Inhalt
Datenschutz-Grundverordnung
Notieren Sie sich den 25.05.2018 bereits jetzt als wichtiges Datum in Ihrem Kalender, denn ab diesem Datum gilt in allen Mitgliedsstaaten der Europäischen Union unmittelbar die Datenschutz-Grundverordnung (DS-GVO). Als Unternehmer müssen Sie zukünftig bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten den Datenschutz noch genauer beachten, insbesondere da durch die DS-GVO empfindliche Sanktionsmöglichkeiten durch hohe Bußgelder geschaffen wurden.
Bei der DS-GVO handelt es sich um eine Verordnung der Europäischen Union und diese wird das Bundesdatenschutzgesetz in wesentlichen Teilen ablösen. Auswirkungen wird diese neue Verordnung auf alle Bereiche in Ihrem Unternehmen haben, wo personenbezogene Daten verarbeitet werden.
Viele Einwilligungen in die Nutzung personenbezogener Daten müssen erneuert werden
Wie bisher im deutschen Recht ist eine Datenverarbeitung nur zulässig, wenn die Grundsätze der Verarbeitung personenbezogener Daten erfüllt sind, z.B. der Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Datensparsamkeit und Begrenzung der Speicherdauer. Insoweit wird sich durch die DS-GVO zunächst nichts Wesentliches ändern. Nach der DS-GVO liegt jedoch bereits jetzt, im Gegensatz zum aktuellen Datenschutzrecht, ein datenschutzrechtlich relevanter Vorgang vor, wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen innerhalb der Europäischen Union dient, somit jegliche Form des Webtrackings. Dies beginnt schon bei dem Setzen von Cookies oder der Nutzung von Social Plug-Ins (sog. Facebook, Twitter etc. Buttons). Jedes Unternehmen, welches auch auf Webtracking setzt, sollte seine Datenverarbeitungsvorgänge auf den Prüfstand stellen. Eine weitere praxisrelevante Änderung erfolgt jedoch bei der Einwilligung zur Datenverarbeitung durch den Betroffenen. Relevant wird dies besonders beim Versand von Werbung oder bei dem Konzept „Dienstleistungen gegen Daten“. Seitens der DS-GVO wird nunmehr eine eindeutig bestätigende Handlung gefordert, wobei ein bereits angekreuztes Kästchen oder Untätigkeit des Betroffenen nicht ausreichen soll. Die bisher vor allem im Online-Bereich praktizierte sog. Opt-out-Lösung dürfte damit hinfällig sein. Auch wird es nicht mehr ohne Weiteres möglich sein, Einwilligungserklärungen in den AGBs zu regeln. Die Einwilligungserklärungen gem. der DS-GVO müssen verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst und klar unterscheidbar von anderen Erklärungen sein. Es stellt sich hier bereits die Frage, welcher Text einer klaren und einfachen Sprache noch genügen soll und welcher schon zu kompliziert nach der DS-GVO sein soll. Vor der Abgabe der Einwilligung ist der Betroffene über die Möglichkeit des Widerrufs zu informieren. Ferner muss die Einwilligung freiwillig sein, was bereits dann problematisch ist, wenn der Betroffene bei der Erfüllung eines Vertrags bzw. der Erbringung einer Leistung in die Datenverarbeitung über die Erfüllung des Vertrags hinaus einwilligen muss. Nachdem die Voraussetzungen für eine wirksame Einwilligung deutlich verschärft wurden, sollen Sie ihre jetzige Form der Einwilligung in die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten am Maßstab der DS-GVO prüfen.
Arbeitnehmer und der Datenschutz
Die DS-GVO hat aber auch Auswirkungen auf Ihr Unternehmen, wenn Sie nicht werblich aktiv sind und nur Arbeitnehmer beschäftigt haben, denn diese Arbeitnehmer müssen Sie datenschutzrechtlich aufklären. Datenverarbeitenden Unternehmen wird vorgeschrieben, dass die von einer Datenverarbeitung betroffenen Arbeitnehmer in präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über besondere Informationen nach Art. 14, 14a DS-GVO informiert werden müssen. Dies sind u.a. Namen und Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, Zweck der Datenverarbeitung, Kategorien der personenbezogenen Daten und Empfänger von Kategorien und personenbezogenen Daten, Speicherdauer und Hinweis auf die Betroffenenrechte. Ein Profiling von Arbeitnehmern zum Zwecke der Analyse und Prognose von Arbeitsleistungen soll weitestgehend ausgeschlossen sein.
Sonderfall: Verschärfte Voraussetzungen für die Verarbeitung von personenbezogenen Gesundheitsdaten
Gerade Ärzte oder Unternehmen die in der Gesundheitsbranche aktiv sind, sollten das grundsätzliche Verbot von der Verarbeitung personenbezogener Gesundheitsdaten nach Art. 9 Nr. 1 DS-GVO im Blick haben. Dieses Verbot gilt nicht, wenn der Betroffene ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat oder ohne Einwilligung unter den engen Grenzen des Art. 9 Nr. 2 lit. h), Nr. 3 DS-GVO. Die Verarbeitung personenbezogener Daten ohne Einwilligung darf aber nur erfolgen, wenn die Daten von Fachpersonal verarbeitet werden, welches dem Berufsgeheimnis oder den Geheimhaltungsverpflichtungen unterliegt. Bereits jetzt zu Gunsten der Patienten angebotene und gut gemeinte Serviceleistungen können sich daher als Datenschutzfalle entpuppen.
Sanktion und Rechtsdurchsetzung
Die Sanktionen bei Datenschutzverstößen wurden gegenüber dem bisherigen deutschen Recht erheblich verschärft. Bei Verstößen gegen organisatorische Regelungen drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, bei Verstößen gegen die Grundsätze der DS-GVO, den Regeln zur Rechtmäßigkeit der Datenverarbeitung bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Auch wurde in die DS-GVO eine Verbandsklage eingeführt, mittels der Non-Profit-Organisationen Betroffene vor Gerichten und Behörden vertreten können. Neu ist auch, dass der Betroffene bei einer Verletzung des Datenschutzes auch immaterielle Schäden ersetzt bekommt. Ein Novum im Datenschutzschutzrecht. Erklärtes Ziel war es, die zivilrechtlichen Sanktionen abschreckend zu gestalten, die Praxis wird aber erst zeigen, wie die DS-GVO ausgelegt wird.
Handlungsempfehlung
Die Reglungen in der DS-GVO sind umfassend, dieser Beitrag soll daher nur einen Überblick über die düsteren Wolken am Horizont schaffen. Bis zum 25.05.2018 sind es noch knapp zwei Jahre, genug Zeit, um alle Datenverarbeitungsvorgänge in Ihrem Unternehmen auf ihre Vereinbarkeit mit der DS-GVO zu überprüfen. Die Rolle des betrieblichen Datenschutzbeauftragten wird durch die DS-GVO nochmal wichtiger, insbesondere aufgrund der Auskunftsmöglichkeiten und der drohenden Bußgeldern bei Verstößen. Einwilligungen von Betroffenen, die nicht der DS-GVO entsprechen, müssen neu eingeholt werden. Es lohnt sich daher, die Einwilligungen nach den Vorgaben der DS-GVO frühzeitig, also bereits vor dem 25.05.2018, zu überarbeiten und ggf. neu einzuholen.
zurück zur Übersicht