Autor: Rechtsanwalt Markus Reichel
Das Thema Datenschutz ist präsent, in den Medien, bei Verbrauchern und besonders in Unternehmen, für den Umgang mit ihren Kundendaten. Datenschutzpannen schwächen das Vertrauen in Unternehmen und können deren Ruf massiv schädigen.
Der folgende Beitrag beschäftigt sich mit dem bevorstehenden Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO / DSG-VO), welche den rechtlichen Rahmen im Umgang mit personenbezogenen Daten in der EU umfassend neu regelt.
Wie sogenannte personenbezogene Daten zu handhaben sind, regelte bisher vor allem das deutsche Bundesdatenschutzgesetz (BDSG). Nun wurde das Datenschutzrecht europaweit in einer Rechtsverordnung neugefasst. Diese Rechtsverordnung gilt unmittelbar und verbindlich ab dem 25.05.2018 für Unternehmen und Behörden, die personenbezogene Daten verarbeiten. Die DSGVO spricht hierbei von den „Verantwortlichen“, dies können neben Unternehmen auch natürliche Personen, sowie Vereine und Einrichtungen sein.
Der folgende Beitrag soll die Anforderungen skizzieren, welche sich im Umgang mit diesen Daten ergeben.
1. Was sind personenbezogene Daten?
Personenbezogen sind Daten dann, wenn sie sich einer bestimmten Person zuordnen lassen und zu deren Identifizierung beitragen. Hierunter fallen neben dem Namen der Person selbst, auch deren Wohnort, Geburtsdatum, Adresse und andere Daten, die zwar für sich gesehen nicht eine bestimmte Person eindeutig beschreiben, mit denen es aber möglich ist, diese zu identifizieren (z.B. Geschlecht, Augenfarbe, Alter). Schließlich fallen darunter auch Nummern bzw. Kennziffern, die für eine Person vergeben werden, z.B. Steuer- oder Kundennummern. Nach der Rechtsprechung des europäischen Gerichtshofes (EuGH) ist auch die IP-Adresse, mit der eine Person im Internet surft, ein personenbezogenes Datum, da es mit der IP-Adresse möglich ist, deren Anschlussinhaber eindeutig zu identifizieren.
2. Anforderung an die Verarbeitung von personenbezogenen Daten durch die europäische Datenschutz-Grundverordnung (DSGVO)
Verantwortliche im Sinne der DSGVO (also Unternehmen, Behörden, Vereine) verarbeiten täglich eine Vielzahl von personenbezogenen Daten, ob bei der Bearbeitung von Kundenaufträgen, oder im Zuge von Werbemaßnahmen und vor allem bei Handelsaktivitäten im Internet. Auch das alte BDSG sah die Pflicht einer Dokumentation der Verarbeitungsvorgänge bei personenbezogenen Daten vor, die DSGVO übernimmt diese Dokumentationspflichten.
Verantwortliche sind verpflichtet ein Verzeichnis (sog. Verfahrensverzeichnis) vorzulegen, in dem sie ihre datenschutzrelevanten Vorgänge darlegen.
Nach der DSGVO gilt dies vor allem für Unternehmen mit mindestens 250 Mitarbeitern, oder wenn diese, bzw. andere Verantwortliche, unabhängig von ihrer Größe, Daten von Kunden, Beschäftigten, Mitgliedern usw. regelmäßig verarbeiten, oder wenn Kundendaten ausgewertet werden (sog. Scoring) bzw. es sich um besonders sensible Daten handelt (z.B. Gesundheitsdaten).
Gerade auch kleine Betriebe mit zahlreichen Kunden und einem Kundenstamm werden somit auch nach der DSGVO, unabhängig von deren Größe, verpflichtet sein, ein solches Verfahrensverzeichnis zu führen.
Dort angegeben sein müssen unter anderem die Kontaktdaten des Verantwortlichen, der Zweck der Datenverarbeitung, ob Daten an Dritte (besonders in Nicht-EU Länder) weitergegeben werden, wie lange Daten aufbewahrt und nach welchen Fristen diese gelöscht werden.
Auch ist eine Einordnung der erhobenen Daten in Kategorien vorzunehmen (also z.B. „Kundenname“, „Adresse“, „Rechnungen“, „offene Forderungen“ usw.).
Schließlich muss der Verantwortliche in dem Verfahrensverzeichnis auch darlegen, welche Sicherheitsmaßnahmen er bei der Datenverarbeitung einsetzt (insbesondere IT-Sicherheit, aber auch organisatorische Maßnahmen, die z.B. sicherstellen, dass Daten nur an die entsprechenden zuständigen Personen gelangen).
3. Informationspflicht des Unternehmers
Transparenz ist Gebot. Die Person, von der Daten erhoben wird, soll zukünftig ein Recht haben, über Datenverarbeitungsvorgänge ihr betreffend umfassend informiert zu werden.
Gemäß Art. 13 DSGVO muss derjenige, der personenbezogene Daten erhebt, mitteilen, für welche Zwecke er die Daten benötigt. Wichtig ist dies insbesondere bei Homepages und Angeboten im Internet. Eine Informationspflicht entsteht beispielsweise schon dann, wenn ein Kunde mittels eines Formulars Kontakt mit dem Unternehmen aufnehmen kann und dazu seinen Namen und seine E-Mail Adresse angeben muss. Wer einen Online-Shop betreibt und besonders sensible Daten, wie Zahlungsdaten des Kunden, abfragt, muss darauf hinweisen, wer die eingegebenen Daten verarbeitet, z.B. ein externer Zahlungsdienstleister. Gleiches gilt, wenn auf der Homepage soziale Medien eingebunden sind.
Wichtig ist, dass demjenigen, von dem Daten erhoben werden, entsprechende Kontaktdaten zur Verfügung gestellt werden, damit er sich informieren kann, was mit seinen Daten geschieht und wie der Verantwortliche diese nutzt.
Jede Person, von der personenbezogene Daten erhoben werden, hat gemäß Art. 15 DSGVO ein umfassendes Auskunftsrecht gegen den Verantwortlichen, der die Daten abfragt.
Der Verantwortliche muss ferner mitteilen, dass ein solches Auskunftsrecht überhaupt besteht und auch auf die zuständige Aufsichtsbehörde für Datenschutz hinweisen.
Dabei sind die umfassenden Auskunftsrechte der betroffenen Person leicht zugänglich und verständlich darzustellen, z.B. durch entsprechende Bildsymbole zur Veranschaulichung.
4. Datenschutz und Werbung
Besonders Unternehmen sind auf Kundenbindung und -gewinnung angewiesen. Das bis zur Geltung der DSGVO im Mai 2018 noch anwendbare BDSG regelt die Zulässigkeit der Nutzung von personenbezogenen Daten für Werbezwecke sehr genau und detailliert.
Die DSGVO verfolgt einen anderen Ansatz und fragt danach, ob ein berechtigtes Interesse des werbenden Unternehmens vorliegt, um personenbezogene Daten für Werbezwecke zu benutzen.
Ausgangspunkt hierfür ist stets die notwendige Einwilligung des Kunden zur Nutzung seiner Daten für Werbezwecke, insbesondere muss der Kunde hierbei für die konkrete Art der Werbung (E-Mail, Telefon usw.) einwilligen, eine Generalerlaubnis ist dagegen unwirksam.
Auch besteht die Pflicht, dem Kunden bei Gewinnspielen oder Treueaktionen klar darauf hinzuweisen und seine Einwilligung hierfür einzuholen, falls die in diesem Zuge erhaltenen Daten für Werbezwecke genutzt werden sollen.
5. Maßnahmen ergreifen!
Das bevorstehende Inkrafttreten der DSGVO zeigt, dass der Gesetzgeber die Sensibilität persönlicher Daten erkannt hat. Dennoch werden die Belange von Unternehmen und die Notwendigkeit der Erhebung und Verarbeitung personenbezogener Daten in der heutigen Zeit berücksichtigt.
Dabei sind die Verantwortlichen, die Daten verarbeiten, in der Pflicht.
Um insbesondere einer Verhängung von Geldbußen durch Datenschutzbehörden und wettbewerbsrechtlichen Abmahnungen wegen Verstößen gegen das neue Datenschutzrecht zuvorzukommen, empfiehlt sich die Einholung von Rechtsrat bei einer Rechtsanwaltskanzlei, welche zum Thema Datenschutz berät, prüft und gestaltet.