Interview mit dem Landesdatenschutzbeauftragten

Eine neue Vorschrift regelt europaweit den Umgang von Unternehmen mit personenbezogenen Daten: die EU-Datenschutz-Grundverordnung, kurz: DSGVO. Informations- und Dokumentationspflichten werden dadurch noch wichtiger, praktisch jeder Betrieb ist betroffen. Über die seit 25. Mai wirksame Verordnung und ihre Auswirkungen sprach unser Autor mit Prof. Dr. Dieter Kugelmann, dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Vor seinem Amtsantritt im Oktober 2015 war Kugelmann ordentlicher Universitätsprofessor für Öffentliches Recht mit Schwerpunkt Polizeirecht einschließlich des internationalen Rechts und des Europarechts an der Deutschen Hochschule der Polizei in Münster. Seine Wahlperiode als Landesdatenschutzbeauftragter beträgt acht Jahre und endet am 30. September 2023.

Herr Professor Kugelmann, seit 25. Mai dieses Jahres ist die EU-Datenschutz-Grundverordnung wirksam. Welchen Eindruck haben Sie von der Umsetzung?

Ich habe den Eindruck, dass die Angst und Hysterie, die teilweise vorhanden waren, jetzt eher der Besonnenheit gewichen sind. Wenn ich mit Unternehmen rede, sind die alle wach und an dem Thema dran. Jeder weiß, dass es schwierig wäre, schon jetzt 100 Prozent erfüllt zu haben. Das Ganze ist als Prozess angelegt. Und den einzuleiten, das haben meines Erachtens sehr viele Unternehmen getan.

Müssten denn nicht längst alle Bestimmungen der DSGVO umgesetzt sein? Sie trat ja bereits vor zweieinhalb Jahren in Kraft – am 25. Mai endete die 24-monatige Übergangsfrist.

Das stimmt. Mit Stichtag 25. Mai 2018 war alles zu erfüllen. Allerdings ist eine Reihe von Vorschriften auslegungsfähig. Das heißt, es lässt sich noch nicht zu allen Bestimmungen sagen, welche Art der Umsetzung die zu 100 Prozent richtige wäre. Da müssen sich alle noch herantasten. Das liegt einfach daran, dass die Datenschutz-Grundverordnung ein sehr allgemeines Dokument ist, die für Konzerne ebenso gilt wie für Kleingewerbetreibende oder Einzelkaufleute – und in Slowenien ebenso wie in einer kleinen rheinland-pfälzischen Gemeinde. „One fits all“ ist das Prinzip. Was also die jeweilige Regelung tatsächlich genau bedeutet, muss bisweilen im Einzelfall geprüft werden.

In der DSGVO ist die Rede von Informationspflichten, Datenschutzerklärung und Einwilligung? Was unterscheidet diese Aspekte?

Der Datenschutz funktioniert grundsätzlich so: Wenn man Daten erhebt und benutzt, erfordert dies eine Grundlage. Eine mögliche Grundlage ist die Einwilligung. Das ist ein Erlaubnistatbestand. Beispiel: Ich schicke jemandem einen Newsletter, wenn die betreffende Person einwilligt, dass ihre E-Mail-Adresse dazu genutzt werden darf. Es geht also um die Zustimmung, die Daten überhaupt verarbeiten zu dürfen und wofür. Das ist übrigens der Hintergrund dafür, weshalb wir alle vor und nach dem 25. Mai so viele E-Mails erhalten haben, in denen wir erneut um Zustimmung etwa für den Versand eines Newsletters gebeten, aber auch darauf hingewiesen wurden, ihn abbestellen zu können. Die Informationspflichten dagegen sind Pflichten für diejenigen, die mit Daten umgehen, zum Beispiel Kundendaten verarbeiten oder einen Newsletter verschicken. Hier geht es darum, den Kunden angemessen zu erläutern, was eigentlich mit ihren Daten passiert.

Und die Datenschutzerklärung…

…ist das dafür notwendige Dokument. Mit der Datenschutzerklärung kommen Unternehmen ihrer Informationspflicht nach, sie konkretisiert die allgemeine Informationspflicht. Sie dient den Empfängern als Grundlage für die Entscheidung, ob sie mit dem geschilderten Umgang mit ihren Daten einverstanden sind oder nicht.

Muss ein Betrieb seine Datenschutzerklärung von den Kunden unterschreiben lassen?

Nein. Aber sie muss inhaltlich richtig und vollständig sein.

Gilt die DSGVO eigentlich auch für Betriebe, die nur Firmenkunden haben?

Die DSGVO gilt für personenbezogene Daten. Ob B2B oder B2C ist per se also erstmal ohne Bedeutung. Wenn zwischen Betrieben personenbezogene Daten übermittelt werden, gilt die DSGVO, wenn nur Maschinendaten oder Maße von Produkten übermittelt werden, dann gilt sie nicht.

Werden auch Kleingewerbetreibende von der DSGVO erfasst?

Ja – wenn sie personenbezogene Daten erfassen und verarbeiten. Allerdings kann die Art der Umsetzung sehr wohl voneinander abweichen, je nachdem ob es um einen Kleinbetrieb oder einen Konzern mit einer eigenen Rechtsabteilung geht. Also: Die DSGVO gilt für alle, wenn sie personenbezogene Daten verarbeiten, aber sie muss handhabbar ausgelegt werden. Das ist nicht immer ganz einfach, aber möglich!

Was empfehlen Sie denn Kleinbetrieben, in denen nicht eigens eine Person für alle Belange des Datenschutzes auserkoren und qualifiziert werden muss und kann?

Eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten müssen im Regelfall nur Unternehmen bestellen, in denen mindestens zehn Beschäftigte mit Daten umgehen. So steht es – in Ergänzung zur DSGVO – im Bundesdatenschutzgesetz. Jeder Verein oder Verband, jeder Kleinbetrieb, für den das nicht zutrifft, muss sich aber, wie schon gesagt, dennoch an die Regeln der DSGVO halten. Das ist nicht immer einfach. Wer zum Beispiel aus Kostengründen keine Fachleute hinzuziehen kann, muss Zeit investieren, um sich zu informieren. Auf der Website des Landesdatenschutzbeauftragten finden Sie beispielsweise umfangreiche Informationen. Die IHKs informieren ihre Mitgliedsbetriebe. Außerdem gibt es inzwischen entsprechende Software zu kaufen.

Können Unternehmen die Daten ihrer Kunden denn überhaupt wie bisher für ihre Werbung verwenden?

Ja. Die Frage ist: Welche Daten der Kunden man dazu wie verwendet. Das muss man in der Datenschutzerklärung darlegen. Eine Regelung innerhalb der DSGVO weist ausdrücklich auf die Direktwerbung hin: Hier bedarf es nämlich nicht zwingend einer Einwilligung. Es handelt sich um ein legitimes Geschäftsinteresse, deshalb dürfen Kundendaten grundsätzlich dafür genutzt werden. Aber: Man muss den Kunden Informationen über die Art und Weise des Umgangs mit ihren Daten zugänglich machen.

Das gelegentlich zu hörende Vorurteil, die DSGVO schränke die Möglichkeit zu werben ein, trifft also nicht zu?

Die DSGVO erkennt an, dass Werbung ein legitimes Geschäftsinteresse ist. Sie regelt allerdings sehr klar die dazu notwendigen Informationspflichten. Also: Werbung wird nicht eingeschränkt, muss aber stärker als bisher in Bezug auf die Verwendung von Personendaten transparent sein.

Und wie steht es mit einem Auftragsverarbeitungsvertrag: Müssen Betriebe mit all ihren Lieferanten einen solchen Vertrag schließen? 

Nein. Jeder Lieferung liegt ja bereits ein Vertrag zugrunde. Der ist zugleich die Grundlage dafür, dass die für die Abwicklung des Geschäfts erforderlichen Daten ausgetauscht werden, zum Beispiel die Bankverbindung. Eines zusätzlichen Auftragsverarbeitungsvertrags bedarf es in solchen Fällen also nicht. Nötig ist es hingegen zum Beispiel, wenn ein Unternehmen den Postversand an einen externen Anbieter outsourct und dazu Kundendaten übermittelt.

Gehen bei Ihnen seit 25. Mai eigentlich mehr Beschwerden über Datenschutzverstöße ein als vorher?

In der Tat verzeichnen wir erhebliche Steigerungsraten. Bis Ende September gab es schon über 1.000 Anfragen, Beschwerden und Beratungsersuche. Was Beschwerden über mutmaßliche Datenschutzverstöße betrifft, rechnen wir fürs gesamte Jahr 2018 mit einer Verfünffachung gegenüber 2017. Schwerpunkte dabei sind die Themen Videoüberwachung im öffentlichen Raum und Internet. Was das Internet betrifft, beschweren sich Menschen beispielsweise, dass Auskünfte nicht erteilt und Löschungen nicht vorgenommen wurden. Die Bürgerinnen und Bürger können sich an uns wenden. Wir klären dann, wer für diese Beschwerde zuständig ist und leiten sie entsprechend weiter, auch ins Ausland. Die DSGVO will ja die Rechte der Bürgerinnen und Bürger stärken, die können aber gar nicht immer durchschauen, wer letztlich zuständig ist. Wir können das – und helfen!

Und wie sieht es mit Datenpannen aus?

Unternehmen sind laut DSGVO in der Tat verpflichtet, Datenpannen im Unternehmen zu melden, wenn das Risiko besteht, dass der Datenschutz damit verletzt wurde. Würden zum Beispiel versehentlich Beschäftigtendaten an einen Kunden übermittelt, dann muss das Unternehmen dies melden, und zwar binnen 72 Stunden. Dazu gibt es auf unserer Website ein Onlineformular. Diese Art von Meldungen hat sich verdreißigfacht, was zum einen daran liegt, dass nun Bußgelder drohen, wenn derartige Pannen nicht gemeldet werden. Zum anderen ist nicht immer klar, was gemeldet werden muss und was nicht, also melden die Betriebe den betreffenden Fall eher, als es zu lassen. Wir nehmen dies zum Anlass, immer wieder entsprechend zu informieren und aufzuklären.

Wie wird die Aufsichtsbehörde die Einhaltung des Datenschutzes überprüfen?

Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit. Die DSGVO hat uns in unseren Befugnissen gestärkt. Unser Vorgehen müssen Sie sich dreistufig vorstellen: Wenn wir Beschwerden erhalten, bearbeiten wir diese. Die Frist dafür beträgt grundsätzlich drei Monate. Das ist die erste Stufe. Als zweites starten wir jetzt im Herbst eine Fragebogenaktion. Wir wollen von einzelnen Unternehmen wissen, wie sie die Bestimmungen aus der DSGVO umgesetzt haben. Unser Ziel ist es, einen Eindruck davon zu erhalten, wo es läuft und wo es hakt, und auf dieser Basis Empfehlungen auszusprechen. Stufe 3: Ab 2019 werden wir – anlassbezogen – verstärkt in die Betriebe gehen, um uns vor Ort ein Bild zu verschaffen.

Das Gespräch führte Lothar Schmitz, Wirtschaftsjournalist aus Bonn.