Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. In Deutschland wird deshalb auch das Bundesdatenschutzgesetz geändert (BDSG) geändert. "Relevant sind die neuen Regeln für ausnahmslos alle Unternehmen", sagt Rechtsanwalt und Datenschutzrechtsexperte David Oberbeck. Grund: Die neuen Regeln betreffen alle, die personenbezogene Daten verarbeiten. Und genau das machen Betriebe mit Fuhrpark - weil sie Mitarbeiter beschäftigen, eine Kundendatenbank nutzen, eventuell Fotos bei Facebook posten oder Mitarbeitern die private Nutzung von Firmenhandy erlauben.
Die Definition personenbezogener Daten
Die EU-Verordnung definiert, was personenbezogene Daten sind. Sie berücksichtigt laut Oberbeck alles, wodurch sich Rückschlüsse auf eine Person ziehen lassen - also zum Beispiel: Name, Adresse, E-Mail-Adresse, Geburtsdatum, Bankdaten, Kfz-Kennzeichen und Fotos.
Einverständiserklärung erforderlich oder nicht?
Bei der Verarbeitung von Kundendaten ist zwischen zwei Fällen zu unterscheiden. Zulässig ist sie laut Oberbeck, wenn eine gesetzliche Vorschrift die Nutzung ausdrücklich erlaubt oder wenn die betroffene Person in die Datennutzung eingewilligt hat. Liegt eine gesetzliche Erlaubnis zur Datenverarbeitung vor, brauchen Firmen keine gesonderte Einwilligung. Anders sieht es aus, wenn sie Kundendaten zu anderen Zwecken speichern wollen. Zum Beispiel, weil sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Dann brauchen Betriebe die Einwilligung der Betroffenen, wie es schon nach jetziger Rechtslage der Fall ist. "Bestehende Einwilligungserklärungen sind weiterhin gültig", sagt Rechtsanwalt Oberbeck. Problematisch werde es künftig aber, wenn keine Einwilligung vorliege. "Das wird nach der Datenschutzgrundverordnung als unberechtigte Datenverarbeitung gewertet", warnt der Jurist. Und das sei kein Kavaliersdelikt. "Schließlich werden mit der Datenschutz-Grundverordnung die Bußgelder für alle Verstöße massiv erhöht", so der Datenschutzrechtsexperte.
Mögliche Strafen bei Verstößen
Bei der rechtswidrigen Verarbeitung von personenbezogenen Daten können Unternehmen von der zuständigen Landesdatenschutzbehörde künftig mit einer Höchststrafe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Vorjahresumsatzes belangt werden - je nachdem, welcher Betrag höher ist. Allerdings meint David Oberbeck: "Mit der Höchstrafe werden kleinere Betriebe künftig sicher nicht belangt." Denoch rät der Rechtsanwalt, die neuen Regeln nicht auf die leichte Schulter zu nehmen. Denn Ende Mai treten noch weitere Neuerungen in Kraft, bei denen der neuen Bußgeldkatalog ebenfalls greift.
Neue Informations- und Dokumentationspflichten
Vor allem haben Betriebe neue Informationspflichten zu erfüllen, sagt der Datenschutzrechtsexperte. Sie greifen immer dann, wenn sich Unternehmen von Betroffenen eine neue Einwilligungserklärung einholen. Denn dann müssen sie die Kunden schriftlich darüber informieren, was sie mit den erhobenen Daten vorhaben - und zwar zum Zeitpunkt der Datenerhebung. Betroffene bekommen zudem ein Auskunftsrecht. "Auf Verlangen müssen Betriebe deshalb auch in einfachen Fällen künftig offenlegen, welche Daten sie von einer Person zu welchem Zweck gespeichert haben", erläutert der Jurist. Auch bei der Dokumentation kommen auf Betriebe einige Neuerungen zu. So müssen sie künftig im sogenannten "Verzeichnis für Verarbeitungstätigkeiten" festhalten, welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. Zwar gibt es für Kleinunternehmen unter 250 Beschäftigten hierzu Ausnahmen, die in der Praxis aber kaum greifen werden. "Insgesamt dient das Verzeichnis dazu, den Behörden bei der Kontrolle zu helfen", sagt der Jurist.
Wer künftig eine Datenschutz-Folgenabschätzung braucht
Unter bestimmten Umständen muss die Dokumentation auch eine Datenschutz-Folgenabschätzung erhalten. "Das ist immer dann der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen vorliegen kann", so Oberbeck. Als besonders sensibel gelten in diesem Zusammenhang Gesundheitsdaten, die ethnische Herkunft oder die religiöse Zugehörigkeit einer Person.
von Anna-Maja Leupold
Foto: Claudia Becker