Es wird sich zwischenzeitlich herumgesprochen haben, dass ab dem 25. Mai 2018 eine neue Ära im Datenschutzrecht anbricht. Obwohl die EU-Datenschutz-Grundverordnung (DSGVO) bereits seit 2 Jahren in Kraft ist – der Geltungstermin 25. Mai kommt für die allermeisten Unternehmen genauso überraschend wie das jährliche Weihnachtsfest und die Erkenntnis, dass man noch Geschenke braucht.

Wer schon nach altem Recht (dem bisherigen Bundesdatenschutzgesetz) ordentlich aufgestellt war, den trifft es gar nicht spürbar, wenn die DSGVO startet.

Wer bisher aber geschludert hat, sollte alleine durch das neue Bußgeld ein Interesse daran haben, sich mit der DSGVO zu beschäftigen: Lag die Obergrenze bisher bei 300.000 Euro, steigt sie künftig auf 20 Mio Euro bzw. 4% vom weltweiten Unternehmensumsatz. Das ist allemal ein Grund, zuzüglich zur befürchteten Abmahnwelle, sich zu wappnen. Die DSGVO erfindet die Welt dabei nicht komplett neu. In manchen Bereichen geht es vielleicht etwas strenger zu, und in so manchen Bereichen würde man sich eine klarere Formulierung wünschen.

Beispiele für eine Datenverarbeitung

Im Alltag fallen eine ganze Reihe von Datenverarbeitungsvorgängen an: Abfragen von Mitarbeiterdaten für die Lohnbuchhaltung, Speicherung von Bewerbungen, Speicherungen in Mailprogrammen oder Telefonanlage/Handy, Speicherung von Lieferantendaten oder Kundendaten, Versand von Newslettern oder Einladungen zu Veranstaltungen, Weitergabe von Abrechnungsdaten an den Steuerberater, Kommunikation mit Mitarbeitern über deren privates Handy bzw. über Whatsapp usw.

Risikoanalyse

Neu ist, dass die DSGVO in vielen Fällen auf eine Risikoanalyse setzt: Der datenverarbeitende Unternehmer kann durchaus verschiedene Wege wählen, fremde Daten zu schützen – eben abhängig vom Risiko, der Schadenswahrscheinlichkeit und seinen technischen und organisatorischen Maßnahmen.

Die DSGVO eignet sich noch weniger als das bisherige Bundesdatenschutzgesetz dazu, bspw. die Datenschutzhinweise eines anderen Unternehmens einfach zu kopieren: Kleine Unterschiede in den Details führen zu erheblich anderen Formulierungen und Maßnahmen.

Das Datenschutzrecht verbietet zunächst die Verarbeitung fremder personenbezogener Daten – solange man keine gesetzliche Rechtsgrundlage dafür hat. Die prominenten Beispiele für Unternehmen sind:

  • Die Einwilligung,
  • Die Vertragserfüllung (inkl. Vertragsanbahnung),
  • Erfüllung rechtlicher Verpflichtungen (z.B. Übertragung an das Finanzamt) und
  • Berechtigtes Interesse.

Vorher prüfen und festlegen: Zweck und Rechtsgrundlage

Der Datenverarbeiter muss sich vor (!) der Erhebung von Daten (= z.B. bevor der Webseitenbesucher eine Mail schickt oder ein Webformular ausfüllt) überlegen, zu welchem Zweck er die eintreffenden Daten verarbeitet und auf welche Rechtsgrundlage er sich stützen kann.

Beispiel Arbeitnehmer: Hier ist der Zweck relativ einfach, der Arbeitgeber benötigt die Daten zur Lohnabrechnung und Kommunikation mit seinem Mitarbeiter. Auch die Rechtsgrundlage ist einfach: Die Vertragserfüllung gemäß Art. 6 Absatz 1 Buchstabe b DSGVO.

Wenn der Arbeitgeber aber auch das Geburtsdatum erfassen möchte, um seinen Mitarbeitern zum Geburtstag zu gratulieren, wird es nicht mehr so einfach. Denn dieser Zweck (Gratulation zum Geburtstag) ist nicht mehr vom Zweck der Vertragserfüllung erfasst: Der Arbeitgeber benötigt das Geburtsdatum (nur) für die Lohnabrechnung, nicht aber für die Gratulation. Für diesen Zweck kann er sich also nicht auch auf die Vertragserfüllung stützen, er benötigt vielmehr eine andere, geeignete Rechtsgrundlage. Das wäre hier bspw. das berechtigte Interesse: Das Interesse des Arbeitnehmers, dass sein Geburtsdatum nicht gespeichert würde zu Gratulationszwecken, überwiegt nicht das Interesse des Arbeitgebers, seinen Mitarbeitern gratulieren zu können und damit ein gutes Betriebsklima zu schaffen.

Man sieht an dem Beispiel: Die Datenverarbeitungsvorgänge werden durch die DSGVO nicht verboten (jedenfalls nicht mehr als vorher), aber der Verarbeiter muss sich vorher Gedanken machen – und diese dokumentieren! In unserem Beispiel muss der Arbeitgeber also vor der Erhebung die Lösung schriftlich festhalten, insbesondere die Abwägung für das berechtigte Interesse: Der Verordnungsgeber möchte nämlich vermeiden, dass man sich allzu schnell einfach auf das berechtigte Interesse stürzt, um fremde Daten verarbeiten zu können.

Nun könnte man auf die Idee kommen, solcherlei Überlegungen auch erst anzustellen, wenn die Datenschutzaufsichtsbehörde vor der Tür steht. Aber: Die DSGVO schreibt die Information an die Betroffenen (= die Person, deren Daten verarbeitet werden) grundsätzlich bei Erhebung der Daten vor. Der Arbeitgeber muss also seinem Arbeitnehmer dann, wenn der Arbeitnehmer Daten von sich preisgibt (spätestens beim Ausfüllen eines Fragebogens) auch die Datenschutzhinweise mitteilen.

Hieran schließt eine erhebliche Neuerung in der DSGVO an: Der Datenverarbeiter muss beweisen können, dass er datenschutzkonform arbeitet. Das kann er im Zweifel nur mithilfe von Dokumenten und Unterlagen, aus denen seine Maßnahmen und Bemühungen hervorgehen.

Beispiel Kontaktformular

Ein anderes Beispiel: Das Unternehmen bietet auf seiner Webseite ein Kontaktformular an. Auch hier muss das Unternehmen sich vorher überlegen, zu welchem Zweck es die eingehenden Daten verarbeiten möchte und auf welche Rechtsgrundlage man sich dabei stützen darf.

Und: U.a. eben dieser Zweck und diese Rechtsgrundlage müssen dem Webseitennutzer bekannt gegeben werden, bevor er das Kontaktformular ausfüllt und abschickt. Wie man das genau machen muss, ist u.a. eine Folge der Rechtsgrundlage, für die man sich entscheidet. Daher, wie man an diesem Beispiel gleich sehen wird, ist es wichtig, sich vorher Gedanken zu machen auch über die Rechtsfolgen seines Zwecks und seiner Rechtsgrundlage.

Zurück zum Beispiel mit dem Kontaktformular. Ein sachlicher Zweck der Erhebung kann bspw. sein, einem Webseitenbesucher die Möglichkeit zu geben, mit dem Unternehmen Kontakt aufnehmen zu können, wobei dieser Kontakt gar nichts mit einem potentiellen Vertrag zu tun haben muss – aber auch auf eine Anbahnung eines Vertrages gerichtet sein kann. Wir haben also zwei unterschiedliche Zwecke.

Nun braucht das Unternehmen noch eine Rechtsgrundlage dafür. Die Rechtsgrundlage für die mögliche Vertragsanbahnung ist auch wieder einfach: Auch hier kann sich das Unternehmen auf die Vertragserfüllung stützen, da darunter auch die Vertragsanbahnung fällt (also auch dann, wenn der Vertrag später nicht zustande kommt, durfte das Unternehmen die Daten des Anfragenden verarbeiten).

Schwieriger wird es aber bei dem allgemeinen Zweck. Hier kommt als Rechtsgrundlage nun die Einwilligung oder das berechtigte Interesse in Betracht.

In der DSGVO sind die Anforderungen an eine wirksame Einwilligung aber deutlich angehoben worden. U.a. muss der Datenverarbeiter einen in seiner Deutlichkeit nicht mehr zu überbietenden Einwilligungstext vorgeben, die Einwilligung muss freiwillig sein (sie darf also nicht an einen Leistungsbezug gekoppelt sein) und bei Einwilligungen von unter 16-jährigen Personen benötigt man die Zustimmung der Eltern.

Daher kann eine praktikablere Lösung sein, sich auf die Rechtsgrundlage des berechtigten Interesses zu stützen: Hier muss man aber vorher eine Abwägung vornehmen zwischen den Interessen des Betroffenen und den Interessen des Unternehmens. Im Falle des Kontaktformulars aber dürfte auch der Betroffene ein Interesse daran haben, dass er eine Antwort auf seine Frage erhält – und dazu muss der Unternehmer (zumindest) seine Mailadresse erheben.

Man kann angesichts der Anforderungen an die Einwilligung nur davor warnen, sich vorschnell bzw. aus alter Gewohnheit auf die Einwilligung zu stürzen. Wählt man eine andere Rechtsgrundlage, sollte man tunlichst das Wort „Einwilligung“ vermeiden. Insoweit sollte man also alte Formulare und Verträge überprüfen, ob man mit dem richtigen „wording“ arbeitet.

Datensparsamkeit

Der Datenverarbeiter darf nur solche Daten erheben und verarbeiten, die er unbedingt benötigt, um seinem Zweck zu genügen. Beispiel Kontaktformular: Wenn der Unternehmer per Mail antwortet, benötigt er nicht die Postanschrift des Anfragenden, also darf er sich auch nicht erheben.

Probleme in der DSGVO

Die DSGVO birgt einige noch ungelöste Rätsel. Zum Zeitpunkt des Erstellens dieses Beitrages jedenfalls sind die Rätsel noch ungelöst, dazu zwei Beispiele:

Problem 1: Der Telefonanruf – Platzierung der Datenschutzhinweise?

Die DSGVO verlangt die Datenschutzhinweise „bei“ Erhebung der Daten. Man stelle sich vor, ein potentieller Kunde ruft an. Allein beim Anruf erhebt und speichert die Telefonanlage die Nummer des Anrufers. Viele Unternehmen speichern zudem den Namen und das Anliegen, um bspw. dem Sachbearbeiter eine Mail mit der Rückrufbitte zu schicken. Wann und wie muss das angerufene Unternehmen nun dem Anrufer die Datenschutzhinweise mitteilen?

Dieses alltägliche Problem scheint die DSGVO geflissentlich übersehen zu haben. Auch die Datenschutzaufsichtsbehörden tun sich schwer mit einer Empfehlung und ziehen sich auf eine Wortauslegung der DSGVO zurück – was natürlich mit Praxistauglich dann gar nichts mehr zu tun hat: Man solle doch dem Anrufer gleich zu Beginn des Anrufs die Datenschutzhinweise vorlesen. Das sieht dann so aus: Angerufenes Unternehmen – „Guten Tag, hier ist die Fa. Müller GmbH, Sie sprechen mit Herrn Schneider. Bevor Sie etwas sagen dürfen, bitte ich um Geduld, da ich Ihnen zunächst unsere Datenschutzhinweise vorlese.“ An den Notruf bei der Polizei oder Feuerwehr möchte man da gar nicht denken…

Aber ernsthaft: Wann soll man nun die Datenschutzhinweise erteilen? Man könnte dem Anrufer die Hinweise im Nachgang per Mail schicken. Nur: Dazu muss man ja auch seine Mailadresse erheben und speichern. Es bleibt mit Spannung abzuwarten, wie sich die Gerichte zu dieser Alltagsfrage positionieren. Tatsächlich haben die Gerichte auch schon in anderen Gesetzen einen fragwürdigen Text praxisnah „korrigiert“.

Problem 2: Fotos der Veranstaltung

Wenn ein Mensch erkennbar auf einem Foto abgebildet wird, ist das datenschutzrechtlich auch ein „Datum“. Vor dem 25. Mai 2018 hat der nationale Gesetzgeber ausdrücklich dem Persönlichkeitsrecht (findet sich im Kunsturhebergesetz) den Vorrang vor dem Datenschutzrecht gegeben. Die Folge: Wenn eine fotografierte Person in die Verwertung einwilligt, kann sich nicht einfach so wieder widerrufen. Im Datenschutzrecht hingegen kann eine Einwilligung jederzeit widerrufen werden – bei Fotos, die verwendet werden, könnte das sehr ärgerlich werden. Außerdem sieht das Kunsturhebergesetz eine Reihe von Ausnahme der Einwilligungspflicht vor: Wenn die Person bspw. nur Beiwerk ist oder wenn sie sich auf einer zeitgeschichtlichen Veranstaltung aufhält (siehe § 23 Nr. 1 und 2  KUG).

In der DSGVO fehlt diese Vorrang-Bestimmung leider. Das Bundesinnenministerium ist der Auffassung, dass sich einerseits mit der DSGVO gar nichts verändern würde, aber andererseits sich der Fotograf auf die Einwilligung oder auf das berechtigte Interesse der DSGVO stützen könne. Spielt also die DSGVO nun doch hinein in das Persönlichkeitsrecht – also in die Fotos, die auf Veranstaltungen gemacht werden? In der Rechtswissenschaft gibt es auch gewichtige Stimmen, die bspw. durchaus von einem (neuen) Vorrang der DSGVO ausgehen. Es bleibt auch hier abzuwarten, wie sich die Gerichte entscheiden werden.

Der Schwarze Peter liegt erstmal beim Fotografen und Veranstalter: Am sichersten wäre es m.E., wenn man sich auf das berechtigte Interesse der DSGVO stützt, aber die Argumente aus dem Kunsturhebergesetz heranzieht: Wenn also eine Person zwar erkennbar auf dem Foto ist, aber nur Beiwerk (vgl. § 23 Absatz 1 Nr. 2 KUG), dann dürfte das Interesse des Fotografen bzw. Veranstalters überwiegen, Fotos von seiner Veranstaltung machen zu dürfen im Vergleich zum Anonymitätsinteresse des „Beiwerks“.

Nun darf man aber nicht vergessen, zu prüfen, ob und wie man die abgebildeten Personen über die Datenschutzmaßnahmen informieren muss (bei „Beiwerk“-Personen, die man nicht identifizieren kann, dürfte eine Informationspflicht entfallen).

Auch hier gilt: Vorsicht vor einem vorschnellen Griff zur Einwilligung. Denn die Einwilligung muss dem Einwilligenden u.a. deutlich machen, worin konkret er einwilligt. Und: Wie geht man damit um, wenn ein Gast nicht einwilligt – verliert man dann nicht schlimmstenfalls sein berechtigtes Interesse, weil der Gast womöglich mit der Nicht-Einwilligung deutlich macht, wie wichtig ihm das Nicht-Fotografiertwerden ist? Umso wichtiger ist, im Vorfeld sich sorgfältig über den Zweck und die geeignete Rechtsgrundlage der Fotos Gedanken zu machen.

Auftragsverarbeitung

Wir bleiben beim Beispiel des Fotografen: Wendet man hier das Datenschutzrecht an und beauftragt der Veranstalter den Fotografen mit der Erstellung von Besucherfotos, dann kann es sich um eine Auftragsverarbeitung handeln.

Ein Auftragsverarbeiter handelt im Auftrag und auf Weisung eines Auftraggebers mit dessen fremden Daten. Bspw. der Fotograf, aber auch die Eventagentur, die im Auftrag ihres Kunden dessen Gäste einlädt, ist ein Auftragsverarbeiter.

In diesem Fall müssen Auftraggeber und Auftragnehmer einen Vertrag schließen, und darin die gegenseitigen Rechte und Pflichten festlegen. Der Auftragsverarbeiter hat ein hohes Interesse an einer ordentlichen vertraglichen Vereinbarung: Denn er kann durchaus mit verantwortlich für Datenschutzverstöße gemacht werden, die in seinem Einflussbereich entstehen.

Gerade im Verhältnis verschiedener Dienstleister zueinander muss außerdem geprüft werden, ob es ggf. mehrere Verantwortliche nebeneinander gibt: Diese nennt man dann „Gemeinsam Verantwortliche“ – und wie die Bezeichnung schon sagt, droht auch hier Ungemach, wenn die gemeinsam verantwortlichen Datenverarbeiter sich nicht ausreichend vertraglich und inhaltlich absichern.

Dokumentation und Beweise

Man kann eines am wärmsten empfehlen: Der Datenverarbeiter sollte alle Überlegungen und Maßnahmen dokumentieren. Denn er ist in der Beweispflicht: Er muss beweisen, dass er alles richtig gemacht hat. Dazu gehört also nicht nur das Dokument für die Schublade, sondern bspw. regelmäßige Schulungen der Mitarbeiter, regelmäßige Überprüfungen der getroffenen Maßnahmen: Ist alles noch aktuell? Muss etwas angepasst werden?

Dazu dient auch das Verzeichnis der Verarbeitungsvorgänge, das künftig nahezu jedes Unternehmen erstellen (und aktuell halten) muss: Hierin werden alle Verarbeitungsvorgänge aufgelistet und u.a. die Löschfristen und technischen sowie organisatorischen Maßnahmen (TOM) hinterlegt.

Zum Abschluss eine Checkliste

Die DSGVO in wenigen Worten zusammenzufassen, ist ein Ding der Unmöglichkeit. Nichtsdestotrotz soll die folgende Checkliste versuchen, einen Überblick zu geben über die Aufgaben für (fast) jedes Unternehmen:

  1. Sind alle Datenverarbeitungsvorgänge identifiziert und klassifiziert?
  2. Sind für alle Datenverarbeitungsvorgänge u.a. geprüft: Zweck, Rechtsgrundlage, Datenminimierung, Löschfristen usw.
  3. Werden Daten weitergegeben?
  4. Sind Verantwortlichkeiten aller Verarbeiter festgelegt?
  5. Sind Personen unter 16 Jahren von einem Datenverarbeitungsvorgang betroffen?
  6. Sind alle Datenverarbeitungsvorgänge auf die datenschutzfreundlichste Gestaltung geprüft und ausgerichtet?
  7. Sind technische und organisatorische Maßnahmen getroffen, die Datenpannen und Datenschutzverstöße vermeiden können? Und sind diese auch dokumentiert und in das Gesamtkonzept eingebettet?
  8. Gibt es ein Sperr- und Löschkonzept?
  9. Bestehen für alle Verarbeitungsvorgänge auch passende Datenschutzhinweise?
  10. Muss ein Datenschutzbeauftragter bestellt werden?
  11. Ist die Notwendigkeit einer Datenschutz-Folgenabschätzung geprüft?
  12. Sind die Verträge und AGB geprüft und angepasst in Bezug auf eine etwaige Datenverarbeitung?
  13. Ist man auf Betroffenenrechte vorbereitet?
  14. Sind Maßnahmen getroffen für den Fall einer Datenpanne?
  15. Mitarbeiterdaten(-schutz) nicht vergessen
  16. Sind Mitarbeiter und Dienstleister sensibilisiert und geschult?
  17. Besteht ein Verzeichnis aller Datenverarbeitungsvorgänge?
  18. Sind alle getroffenen Maßnahmen und Prozesse dokumentiert (Nachweisbarkeit!)?

Diese Checkliste finden Sie ausführlich auf https://eventfaq.de/dsgvo-checkliste

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here