Das ändert sich 2018 für Betriebe beim Datenschutz

Anna-Maja Leupold

Am 25.Mai 2018 tritt die EU Datenschutz-Grundverordnung (DSGVO) in Kraft. In Deutschland wird deshalb auch das Bundesdatenschutzgesetz (BDSG) geändert. „Relevant sind die neue Regeln für ausnahmslos alle Unternehmen“, sagt Rechtswalt und Datenschutzrechtsexperte David Oberbeck. Grund: Die neuen Regeln betreffen alle, die personenbezogene Daten verarbeiten. Und genau das machen Betriebe mit Fuhrpark– weil sie Mitarbeiter beschäftigen, eine Kundendatenbank nutzen, eventuell Fotos bei Facebook posten oder Mitarbeitern die private Nutzung von Firmenhandys erlauben.

Die EU-Verordnung definiert, was personenbezogene Daten sind. Sie berücksichtigt laut Oberbeck alles, wodurch sich Rückschlüsse auf eine Person ziehen lassen – also zum Beispiel

• Name

• Adresse

• E-Mail-Adresse

• Geburtsdatum

• Bankdaten

• Kfz-Kennzeichen und

• Fotos.

Bei der Verarbeitung von Kundendaten ist zwischen zwei verschiedenen Fällen zu unterscheiden. Zulässig ist sie laut Oberbeck,

• wenn eine gesetzliche Vorschrift die Nutzung ausdrücklich erlaubt

• oder wenn die betroffene Person ausdrücklich in die Datennutzung eingewilligt hat.

Liegt eine gesetzliche Erlaubnis zur Datenverarbeitung vor, brauchen Firmen keine gesonderte Einwilligung. Anders sieht es aus, wenn sie Kundendaten zu anderen Zwecken speichern wollen. Zum Beispiel, weil sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Dann brauchen Betriebe die Einwilligung der Betroffenen, wie es schon nach jetziger Rechtslage der Fall ist.

„Bestehende Einwilligungserklärungen sind weiter gültig“, sagt Oberbeck. Problematisch werde es künftig aber, wenn keine Einwilligung vorliegt. „Das wird nach der Datenschutzgrundverordnung als unberechtigte Datenverarbeitung gewertet“, warnt der Jurist. Und das sei kein Kavaliersdelikt. „Schließlich werden mit der Datenschutz-Grundverordnung die Bußgelder für alle Verstöße massiv erhöht“, so der Datenschutzrechtsexperte.

Bei der rechtswidrigen Verarbeitung von personenbezogenen Daten können Unternehmen von der zuständigen Landesdatenschutzbehörde künftig mit einer Höchststrafe von bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes belangt werden, je nachdem welcher Betrag höher ist.

Allerdings meint Oberbeck: „Mit der Höchststrafe werden kleinere Betriebe künftig sicher nicht belangt.“ Dennoch rät er, die neuen Regeln nicht auf die leichte Schulter zu nehmen. Denn Ende Mai treten noch weitere Neuerungen in Kraft, bei denen der neue Bußgeldkatalog ebenfalls greift.

Vor allem haben Betriebe neue Informationspflichten zu erfüllen, sagt der Datenschutzrechtsexperte. Sie greifen immer dann, wenn sich Unternehmen von Betroffenen eine neue Einwilligungserklärung einholen. Denn dann müssen sie Kunden schriftlich darüber informieren, was sie mit den erhobenen Daten vorhaben – und zwar zum Zeitpunkt der Datenerhebung. Betroffene bekommen zudem ein Auskunftsrecht. „Auf Verlangen müssen Betriebe deshalb auch in einfachen Fällen künftig offenlegen, welche Daten sie von einer Person zu welchem Zweck gespeichert haben“, erläutert der Jurist.

Auch bei der Dokumentation kommen auf Betriebe einige Neuerungen zu. So müssen sie künftig im sogenannten „Verzeichnis für Verarbeitungstätigkeiten“ festhalten, welche personenbezogenen Daten im Unternehmen verarbeitet werden und wofür sie benutzt werden. Zwar gibt es für Kleinunternehmen unter 250 Beschäftigten hierzu Ausnahmen, die in der Praxis aber kaum greifen werden. „Insgesamt dient das Verzeichnis dazu, den Behörden bei der Kontrolle zu helfen“, sagt der Jurist.

Unter bestimmten Umständen muss die Dokumentation auch eine Datenschutz-Folgenabschätzung enthalten. „Das ist immer dann der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen vorliegen kann“, so Oberbeck. Als besonders sensibel gelten in diesem Zusammenhang Gesundheitsdaten, die ethnische Herkunft oder religiöse Zugehörigkeit einer Person.