Datenschutzrecht - DSGVO

Informationspflichten nach der EU-Datenschutzgrundverordnung (DSGVO) – was ändert sich ab dem 25.05.2018?

Am 25.05.2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Die Datenschutzgrundverordnung (DSGVO) wurde bereits am 24.04.2016 vom EU-Parlament beschlossen und hat somit bis zum Inkrafttreten eine Vorlaufzeit von gut 2 Jahren. Die lange Vorlaufzeit sollte sicherstellen, dass alle betroffenen Diensteanbieter ausreichend Zeit haben, die neuen Vorgaben umzusetzen. Die lange Umsetzungsfrist ist auch deswegen wichtig, weil bei Nichtbeachtung der neuen datenschutzrechtlichen Vorgaben der DSGVO nicht nur Abmahnungen von Wettbewerbern, sondern auch erhebliche Bußgelder drohen. Hierzu weiter unten.

1. Zweck und wichtige Begriffsbestimmungen der Datenschutzgrundverordnung (DSGVO)

Nach Artikel 1 DSGVO ist primäres Ziel der DSGVO der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Nach Artikel 2 DSGVO gilt die Datenschutzgrundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. In räumlicher Hinsicht legt Artikel 3 DSGVO fest, dass die Datenschutzgrundverordnung von allen Verantwortlichen zu beachten ist, welche in der Europäischen Union eine Niederlassung haben oder mit der Datenverarbeitung einen Auftragsverarbeiter betrauen, der eine Niederlassung in der Europäischen Union hat. Unionsbürger sind auch dann vom Schutz der Verordnung umfasst, wenn der Verantwortliche oder der Auftragsverarbeiter zwar außerhalb der Union sitzen, die Datenverarbeitung jedoch einen bestimmten Bezug zum Unionsgebiet aufweist.
Artikel 4 DSGVO enthält einige wichtige Begriffsbestimmungen, welche zu beachten sind und welche für das Verständnis der Datenschutzgrundverordnung wichtig sind.
Nach der Definition des Artikel 4 Nr. 1 DSGO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Nach Artikel 4 Nr. 2 DSGVO ist die „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Nach Artikel 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
„Auftragsverarbeiter“ ist nach Artikel 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Im Sinne von Artikel 4 Nr. 11 DSGVO ist eine „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Die personenbezogenen Daten sind damit vor allem Vor- und Nachname, Familienstand, Anschrift, Geburtsdatum, Geschlecht, Religion, Kontonummern, Kreditkartennummern, genetische Daten, Krankendaten, Telefonnummern, Emails, IP-Adressen. Aber auch andere Daten können im Einzelfall personenbezogene Daten sein.
Rein betriebliche Daten sind somit keine personenbezogenen Daten. Die Übergänge sind jedoch fließend. Bei einer betrieblichen Email-Adresse, bei der neben dem Firmennamen auch der Name des Angestellten enthalten ist (z. B. erika.musterfrau@firmaabc.de) handelt es sich aufgrund des darin enthaltenen Namens um einen personenbezogenen Datensatz.

2. Einzelne Pflichten nach der Datenschutzgrundverordnung (DSGVO)

Die Datenschutzgrundverordnung führt zu einer deutlichen Erhöhung des datenschutzrechtlichen Schutzniveaus für natürliche Personen und sieht auf der Gegenseite gesteigerte Informationspflichten für die Verantwortlichen im Sinne von Artikel 4 Nr. 7 DSGVO bzw. die Auftragsverarbeiter nach Artikel 4 Nr. 8 DSGVO vor. Die wichtigsten datenschutzrechtlichen Vorgaben nach der neuen Datenschutzgrundverordnung, die bis zum 25.05.2018 umgesetzt sein müssen, werden nachfolgend dargestellt.

Vorbemerkung 1: Grundsatz der Beweislastumkehr

Für alle Pflichten nach der Datenschutzgrundverordnung (DSGVO) gilt der Grundsatz der Beweislastumkehr. Ein Verantwortlicher oder Auftragsverarbeiter muss im Einzelfall nachweisen können, dass er die Vorgaben nach der Datenschutzgrundverordnung eingehalten hat. In Art. 82 Abs. 3 DSGVO ist geregelt, dass ein Verantwortlicher oder Auftragsverarbeiter nur dann nicht haftet, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Anders als im normalen Zivilprozess hat dies somit eine Beweislastumkehr zur Folge. Dem sollte der Verantwortlicher oder Auftragsverarbeiter Rechnung tragen, indem er eine saubere Dokumentation vorhält, die er auf Verlangen vorlegen kann, um den Entlastungsbeweis führen zu können.

Vorbemerkung 2: Haftung bei Verstößen –Bußgelder und Abmahnungen

In Artikel 83 DSGVO ist geregelt, dass jede Aufsichtsbehörde sicherstellt, dass die Verhängung von Geldbußen für Verstöße gegen die Datenschutzgrundverordnung in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Vor allem der Abschreckung der Bußgelder scheint eine hohe Bedeutung zuzukommen. Je nachdem, um welche Art von Verstoß gegen die Datenschutzgrundverordnung es sich handelt, können Bußgelder bis zu € 100.000,00 oder bis zu € 20.000.000,00 verhängt werden. Der Betrag von € 20.000.000,00 ist jedoch keine feste Grenze. Vielmehr können bei schweren Verstößen gegen die Datenschutzgrundverordnung bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens als Bußgeld verhängt werden, je nachdem, welcher der Beträge höher ist. Große datenverarbeitende Konzerne wie Facebook können daher mit erheblichen Bußgeldern belegt werden, die weit über die Grenze von 20 Millionen Euro hinausgehen können.
Nicht nur Großkonzernen drohen jedoch Bußgelder, sondern auch kleineren Unternehmern und Freiberuflern. So hat beispielsweise der Datenschutzbeauftragte des Landes Baden-Württemberg zuletzt mehrfach klargemacht, dass er Verstöße nach der Datenschutzgrundverordnung durch seine Behörde ermitteln lassen und Bußgelder von zunächst bis zu € 50.000,00 festsetzen werde.
Daneben kann kein Zweifel daran bestehen, dass es sich bei den Vorschriften der Datenschutzgrundverordnung um Marktverhaltensregelungen im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) handelt. Neben erheblichen Bußgeldern durch die Behörden drohen daher zusätzlich Abmahnungen durch Mitbewerber sowie Wettbewerbs- und Verbraucherschutzverbände.

a. Rechenschaftspflicht nach der Datenschutzgrundverordnung - Verarbeitungsverzeichnis

Artikel 5 Abs. 1 DSGVO sieht vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Dies führt im Ergebnis zu einer umfassenden Rechenschaftspflicht aller Verantwortlichen und Auftragsverarbeiter (im Folgenden wird einheitlich nur der Begriff Verantwortlicher verwendet, die Grundsätze geltend jedoch auch für den Auftragsverarbeiter). Die Rechenschaftspflicht ist ausdrücklich in Artikel 5 Abs. 2 DSGVO erwähnt, in dem es heißt: Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können.
Die Rechenschaftspflicht wird in Artikel 24 DSGVO noch weiter ergänzt. In dieser Vorschrift steht in Absatz 1:
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
In Artikel 24 DSGVO werden also die technischen und organisatorischen Maßnahmen („TOM“) festgelegt, die einen Verantwortlichen treffen. Nach Absatz 2 müssen die TOM die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies im Verhältnis zur Datenverarbeitung angemessen ist.
Zentraler Punkt der Rechenschaftspflicht ist das in Artikel 30 DSGVO erwähnte Verzeichnis von Verarbeitungstätigkeiten, das von jedem Verantwortlichen zu führen ist und dass bestimmte Vorgaben einzuhalten hat. Kurz gefasst sind in diesem Verzeichnis sämtliche relevanten Verarbeitungen personenbezogener Daten eines Unternehmens anzugeben. Die Vorschrift trifft jeden Verantwortlichen nach Artikel 4 Nr. 7 DSGVO, also nicht nur große Konzerne, sondern auch kleine Einzelunternehmer und Freiberufler wie Ärzte und Rechtsanwälte. Voraussetzung ist nur, dass personenbezogene Daten verarbeitet werden, was quasi bei allen Unternehmen der Fall ist.
Jedes Unternehmen muss daher ein Daten-Verarbeitungsverzeichnis erstellen, welches sämtliche in Artikel 30 näher bestimmten Angaben enthalten muss. Zusammengefasst müssen in diesem Verarbeitungsverzeichnis sämtliche Schritte angegeben werden von der Entgegennahme personenbezogener Daten bis zu deren Löschung. Das Verzeichnis ist auf Verlangen der jeweiligen Aufsichtsbehörde jederzeit vorzulegen.

b. Datenschutzerklärung / Datenschutzhinweise auf der Internetseite

Die Artikel 13 und 14 der Datenschutzgrundverordnung sehen weitreichende Informationspflichten für Verantwortliche vor. Neben den Daten des Verantwortlichen und eines betrieblichen Datenschutzbeauftragten (sofern vorhanden) müssen ähnlich wie in dem oben dargestellten Verarbeitungsverzeichnis Angaben zu Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck von deren Verwendung gemacht werden.
In der Datenschutzerklärung sind Angaben dazu zu machen, ob auf der Internetseite Cookies eingesetzt werden und ob Analyse-Tools verwendet werden. Bei Verwendung von Social Media Plug-Ins sollten hierzu ebenfalls Angaben gemacht werden. Diese Angaben können mit einfachen Tools überprüft werden. Sowohl die zuständige Aufsichtsbehörde als auch Mitbewerber oder ein beliebiger Dritte kann daher die von Ihnen veröffentlichten Angaben verifizieren. Bei der Datenschutzerklärung ist daher größtmögliche Sorgfalt anzuwenden.
In einer Datenschutzerklärung muss auf die sogenannten Betroffenenrechte hingewiesen und diese kurz erläutert werden. Nach Art. 15 DSGVO kann ein Betroffener umfassend Auskunft über seine personenbezogenen Daten verlangen. Bei falschen oder unrichtigen Angaben kann der Betroffene nach Art. 16 DSGVO eine Berichtigung verlangen. Der Anspruch des Betroffenen auf Löschung seiner personenbezogenen Daten ist in Art. 17 DSGVO geregelt.

c. Hinweise zur Verschlüsselung

Nach Art. 32 DSGVO sind personenbezogene Daten unter Berücksichtigung des Stands der Technik und der Schwere des Risikos für den Betroffenen zu schützen. Diese Vorschrift lässt wie viele andere Regelungen in der Datenschutzgrundverordnung Luft für Interpretationen und wird in den nächsten Jahren sicherlich häufig die Gerichte auch in Deutschland beschäftigen. Sie sollten das Risiko von Bußgeldern und Abmahnungen minimieren und möglichst weitgehende Standards zur Verschlüsselung des Datenverkehrs per Email wählen, um auf der sicheren Seite zu sein.
Ausdrücklich erwähnt ist in Art. 32 DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
Welche Verschlüsselungstechnik genau erforderlich ist, ist in der Datenschutzgrundverordnung nicht geregelt. Fest steht nur, dass ein Verantwortlicher die unter Berücksichtigung des Stands der Technik und der Schwere des Risikos für den Betroffenen angemessenen Maßnahmen ergreifen muss. Es gibt inzwischen zahlreiche Verschlüsselungs-Standards. Wenn Sie einen dieser Standards wählen, sollten Sie auf der sicheren Seite sein. Es ist zwar möglich, jegliche Technik zu hacken. Dies kann jedoch auch die Datenschutzgrundverordnung nicht verhindern. Wählen Sie eine anerkannt zuverlässige Standard-Verschlüsselung, die später gehackt wird, haben Sie dennoch die angemessene Verschlüsselung gewählt. Wird eine Sicherheitslücke bekannt, muss natürlich eine Anpassung bzw. Änderung vorgenommen werden.

Sonderfall: Kontaktformular

Die Vorgaben der Datenschutzgrundverordnung müssen auch bei der Verwendung von Kontaktformularen beachtet werden. Wie immer im Datenschutzrecht gilt der Grundsatz der Datensparsamkeit. Es dürfen somit nur Daten erhoben werden, die für den jeweiligen Zweck auch erforderlich sind. Pflichtfelder sind als solche zu kennzeichnen.
Über die Verwendung und Verarbeitung personenbezogener Daten aus dem Kontaktformular ist im Rahmen der Datenschutzerklärung bzw. eines Datenschutzhinweises hinzuweisen. Der Betroffene muss in jegliche Verarbeitung personenbezogener Daten einwilligen. Ohne vollständiger Erfüllung der Hinweispflicht liegt keine wirksame Einwilligung vor. Darüber hinaus sind die Angaben aus dem Kontaktformular zu verschlüsseln.

Unterstützung bei der Umsetzung der Datenschutzgrundverordnung vom Fachanwalt

Wenn auch Sie Unterstützung bei den Vorgaben der Datenschutzgrundverordnung (DSGVO) benötigen, können Sie sich gerne an unsere Kanzlei wenden. Hier finden Sie unsere Kontaktdaten:

Forsthoff Facebook Bild
Kontakt aufnehmen

News / Aktuelles

Outsider - Three Days Grace - Vorsicht: Abmahnungen durch Waldorf Frommer Die Firma Sony M...

[ weiterlesen ]

MG Premium Ltd.: Abmahnung durch IPPC Law Rechtsanwaltsgesellschaft mbH Entsteht hier ein neuer ...

[ weiterlesen ]

Bildrechte-Abmahnungen durch die Kanzlei Waldorf Frommer für diverse Rechteinhaber Die Münc...

[ weiterlesen ]