Das neue Datenschutzrecht

Praktische Auswirkungen auf den Online-Bereich: Teil 3

Stephan Karner
Stephan Karner

Stephan Karner ist Geschäftsführer und COO der Mon Style GmbH. Aufgrund seiner Expertise war er auch schon Speaker im Bereich Chatbots und deren Verknüpfung mit maschinellem Lernen auf internationalen Konferenzen.

Mehr von diesem AutorArtikel als PDF laden
Martin Bahr
Martin Bahr

Dr. Bahr ist Rechtsanwalt in Hamburg und auf das Recht der Neuen Medien und den gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Neben der reinen juristischen Qualifikation besitzt er ausgezeichnete Kenntnisse im Soft- und Hardware-Bereich. Unter Law-Podcasting.de betreibt er seit 2006 einen eigenen Podcast und unter Law-Vodcast.de einen Video-Vodcast.

Mehr von diesem AutorArtikel als PDF laden

In einer mehrteiligen Reihe werden die praktischen Auswirkungen auf den Online-Bereich dargestellt. In den beiden ersten Ausgaben hatten wir bereits begonnen, uns mit dem neuen europaweiten Datenschutzrecht, der sogenannten EU-Datenschutzgrundverordnung (EU-DSGVO), zu beschäftigten. Der erste Teil beinhaltete eine grundlegende Einführung, der zweite Teil beschäftigte sich schwerpunktmäßig mit der Beweislast und den damit verbundenen Dokumentationspflichten. Im vorliegenden dritten Artikel geht es vor allem um Informationspflichten, die Bestellung eines Datenschutzbeauftragten und die Handlungspflichten bei einem Dateneinbruch.

1. Allgemeine Informationspflichten:

Wir hatten das Thema in Teil 2 im Rahmen der Einwilligung bereits gestreift. Jedoch begrenzen sich die Informationspflichten nicht nur auf diesen kleinen Bereich, sondern gelten immer dann, wenn Sie als Unternehmer Daten einer natürlichen Person speichern, egal ob dies offline oder online geschieht.

Dabei spielt es keine Rolle, ob Sie die Daten direkt von der Person oder von einem Dritten (z. B. öffentliche Verzeichnisse) erhalten.

Beispiel:
Der Verbraucher kauft in Ihrem Online-Shop ein und gibt dort seine Daten ein. Oder Sie greifen auf das Handelsregister zu und lesen dort den Namen und das Geburtsdatum des Geschäftsführers aus.

In beiden Fällen treffen Sie umfangreiche Informationspflichten (Art. 13, 14 EU-DSGVO).

Glücklicherweise ermöglicht das Gesetz jedoch für den Fall, dass Daten bei Dritten erhoben werden, bestimmte Ausnahmen. Andernfalls würde dies nämlich dazu führen, dass ein Verbraucher regelmäßig Nachrichten von Unternehmen erhält, die er bis dato gar nicht gekannt hat, die seine Daten aber aus anderen Quellen erhalten haben.

a. Ausnahme: Bekannt oder unverhältnismäßiger Aufwand

Eine Ausnahme von der grundsätzlichen Benachrichtigungspflicht besteht dann, wenn der Verbraucher diese Information bereits hat oder die Information einen unverhältnismäßigen Aufwand bedeuten würde (Art. 14 Abs. 5 b EU-DSGVO).

Leider ist diese Formulierung recht schwammig, daher sind die genauen Inhalte derzeit noch unklar und harren einer eindeutigen Klärung durch die Gerichte. Nach derzeitiger Auffassung kann diese Bestimmung so interpretiert werden, dass die Informationspflicht auch dann entfällt, wenn die Daten aufgrund einer gesetzlichen Regelung (z. B. Impressum auf einer Webseite oder Handelsregister-Daten) veröffentlicht werden.

Beispiel:
Die Pflicht, bestimmte Daten auf seiner Webseite anzugeben, ist in § 5 TMG geregelt. Da somit eine Rechtsvorschrift existiert, die dies genau regelt, greift die Ausnahme und es besteht keine Informationspflicht.

Nach ganz überwiegender Ansicht in der rechtswissenschaftlichen Literatur liegt ein unverhältnismäßiger Aufwand vor, wenn allgemein zugängliche Daten erhoben werden.

Beispiel:
Das Unternehmen X erhebt regelmäßig sämtliche Daten, die im Handelsregister veröffentlicht werden. Hierbei handelt es sich um allgemein zugängliche Daten.

Eigentlich müsste Firma X nun sämtliche Personen, deren Daten sie erhoben hat, informieren. Da dies jedoch unverhältnismäßig ist, macht das Gesetz in einem solchen Fall eine entsprechende Ausnahme von der Benachrichtigung.

Sämtliche Datensammler, die offline oder online Informationen auslesen und speichern, können also aufatmen: Auch die neuen Bestimmungen verpflichten sie nicht zu entsprechenden Informationen.

b. Ausnahme: Gefährdung der Geschäftszwecke

Eine weitere wichtige Ausnahme hat der deutsche Gesetzgeber eigenständig im neuen BDSG geregelt. Danach soll auch in den Fällen, in denen eine Benachrichtigung die Geschäftszwecke des speichernden Unternehmens erheblich gefährden würden, keine Info-Pflicht existieren (§ 33 Abs. 1 Nr. 2 a BDSG).

In der Gesetzesbegründung wird jedoch klargestellt, dass diese Ausnahme in der Praxis sehr restriktiv zu handhaben ist.

Aus der amtlichen Gesetzesbegründung:
„Der Ausnahmetatbestand ist eng auszulegen; die Möglichkeit des Scheiterns einzelner Geschäfte des Verantwortlichen, etwa das Zustandekommen oder die Abwicklung eines Vertrags mit der betroffenen Person, begründen keine Ausnahme von der Informationspflicht.
Notwendig ist vielmehr, dass die allgemein anerkannten Geschäftszwecke des Verantwortlichen insgesamt gefährdet werden.“

2. Allgemeine Grundsätze:

Mit dem neuen Gesetz werden leider auch zahlreiche ungenaue Rechtsbegriffe eingeführt. So heißt es in Art. 5 EU-DSGVO, dass der Umgang mit dem Betroffenen zukünftig wie folgt zu geschehen hat:

  • präzise
  • transparent
  • verständlich

Etwaige Informationen müssen

  • leicht zugänglich und
  • in klarer und einfacher Sprache

erfolgen.

Praxis-Hinweis:

Das neue Gesetz wird vielfach als Arbeitsbeschaffungsmaßnahme für arbeitslose Juristen angesehen.

Diese Kritik ist mehr als berechtigt. Denn an fast keiner Stelle wird die EU-DSGVO konkret und gibt dem Unternehmer, der die neuen Pflichten umzusetzen hat, praxistaugliche Hinweise und Erörterungen an die Hand. Vielmehr ergeht sich der Gesetzgeber in Allgemeinheiten und abstrakten Erörterungen. Es bleibt vollkommen unklar, was genau mit „leicht zugänglich“ und „klarer, einfacher Sprache“ gemeint ist.

Die praktischen Auswirkungen sind klar: Solche Allgemeinklauseln werden den Behörden und Gerichten noch mehr als bislang ermöglichen, genau dies subjektiv in die neuen Vorschriften hineinzulesen, was sie möchten. Das Nachsehen haben die Anwender in der Praxis, da kaum vorhersehbar ist, was zukünftig rechtskonform ist und was nicht.

Diese unbefriedigende Situation offenbart sich auch an zahlreichen anderen Stellen. Während vonseiten der Verbraucherschützer bestimmte Normen als sinnvoll und absolut passend bewertet werden, kann der betroffene Unternehmer aufgrund solcher praxisfernen Regelungen nur den Kopf schütteln.

So führt das neue Datenschutzrecht solche Schlagworte wie Privacy by design oder Privacy by default ein (Art. 25 EU-DSGVO).

Praxis-Hinweis:

Unter „Privacy bei design“ versteht der Gesetzgeber Datenschutz durch Technikgestaltung. Und bei „Privacy by default“ soll die eingesetzte Technik standardmäßig Daten schützend eingestellt sein.
Auch an dieser Stelle bleibt der Gesetzgeber jede konkrete Antwort schuldig. Vielmehr handelt es sich erneut um inhaltsleere Allgemeinfloskeln ohne praxisbezogene Vorgaben.

3. Verzeichnis von Verarbeitungstätigkeiten:

Das bislang im deutschen Datenschutzrecht bekannte Verfahrensverzeichnis erfährt eine Aufwertung. Zukünftig heißt es Verzeichnis von Verarbeitungstätigkeiten und muss von allen Unternehmen erstellt werden, die regelmäßig Daten verarbeiten (Art. 30 EU-DSGVO).

Praxis-Tipp:

Hierbei handelt es sich um eine Scheineinschränkung. Da in der Praxis jedes Unternehmen, auch die sogenannte Einmannfirma, regelmäßig personenbezogene Daten verarbeitet, besteht diese Pflicht faktisch ausnahmslos für alle Unternehmen.

Anders als bislang muss dieses Verzeichnis nicht mehr der Allgemeinheit zur Verfügung gestellt werden, sondern nur noch der anfragenden Datenschutzbehörde.

Gravierende inhaltliche Änderungen zum bisherigen Recht existieren nicht, sodass die notwendigen Anpassungen eher bürokratischer und organisatorischer Natur sind: Es müssen die bisherigen Unterlagen an die neuen Muster und Formulare angepasst werden.

4. Datenschutzbeauftragter:

An der Pflicht, in bestimmten Fällen einen Datenschutzbeauftragten zu bestellen, hat sich durch die Reform nichts geändert. Zwar sieht die EU-DSGVO eigentlich in diesem Punkt deutliche Erleichterungen vor, jedoch weicht der deutsche Gesetzgeber hiervon ausdrücklich ab und behält den bisherigen Status quo bei (§ 38 BDSG).

Somit besteht auch zukünftig die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn

- mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt sind,
- bei Vorliegen einer Datenschutz-Folgeabschätzung oder
- in Fällen des Adresshandels.

Hier hat sich also rein gar nichts geändert. Auch der bislang existierende arbeitsrechtliche Kündigungsschutz für den internen betrieblichen Datenschutzbeauftragten wurde beibehalten.

Neu hingegen ist, dass ein Unternehmen die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und zudem der Aufsichtsbehörde mitteilen muss (Art. 37 Abs. 7 EU-DSGVO).

5. Meldepflichten bei Dateneinbruch:

Die Vorgaben, welche Meldepflichten ein Unternehmen treffen, wenn Unbekannte personenbezogene Daten seines Unternehmens (z. B. durch einen Hackerangriff) erbeuten, werden deutlich konkretisiert.

Grundsätzlich trifft zukünftig ein Unternehmen eine Meldepflicht gegenüber der Behörde innerhalb von 72 Stunden (Art. 33 EU-DSGVO). Zwar muss das Unternehmen auch dann den Betroffenen, dessen Daten gestohlen wurden, informieren (Art. 34 EU-DSGVO). Das Gesetz stellt an dieser Stelle aber zahlreiche Ausnahmen auf, die es dem Unternehmer ermöglichen, den Zeitraum gegenüber dem Betroffenen deutlich in die Länge zu ziehen.