Die EU verschärft den Schutz unserer Daten
Recht auf Information, Löschung und Widerruf – ab 25. Mai gelten beim Persönlichkeitsschutz deutlich strengere Regeln.
In wenigen Wochen, am 25. Mai, wird europaweit eine neue Datenschutzregel verbindlich. Mit der Datenschutz-Grundverordnung (DSGVO) werden innerhalb der Union die Regeln vereinheitlicht, mit denen die Daten der Bürger vor Missbrauch geschützt werden. Vor allem geht es dabei darum, die Vorgaben an die technische Weiterentwicklung des Internets und den zunehmenden internationalen Handel anzupassen. Die letzte Datenschutzrichtlinie stammt noch aus dem Jahr 1995, als Konzerne wie Facebook oder Whatsapp keine Bedeutung hatten.
Grundlage der DSGVO ist es, personenbezogene Daten vor jedem möglichen Missbrauch zu schützen. Solche Daten sind beispielsweise Name, Adresse, Geburtsdatum oder Telefonnummer, aber auch IP-Adressen im Internet, die einzelnen Personen eindeutig zuzuordnen sind. Teilweise sind es auch – wie beispielsweise bei Ärzten und sonstigen Heilberufen – höchst sensible Daten, die auf keinen Fall in falsche Hände geraten dürfen.
Grundsätzlich gilt, dass jegliche Verarbeitung personenbezogener Daten verboten ist. Wer also Daten verarbeiten will oder muss, kann das nur tun, wenn es beispielsweise entsprechende Vertragsgrundlagen wie Arbeitsverträge oder Lieferverträge gibt, oder wenn die Betroffenen eine Einwilligung gegeben haben. Bei Vereinen erlaubt beispielsweise die Beitrittserklärung, die persönlichen Daten beispielsweise für Mitgliederversammlungen oder für die Zahlung von Vereinsbeiträgen zu speichern und zu nutzen. Wenn der Verein aber die Namen der Mitglieder auf seiner Internetseite nennen will, braucht er dafür eine Einwilligung der Betroffenen.
Heike Cloß, stellvertretende Hauptgeschäftsführerin der IHK Saarland und als Juristin für Datenschutz zuständig, sieht für all die, die den Datenschutz in der Vergangenheit nicht mit der nötigen Sorgfalt verfolgt haben, dringenden Handlungsbedarf. Denn, das betont Cloß: Die Schonfrist ist abgelaufen. Seit 24. Mai 2016 ist die DSGVO bereits in Kraft getreten. Wer am 25. Mai dieses Jahres seine Prozesse in Sachen Datenschutz nicht auf den neuesten Stand gebracht hat, muss sofort mit Konsequenzen rechnen. Seien es Abmahnungen von Konkurrenten oder Abmahnvereinen, sei es bei Verstößen ein saftiges Bußgeld der Datenschutzbehörden.
Auch nach bisherigem Datenschutzrecht mussten Unternehmen oder Vereine mit den ihnen anvertrauten Daten vertrauensvoll umgehen und sie gegen Missbrauch sichern. Neu ist, dass sie über den Datenschutz umfassend informieren, ihre Maßnahmen dokumentieren, sich auf Datenpannen vorbereiten und diese umgehend melden müssen. Folgende Punkte der Datenschutz-Grundverordnung sind dabei besonders wichtig:
Informationspflicht: Dieses ist die aufwändigste Neuerung der neuen Datenschutzregeln: Künftig müssen alle, die mit Daten arbeiten, bei ihrer Erhebung „in leicht verständlicher Sprache“umfassend darüber informieren, wie sie Daten verarbeiten und auf welcher Rechtsgrundlage das stattfindet (§13 und 14 DSGVO) Dazu gehören Angaben dazu, wer im Unternehmen für den Datenschutz verantwortlich ist, und zwar mit den kompletten Kontaktdaten, ob es einen Datenschutzbeauftragten gibt, welche Daten auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden, und auch, ob sie möglicherweise an andere Nutzer – möglicherweise auch außerhalb der EU – übertragen werden.
Zusätzlich müssen die Betroffenen darüber informiert werden, wie lange ihre Daten gespeichert werden, sie müssen über ihr Auskunftsrecht und ihr Recht auf Löschung und ein Widerspruchsrecht informiert werden. Wichtig ist auch der Hinweis, bei welcher Aufsichtsbehörde eine Beschwerde möglich ist. Im Saarland ist diese das Unabhängige Datenschutzzentrum.
Diese Datenschutzerklärung, die beispielsweise bei einem Vertragsschluss in schriftlicher Form vorliegen muss, muss künftig auch Bestandteil quasi jeder Internet-Seite sein. „Hier ist der 25. Mai ein zentraler Termin“, sagt Cloß. Sie erwartet, dass danach eine massive Abmahnwelle alle Unternehmen und Vereine erreichen wird, die ihre Datenschutzerklärung im Internet nicht angepasst haben. „Hier gilt auch das Zwei-Klick-Prinzip“, sagt Cloß. Sprich: Innerhalb von zwei Klicks muss die Erklärung zu erreichen sein.
Dokumentationspflicht: Eine Dokumentationspflicht gibt es schon im bestehenden Datenschutzrecht. Die DSGVO präzisiert nun sehr genau, wie Unnehmen, ternehmen, die Daten verarbeiten, nachweisen können, dass sie dabei entsprechende Sorgfalt anwenden. Einerseits gehört dazu eine umfassende Dokumentation der Datenschutzvorkehrungen andererseits ein Verzeichnis der Verarbeitungstätigkeiten. Die Fragen, die sich dabei stellen, sind: Welche Daten werden genau wie verarbeitet, welche gesetzliche Grundlage gibt es dafür? Liegen Einwilligungen der Betroffenen vor? Sind Daten auf Wunsch umgehend geändert und gelöscht worden? Welche Vorkehrungen hat das Unternehmen getroffen, um Datenmissbrauch vorzubeugen? Dieses Verarbeitungsverzeichnis sei zwar bereits jetzt Pflicht, fehlt es aber künftig, sind bei einer Prüfung hohe Bußgelder fällig, sagt Cloß. Ein solches Verzeichnis anzulegen, ist für Unternehmen zwar erst einmal hoher Aufwand, sagt die IHK-Juristin. hält es aber auch für eine gute Möglichkeit, sich einmal über die eigenen Prozesse Klarheit zu verschaffen und diese möglicherweise in Sachen Datensicherheit noch einmal zu optimieren. Datenschutzbeauftragter: Unternehmen, die regelmäßig Daten verarbeiten oder besonders sensible Daten bearbeiten, müssen einen Datenschutzbeauftragten benennen. Dieser muss eine entsprechende Qualifikation mitbringen und hat die Aufgabe, die Datenschutzabläufe regelmäßig zu kontrollieren.
Verarbeitungsverzeichnis: Im Rahmen der Dokumentationspflichten muss das Unternehmen ein Verarbeitungsverzeichnis aller Prozesse im Unternehmen anlegen, bei denen personenbezogene Daten verarbeitet werden. Jeder Mitarbeiter, der Daten verarbeitet, muss darin seine Tätigkeiten dokumentieren.
Einwilligung: Für alle Datenverarbeitungen, für die es keine gesetzliche Grundlage gibt, ist eine Einwilligung der Betroffenen nötig. Für die Einwilligungen gilt, dass sie freiwillig abgegeben werden müssen und eine „unmissverständlich abgegebene Willensbekundung“sind. Im Vorfeld müssen die Betroffenen ausreichend informiert worden sein, wofür sie ihre Einwilligung erteilen. Außerdem darf die Einwilligung nicht an Bedingungen geknüpft sein. Eine Vereinsmitgliedschaft darf also nicht nur dann möglich sein, wenn der Name auch auf der Internetseite genannt werden darf.
Recht auf Änderung und Löschung: Betroffene haben das Recht, die Änderung oder Löschung ihrer Daten zu verlangen, wenn keine anderen Gründe, wie rechtliche oder steuerliche Vorschriften, dem entgegenstehen. Ein Arbeitnehmer kann also nicht gegenüber seinem Arbeitgeber verlangen, die Personaldaten zu löschen. Denn dieser benötigt sie für die Personalabrechnung und die Steuererklärung.
Recht auf Auskunft: Die Betroffenen haben das Recht, über die Verarbeitung ihrer Daten, Änderungen oder Löschungen informiert zu werden. Die DSGVO setzt dafür eine Frist von einem Monat. Bei besonders komplexen Prozessen kann diese Frist auf drei Monate verlängert werden.
Recht auf Datenübertragbarkeit: Auf Wunsch muss derjenige, der persönliche Daten verarbeitet, diese den Betroffenen so zur Verfügung stellen, dass diese sie auch anderen Datenverarbeitern zur Verfügung stellen können.
Widerrufsrecht: Wer die Einwilligung dazu erteilt hat, Daten zu verarbeiten, kann diese Einwilligung jederzeit widerrufen. Dies ist beispielsweise wichtig, wenn Nutzer Daten bei Internet-Seiten eingegeben haben. Die Datenverarbeiter müssen dann alle technischen Möglichkeiten nutzen, um diese Daten wieder zu löschen. Auch hier gilt, dass ein solcher Widerruf nicht möglich ist, wenn andere Vorschriften die Datenverarbeitung voraussetzen.
Widerspruchsrecht: Werden Daten ohne Einwilligung beispielsweise für Direktwerbung verarbeitet, haben die betroffenen Personen ein Widerspruchsrecht.
Speicherbegrenzung: Künftig dürfen personenbezogene Daten nur noch so lange gespeichert werden, wie es für die Zwecke nötig ist, für die sie verarbeitet werden. Danach müssen sie gelöscht werden.
Meldepflicht: Sollte es zu einer Datenpanne kommen, bei der der Schutz personenbezogener Daten verletzt wird, muss der Verantwortliche den Vorfall innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Im Saarland ist dafür das Unabhängige Datenschutzzentrum zuständig. Zur Meldung gehört auch eine Information, welche Maßnahmen der Verantwortliche ergriffen hat, um den Schaden zu begrenzen. Außerdem muss bei schweren Datenverstößen umgehend der Betroffene benachrichtigt werden.
Folgenabschätzung: Um nicht von einer Datenpanne unvorbereitet überrascht zu werden, müssen all diejenigen, die sensible Daten verarbeiten, schon im Vorfeld abschätzen, zu welchen Problemen es kommen könnte, welche Folgen drohen und welche Schritte nötig sind, um das Risiko einer solchen Datenpanne zu minimieren.
Bußgelder: Die Bußgelder werden künftig deutlich höher sein. Bei Verstößen drohen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des letztjährigen Jahresumsatzes. Leichte Verstöße werden mit bis zu zehn Millionen oder zwei Prozent des Umsatzes belegt.