Recht auf Datenschutz
Foto: Kjartan Einarsson
Ende Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Für alle Bürgerinnen und Bürger der EU ergeben sich wichtige Änderungen. Zeitenvogel sprach mit Rechtsanwalt Thomas Bierlein über die Neuerungen und Auswirkungen der DSGVO und der ePrivacy-Verordnung, die Notwendigkeit rasch zu handeln sowie die Perspektiven des Datenschutzes in der EU.
ZV: Herr Bierlein, was ist die Datenschutzgrundverordnung (DSGVO)?
TB: Die DSGVO ist die erste einheitliche, EU-weite Regelung zum Schutz personenbezogener Daten. Bislang gab es nur Datenschutzrichtlinien, die durch die Mitgliedstaaten der EU in nationales Recht umgesetzt wurden. Ein Beispiel hierfür ist das aktuelle Bundesdatenschutzgesetz, das noch bis zum 24. Mai 2018 gültig ist. Ziel der DSGVO ist es nicht nur, die personenbezogenen Daten der EU-Bürger zu schützen, sondern auch den Unternehmen EU-einheitliche Handlungsanweisungen für den Datenverkehr an die Hand zu geben.
ZV: Wer ist von der DSVGO betroffen?
TB: Grundsätzlich ist jeder betroffen, der personenbezogene Daten verarbeitet, das heißt nicht nur Unternehmen und öffentliche Institutionen, sondern auch etwa Vereine. Da der Begriff der „personenbezogenen Daten“ sehr weit gefasst wird, ist man sehr schnell im Anwendungsbereich der DSVGO. Deshalb sollten sich nicht nur größere Unternehmen, sondern auch die KMUs (Kleine und Mittlere Unternehmen) sowie alle Einzelunternehmer einschließlich Ärzte und Rechtsanwälte mit der DSVGO auseinandersetzen. Zwar werden nicht alle Betroffenen im gleichen Maße verpflichtet sein, zum Beispiel einen Datenschutzbeauftragten zu bestellen, aber man sollte seine Rechte und Pflichten kennen, die sich aus dieser Verordnung ergeben.
ZV: Zählt eigentlich bereits eine IP-Adresse zu den personenbezogenen Daten?
TB: Wie die Juristen so schön sagen: „Es hängt davon ab“. Der Europäische Gerichtshof hat geurteilt, dass IP-Adressen personenbezogene Daten sind, sobald die Möglichkeit besteht, einen Personenbezug herzustellen, das heißt dass sich eine Person anhand der Daten identifizieren lässt. Dafür reicht aus, dass im Wege eines Gerichtsverfahrens und der Auskunft bei dem Telekommunikationsanbieter ein Personenbezug hergestellt werden kann.
ZV: Was sind die wichtigsten Neuerungen der DSVGO gegenüber den bisherigen datenschutzrechtlichen Bestimmungen in Deutschland?
TB: Einer der wichtigsten Punkte ist sicherlich die Rechenschaftspflicht. Es wird eine Umkehr der Beweislast geben: Die Unternehmen, die personenbezogene Daten verarbeiten, werden ab Mai 2018 gegenüber den Aufsichtsbehörden, aber auch im Falle einer Klage oder eines Auskunftsverlangens eines betroffenen Bürgers immer in der Nachweispflicht sein. Das heißt, das jeweilige Unternehmen muss seine Datenverarbeitungsprozesse schriftlich dokumentieren und entsprechende Verarbeitungsverzeichnisse anlegen. Wenn ein Unternehmen auf Nachfrage nicht nachweisen kann, was mit den entsprechenden Daten passiert, hat es in Zukunft ein echtes Problem. Insbesondere bei Schadensersatzklagen ist es ausgesprochen wichtig, diese Nachweise vorzulegen, ansonsten ist man sofort in der fahrlässigen Haftung.
Damit sind wir auch bereits bei der zweiten wichtigen Neuerung: Die Bußgelder werden gegenüber dem bisherigen Bundesdatenschutzgesetz, das Bußgelder bis zu 50.000 Euro vorsah, ganz erheblich erhöht. Sie reichen jetzt – je nachdem welcher Betrag höher ist – bis zu vier Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro. Das sind empfindlich hohe Strafen. In den Erwägungsgründen der DSGVO wird aufgeführt, dass diese Höhen genauso gewollt sind und entsprechend verhängt werden sollen. Es ist also sehr empfehlenswert, alle Verpflichtungen des DSVGO zu erfüllen.
ZV: Wie sollte ein mittelständisches Unternehmen jetzt handeln?
TB: Am wichtigsten ist, dass jeder – vom Einzelunternehmer bis zu den größten Konzernen – zunächst überhaupt einmal auf die DSVGO aufmerksam wird und die Notwendigkeit erkennt, etwas zu unternehmen. Am Anfang der Maßnahmen wird wohl eine Bestandsaufnahme stehen, welche personenbezogenen Daten im jeweiligen Unternehmen verarbeitet werden: Was kommt rein an Daten? Was wird wie verarbeitet? Was wird wo gespeichert? Was geht wieder raus? Was wird wann gelöscht? All diese Fragen sind definitiv von Bedeutung und sollten mit Hilfe von Spezialisten auf diesem Gebiet erörtert werden.
Die nächste Frage, die sich gerade auch bei Ärzten im Zusammenhang mit Gesundheitsdaten stellt, ist: Brauche ich einen Datenschutzbeauftragten? Ab einer gewissen Größe und je nachdem ob man sensible Daten verarbeitet, ist nämlich ein Datenschutzbeauftragter notwendig. Das sollte auch abgeklärt werden, entweder mit einem darauf spezialisierten Fachmann oder mit den Aufsichtsbehörden.
Drittens gibt es die bereits erwähnten Dokumentationspflichten. Das Unternehmen muss also die Verarbeitungsprozesse irgendwie dokumentieren.
ZV: Ein weiterer Punkt, der im Moment noch für Unsicherheit sorgt, ist die Datenschutz- Folgenabschätzung. Kann man zu ihrer Ausgestaltung bereits Näheres sagen?
TB: Die Datenschutz-Folgenabschätzung ersetzt die sogenannte Vorabkontrolle des Bundesdatenschutzgesetzes, die weitaus weniger Vorschriften enthielt. Hinsichtlich der Datenschutz-Folgeabschätzung gibt es noch keine genauen Handlungsanweisungen. Erst nach und nach werden hierzu Handlungsanweisungen von den Aufsichtsbehörden und von verschiedenen Datenschützern geliefert. Festzuhalten ist aber: Es muss definitiv überprüft werden, ob eine Folgenabschätzung notwendig ist.
ZV: Welchen Grundsätzen muss die Speicherung personenbezogener Daten künftig entsprechen?
TB: Die DSGVO führt in Artikel fünf eine Reihe von Grundsätzen an, wie etwa Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit. Einige dieser Grundsätze werden sehr wichtig bei der Auslegung einzelner Artikel und Pflichten der DSVGO sein. Jegliche Handlung, jede Dokumentation, alle Verzeichnisse werden an diesen Grundsätzen gemessen werden.
ZV: Eine weitere Regelung, die in absehbarer Zeit in Kraft treten wird, ist die ePrivacy-Verordnung. Welche wichtigen Neuerungen gibt es hier? Glauben Sie, dass mit dieser Verordnung auch ganze Werbemodelle obsolet werden?
TB: Ursprünglich sollte die ePrivacy-Verordnung auch im Mai 2018, gleichzeitig mit der DSGVO, in Kraft treten. Das wird wohl nicht gelingen und die ePrivacy-Verordnung wird wohl ein Jahr später kommen. Die Verordnung liegt noch nicht in der Endfassung vor, der Entwurf deutet aber darauf hin, dass es durchaus Einschränkungen bei bestimmten Werbemodellen geben kann. So ist zum Beispiel Privacy by Default vorgesehen. Das bedeutet, dass in den Voreinstellungen von Software oder Hardware erst einmal Datenschutz gewährleistet sein muss. Diese Einstellungen kann der Nutzer dann, wenn er das will, wiederum anpassen.
Grundsätzlich bin ich der Meinung, dass zurzeit extrem viel Lobbyarbeit vonseiten der Werbewirtschaft stattfindet um die ePrivacy-Verordnung wieder gänzlich einzustampfen. Die EU hat sich aber auf die Fahnen geschrieben, mit der DSGVO und der ePrivacy-Verordnung die personenbezogenen Daten von uns allen zu schützen – und das ist in der heutigen Zeit wichtiger denn je.
ZV: Lobbyarbeit ist ein gutes Stichwort. Die DSGVO wird von manchen dafür kritisiert, dass sie durch die Öffnungsklauseln zu einem zahnlosen Bürokratiemonster geworden sei. Wie bewerten Sie diese Vorwürfe?
TB: Ja, ich denke gerade in den ersten ein bis zwei Jahren, also 2018 und 2019, wird die DSGVO sehr viel Verwaltungsaufwand sowohl für die Aufsichtsbehörden als auch für die Unternehmen mit sich bringen. Auf lange Sicht werden sich dann aber die enormen Vorteile von modernen Datenschutzmanagementsystemen zeigen. Die positive Auseinandersetzung mit der DSGVO wird sich für wirtschaftlich tätige Unternehmen auszahlen, denn diese Unternehmen werden aus dem entsprechend implementierten Datenschutz einen Standortvorteil ziehen. Davon bin ich fest überzeugt.
Die DSGVO führt ja auch nicht nur zu mehr Bürokratie: Ein Beispiel für die Flexibilität der DSGVO wäre, dass nun die Möglichkeit besteht, auf die bisher übliche Einwilligung zur datenschutzrechtlichen Verarbeitung zu verzichten und dafür andere Rechtfertigungen zu finden. So kann man zum Beispiel argumentieren, dass bereits über Artikel sechs der DSGVO die Möglichkeit besteht, alle Daten zu erhalten, die zum Abschluss eines Vertrages benötigt werden.
ZV: Die Geschäftsmodelle, die im Moment am stärksten in der Kritik stehen, sind die von Google und Facebook. Wird die DSGVO den Kritikern Wind aus den Segeln nehmen? So ist in der DSGVO ja auch vorgesehen, dem einzelnen Bürger ein „Recht auf Vergessenwerden“ zuzugestehen.
TB: Wichtig ist zunächst, dass die DSGVO dazu führt, dass europäische Datenschutzvorschriften überhaupt für amerikanische Unternehmen anwendbar sind. Bislang war eine entsprechende Anwendung sehr schwierig, da Google, Facebook und Co. argumentierten, dass sie hierzulande keine Niederlassung haben. Diese Argumentation ist mit der DSGVO so nicht mehr aufrechtzuerhalten: Jeder, der in Deutschland oder Europa Dienste anbietet, wird auch in der Pflicht sein, die DSGVO einzuhalten. Ob es tatsächlich gänzlich gelingt, Modelle zu unterbinden, die unsere Daten ohne unser Wissen verarbeiten, wird sich erst mit der Zeit zeigen. Ich bin aber davon überzeugt, dass die DSGVO ein sehr gutes Instrument ist, um gegen ungewollte Auswüchse vorzugehen.
ZV: Kann es sein, dass die DSGVO zu einer Abnahme des Datenaustauschs zwischen der EU und den USA führt?
TB: Das hängt sicherlich auch davon ab, welchen künftigen Stellenwert datenschutzrechtliche Regelungen in den Vereinigten Staaten haben werden. Es muss ja immer geprüft werden, ob die datenschutzrechtlichen Anforderung der DSGVO auch in Drittländern außerhalb der EU bestehen. Wenn das nicht der Fall ist, wird es möglicherweise schwieriger, die Datenspeicherung im Aus- bzw. Drittland zuzulassen. Diese Regelung ist sinnvoll und schränkt den eigentlichen Datenverkehr ja trotzdem nicht ein.
ZV: Was ist Ihr Fazit zur DSGVO?
TB: Es ist sinnvoll und richtig, die Daten der Bürgerinnen und Bürger zu schützen. Wenn wir dies in der heutigen Welt nicht tun, dann haben wir über kurz oder lang ein echtes Problem. Es geht ja nicht nur um ein paar personenbezogene Daten. Über das Profiling können zum Beispiel Grundrechte, die uns allen zustehen, ganz schnell verlorengehen. Die Grundrechte müssen heute nicht nur gegen staatliche Eingriffe, sondern auch gegen große Unternehmen verteidigt werden. Die DSVGO bietet hierzu gute Ansatzpunkte.
ZV: Vielen Dank für das Gespräch.
Weiterführende Links:
– Leitfaden der Europäischen Kommission zu den neuen Datenschutzbestimmungen: http://europa.eu/rapid/press-release_IP-18-386_de.htm
– Online-Tool der Kommission, das die Bestimmungen sehr einfach und plausibel erläutert: http://ec.europa.eu/justice/smedataprotect/index_de.htm
– Thomas Bierlein auf Twitter: https://twitter.com/toms_it_tipp
Rechtsanwalt Thomas Bierlein
Fachanwalt für IT-Recht
Czernyring 3
69115 Heidelberg
Beitragsbild: pixabay.com