVO Ende Mai 2018 wird vermutlich nicht mehr eingehalten werden können. Die E-Privacy-Verordnung enthält insbesondere Regelungen für den Bereich des Internets und den Umgang mit Daten in elektronischen Geräten, wie Smartphones und Computern. Auch der zulässige Einsatz von Cookies wird geregelt werden.
Nach dem gegenwärtigen Entwurf bedürfen Zugriffe auf Daten in elektronischen Geräten – neben engen Ausnahmefällen – grundsätzlich einer Einwilligung durch ein Opt-In, also einer aktiven Erteilung der Einwilligung. Anders als die DSGVO gilt die E-Privacy-Verordnung dabei nicht nur für personen­bezogene Daten sondern für sämtliche Daten. Es bleibt jedoch abzuwarten, welchen genauen Inhalt die endgültige E-Privacy-Verordnung haben wird.

Praxisbericht auf dem Non-Profit-Forum

Über die ersten Erfahrungen in der Praxis mit der neuen DSGVO und ihren Begleit­regelungen wird im Rahmen des Non-Profit-Forums am 25.10.2018 berichtet werden.