DSGVO, BDSG-neu & ePrivacy-VO

Sind Sie fit für das Datenschutzrecht ab 2018?

19.12.2017
Von   ,   und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Weitere Artikel des Autors
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Weitere Artikel des Autors
Daniel Lehmann ist Rechtsanwalt bei Luther Rechtsanwalts­gesellschaft mbH. Er studierte Rechtswissenschaften an der Universität Münster und absolvierte im Studium unter anderem eine Ausbildungsstation in einer Kanzlei in Los Angeles. Nach dem ersten Staatsexamen arbeitete er in der Rechtsabteilung eines mittelständischen IT-Beratungsunternehmens. Während des Referendariats arbeitete Herr Lehmann unter anderem in der IT-Abteilung der BaFin sowie im IT/IP-Team einer internationalen Wirtschaftskanzlei. 2017 legte er erfolgreich das zweite Staatsexamen ab.
Weitere Artikel des Autors

Datenportabilität, Widerspruchsrecht & Informationspflichten

Ein ganz neues Recht stellt das mit der DSGVO einzuführende Recht auf Datenübertragbarkeit (Art. 20 DSGVO) dar. Es soll vor allem den Wettbewerb fördern, indem der Wechsel zwischen verschiedenen Dienstanbietern für den Kunden erleichtert wird. Hiernach hat der Betroffene das Recht, alle von ihm bereitgestellten, personenbezogenen Daten in gebündelter Form und in einem gängigen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln oder, soweit dies technisch machbar ist, direkt vom alten Verantwortlichen auf den neuen Verantwortlichen übermitteln zu lassen. Die oben beschriebene Löschung der Daten (und deren Kopien) beim alten Verantwortlichen kann der Betroffene dabei zusätzlich zur Datenmigration verlangen.

Ferner enthält Art. 21 DSGVO ein Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen, die auf andere Rechtfertigungen gestützt werden als auf seine Einwilligung. Nämlich die Verarbeitung im öffentlichen Interesse beziehungsweise aufgrund der (behaupteten) überwiegenden Interessen des Verantwortlichen.

Auch ist hier ein ausdrückliches Widerspruchsrecht gegen eine Verarbeitung zum Zweck der Direktwerbung geregelt. Letztlich regelt Art. 22 DSGVO die Betroffenenrechte bei sogenannten "Automatisierten Entscheidungen im Einzelfall", erlaubt diese nur unter engen Voraussetzungen (etwa, wenn dies zur Erfüllung eines Vertrages nötig ist) und sieht ein Mindestmaß an Einwirkungsmöglichkeiten des Betroffenen vor, das die Verarbeiter bei solchen automatischen Entscheidungen anbieten müssen.

Auch die Informationspflichten der Verantwortlichen in den Artikeln 13 und 14 der GDPR werden umfangreicher. Dabei unterscheidet die Datenschutzgrundverordnung zwischen Daten, welche direkt beim Betroffenen erhoben werden, und solchen, die über ihn bei Dritten eingeholt werden. So ist der Betroffene beispielsweise über Name und Kontaktdaten des Verantwortlichen sowie Verarbeitungszweck und Speicherdauer zu informieren.

Werden die über den Betroffenen erhobenen Daten später einem ursprünglich nicht vorgesehenen Empfänger offengelegt, ist auch hierüber zu informieren. Eine Abwehrmöglichkeit der Verantwortlichen stellt hier neben gegebenenfalls einschlägigen Ausnahmetatbeständen auch der Einwand dar, die Information nur unter Inkaufnahme unverhältnismäßigen Aufwands bereitstellen zu können.

Das droht bei Verstößen gegen Betroffenenrechte

Verstößt ein Verantwortlicher gegen seine Informationspflicht oder gegen die Rechte der Betroffenen, drohen Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist. Artikel 42 BDSG-neu enthält über die bloße Geldbuße hinaus sogar die Androhung von zwei beziehungsweise drei Jahren Freiheitsstrafe für bestimmte Fälle der unrechtmäßigen, strafbaren Datenverarbeitung.

Ergänzt werden die vorgenannten Sanktionen durch die in Art. 82 DSGVO geregelte Möglichkeit eines Schadens- und gegebenenfalls sogar Schmerzensgeldanspruchs. Nicht ausdrücklich gesetzlich geregelt, aber mindestens genauso abschreckend für Unternehmen dürfte letztlich der Reputationsschaden sein, der bei medienwirksamen Datenschutzverstößen stets droht.

Die ePrivacy-Verordnung

Sollte der Entwurf der ePrivacy-Verordnung, der sich derzeit auf der Stufe der sogenannten Trilog-Verhandlungen befindet, das Erlassverfahren in seiner derzeitigen Gestalt überstehen, so ist ab Inkrafttreten mit einer deutlichen Stärkung der (Datenschutz-)Rechte von Betroffenen zu rechnen, die teils noch über die Regelungen der GDPR hinausgehen. Vorgesehen ist etwa ein Verbot der Verarbeitung von Metadaten beim Gebrauch von Diensten wie Whatsapp, Facebook Messenger etc. - sofern nicht eine ausdrückliche Einwilligung des Nutzers vorliegt.

Auch sollen Anbieter zukünftig verpflichtet werden, eine Art einfachen, globalen "Do-Not-Track"-Button bereitzustellen, mit dem jede Form des datengetriebenen Trackings, unabhängig von der im Einzelfall besuchten Website, verhindert werden soll. Außerdem soll auch die mittlerweile etablierte Praxis des "offline Trackings" eingeschränkt werden - also der Erfassung und Analyse der physischen Bewegungen von Menschen mithilfe von WLAN- oder anderen Signalen in Ballungsräumen wie Flughäfen.

Betroffenenrechte im Arbeitsverhältnis

Unternehmen werden sich aber nicht nur mit den Datenschutzrechten ihrer Kunden intensiver als bisher beschäftigen müssen, sondern im besonderen Maße auch mit jenen ihrer Beschäftigten. Einerseits weil Mitarbeitern jedenfalls grundsätzlich dieselben Betroffenenrechte zustehen wie unternehmensfremden Personen. Andererseits weil dieser Bereich mit der nunmehr gesetzlich explizit genannten Möglichkeit von Kollektivvereinbarungen auch besonderes Gestaltungspotential für den Arbeitgeber birgt.

So müssen Unternehmen zwar besondere Vorsicht bei jeglichen Maßnahmen zur Arbeitnehmerüberwachung und bei der Verarbeitung von Gesundheitsdaten als sogenannte "besondere Kategorien personenbezogener Daten" (Art. 9 DSGVO) walten lassen. Andererseits können die Kollektivvereinbarungen die Grundlage für die notwendigen Datenverarbeitungen und -übermittlungen im Unternehmen und der Unternehmensgruppe schaffen.

Das sollten Unternehmen jetzt tun

Knapp ein halbes Jahr haben Unternehmen noch Zeit (Stand: Dezember 2017), um sich auf die neue Rechtslage im Datenschutz vorzubereiten. Diese Zeit sollten sie angesichts der geschilderten, drohenden Sanktionen sinnvoll nutzen. Denn es ist damit zu rechnen, dass gerade in Bezug auf die Betroffenenrechte neue Player zur Rechtedurchsetzung auf dem Markt auftauchen werden, die zwar den Aufwand für Betroffene auf wenige Klicks reduzieren werden, jedoch dadurch spiegelbildlich für erhebliche Bearbeitungslast bei den Unternehmen sorgen werden.

Das wird die Unternehmen dazu zwingen, bisher womöglich vernachlässigte Maßnahmen zu ergreifen und sich vor allem Rechtsklarheit darüber zu verschaffen, von welchen der oben angesprochenen Ausnahmetatbestände und Abwehrrechte sie gegebenenfalls profitieren könnten, um sich gegen missbräuchliche und unberechtigte Anfragen von Betroffenen sowie Abmahnungen von Wettbewerbern zu wehren.

Die im Unternehmen vorhandenen Datenflüsse und -erhebungen müssen hierzu gesichtet, Mitarbeiter datenschutzrechtlich sensibilisiert und standardisierte Prozesse zur Reaktion auf Betroffenenrechte etabliert werden. Bestenfalls können durch präzise Analysen und die bedarfsgerechte Etablierung standardisierter Prozesse sogar Kosten eingespart und ein Ruf als besonders datenschutzfreundliches Unternehmen erlangt werden.

Zur Startseite