Die EU-Datenschutzgrundverordnung (DSGVO) im Detail
„Evolution statt Revolution“
Viele Unternehmen dürften sich mit der Novellierung des Datenschutzrechts, das mithilfe der ab dem 25.05.2018 zwingend anzuwendenden Datenschutzgrundverordnung (DSGVO) europaweit vereinheitlicht wurde, bislang mutmaßlich nur rudimentär befasst haben. Die DSGVO regelt die Verarbeitung sogenannter „personenbezogener Daten“, die grundsätzlich unzulässig und nur in den gesetzlich geregelten Ausnahmefällen oder bei Abgabe einer entsprechenden Einwilligungserklärung gestattet ist.
Unter „personenbezogenen Daten“ sind solche zu verstehen, die sich per Gesetzesdefinition „auf eine identifizierte oder identifizierbare natürliche Person beziehen“, wie z. B. Name, Adresse, E-Mail-Adresse, Telefonnummer oder Geburtsdatum. Der Begriff ist weit auszulegen, sodass auch körperliche Merkmale, geistige Zustände und persönliche Beziehungen darunter fallen. Im Zweifel ist eine Einzelfallprüfung, ob es sich um personenbezogene Daten handelt, unerlässlich.
Da auch nahezu ausnahmslos sämtliche Kfz-Betriebe derartige Daten verarbeiten und damit in den Anwendungsbereich der Verordnung fallen dürften, sollten rechtzeitig alle notwendigen Vorkehrungen getroffen werden, um den gestiegenen Anforderungen an die Einhaltung des Datenschutzes gerecht werden zu können. Welche Vorkehrungen das sind, was sich in der Praxis ändert und wie man dem bestmöglich begegnen kann, soll im Folgenden überblickartig veranschaulicht werden.
Bei all den momentan aus verschiedenen Richtungen auftauchenden kritischen Fragen soll aber auch entwarnt werden, denn zum einen ist der Schutz personenbezogener Daten, wie zu Beginn dieses Wochenendtickers aufgezeigt, grundsätzlich zu begrüßen, zum anderen waren viele augenscheinliche Neuerungen schon nach dem weiterhin parallel gültigen, aber größtenteils in seiner Bedeutung verdrängten Bundesdatenschutzgesetz zu beachten und umzusetzen, wenn auch in „abgeschwächter“ Form. Auf dem 11. Deutschen Autorechtstag im März 2018 war man sich daher weitestgehend einig, dass es sich mehr um eine Evolution, denn eine Revolution handelt.
Im Einzelnen:
I. Wann werden personenbezogene Daten „verarbeitet“?
Eine Verarbeitung der personenbezogenen Daten liegt jedenfalls immer dann vor, wenn diese erhoben, erfasst, geordnet, gespeichert, angepasst, abgefragt, verwendet, übermittelt oder gelöscht werden (siehe Aufzählung in Art. 4 DSGVO).
In der Praxis wird dies insbesondere bei der Erfassung, Weiterleitung und sonstigen Verwendung von Kundendaten im hauseigenen EDV-System relevant, aber auch bei der Erstellung und Archivierung von Kaufverträgen und sonstigen kundenbezogenen Formularen.
II. Unter welchen Voraussetzungen darf ich personenbezogene Daten erheben?
Es gilt der eingangs beschriebene Grundsatz des sogenannten „Verbots mit Erlaubnisvorbehalt“, sodass es darauf ankommt, ob die eigentlich untersagte Datenverarbeitung im Einzelfall erlaubt ist. Am einfachsten kann deren Zulässigkeit mittels Einwilligung des jeweiligen Kunden herbeigeführt werden, die mündlich, elektronisch oder bestenfalls schriftlich erfolgen sollte. Darüber hinaus ist die Datenverarbeitung auch ohne gesonderte Einwilligung zulässig, wenn sie zur Erfüllung eines Vertrages erforderlich ist – hierunter dürften insbesondere auch Kaufverträge und Reparaturleistungen fallen – oder das Interesse an der Datenerhebung die Interessen der betroffenen Person überwiegt.
Ausdrücklich ist bezüglich Letzterem auf die Durchführung von Werbemaßnahmen hinzuweisen. Auch für die Erstellung einer Rechnung dürfte die Erhebung der erforderlichen Daten unerlässlich sein, womit das Händlerinteresse in den meisten diesbezüglichen Fällen überwiegen dürfte. Jedenfalls kann Konfliktfällen vorgebeugt werden, indem eine Einwilligungserklärung vorab eingeholt wird.
III. Welche Pflichten treffen mich und welche Rechte haben betroffene Personen?
Unverändert gilt unter anderem:
– Daten dürfen nur in dem tatsächlich benötigten Umfang und zu dem vorgesehenen Zweck erhoben und verarbeitet werden.
– Nach wie vor ist eine Datenschutzerklärung an entsprechender Stelle auf der Internetseite zu platzieren (siehe dazu unter IV).
Neu ist hingegen unter anderem:
– Nach Artikel 32 DSGVO müssen angemessene Maßnahmen getroffen werden, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei kann es sich z. B. um die Verschlüsselung der Daten oder die regelmäßige Überprüfung technischer Schutzmaßnahmen handeln, je nachdem, wie hoch das Risiko einer Verletzung der Rechte von Privatpersonen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung“ einzuschätzen ist.
– Eine der wohl wichtigsten und umfassendsten Neuerungen ist die gegenüber den Regelungen im Bundesdatenschutzgesetz erweiterte Dokumentationspflicht in Form eines Verarbeitungsverzeichnisses, Art. 30 DSGVO. Wie ein solches aussehen kann, lässt sich online verfügbaren Vorlagen entnehmen, beispielsweise hier abrufbar:
Musterverzeichnis für Verarbeitungstätigkeiten nach DSVGO
Dort soll festgehalten werden, wie die Datenverarbeitungsprozesse im Unternehmen ablaufen. Werden Änderungen rund um den Ablauf der Verarbeitung vorgenommen, ist das Verarbeitungsverzeichnis an entsprechender Stelle zu aktualisieren und die vorherige Version aufzubewahren.
Im Hinblick auf die Erfassung und Änderung der Kundendaten dürfte auf bereits vorhandene Datenverwaltungssysteme zurückgegriffen werden können. Es sollte allerdings darauf geachtet werden, dass diese dazu geeignet sind, etwaige Löschungsanträge oder sonstige Veränderungen zügig umsetzen und dokumentieren zu können.
– Neu ist auch, dass die Einhaltung dieser Sorgfaltspflichten gegenüber den zuständigen Aufsichtsbehörden auf Anforderung nachgewiesen werden muss. Im Falle eines eventuellen Prozesses liegt die Beweispflicht hinsichtlich der ordnungsgemäßen und den Anforderungen genügenden Dokumentation beim Händler.
Rechte der betroffenen Personen und Informationspflichten:
Personen, deren Daten erhoben worden sind, können Auskunft über die Daten, deren Berichtigung oder Löschung, die Einschränkung der Verarbeitung oder die Übertragung der Daten verlangen. Letzteres ist die einzig tatsächliche Neuerung gegenüber dem Bundesdatenschutzgesetz und gestattet dem Betroffenen, die Weitergabe der Daten an Dritte zu verlangen.
Darüber hinaus besagt das Transparenzgebot, dass Betroffene vor der Datenerhebung darüber zu informieren sind, was mit den Daten zu welchem Zweck geschehen soll. Zu diesen Informationspflichten zählen u.a.:
– Name und Kontaktdaten des Verantwortlichen
– Bezeichnung des Datenschutzbeauftragten
– Verarbeitungszwecke
– Dauer der Speicherung
– Hinweise auf die Rechte des Betroffenen
– etc. (s. Art. 13 u. 14 DSGVO)
Bislang steht noch nicht eindeutig fest, wie dies in der Praxis umzusetzen ist und ob es ausreicht, im Falle der persönlichen Datenerhebung in der Geschäftsstelle auf die Datenschutzerklärung der eigenen Website zu verweisen, in der die erforderlichen Informationen gleichfalls enthalten sein müssen. Praxiserfahrung wird die BVfK-Rechtsabteilung schnellstmöglich nach Bekanntwerden an dieser Stelle veröffentlichen.
V. Wer ist für die Einhaltung der Datenschutzbestimmungen verantwortlich?
Grundsätzlich obliegen sämtliche Maßnahmen dem Geschäftsführer eines Betriebes. Dieser muss grundsätzlich für die entsprechende Schulung und Anweisung seiner Mitarbeiter sowie für die Erstellung des Datenverarbeitungsverzeichnisses Sorge tragen und die Dokumentation der erhobenen Daten den gesetzlichen Anforderungen entsprechend sicherstellen.
Ab einer Betriebsgröße von 10 Mitarbeitern (inklusive Geschäftsführer und unabhängig vom Umfang des Anstellungsverhältnisses, z.B. auch 450 Euro-Kraft) muss zudem nach wie vor ein Datenschutzbeauftragter bestellt und dessen Name auf der Internetseite des Betriebs veröffentlicht werden.
VI. Was passiert, wenn ich mich nicht an die gesetzlichen Anforderungen halte?
Die Kompetenz für die Verhängung von Sanktionen wurde den zuständigen Aufsichtsbehörden der EU-Mitgliedsstaaten zugewiesen. Diese sind bundeslandspezifisch, für NRW beispielsweise die Landesbeauftragte für Datenschutz und Informationsfreiheit. Diese verhängt im Falle eines sich aus Art. 83 DSGVO ergebenden Verstoßes empfindliche Geldbußen bis zu einem Maximalbetrag von 20 Millionen Euro, bzw. 4 % des jeweiligen Jahresumsatzes. Dabei ist eine umfangreiche Einzelfallabwägung vorzunehmen, unter anderem basierend auf Schwere und Dauer des Verstoßes.
Sanktionen der Aufsichtsbehörden dürften jedoch nicht die vorrangige Gefahr in diesem Zusammenhang sein. Vielmehr haben Unternehmen, die gegen die Vorschriften der DSGVO verstoßen, insbesondere bei einer nicht rechtskonformen Datenschutzerklärung, Abmahnungen von Wettbewerbern bzw. Wettbewerbsverbänden zu befürchten.
Das bedeutet für die Praxis: Stellen Sie die Einhaltung der Dokumentations- und Informationspflichten nach den aufgezeigten Grundsätzen sicher! In der Anfangsphase ist insbesondere in Kleinbetrieben weniger mit Sanktionen zu rechnen, als mit der Spitzfindigkeit spezialisierter Abmahnvereine. Da diese sich aufgrund des geringen Aufwands vornehmlich auf den Online-Bereich konzentrieren werden, ist eine korrekt erstellte Datenschutzerklärung von großer Bedeutung.
VII. Wie hat eine Datenschutzerklärung auszusehen und wo wird sie platziert?
Welche Informationen in der Datenschutzerklärung enthalten sein müssen, ergibt sich aus Artikel 13 DSGVO. Unter anderem muss die Erklärung Namen und Kontaktdaten des Unternehmens und ggf. des Datenschutzbeauftragten, die Datenverarbeitungszwecke sowie die Rechtsgrundlage für die Verbreitung der Daten sowie weitere, teilweise an Bedingungen und Situationen gekoppelte Informationen, wie die Dauer der Speicherung oder das Bestehen eines Beschwerderechts enthalten. Bei Erstellung der Datenschutzerklärung sind viele verschiedene Umstände zu berücksichtigen, so beispielsweise, ob ihre Internetseite Cookies enthält, Ihre Angebote auf Facebook oder Twitter veröffentlicht werden, eine Verlinkung zu Google-Maps oder ähnlichen Diensten besteht. Aus diesem Grunde ist es dem BVfK nicht möglich, einheitliche „Musterdatenschutz-Erklärungen“ zu erstellen. Diese müssen für jeden Fall individuell erstellt und angepasst werden!
Hierzu kann man sich eines sogenannten Datenschutzerklärungs-Generators bedienen. Nach Einschätzung der BVfK-Rechtsabteilung dürfte der unter folgendem Link abrufbare Generator nahezu alle maßgeblichen Aspekte berücksichtigen:
https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/
Darüber hinaus ist die BVfK-Rechtsabteilung gerne dabei behilflich, mithilfe des Generators erstellte Datenschutzerklärungen auf Vollständigkeit und Richtigkeit zu überprüfen. Aufgrund des teilweise gesteigerten Aufwands, z.B. bei der Nutzung und Implementierung von Diensten wie Facebook, Youtube, Twitter, Google AdWords und co., wird auf die im BVfK-Mitgliederbereich abrufbare Gebührenordnung verwiesen, die wir unserer Überprüfung zugrunde legen.
Die Frage, wo die Datenschutzerklärung zu platzieren ist, ist einfacher zu beantworten: So, dass der Benutzer jederzeit von jeglichem Bereich der Internetseite Zugriff hierauf hat. Es bietet sich also an, diese ähnlich dem Impressum am unteren Bildschirmrand außerhalb der eigentlichen Maske zu platzieren, um den Zugriff von jeder Unterrubrik aus zu gewährleisten.
Anmerkung der BVfK-Rechtsabteilung
In jüngster Vergangenheit erreichten uns bezüglich der DSGVO zahlreiche Anfragen, aus denen eine gewisse Verunsicherung herauszuhören ist. Wie könnte es auch anders sein? Das Gesetz ist außergewöhnlich komplex, die Umsetzung in der Praxis an einigen Stellen fraglich, die drohenden Bußgelder beachtlich und Bedenken sowie latente Panik halten vermehrt Einzug in die öffentliche Diskussion.
Aber ist die Verunsicherung auch berechtigt? Wie so oft gilt: Das kommt darauf an. Haben Sie bisher die Regelungen des Bundesdatenschutzgesetzes in Ihrem Betrieb umgesetzt, werden Sie sich hauptsächlich mit der Erstellung eines Verarbeitungsverzeichnisses sowie einer Anpassung der Informationspflichten (u.a. Datenschutzerklärung) auseinanderzusetzen haben, was für sich genommen schon herausfordernd sein kann.
Ist Datenschutz für Sie eher ein „Buch mit sieben Siegeln“, sollten Sie sich bei vorherrschender Unsicherheit rechtzeitig beraten lassen. Auch wenn die Aufsichtsbehörde mit der Einzelfallkontrolle zumindest anfänglich sicherlich überfordert und eher an der Prüfung der Einhaltung der DSGVO durch Großkonzerne interessiert sein dürfte, so reicht das Herantragen von Verstößen durch einen missgünstigen Mitbewerber an die Behörde oder entsprechende Abmahnvereine unter Umständen aus, um die Aufmerksamkeit auf das eigene Unternehmen zu lenken. Bedenken Sie auch:
Wir möchten an dieser Stelle noch einmal folgende Links hervorheben, die bei der Vorbereitung hilfreich und nützlich sein können.
1. Eine Vorlage für ein Verarbeitungsverzeichnis der activemind AG finden Sie hier. Bei der activemind AG handelt es sich um ein auf Datenschutzrecht seit langer Zeit spezialisiertes Unternehmen, das mit externen Datenschutzbeauftragten und Experten der Branche zusammenarbeitet.
2. Einen Datenschutzgenerator finden Sie u.a. hier. Der in Kooperation der Kanzlei WBS mit der Deutschen Gesellschaft für Datenschutz entwickelte Generator bietet unseres Erachtens den besten Überblick und deckt alle Aspekte ausreichend ab.
3. Einen unserer Ansicht nach sehr guten Überblick des Beck Verlags können Sie außerdem hier in gedruckter Form bestellen.
Und abschließend noch einmal eine zusammenfassende Checkliste, was besonders zu beachten ist:
1. Bestimmen Sie zunächst, wer in Ihrem Betrieb für den Datenschutz verantwortlich ist. Im Zweifel ist dies immer der Chef, insbesondere bei kleineren Betrieben mit weniger als 10 Mitarbeitern, da es hier nicht erforderlich ist einen speziellen Datenschutzbeauftragten zu benennen (s. unter V.).
2. Finden Sie heraus, welche Art personenbezogener Daten in Ihrem Betrieb gesammelt werden.
3. Erstellen Sie ein „Verarbeitungsverzeichnis“ unter Zuhilfenahme einer Vorlage (s. unter III.).
4. Informieren Sie sich, wie Sie den unter III. genannten Informationspflichten im Einzelfall nachkommen können.
5. Passen Sie Ihre Datenschutzerklärung den aktuellen Anforderungen an (s. unter VII.)
6. Stellen Sie sicher, dass die Rechte der vom Gesetz als schutzbedürftig festgelegten Personen jederzeit gewahrt werden können. Hierzu zählen u.a. Informationserteilung, ggf. Löschung der nicht mehr benötigten Daten, etc.).
Im Rahmen des Wochenendtickers kann natürlich nicht jede Detailfrage beantwortet werden. Gerne steht die BVfK-Rechtsabteilung aber für Nachfragen rund um das Thema Datenschutz zur Verfügung.
BVfK-Rechtsabteilung