Rechtstipps

Umgang mit Daten wird europaweit geregelt

Die EU-Datenschutzgrundverordnung trat am 25. Mai 2018 in Kraft. Das bedeutet, europaweit wurde der Datenschutz neu geregelt und es gibt keine Schonfrist für Anpassungen in den Betrieben. Die Unternehmen sollten die Zeit bis dahin nutzen, um ihre Geschäftsprozesse und Programme an die neue Rechtslage anzupassen. Einen Überblick, was dabei zu beachten ist, vermitteln wir in Veranstaltungen und speziellen Weiterbildungen. Grundlagen klären wir in unserem FAQ zum Thema. Weitere Informationen finden Sie auf der Seite der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.

FAQ zur EU-Datenschutzgrundverordnung

 

Wer ist von den neuen Regeln betroffen?

 
Die Regelungen zum Datenschutz betreffen alle, sowohl Unternehmen, wie auch Behörden und andere öffentliche Einrichtungen, denn praktisch jeder verfügt heute über einen Computer und bearbeitet damit Kunden- und Mitarbeiterdaten.
 

Schon bislang gelten in Deutschland relativ strikte Vorgaben, was den Datenschutz betrifft. Warum jetzt die Neuerungen?

 
Das bisherige Datenschutzrecht stammt aus der Mitte der 90er Jahre und ist europaweit sehr uneinheitlich. Deshalb hat der europäische Gesetzgeber entschieden, neue Vorgaben zu machen. Wie unterschiedlich das Datenschutzniveau innerhalb der EU ist, zeigen nicht zuletzt die rechtlichen Auseinandersetzungen mit Facebook. Der Konzern hat seine Europaniederlassung in Irland. Dort sind die Datenschutzvorgaben nicht so streng wie bei uns. Das unterschiedliche Schutzniveau führt zu Wettbewerbsverzerrungen, weil ein Unternehmen in Deutschland sich an die strengeren Vorgaben bei uns halten muss.
 

Was ändert sich für Unternehmen?

 
In Deutschland sind die Änderungen für die meisten Unternehmen moderat. Die neuen Vorgaben orientieren sich an vielen Stellen am bestehenden Bundesdatenschutzgesetz. Einige Begrifflichkeiten wurden geändert und die eine oder andere Sonderregelung gestrichen. Dazu gehört das sogenannte Listenprivileg, das zurzeit noch Erleichterungen für die Direktwerbung enthält. Werbung wird damit nicht verboten. Im Gegenteil wird in der Praxis vieles wie bisher bleiben. Werbung per Telefon, Fax oder Email ist nur mit Einwilligung erlaubt. Das gilt auch für Newsletter. Entweder verfügt man selbst über die entsprechenden Kontaktdaten oder man holt sich diese bei einem der kommerziellen Anbieter. Dann aber ist es wichtig, sich auch einen Nachweis geben zulassen, dass die Daten dort rechtskonform erhoben wurden und auch zu Werbezwecken genutzt werden dürfen. Das geschieht regelmäßig durch eine Einwilligung des Betroffenen.
 

Nehmen mit den neuen Verbraucherrechten die Informations- und Dokumentationspflichten zu?

 
Es kommt darauf an, wie die neuen Regeln in der Praxis umgesetzt werden. Damit spreche ich insbesondere die Gerichte an. Vom Grundsatz her dürften die Informationspflichten für Unternehmen in Deutschland nicht stark zunehmen. Schon bislang gilt, dass Betroffene bei der Datenerhebung darüber zu belehren sind, was mit ihren Daten wann und wo geschieht. Anders kann eine Einwilligung auch nicht wirksam sein. Künftig wird es aber so sein, dass der Gesetzgeber genau vorgibt, welche Angaben die Belehrung enthalten muss. Beispielsweise muss der Zweck der Datenspeicherung genau angegeben werden, genauso wie Hinweise zur Dauer der Speicherung und das Recht auf Widerspruch. Die Texte mit den Pflichtangaben bei Verträgen und auf den Internetseiten werden damit länger.
 

Mehr Text steigert oft die Gefahr von Fehlern. Was passiert bei fehlerhaften Belehrungen?

 
Für Unternehmen kann das einen unangenehmen Doppeleffekt haben. Zum einen kann es sein, dass die Daten damit unrechtmäßig gespeichert und genutzt werden. Schlimmer aber ist, dass sie deshalb abgemahnt und zur Kasse gebeten werden können. Wir empfehlen insbesondere Onlinehändlernihre Datenschutzbelehrung durch einen Anwalt überprüfen zu lassen und diese den neuen Vorgaben anzupassen.
 

Ändern sich die Kosten für einen Datenschutzverstoß?

 
Aus dem Blickwinkel eines kleinen mittelständischen Unternehmens dürfte sich relativ wenig ändern. Zwar wurde der Bußgeldrahmen nach oben erweitert von bis zu 300.000 Euro auf bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Tatsächlich dürfte das Bußgeld aber deutlich niedriger ausfallen. Teuer bleibt es aber allemal. Erschwerend kommt hinzu, dass Verbraucher und seit dem 1. März 2016 auch Verbraucherschutzverbände Schadensersatz verlangen können. Zusätzlich kann der Ruf des Unternehmens leiden.
 

Muss man künftig einen Datenschutzbeauftragten bestellen?

 
Sobald ein Unternehmen zehn Mitarbeiter hat, die regelmäßig Zugriff auf Kunden- oder Mitarbeiterdaten haben, ist die Bestellung eines Datenschutzbeauftragten zwingend. Das war auch bislang schon so. Sonderregeln gelten für Unternehmen, die mit besonders sensiblen Daten umgehen, beispielsweise mit Gesundheitsdaten. Diese Unternehmen müssen auch bei weniger Mitarbeitern einen Datenschutzbeauftragten bestellen. Auch das ist nichts Neues.
 

Was hat es mit der neuen Datenportabilität auf sich?

 
Die neuen Regeln verlangen, dass Personendaten jederzeit elektronisch lesbar herausgegeben werden können, wenn der Betroffenen das verlangt. Die schriftliche Auskunft reicht also künftig nicht mehr aus. Für die elektronische Übermittlung benötigt man bei komplexen Datenverarbeitungsprogrammen eine Schnittstelle. Das wird eine Herausforderung und Unternehmen sollten sich zeitnah um dieses Problem kümmern.
 

Macht es Sinn sich datenschutzrechtlich zertifizieren zu lassen?

 
Das muss sich jedes Unternehmen in Ruhe überlegen. Eine Zertifizierung kostet Geld und der Gesetzgeber räumt zertifizierten Unternehmen kaum Vorteile ein. Ursprünglich waren Erleichterungen bei den Dokumentationspflichten und ein verringerter Bußgeldrahmen im Gespräch. Das ist aber nicht umgesetzt worden. Eine Zertifizierung ist aber empfehlenswert für Unternehmen, die beispielsweise Software zur Verfügung stellen oder häufig für andere Unternehmen Personal- oder Kundendaten im Auftrag bearbeiten. Am Ende muss aber eines klar sein: Für den Datenschutzverstoß ist immer der Auftraggeber beziehungsweise der Anwender der Software verantwortlich.
 
(Vielen Dank an Markus Czogalla von IHK Rhein-Neckar für die Zusammenstellung und Beantwortung der wichtigsten Fragen zum Thema)