Datenschutz im Umbruch
Für viele Unternehmen handelte es sich bei dem Thema Datenschutz bislang um das ungeliebte und vernachlässigte Stiefkind. Aktuell beschäftigen sich jedoch erstaunlich viele Unternehmen intensiv mit der Planung und Umsetzung der europäischen Datenschutzgrundverordnung. Kein Wunder – den Unternehmen drohen nämlich drakonische Strafen bei Nichteinhaltung des neuen Rechtrahmens. Im Falle von Datenschutzpannen können neben irreparabler Imageschäden auch exorbitant hohe Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes fällig werden. Doch ist das wirklich ein Grund zur Panik? Ändert sich für Unternehmen wirklich so viel? Dieser Blog gibt einen Überblick darüber, was sich durch die Reform im Datenschutzrecht ändert.
Worum geht es beim Datenschutz?
Daten sind das Öl des 21. Jahrhunderts. Insbesondere im privatrechtlichen Bereich sind sie von enormer Bedeutung. Unternehmen versuchen für betriebswirtschaftliche Zwecke immer, so viele Kundendaten wie möglich zu erhalten. Hier setzt der Datenschutz an. Jeder Mensch soll selbst entscheiden können, welche Daten er von sich preisgibt. Der Datenschutz schützt nicht die Daten, sondern die Persönlichkeit und die Grundrechte des Menschen.
Welche Daten sind geschützt?
Das Datenschutzrecht schützt den Umgang mit personenbezogenen Daten und ist im Grundrecht auf informationelle Selbstbestimmung verankert. Geschützt werden aber nur persönliche Daten von natürlichen Personen, keine Unternehmensdaten. Welche Daten geschützt sind und wo das Recht auf informationelle Selbstbestimmung seinen Ursprung findet können Sie gerne in dem Blogbeitrag zum Datenschutz nachlesen.
Gesetzliche Lage
Als rechtliche Grundlage für den Schutz des Persönlichkeitsrechts dient ab 25. Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO). Ziel ist es die Datenschutzstandards in allen 28 EU-Mitgliedstaaten zu vereinheitlichen. Obwohl es sich um eine Verordnung handelt, welche in den EU-Mitgliedstaaten unmittelbar gilt und keine Umsetzungsspielräume gewährt, so ist sie eigentlich ein Hybrid zwischen Verordnung und Richtlinie. Innerhalb der DSGVO existieren nämlich über 60 sogenannte Öffnungsklauseln, die es den Mitgliedstaaten in einigen Bereichen erlauben unter gewissen Voraussetzungen von europäischen Standards abzuweichen. Aus diesem Grund tritt zeitgleich auf nationaler Ebene das Bundesdatenschutzgesetz (BDSG-neu) in Kraft, welches das deutsche Datenschutzrecht an die DSGVO anpasst.
Wann dürfen Daten verarbeitet werden?
„Weniger ist mehr“ ist der Leitgedanke des Datenschutzes. Entweder sollen gar keine oder nur die absolut notwendigen Daten durch die Unternehmen verarbeitet werden dürfen. Deshalb gilt unter der DSGVO (Art. 6), genau wie nach alter Rechtslage, das sogenannte „Verbotsprinzip“. Demnach ist jedes Erheben, Erfassen, Speichern, Verändern oder in anderen Worten jeder Verarbeitungsvorgang grundsätzlich verboten! Unternehmen dürfen personenbezogene Daten ihrer Kunden, Lieferanten oder Mitarbeiter deshalb nur verarbeiten, wenn ein Gesetz dies erlaubt, dies zur Erfüllung eines Vertrages erforderlich ist oder die Person ihre Einwilligung abgibt. Bestellen Sie sich z.B. einen Computer bei einem Online-Versandhandel, darf dieser Versandhandel ihre Adressdaten speichern, um seine Pflichten aus dem Kaufvertrag zu erfüllen. In diesem Fall stellt die Erfüllung eines Kaufvertrags einen sog. Erlaubnistatbestand dar und damit ist eine Verarbeitung der Daten gerechtfertigt.
Datenschutzrechtliche Grundsätze
Wie wir bereits gelernt haben, existieren Ausnahmen des Verbotsprinzips, die eine Datenverarbeitung erlauben. Das bedeutet aber nicht, dass mit Vorliegen einer Einwilligung o. Ä. durch die betroffene Person, jederzeit in beliebiger Art und Weise über diese persönlichen Daten verfügt werden kann. Damit ein ausgewogenes Verhältnis zwischen der Privatsphäre des Einzelnen und Verarbeitungserfordernis seitens des Unternehmens erreicht wird, gilt es genau wie bisher, einige datenschutzrechtliche Grundsätze zu beachten. Hier finden Sie einen ausführlichen Artikel zu den datenschutzrechtlichen Grundsätzen.
Bestellung eines Datenschutzbeauftragten
Das Bestellen eines Datenschutzbeauftragten wurde in der Vergangenheit, insbesondere von kleinen und mittelständischen Unternehmen, als kostenintensives Übel empfunden und daher häufig vernachlässigt. Durch die DSGVO besteht für die Unternehmen künftig ein erhöhtes Sanktionsrisiko. Bei Nichtbestellung – entgegen der gesetzlichen Verpflichtung – drohen Bußgelder von bis zu 10Mio. Euro oder 2% des weltweit erzielten Umsatzes (Art. 83 Abs. 4 DSGVO). Nach § 38 Abs. 1 BDSG –neu ist auch weiterhin ein betrieblicher Datenschutzbeauftragter zu benennen, sofern das Unternehmen in der Regel mindestens 10 Personen beschäftigt, welche mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Damit entspricht die Regelung des § 38 Abs. 1 BDSG-neu weitgehend seinem Vorgänger § 4f Abs. 1 S. f BDSG. Neu hinzugekommen ist die Bestellpflicht unabhängig von der Anzahl der Personen, sofern das Unternehmen einer sog. Datenschutz-Folgenabschätzung unterliegt. Diese ist erforderlich, wenn das Unternehmen über Datenverarbeitungsverfahren verfügt, die ein erhöhtes Risiko für die Grundrechte der Betroffenen bedeuten. Das früher als Vorabkontrolle bezeichnete Verfahren ist ein Instrument zur Risikoerkennung und -bewertung und wird vom Datenschutzbeauftragten durchgeführt (Art. 35 DSGVO).
Betroffenenrechte
Im Datenschutz geht es immer um den Menschen, also die betroffenen Personen, deren Daten geschützt werden. Vor diesem Hintergrund ist eines der Schwerpunkte der DSGVO, den Betroffenen mehr Rechte zu verleihen. Die Informationspflichten sind im Vergleich zu der früheren Regelung erheblich gestiegen. Den Auftakt macht in den Art. 13, 14 DSGVO das vielleicht wichtigste Betroffenenrecht, das Informationsrecht. Ziel dieses Rechts ist es, Transparenz für die Betroffenen zu schaffen. Sie werden darüber informiert, wer worüber wann und wie Daten über sie erhebt, verarbeitet oder speichert. Neu ist im Rahmen der Informationspflicht, dass die bloße Angabe der Identität des Verantwortlichen nicht mehr genügt. Die betroffenen Personen müssen fortan die Kontaktdaten der verantwortlichen Stelle und die des Datenschutzbeauftragten erhalten.
Darüber hinaus verleiht die DSGVO ein weitreichendes Auskunftsrecht. Die betroffenen Personen dürfen nach Art. 15 von dem verantwortlichen Unternehmen zunächst erfahren, ob personenbezogene Daten verarbeitet werden. Soweit dies der Fall ist, hat der Betroffene im zweiten Schritt ein Recht auf detaillierte Auskunft über alle Details der Datenverarbeitung. Die Unternehmen haben dem Auskunftsverlangen grundsätzlich kostenlos und spätestens innerhalb eines Monats nachzukommen.
Was im Netz steht, bleibt? Nicht unter Geltung der DSGVO. In Art. 17 DSGVO kodifiziert die Verordnung das sog. „Recht auf Vergessenwerden“. Dahinter verbirgt sich nicht etwa ein digitaler Radiergummi oder ein Verfallsdatum für persönliche Daten. Es geht darum, dass Unternehmen verpflichtet werden personenbezogene Daten zu löschen, wenn betroffene Personen der Datenverarbeitung widersprechen und / oder keine legitimen Gründe mehr für die Speicherung existieren. Bereits das BDSG forderte in § 35 Abs. 2 zur Löschung unzulässig gespeicherter Daten auf, sodass hinsichtlich der Löschpflichten keine wesentlichen Neuerungen dazukommen. Allerdings wird es für die Unternehmen wichtiger werden, ein wirksames Lösch- und Sperrkonzept zu erstellen, um den Rechten der Betroffenen ordnungsgemäß nachkommen zu können.
Mit Art. 20 DSGVO findet das Recht auf Datenübertragbarkeit Einzug in das europäische Datenschutzrecht. Es handelt sich um ein gesetzgeberisches Novum im europäischen Datenschutzrecht, wodurch das Recht auf „Mitnahme“ der personenbezogenen Daten verliehen wird. Dies soll den Betroffenen einen Wechsel zwischen den Diensten verschiedener Anbieter erleichtern. Wie Unternehmen diesen Wechsel in der Praxis umsetzen sollen, lässt die DSGVO hingegen offen. Ungeklärt sind aktuell noch, wie Anspruchsberechtigte und Empfänger ordnungsgemäß identifiziert werden können, welche Formate sich durchsetzen werden und wie es sich um die Datensicherheit bei der Datenübertragung verhält. Vor allem kleine und mittelständische Unternehmen brauchen hinsichtlich dieser Fragen noch Unterstützung durch den Gesetzgeber. Insgesamt geht es bei diesem Recht weniger um den Datenschutz im klassischen Sinne, sondern darum, ein stärkeres Gleichgewicht zwischen Betroffenen und Dienstanbietern zu erreichen.
Fazit – Wer nicht hören will, muss fühlen!
In der Vergangenheit gab es viele Unternehmen, welche die datenschutzrechtlichen Anforderungen der Richtlinie 95/46/EG nur unzureichend beachtet haben. Man könnte auch sagen, dass es sich bei Datenschutz bisher um ein vernachlässigtes Grundrecht handelte. Doch nun befindet sich das Datenschutzrecht im Umbruch und auch die Einstellung der Unternehmen zum Datenschutz scheint sich zu Gunsten der Betroffenen gewendet zu haben. Man braucht nicht sonderlich Fantasie, um zu erkennen, dass der Bedeutungszuwachs in der betrieblichen Praxis auf den erweiterten Bußgeldrahmen zurückzuführen ist. Vor diesem Hintergrund ist es nicht überraschend, dass es die Unternehmen vor eine große Herausforderung stellt, ihre Datenverarbeitungsprozesse an die DSGVO anzupassen. Schließlich wurde es bisher verschlafen die datenschutzrechtlichen Standards einzuhalten.
Summa summarum bringt die DSGVO etwas umfangreichere Anforderungen für Unternehmen als unter Geltung der Richtlinie 95/46/EG. Das datenschutzrechtliche Rad wird jedoch längst nicht neu erfunden. Wesentliche Elemente des Datenschutzrechts bleiben gleich, einiges wird modifiziert und teilweise verändern sich lediglich die Begrifflichkeiten. In der Zukunft wird es für Unternehmen immer wichtiger, sich im Zweifelsfall datenschutzrechtlichen Expertenrat einzuholen, um Datenschutzverstößen präventiv entgegenzuwirken.
Spannend ist, wie die Unternehmen die neue DSGVO umsetzen, da es wie beschrieben mit hohen Aufwendungen verbunden ist. Dennoch sind die erhöhten Datenschutzanforderungen in der heutigen (digitalen) Welt unbedingt notwendig um einen wirklichen Schutz zu gewähren und Unternehmen auch zur Verantwortung zu ziehen.
Fraglich ist, ob die DS-GVO ihrem Anspruch, den heutigen Datenschutzanforderungen gerecht zu werden, genügen kann. Zwar wurde mit der Verordnung das schärfste Schwert der EU angewandt, sie gilt im Gegensatz zur vorangegangenen Richtlinie unmittelbar, dennoch haben sich die Anforderungen in Deutschland nicht wesentlich verändert. Gerade im Rahmen von immer häufiger werdenden Big Data-Anwendungen stellt sich die Frage der Vereinbarkeit mit den geltenden Datenschutzvorschriften.
Vorteil der DS-GVO ist zumindest das eingeführte Marktortprinzip, dass es für Unternehmen nicht mehr möglich macht, strenge Vorgaben in Deutschland bspw. mit einer Datenverarbeitung in den USA zu umgehen.
Zwar werden die Unternehmen bei der Umsetzung vor eine große Herausforderung gestellt, allerdings bleibt abzuwarten, ob die Nutzer ihre neuen Rechte in diesem Umfang überhaupt einfordern. Besonders im Hinblick auf das „Privacy Paradox“ wird sich zeigen, ob der Endnutzer seine Daten tatsächlich als so schützenswert empfindet, oder in bereits bekannte Muster zurückfällt.
Das sehe ich auch so. Die schlechtesten Datenschützer sind die User selbst…
Der Gedanke, einen verstärkten Datenschutz einzuführen ist grundsätzlich gut und wichtig. Insbesondere sollte durch die DSGVO ein einheitliches Schutzniveau in allen EU-Mitgliedsstaaten gewährleistet werden. Dass sich die EU dabei für eine Verordnung und nicht etwa für Richtlinien entschied, unterstreicht die Wichtigkeit. Durch hohe Bußgelder soll Druck auf Unternehmen ausgeübt und die Einhaltung der Gesetzte garantiert werden. Allerdings sorgte die DSGVO im Vorfeld insbesondere bei kleinen Unternehmen für Angst und Schrecken. Arbeitsprozesse mussten umgestellt, Internetpräsenzen überarbeitet werden. Man befürchtete eine regelrechte Abmahnwelle. Manch einer gab aus Furcht vor hohen Sanktionen ganz auf und zog sich vorerst aus dem World Wide Web zurück. Die fehlende Rechtssicherheit sorgte für Chaos. Mittlerweile hat sich die Lage beruhigt. Viele Erhebungsprozesse werden inzwischen mit dem weit gefassten „berechtigten Interesse“ aus Art.6 Abs. 1 S. 1 lit. f DSGVO legitimiert. Nach der großen Panik folgt nun also eine Gelassenheit bis Gleichgültigkeit. In der Konsequenz bleibt zu sagen: schöne Idee, mittelmäßige Umsetzung!