Deutschland war weltweit das erste Land mit einem formellen Datenschutzgesetz. Dabei handelt es sich um das Hessische Datenschutzgesetz aus 1970. Ab Ende Mai 2018 ist das nun Geschichte. Dann gilt nämlich eine Verordnung der Europäischen Union – die Datenschutzgrundverordnung, kurz: DSGVO. Diese wird unmittelbar gelten und ist vor nationalem Recht anzuwenden. Der Anwendungsvorrang bezieht sich auf den weltlichen sowie auf den kirchlichen Bereich und betrifft Bundesgesetze ebenso wie Landesgesetze. Das bekannte Bundesdatenschutzgesetz (BDSG) wird sogar aufgehoben und durch ein Rumpfgesetz mit dem sperrigen Namen „DatenschutzAnpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU“ ersetzt. Welche Folgen ergeben sich daraus für die Praxis?
Wann ist das Datenschutzrecht zu beachten?
Von den Datenschutznormen erfasst werden nur Daten von natürlichen Personen. Daten von juristischen Personen bleiben damit außen vor. Die E-Mail-Adresse „info@gesellschaft-xy.de“ ist also weiterhin kein dem Datenschutzrecht unterfallendes Datum, die E-Mail-Adresse „vorname.nachname@gesellschaft-xy.de“ hingegen schon. Diese Unterscheidung ist nicht selbstverständlich. In Österreich und der Schweiz unterfallen nämlich auch Daten einer juristischen Person dem Datenschutzrecht.
Ebenso wie nach dem bisherigen Recht bleibt im Ausgangspunkt jeglicher Umgang mit personenbezogenen Daten verboten, es sei denn es greift eine von wenigen Erlaubnisvorschriften ein. Bereits das Abfragen des Namens eines Kunden mit dem Ziel, den Namen im Computersystem zu speichern, stellt eine Erhebung von Daten dar, für die eine solche Erlaubnisnorm zu finden ist.
Was ändert sich bei Datenerhebungen?
Erhebliche Änderungen ergeben sich bei der Erhebung von Daten. Denn ab Ende Mai 2018, konkret ab dem 25.05.2018, ist bei jeder Erhebung von Daten eine große Anzahl an Einzelinformationen zur Verfügung zu stellen. Die DSGVO führt hierzu zwölf Punkte an und zwingt damit zu einer Anpassung der eigenen Prozessabläufe. Denn es genügt in Zukunft nicht mehr lediglich, die Einwilligung einzuholen und dabei – wie bisher – über den sachlichen Umgang mit den Daten aufzuklären. Vielmehr müssen nun Informationen über Umstände erteilt werden, die bei vielen Unternehmen gegenwärtig nicht vollständig bekannt sein werden.
So ist nun z. B. über die Rechtsgrundlage der Datenverarbeitung und die Dauer der Speicherung zu informieren. Die Rechtsgrundlage für die Datenverarbeitung ist oftmals nicht einfach zu ermitteln. Was soll z. B. gelten, wenn drei verschiedene Rechtsgrundlagen in Betracht kommen? Bislang konnte man darauf vertrauen, dass wohl schon eine der drei Rechtsgrundlagen eingreift. Die neue Rechtslage zwingt jedoch dazu, sich genauer Gedanken zu machen. Was gelten soll, wenn zwei Rechtsgrundlagen zugleich eingreifen oder was gilt, wenn eine Rechtsgrundlage vergessen wird, ist auch unter den Rechtswissenschaftlern noch nicht geklärt.
Erheblich komplexer wird die Erfüllung der Informationspflicht, wenn mehrere Beteiligte in die Datenverarbeitung eingebunden sind. Beispiel: Der Name des Kunden wird per E-Mail erhoben und dann im Computersystem des Unternehmens gespeichert. Das ist zwar ein alltäglicher Sachverhalt. Was ist aber, wenn es sich – wie dies häufig der Fall ist – bei dem eigenen E-Mail-Server um einen angemieteten Server handelt, der physikalisch bei einem Dritten steht? Was ist nun die Rechtsgrundlage für die Verarbeitung, also die Erhebung und die Einbindung des Dritten? Und wann werden die Daten wieder gelöscht? Denn auch darüber ist zu informieren. Vergessen Sie dabei nicht, dass auf dem E-Mail-Server auch Backups durchgeführt werden, die bestimmungsgemäß spät oder gar nicht gelöscht werden. Und werden E-Mails aus Ihrem eigenen Posteingang wirklich gelöscht? Das Unternehmen darf auch nicht einfach eine beliebige Löschfrist festsetzen, denn die DSGVO sieht vor, dass die personenbezogenen Daten unverzüglich zu löschen sind, wenn sie nicht mehr benötigt werden.
Vorstehend wurde lediglich auf zwei von zwölf Informationspflichten bei der Erhebung von Daten eingegangen. Bereits die Erfüllung dieser zwei Informationspflichten führt jedoch zu einer erheblichen Komplexität bei der Ausgestaltung einer Datenerhebung. Es ist daher nicht nur erforderlich, die eigenen Dokumente, z. B. die Aufklärungsdokumente im Zusammenhang mit Einwilligungen, anzupassen, sondern auch die eigenen Prozessabläufe, z. B. im Hinblick auf die Löschung von Daten.
Was ändert sich bei der Erteilung von Einwilligungen?
Änderungen ergeben sich auch im Bereich der Einwilligung. Zwar verbleibt es dabei, dass die Erteilung einer Einwilligung als Erlaubnistatbestand zulässig ist. Jedoch muss nun bereits bei der Abgabe der Einwilligung über das Recht, die Einwilligung widerrufen zu dürfen sowie die Folgen des Widerrufs, belehrt werden. Ferner gilt ein strengeres Freiwilligkeitsgebot (oder Koppelungsverbot). Muss ein Kunde im Rahmen eines Vertragsabschlusses z. B. zwingend zugleich in den Erhalt eines Newsletters einwilligen, wird die Einwilligung nicht freiwillig und damit unwirksam sein.
Welche weiteren Neuregelungen gibt es?
Zahlreiche Grundstrukturen des bisherigen Datenschutzrechts werden zwar beibehalten. Zugleich kommt es jedoch zu etlichen Neuerungen. Zu nennen ist etwa die Pflicht, Datenschutzverletzungen innerhalb von 72 Stunden der Aufsichtsbehörde zu melden. Neu sind auch die Anforderungen an die Gestaltung von Technik selbst und zwar durch die Grundsätze „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“. Danach müssen technische Systeme im Grundmodus so konfiguriert sein, dass sie möglichst wenig personenbezogene Daten verarbeiten. Ferner gelten für Onlineauftritte neue Informationspflichten.
Was gilt für den Bereich der Sozialgesetze?
Eine Änderung der Sozialgesetzbücher (SGB I und SGB X) wurde bereits beschlossen. Danach werden die datenschutzrechtlichen Regelungen der Sozialgesetbücher ebenfalls unter die Geltung der DSGVO gestellt. Es wurden jedoch Öffnungsklauseln der DSGVO genutzt, sodass die meisten der bisherigen Regelungen im Grundsatz bestehen bleiben. Auch im Sozialbereich sind nun aber z. B. die oben dargestellten Informationspflichten bei der Erhebung von Daten zu beachten.
Was gilt für den kirchlichen Bereich?
Die Neuregelungen der DSGVO entfalten auch Wirkung für den kirchlichen Bereich. In der DSGVO ist jedoch eine Öffnungsklausel vorgesehen, wonach kirchliches Datenschutzrecht weiterhin gelten darf. Dies jedoch nur, soweit das kirchliche Datenschutzrecht mit der DSGVO „in Einklang gebracht“ werden kann. Auch im kirchlichen Bereich erfolgen daher Anpassungen. So hat die Synode der Evangelischen Kirche in Deutschland im November 2017 den Beschluss über ein an die DSGVO angepasstes EKD-Datenschutzgesetz gefasst.
Welche Rechtsfolgen sind bei Verstößen vorgesehen?
Datenschutzverstöße können unter der Geltung der DSGVO erhebliche Folgen haben. Denn die DSGVO sieht an großen Wirtschaftsunternehmen orientierte Bußgeldrahmen vor, nämlich von bis zu 20 Mio. EUR oder – falls höher – 4 % des weltweiten Jahresumsatzes. Die Bußgelder sollen in jedem Einzelfall zwar noch angemessen, aber ausdrücklich „abschreckend“ sein. Bislang betrug der Bußgeldrahmen nach dem BDSG lediglich bis zu 0,3 Mio. EUR.
Erwartungsgemäß war der Bußgeldrahmen ein Punkt, der bei der Anpassung des kirchlichen Datenschutzrechts abweichend geregelt wurde. Auch im kirchlichen Bereich ist nun jedoch ein vergleichsweise hoher Bußgeldrahmen von bis zu 0,5 Mio. EUR vorgesehen.
Eine weitere, bedeutende Folge eines Datenschutzverstoßes kann die folgende sein: Die Rechtsprechung entscheidet zunehmend, dass Datenschutzverstöße abmahnfähig sind. Das bedeutet, dass Mitbewerber oder z. B. Schutzverbände Schreiben versenden lassen können, in denen neben einer Kostenerstattung insbesondere zur Unterlassung und zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert wird. Neben einem Vorgehen der Datenschutzbehörden ist deshalb zunehmend mit einem Vorgehen von Mitbewerbern und Verbänden zu rechnen.
Datenschutz 4.0 – Weitere Ergänzungen für die elektronische Kommunikation
Die DSGVO soll durch eine Verordnung für den Bereich der elektronischen Kommunikation (E-Privacy-Verordnung) flankiert werden. Diese Verordnung liegt derzeit allein im Entwurf vor. Der bislang geplante Geltungsbeginn zusammen mit der DSGVO Ende Mai 2018 wird vermutlich nicht mehr eingehalten werden können. Die E-Privacy-Verordnung enthält insbesondere Regelungen für den Bereich des Internets und den Umgang mit Daten in elektronischen Geräten, wie Smartphones und Computern. Auch der zulässige Einsatz von Cookies wird geregelt werden.
Nach dem gegenwärtigen Entwurf bedürfen Zugriffe auf Daten in elektronischen Geräten – neben engen Ausnahmefällen – grundsätzlich einer Einwilligung durch ein Opt-In, also einer aktiven Erteilung der Einwilligung. Anders als die DSGVO gilt die E-Privacy-Verordnung dabei nicht nur für personenbezogene Daten sondern für sämtliche Daten. Es bleibt jedoch abzuwarten, welchen genauen Inhalt die endgültige E-Privacy-Verordnung haben wird.
Praxisbericht auf dem Non-Profit-Forum
Über die ersten Erfahrungen in der Praxis mit der neuen DSGVO und ihren Begleitregelungen wird im Rahmen des Non-Profit-Forums am 25.10.2018 berichtet werden.
Dr. Gerrit Hötzel
g.hoetzel@voelker-gruppe.com