Die Datenschutz-Grundverordnung, kurz DSGVO, ist eine seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten anzuwendende Verordnung der Europäischen Union. Unübersehbar für jeden Internetuser, Kunden und auch für jedes Unternehmen. Doch viele Unternehmer sind verunsichert, wie sie nun praktisch mit der Verarbeitung von personenbezogenen Daten umgehen müssen. Was müssen Unternehmer anpacken im neuen europäisierten Datenschutzrecht? Wie schützt man sich vor drohenden Abmahnungen und hohen Bußgeldern?
Dr. Dirk Moldenhauer, Rechtsanwalt und Steuerberater der Steuerberatungs- und Wirtschaftsprüfungskanzlei HLB Dr. Klein, Dr. Mönstermann & Partner gibt Auskunft zu den wichtigsten Fragen und erklärt, was getan werden muss.
DSGVO Wer und warum?
Grundsätzlich vorab: Die DSGVO gilt grundsätzlich für Jedermann, also ausnahmslos für alle Unternehmen und Selbstständigen, aber auch zum Beispiel für Vereine und Behörden. Also sind Großkonzerne ebenso betroffen wie kleine Handwerksbetriebe – EU-weit. Durch das sogenannte Marktortprinzip gilt die DSGVO zudem für Institutionen außerhalb der EU, wenn diese beispielsweise Waren oder Dienstleistungen in der EU anbieten. Die DSGVO verfolgt den Grundgedanken der europäischen Harmonisierung. Durch die EU-weite Reform des Datenschutzrechts soll in der EU ein einheitlicher Datenschutzstandard geschaffen werden. In Deutschland finden ergänzend zur DSGVO weiterhin das Bundesdatenschutzgesetz sowie die Datenschutzgesetze der Länder Anwendung.
Was und vor allen Dingen wie?
Welche sind aber nun die sogenannten „personenbezogenen Daten“, um die es geht? Daten sind personenbezogen, sobald sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispielsweise der Name, das Geburtsdatum oder die E-Mail-Adresse. Aber auch die IP-Adresse, die Steuernummer, das Autokennzeichen oder die Kontoverbindung gehören dazu.
Ein wesentliches Ziel der DSGVO mit ihren 99 Artikeln ist die Stärkung der Rechte der sog. Betroffenen. Grundsätzlich soll jeder selbst über die Verarbeitung seiner Daten entscheiden können. Zudem sind Grundsätze wie Transparenz, Datenminimierung, Speicherbegrenzung und Vertraulichkeit fest verankert. Um dies durchzusetzen, enthält die DSGVO verschärfte Informations-, Dokumentations- und Rechenschaftspflichten, denen die datenverarbeitenden Unternehmen, die sog. Verantwortlichen, unterliegen. „Die Betroffenen sind nunmehr noch umfassender zum Beispiel darüber aufzuklären, welche ihrer Daten zu welchen Zwecken verarbeitet werden und welche Rechte sie in Bezug auf die Kontrolle über die Verarbeitung ihrer Daten haben“, betont Moldenhauer.
Die DSGVO bringt auch Änderungen für die unternehmerische Praxis mit sich. So müssen Unternehmen nach der DSGVO beispielsweise ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ anlegen und pflegen. „Dazu genügt in den meisten Fällen eine einfache Tabelle. In dieser wird dokumentiert, in welchen Prozessen Daten für festgelegte Zwecke im Unternehmen erhoben werden und wie das Unternehmen mit den Daten verfährt“, erklärt Moldenhauer.
Durch das „Verzeichnis von Verarbeitungstätigkeiten“ kann der für die Daten Verantwortliche im Falle einer Kontrolle nachweisen, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Dies ist insbesondere auch mit Blick auf die hohen Bußgelder, die bis zu 20 Millionen Euro bzw. 4 Prozent des weltweit erzielten Jahresumsatzes betragen können, wichtig.
Datenschutzbeauftragter?
Und dann die immer wieder gestellte Frage, ob nun jeder Betrieb einen Datenschutzbeauftragten braucht: „Nein“, ist hier die einfache Antwort. „In Deutschland ist ein Datenschutzbeauftragter zu bestellen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Vor allem Angestellte in der Verwaltung fallen hierunter“, so Moldenhauer. Dabei sind alle Beschäftigten zu berücksichtigen, also auch Teilzeitkräfte, Auszubildende und Praktikanten. Die Anzahl der Köpfe ist entscheidend, nicht die Art des Beschäftigungsverhältnisses.
Eine Bestellpflicht besteht darüber hinaus dann, wenn Verarbeitungen durchgeführt werden, die ein hohes Risiko für die Betroffenen bergen, zum Beispiel bei umfangreichen Verarbeitungen von Gesundheitsdaten oder wenn Personen systematisch überwacht werden. Die Funktion des Datenschutzbeauftragten kann durch einen internen Mitarbeiter, aber auch durch einen externen Experten wahrgenommen werden. Aus- und Fortbildungen, zum Beispiel bei den Industrie- und Handelskammern, müssen die Fachkunde des Datenschutzbeauftragten sicherstellen. Dabei ist zu beachten, dass Mitarbeiter in Positionen, die in besonderem Maße die Interessen des Unternehmens vertreten, nicht Datenschutzbeauftragter werden können, da dieser eine Kontrollinstanz darstellt.
Aber Achtung: Auch wenn keine Bestellpflicht besteht, sind die übrigen Anforderungen aus der DSGVO vollständig umzusetzen. Dies kann dann beispielsweise durch den Geschäftsführer übernommen werden.
Und die neue Datenschutzerklärung, wohin damit?
Zur Erfüllung der oben beschriebenen Informationspflichten ist unter anderem eine Datenschutzerklärung auf der Webseite zu hinterlegen, wenn personenbezogene Daten der Webseitenbesucher verarbeitetet werden oder dies theoretisch – etwa durch die Bereitstellung eines Kontaktformulars – möglich wäre. Die Datenschutzerklärung muss für den Webseitenbesucher leicht und von jeder Seite aus auffindbar und aufrufbar sein. Dies kann zum Beispiel durch einen entsprechenden Link in der Fußleiste gewährleistet werden.
Darüber hinaus müssen alle Personen, deren Daten im Unternehmen verarbeitet werden, also beispielsweise Kunden, Mitarbeiter und Bewerber, über die sie betreffende Verarbeitung informiert werden. Aber Vorsicht: „Die Datenschutzerklärung gehört nicht in die AGB. Sie dient der Information und ist keine Vertragsbedingung“, gibt Moldenhauer zu bedenken.
Bringt ein E-Mail-Disclaimer zur DSGVO Rechtssicherheit?
Hier lautet die Antwort: „Jein“. Für die Erfüllung der umfangreichen Informationspflichten gegenüber den betroffenen Personen, z.B. Kunden, Lieferanten oder Bewerbern ist der E-Mail-Disclaimer eher ungeeignet. Der E-Mail-Disclaimer kann jedoch dazu genutzt werden, um mit einem Link auf die vollständigen Datenschutzhinweise zu verweisen. Dabei ist dann darauf zu achten, dass für die unterschiedlichen Gruppen von betroffenen Personen auch separate Datenschutzhinweise hinterlegt werden. „Zudem sollte die „Link-Lösung“ lediglich als ein Baustein von Mehreren zur Erfüllung der Informationspflichten gesehen werden, da ggf. auch Personen informiert werden müssen, zu denen kein E-Mail-Kontakt besteht“ so Moldenhauer abschließend.