DSGVO - Das neue Datenschutzrecht in Deutschland

Seit dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO) zeitgleich ist ein neues Bundesdatenschutzgesetz (BDSG neu) in Kraft getreten. In Behörden, Firmen und natürlich bei Selbstständigen löst das aktuelle Datenschutzrecht hektische Aktivitäten aus. Nicht weil sie die Einführung verschlafen haben, sondern weil die Rechtslage und ihre konkrete Umsetzung an vielen Stellen noch unklar ist. Normalerweise helfen bei wichtigen und interpretationsfähigen Gesetzen juristische Kommentare und Referenzurteile weiter. Momentan ist hier die Lage noch unbefriedigend. Es gibt zwar bereits einige Kommentare zur DSGVO, jedoch zu wenige Detailinformationen zum neuen BDSG. Letzteres ist ja quasi ein Teil der DSGVO: Jener der die Öffnungsklausel umsetzt, nach der EU-Nationalstaaten Teilbereiche des Datenschutzrechts autonom regeln dürfen. In Deutschland fallen darunter beispielsweise der Arbeitnehmerdatenschutz sowie spezielle Regeln für den Datenschutz bei Medien, der nun ausschließlich in Rundfunk-Staatsverträgen und den Landesgesetzen geregelt werden müssen.

Was will, was regelt die Datenschutz-Grundverordnung (DSGVO)?

Wir können in diesem Ratgeber nur in Grundzügen erläutern, worum es da überhaupt geht, warum der Datenschutz ein Thema für alle Selbstständigen ist und was akut getan werden sollte – und ansonsten auf Fachdienste im Internet und Fachdienstleister verweisen. Denn: Welche eigenen Geschäftsprozesse dokumentiert und welche angepasst werden müssen, welche Aufzeichnungen vorzubereiten und Vorkehrungen zu treffen sind, hängt schlicht vom Geschäft und dem Umfang der Datenspeicherung ab.

Für einen Schnelleinstieg ins Thema finden wir den Mini-Onlinekurs von elopage besonders geeignet. Ein anderes, etwas betulicheres Online-Tool mit einfachen Basis-Fragen, um kurz zu checken, welche Anforderungen sich ergeben können, gibt es beim Bayrischen Landesamt für Datenschutzaufsicht. Kurz vor Ende der Umsetzungsfrist kam dann auch die EU mit einer interaktiven Infografik um die Ecke, in der unter unter "Was muss Ihr Unternehmen tun?" in Stichworten steht, wer was umzusetzen hat und generell wozu die DSGVO (aus EU-Sicht) dienen soll.

Die Grundprinzipien

Die neuen Grundprinzipien sind eigentlich die alten. Der Ansatz und die Anforderungen des Datenschutzes werden durch die DSGVO nicht verändert, weshalb die meisten der im Folgenden genannten Herausforderungen nicht wirklich neu (und hoffentlich bereits länger umgesetzt) sind. Zentral geht es dabei um den Verbraucher- und Kundenschutz, weniger um die geschäftlichen Kontakte mit und Daten von Auftraggebern, die natürlich aber auch betroffen sein können:

Personenbezogene Daten dürfen nur für "festgelegte, eindeutige und legitime Zwecke" (Art. 5 DSGVO, Absatz 1 b) verarbeitet werden. Und das unter dem Grundsatz der Datensparsamkeit und Richtigkeit. Sie müssen auf ein notwendiges Maß beschränkt sein (Art. 5 DSGVO, Absatz 1 c) und wenn Fehler moniert werden "unverzüglich gelöscht oder berichtigt werden" (Art. 5 DSGVO, Absatz 1 d).

Alle personenbezogenen Daten müssen angemessen gegen fremden Zugriff gesichert sein und sind zu löschen, sobald sie nicht mehr gebraucht werden. Und natürlich muss bei Speicherung solch sensibler Daten der oder die Gespeicherte zustimmen und das nachgewiesen werden können. Wirklich neu ist hier eigentlich nur: Wer solche Daten auf fremde Servern aufspielt, muss dessen Betreiber – etwa einen Webhosting-Dienst – vertraglich an den Datenschutz binden oder die Betroffenen müssen dieser sogenannten Auftragsdatenverarbeitung einzeln und ausdrücklich zustimmen. - Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet die Seite Onlinehändler-News einen gleichnamigen Artikel ausführlicher und kommt zum Schluss: Im Zweifel ja. Insbesondere auch, wenn Google Analytics eingesetzt wird, weil sich auf das Thema schon die Abmahnanwälte gestürzt haben. Siehe dazu Details im Text Datenschutzkonforme Website und Angebote unter der Zwischenüberschrift Web-Hosting und Analysetools.

Wozu dient das Ganze?

Die Grundprinzipien, die Artikel 5 DSGVO als generelle Normen festlegt, sind weitgehend selbsterklärend. Personenbezogene Daten dürfen ausschließlich verwendet werden, wenn

  • für die Einzelnen transparent ist, welche ihrer Daten wie und warum verarbeitet werden und sie im Zweifel ausdrücklich eingewilligt haben;
  • die Daten nur dafür verwendet werden, wofür sie erhoben werden. Der Zweck darf im Nachhinein nicht wesentlich verändert werden;
  • die personenbezogenen Daten so sparsam wie möglich genutzt werden und beispielsweise nicht auf Vorrat angelegt werden;
  • ein Schutz vor unbefugtem Zugriff auf die Daten besteht.

Diese Prinzipien sind auch nicht wirklich neu. Was aber systematisch gegenüber dem bisherigen nationalen Datenschutzrecht stärker betont wird, ist die Vorsorge zur Vermeidung von Fehlern (und entsprechend hohe Bußgelder wenn die der Grund für Datenpannen ist). Die DSGVO erinnert also noch mal nachdrücklicher an den existierenden Grundsatz des Datenschutzes: Jede Speicherung persönlicher Daten ist verboten, wenn es keinen guten Grund gibt, sie aufzubewahren.

Die grundsätzlichen Herausforderungen

Die Anforderungen in Sachen Datenschutz sind für die meisten Werkvertragsunternehmer und Dienstleisterinnen durchaus zu bewältigen und überschaubar. Es ist ja nicht so, dass seit dem 25. Mai 2018 jeder mit einem Bein im Knast steht, der kein eigenes Datenschutz-Konzept hat. – Wer aber mit personenbezogenen Daten hantiert, braucht ein Datenschutz-Konzept und gegebennenfalls eine Datenverarbeitungs-Dokumentation. Das gilt insbesondere für den Online-Handel, den Versand von Newslettern oder jene, die viele Adressdaten von Kunden bekommen. In solchen und ähnlichen Fällen ist es notwendig, Geschäftsprozesse in denen Daten erhoben und verarbeitet werden zu dokumentieren und auf mögliche Probleme abzuklopfen. Grundsätzlich gilt:

Daten(schutz)

  • Erlaubnis: Keine Speicherung von personenbezogenen Daten ohne ausdrückliche Erlaubnis oder gesetzliche Vorgabe.
  • Einwilligung: Jeder Kontakt und Kunde ist leicht verständlich über die Speicherung und insbensondere die Weitergabe seiner Daten zu informieren. Alle Einwilligungserklärungen, auch die in Verträgen, sind entsprechend zu erstellen, zu ergänzen oder anzupassen.
  • Datenschutzerklärung: Dieses zentrale Statement gehört zu jedem eigenen Webauftritt. Es muss von jeder einzelnen Seite per Klick erreichbar sein. Und da Website-Nutzer nicht ohne Zustimmung nachverfolgt werden dürfen, braucht es auch für jedes nicht anonyme Tracking eine ausdrückliche Zustimmung per Opt-in.
  • Dokumentation: Alle gespeicherten Personen haben das Recht, innerhalb eines Monats darüber informiert zu werden, welche Daten von ihnen warum verarbeitet werden. Das bedeutet, dass diese Informationen sinnvoll und schnell auffindbar abgelegt werden.
  • Verzeichnis der Verarbeitungsschritte: Erfolgt die regelmäßige Verarbeitung von personenbezogenen Daten oder werden sensible Daten erhoben, gelten besonders hohe Standards. Hier muss ein Verzeichnis der Verarbeitungsschritte selbt dann geführt werden, wenn man nur ein Kleinstunternehmen betreibt.
  • Aufbewahrung: Alle pesonenbezogenen Daten sind - egal ob analog oder digital gespeichert - gegen Zugriff gesichert aufzubewahren.
  • Löschen: Nicht mehr gebrauchte Daten sind ohne Aufforderung zu löschen und auf jeden Fall dann, wenn gespeichte Personen das verlangen. Eine Ausnahme bilden natürlich Daten, die noch für die Steuer oder wegen anderer gesetzlicher Vorschriften aufbewahrt werden müssen.
  • Weitergabe: Bei jeder Weiergabe von personenbezogenen Daten (der eigenen Kunden) ist ein Vertrag zur Auftragsdatenvereinbarung mit dem Empfänger solcher Daten fällig. Etwa beim Mailversand über einen Dienstleister. Datenschutzrechtlich bleibt dabei der Auftraggeber verantwortlich.
  • Auskunft: Betroffene, die danach fragen, müssen innerhalb von vier Wochen Auskunft darüber bekommen, welche Daten von ihnen gespeichert sind.
  • Portabilität: Ebenfalls innerhalb von vier Wochen müssen einer gespeicherten Person alle personenbezogenen Daten in einer auslesbaren Form (etwa) einer Excel-Tabelle übergeben werden, wenn sie diese weitergeben will. Externe Hintergrundinformationen zur neuen Datenportabilität gibt es hier.

Je nach Geschäftsmodell reicht die Spanne des Handlungsbedarfs daher auch für Solo-Selbstständige von "dringend" bis "Entwarnung". Grundsätzlich lohnt es sich – nicht zuletzt wegen der happigen Bußgelder – zu checken, ob etwas zu tun ist und sich klar zu machen, ob die Daten anderer Personen durch die eigenen Datenbanken und Websites rauschen - und wie deren Verarbeitung rechtskonform bleibt.

Wer verpflichtet ist Datenschutzbeauftragte zu bestellen oder es tun will, weil das Thema einfach zu komplex für den eigenen Geschäftsbetrieb ist, kann externe Beauftragte bestellen. Die Kosten dafür starten bei etwa 150 €/Monat, die Stundensätze liegen in ähnlicher Höhe. Wer mit personenbezogenen Daten hantiert und sich vom Thema Datenschutz heillos überfordert fühlt, für den ist diese Investion - zumindest für eine Übergangszeit - lohnend. Im Prinzip gilt beim Datenschutz das Gleiche wie bei der Steuer: Externe Beratung zu engagieren, um sich auf's eigentliche Geschäft zu konzentrieren ist keine Schande, sondern schlicht professionell.

Drei Themen, die oft keine sind

Medial war ein wenig die Frage in den Vordergrund getreten, wer einen Datenschutzbeauftragten benennen muss und welche Dokumentationspflichten nach der DSGVO neu entstehen. Das erste Problem stellt sich für Solo-Selbstständige und die meisten Kleinunternehmen nur mittelbar: Internen oder externe (auf jeden Fall aber qualifizierte) Datenschutzbeauftragte muss nur benennen, wer regelmäßig zehn oder mehr Menschen mit personenbezogenen Daten hantieren lässt. Ob mit oder ohne die Pflicht, eine beauftragte Person zu benennen, bleibt ihr juristisch verantwortlich für die korrekte Datenverarbeitung. Schließlich gelten die grundsätzlichen gesetzlichen Bestimmungen zum Datenschutz unabhängig von der Unternehmensgröße. Bei extrem sensiblen Daten kann es allerdings sein, dass ein Unternehmen auch mit weniger als zehn Personen eine Datenschutz-Beauftragte benennen muss. So geht die Konferenz der unabhängigen Datenschutzbehörden beispielsweise in einem Beschluss vom 26. April 2018 davon aus, dass manche Arztpraxen und andere Gesundheitsberufe unter die Bestellpflicht fallen könnten.

Das zweite gern diskutierte Thema, die umfassende Dokumentation nach Artikel 30 der Verordnung. Also das berüchtigte "Verzeichnis von Verarbeitungstätigkeiten" - das die meisten Selbstständigen ebenfalls nicht betrifft. Wer weniger als 250 Mitarbeiter beschäftig, muss nicht alle Geschäftsprozesse in denen Daten erfasst und bearbeitet werden umfassend dokumentieren - außer die Verarbeitung "birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien". Letztere sind in Artikel 9 der Verordnung geregelt, der hier beispielsweise politische und sexuelle Überzeugungen, Gewerkschaftsmitgliedschaft und ethnische Merkmale als Kategorien nennt. Aktuelle Hinweise und Muster zum Verzeichnis von Verarbeitungstätigkeiten haben die Datenschutzbehörden von Bund und Ländern Mitte Februar 2018 erstellt und veröffentlicht.

Wettbewerbsrechtlich müssen sich Solo-Selbstständige wohl keine Gedanken machen: Das Datenschutzrecht ist erst einmal ein Persönlichkeitsschutzrecht. Ein Verstoß gegen den Datenschutz kann zwar - wie jeder Rechtsverstoß - auch wettbewerbsrechtliche Aspekte im Sinne des §3a UWG haben, jedoch ist das für "normale" Selbstständige eine höchst theoretische Gefahr. Sie ist nur dann ein Thema, wenn persönliche Daten selbst die Ware sind und kommerziell - etwa für Werbekampagnen - genutzt werden und gleichzeitig dabei auch noch Wettbewerber oder Verbraucher durch Verstöße gegen den Datenschutz benachteiligt werden. Wer solch sensible Geschäfte betreibt, braucht allerdings sowieso einen wirklich professionellen Datenschutz für seinen Betrieb.

Gefahren

Eine gewisse Verunsicherung insbesondere bei Kleinbetrieben ist berechtigt: Die juristische Lage ist im Detail noch nicht wirklich geklärt. Wie unsicher die rechtliche Lage für Laien wie Profis derzeit ist, zeigen auch die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK). In jedem dieser Papiere, die eine Einführung in einzelne Themenkomplexe des neuen Datenschutzrechts enthalten, steht der Hinweis "Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses." Anders gesagt: Selbst die wichtigen deutschen Datenschützer äußern sich noch sehr vorsichtig und die Bundesbeauftragte für den Datenschutz hält sich mit eigenen Veröffentlichungen zurzeit zurück. Es ist also tatsächlich nicht leicht, den gesetzlichen Anforderungen nachzukommen – weder für Behörden, noch für Konzerne, noch für Solo-Selbständige.

Da das neue Datenschutzrecht nun angewandt werden muss, werden sicherlich Abmahnkanzleien versuchen, damit ihr Geschäft zu machen. Das wird insbesondere bei Webseiten der Fall sein. Des Weiteren ist es theoretisch möglich, dass Aufsichtsbehörden zur Überprüfung der Einhaltung des Datenschutzes Kontrollen durchführen. Allerdings nicht im hierbei priviligierten Medienbereich. Aber auch diese theoretische Möglichkeit ist kein Grund zur Panik: Die die Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits beschwichtigt "Es muss sich keiner vorstellen, dass ab dem 25. Mai alle Aufsichtsbehörden nur noch ausschwärmen und alle aufsuchen, die die DSGVO nicht einhalten." (Quelle: ARD - Plusminus-Beitrag vom 23.5.18) Wohl auch, weil die Aufsichtsbehörden für den Datenschutz bislang personell gar nicht ausreichend ausgestattet sind, um ihrer Aufsichtspflicht nachzukommen. Zudem überprüfen sie normalerweise nicht aus eigenen Antrieb, ob das Datenschutzrecht in Firmen umsetzt wurde. Sie reagieren allerdings auf Beschwerden von Betroffenen zeitnah.

Bei Klagen Betroffener gegen Datenschutzverstöße sind bei schwerwiegenden Verstößen für Konzerne - aber eben nur für die - Geldbußen in Höhe von bis zu vier Prozent des Jahresumsatzes möglich. Mit gewaltigen Strafen müssen Solo-Selbständige nicht rechnen.

Fazit: Da das neue Datenschutzrecht einige unbestimmte Rechtsbegriffe und widersprüchliche Bestimmungen enthält, sind die Einhaltung und Kontrolle sehr schwierig. Rechtlich liegt vieles noch in einer Grauzone und wir können davon auszugehen, dass viele konkrete Anforderungen des neuen Datenschutzrechtes erst in einigen Jahren vorliegen werden. Da die Regeln aber eher für Facebook, Google und Co. gedacht sind dürften sie letztlich und langfristig den Solo-Selbstständigen (als Bürger) mehr nutzen, als sie ihnen (als Unternehmen) schaden.

Was ist akut zu tun?

Zuerst einmal Ruhe bewahren. Wer sich bislang an die Vorgaben des alten Datenschutzrechtes gehalten hat, ist prinzipiell auf der sicheren Seite und muss sich – wenn noch nicht geschehen – nur noch um die wirklich neuen Vorgaben kümmern und zuerst offensichtliche Schwachstellen schließen. Also jene Regeln umsetzen, die definitiv schon feststehenden und die Gefahr bergen, dass Abmahner Verstöße ausnutzen.

Der erste Schritt ist, die eigene Webseite rechtssicher zu machen. Worum es da alles geht und gehen kann, steht im Text Datenschutzkonforme Website und Angebote. Zumindest die von außen sichtbaren Fehler – etwa eine fehlende Datenschutzerklärung – gehören umgehend ausgebügelt. Ob ihr beispielsweise tatsächlich schon (soweit überhaupt notwendig), einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen habt und ob eure Dokumentation der Datenverarbeitungen in Ordnung ist, kann akut niemand sehen oder prüfen. Da kann also später noch dran gefeilt werden.

Das ist jetzt kein Aufruf zur Schlamperei: Es geht natürlich darum, den ganzen Geschäftsbereich zeitnah auf die Konformität mit der DSGVO zu überprüfen. Alle erkennbar notwendigen Angleichungen sind auch wirklich umzusetzen. Auch weil der Ärger und die Stafen größer werden, je länger die Leichen im Keller liegen. In größeren Firmen werden die betrieblichen Datenschutzbeauftragten die Firmeninhaber und die Mitarbeiter auf den aktuellen Rechtsstand bringen. Anders sieht es bei kleinem Firmen oder Selbstständigen aus, die müssen sich komplett selber darum kümmern – oder sich, wie schon beschrieben, externe Hilfe besorgen.

Vertiefende Informationen

Wer tiefer in das Thema einsteigen will oder muss, sollte sich frühzeitig informieren und im Zweifel auch externe Datenschützer bemühen, die für das eigene Unternehmen eine rechtssichere Datenschutz-Strategie entwickeln. Auch für kleinere Unternehmen geeignete Informationen finden sich (Stand: Mai 2018) unter folgenden Quellen:



Weitere Detailinformationen
Datenschutzkonforme Website und Angebote


Weitere interessante Links
DSGVO als PDF (EU-Amtsblatt vom 4.5.2016)
Adressen der DS-Beauftragten in EU, Bund, Ländern, Institutionen



© 2018 mediafon
Quelle: www.mediafon.net//ratgeber_detailtext.php3?id=5a85add57ab8c&ref=h_40e190af64867&view=print&si=5b6dd0832c2a3&lang=1
Druckdatum: 20.08.2018, 05:13:15