EU-weiter Datenschutz: Am 25. Mai 2018 wird das Bundesdatenschutzgesetz abgeschafft

Mit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 das Bundesdatenschutzgesetz abgeschafft. Ziel ist, die Daten der EU-Bürger besser zu schützen.

Dem kleinen Mittelständler kann diese europäische Neuregelung erhebliche Probleme bereiten. Ein Verstoß gegen die DSGVO kann teuer werden und bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens betragen.

Ziel ist, ein einheitliches Datenschutzrecht innerhalb der EU zu erreichen. Die Grundsätze der Verordnung zur Datenverarbeitung gleichen denen des Bundesdatenschutzgesetzes: Rechtmäßigkeit, Zweckbindung, Datenminimierung und Datensparsamkeit, Richtigkeit, zeitliche Beschränkung der Speicherung, Integrität und Vertraulichkeit sowie eine Rechenschaftspflicht der Verantwortlichen für die Einhaltung dieser Grundsätze.

Enthalten sind Neuerungen in Bezug auf die rechtlichen Grundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Neue Rechte: Leichterer Zugang zu den eigenen Daten

Nutzer sollen leichter Zugang zu ihren Daten bekommen und dazu, wie diese Daten genutzt wurden. Erstmals wird ein „Recht auf Vergessen“ entwickelt.

Neu ist, dass Unternehmen die Pflicht haben, die Voreinstellungen auf elektronischen Geräten und Anwendungen datenschutzfreundlich vorzunehmen.

Die Daten dürfen auch weiterhin verarbeitet (Art. 6 DSGVO) werden, wenn eine Einwilligung vorliegt. Das Mindestalter soll dabei bei 16 Jahren liegen, es sei denn, einzelne Staaten senken die Altersgrenze auf bis zu 13 Jahre ab. Zum anderen muss die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich sein.

Im Abs. 4 gibt es jedoch auch eine Regelung, „nach der Daten später auch zu Zwecken verarbeitet werden dürfen, die nicht dem ursprünglichen Zweck der Erhebung entsprechen. Dies ist aber nur dann zulässig, wenn die Verarbeitung mit dem ursprünglichen Erhebungszweck kompatibel ist. Hierzu zählt ausdrücklich die Nutzung zu statistischen Zwecken. Allerdings müssen die Betroffenen darüber informiert werden“, wie „wbs-law“ schreibt.

Welche Daten dürfen grundsätzlich nicht gespeichert werden?

So gibt es Daten, die grundsätzlich nicht gespeichert werden dürfen. Dazu gehören Daten,„aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen.“ („wbs-law“)

Darunter fallen auch biometrische Daten (Fingerabdruck, Stimmerkennung…). Diese Kategorien sind umfangreicher als im Bundesdatenschutzgesetz.

Dies wird Folgen für den Mittelstand haben. Was ist mit einem Bioladen, der bei der Stammkundin Frau Silenzia die Schlaflosigkeit gespeichert hat, um ihr das Lavendelöl regelmäßig zu bestellen? Oder was ist mit einem Buchladen, der die ethnische Herkunft eines Kunden speichert, um diesen über passende Literatur und Musik aus seinem Heimatland zu informieren?

Auskunft über die eigenen Daten

Das Auskunftsrecht des Betroffenen muss innerhalb einer bestimmten Frist erfüllt werden. Die einfache Frage eines Kunden: „Welche Daten haben Sie über mich gespeichert?“ muss zeitnah beantwortet werden.

Ein Fliesenleger muss hier unter Umständen erst in die Recherche gehen – in jedem Fall wird es ein ungeplanter Mehraufwand sein. Was ist, wenn sich die Fragen häufen?

Archivierungsfristen, Daten löschen

Die Daten sind zu bestimmten Zeitpunkten zu löschen. Dem Unternehmen müssen die Archivierungsfristen bekannt sein – doch nicht jeder Unternehmer hinterfragt die Fristen auf seinem Computer.

Die Firma kann auch zur Löschung der Daten aufgefordert werden. So könnte ein langjähriger Blumenladen immer noch die Adressen seiner ersten ausgelieferten Gestecke vorrätig haben, was nicht mehr rechtens wäre.

Die Interpretation des Art. 32 DSGVO (Sicherheit der Verarbeitung) lässt viel Spielraum. Nach dem Artikel 32 sind technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit vorzunehmen. Ebenso ist der Datenzugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Müssen nun Handwerker tägliche Backups im feuerfesten Safe lagern? Müssen Brandschutztüren angeschafft werden? So mancher kleine Handwerksbetrieb hat diese Kosten mit Sicherheit nicht auf dem Schirm.

Unter bestimmten Umständen ist ein Datenschutzbeauftragter mit entsprechender Qualifikation zu benennen, was künftig in der Personalkostenplanung zu beachten ist.

Binnen drei Tagen müssen Verstöße gemeldet werden

Stellt der Unternehmer eine Verletzung der DSGVO fest, ist dies innerhalb von 72 Stunden den Aufsichtsbehörden zu melden. Diese Zeitspanne bedeutet, dass Rechtsanwälte häufiger als zuvor Einzelfälle kurzfristig klären müssen – doch nicht jedes Unternehmen hat auf Abruf einen Rechtsanwalt für Datenschutzrecht zur Verfügung.

Die europäischen Mitgliedsstaaten sind angehalten, eine oder mehrere unabhängige Behörden für die Überwachung der DSGVO vorzuhalten. Die europäischen Aufsichtsbehörden sollen sich gegenseitig vernetzen, damit das Gesetz in der gesamten EU durchgesetzt werden kann.

Verstärkte Kontrollen befürchtet

Der vollständige Gesetzestext ist hier zu finden. Dort ist geregelt, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein sollen. Die Praxis wird zeigen, inwieweit die mittelständischen Unternehmen durch Kontrollen und Sanktionen abgehalten werden, ihrer eigentlichen Arbeit nachzugehen.

Auch wenn viele Aspekte der DSGVO keine umfassenden Änderungen beinhalten, so befürchten manche Unternehmen durch die europäische Einheitslösung verstärkte Kontrollen und Nachfragen.

Die europäischen Datenschutzgrundverordnung gilt auch für Unternehmen, die ihren Sitz nicht in der EU haben – wenn sich ihre Angebote aber an EU-Bürger wenden. Damit gelten diese auch für Unternehmen wie Facebook, Amazon und Google.

(ra/ks)