Neulich fiel mir eine Countdown-Uhr im Internet mit sekundengenauem Ablauf der Zeit bis zum 25. Mai 2018 auf. Was man eigentlich von großen Ereignissen oder Sportevents kennt, betrifft hier den Startschuß zur Gültigkeit der dann europaweit gültigen Datenschutzgrundverordnung, kurz EU DSGVO und des BDSG-neu (Bundesdatenschutzgesetz). In dieser Serie will ich Ihnen die neue Verordnung und das BDSG-neu und seine Regelungen näherbringen, Sie aber auch überhaupt für das Thema Datenschutz gewinnen, denn Datenschutz ist keine lästige Gesetzespflicht, wie immer wieder gedacht wird.
»Aus« für das alte Bundesdatenschutzgesetz
Mit dem 25. Mai 2018 wird also das alte Bundesdatenschutzgesetz abgelöst und die EU DSGVO gilt unmittelbar. Diese neue Verordnung trat schon am 24. Mai 2016 in Kraft. Anders allerdings als bei sogenannten Richtlinien musste die EU DSGVO nicht in nationales Recht transformiert werden. Vielmehr gibt es mehrere Öffnungsklauseln in der Verordnung, die nationale Anpassungen erlauben. Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz der EU vom 30. Juni 2017 hat der deutsche Gesetzgeber diese Möglichkeit genutzt und das Bundesdatenschutzgesetz neu (BDSG-neu) gefasst. Beispiel für eine solche Öffnungsklausel ist der Bereich der Datenschutzbeauftragten, wo § 38 BDSG-neu nun wie in der alten Regel festsetzt, dass ein Datenschutzbeauftragter im Unternehmen dann zu bestellen ist, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Schon bei 10 MitarbeiterInnen muss ein Datenschutzbeauftragter bestellt werden
Für Medienunternehmen bedeutet das schlicht, dass schon bei 10 MitarbeiterInnen ein Datenschutzbeauftragter bestellt werden muss. Denn anders als beispielsweise in einer Gärtnerei haben alle Mitarbeiter in der Regel einen E-Mail Account und verarbeiten so im Austausch mit anderen eben genau personenbezogene Daten. Neu ist, dass wenn eine Verarbeitung personenbezogener Daten entsprechend Art 35 EU DSGVO der Datenschutz Folgeabschätzung unterliegt, grundsätzlich ein Datenschutzbeauftragter bestellt werden muss. Dazu gehört z.B. die Videoüberwachung, oder die Verarbeitung personenbezogener Daten aus umfangreichen Dateien, kurz Big Data genannt. In der Medienbranche kann das vor allem im Bereich CRM oder in einem ERP System vorkommen, wo mit großen Datenmengen und dazu passenden, verschiedenen Geschäftsmodellen vom Einzelverkauf, Bundle bis hin zum ABO, Kundendaten verwaltet und verwertet werden. Ebenfalls einen Datenschutzbeauftragten bestellen muss, wer personenbezogene Daten geschäftsmäßig z.B. als Auskunftei oder für Marketing-Maßnahmen vermarktet. Hierunter fallen die bekannten Adresshändler, aber auch jeder, der Kundendaten vermarkten möchte. Neu ist auch, dass nach Art 37 VII EU DSGVO die Kontaktdaten des bestellten Datenschutzbeauftragen veröffentlicht werden müssen und eben diese Kontaktdaten auch der Aufsichtsbehörde mitgeteilt werden müssen. Diese Aufsichtsbehörden sind länderweise organisiert, also z.B. für Bayern das »Bayerische Landesamt für Datenschutz« oder für Hessen, »Der Hessische Datenschutzbeauftragte« Die jeweiligen Kontaktadressen finden sich leicht im Internet.
Mein Rat: Prüfen Sie genau, ob Ihr Unternehmen einen Datenschutzbeauftragten bestellen muss und falls das nicht geschehen ist, gehen Sie alsbald auf einen Partner zu, der Ihnen hier weiterhelfen kann. Grundsätzlich können Sie den Datenschutzbeauftragten intern, also innerbetrieblich oder auch extern, also über einen Dienstleister bestellen. Wichtig ist nur, dass der bestellte Datenschutzbeauftragte über das nötige Fachwissen, am besten nachgewiesen durch eine Zertifizierung auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.
Was sind nun eigentlich personenbezogene Daten?
Datenschutz ist der Schutz personenbezogener Daten vor Missbrauch, d.h. es geht um Angaben, über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Darunter fallen aber auch Techniken, die geeignet sind eine Person zu identifizieren, also z.B. IP-Adressen egal ob statisch oder dynamisch, aber auch Cookies. Sicher kennen Sie die Facebook- , Instagram- und Twitter- Plugins, mit denen auf Webseiten ein Like oder Ähnliches eingefordert wird. Auch hier wird letztlich der Bezug zu personenbezogenen Daten hergestellt, weshalb hierfür in den Datenschutz-Erklärungen auf Ihrer Unternehmenswebsite ein Hinweis enthalten sein muss.
Reine Unternehmensdaten, beispielsweise die einer GmbH, sind keine personenbezogenen Daten. Doch Vorsicht, lässt sich ein Bezug zu einer natürlichen Person herstellen, z.B. weil der Geschäftsführer der GmbH angeschrieben wird, handelt es sich natürlich wieder um personenbezogene Daten, denn auch geschäftliche Daten von natürlichen Personen sind personenbezogene Daten.
Streitig sind sogenannte indirekte Bezüge von Funktion zur Person aber immer. So wurde ich neulich gefragt, ob denn der Versand direkt ab Druckerei nicht an eine natürliche Person sondern an die Abteilung generell unter die personenbezogenen Daten fallen würde. Da die natürliche Person nicht direkt bestimmbar ist, also kein direkter Bezug zu einer bestimmten natürlichen Person hergestellt werden kann, würde ich den Personenbezug hier verneinen.
Die Bedeutung personenbezogener Daten
Warum ist aber Datenschutz in Bezug auf Missbrauch wichtig? Hier erzähle ich immer gerne die Geschichte von dem Manager, der im Bahnhof sein Notebook mit Passwortschutz 12345 verloren hat. Die Personalabteilung hatte ihm zuvor unverschlüsselt Bewerbungsunterlagen im PDF mit Bild Adresse und Telefonnummer weitergeleitet. Die Bewerberin staunte nicht schlecht als ein junger Mann vor der Tür stand und Sie gerne kennenlernen wollte, weil er ihr Bild aus der Bewerbung so interessant fand, nachdem er das Notebook gefunden hatte und über das unzureichende Passwort sehr schnell an diese und weitere personenbezogene Daten gekommen war. Datenschutz hat also etwas damit zu tun sich bewusst zu machen, wie man mit personen-bezogenen Daten umgeht. Und zwar mit den eigenen wie mit den fremden.
Und mal ehrlich: Unabhängig von diesem eben beschriebenen Fall, wollen Sie, dass jeder Ihre Adresse kennt, weiß wie Ihre Kinder heißen und wo diese zur Schule gehen? Deshalb gibt und gab es auch den Grundsatz des Verbots mit Erlaubnisvorbehalt, (bisher § 4 I BDSG nun Art 5 I a) EU DSGVO) der nichts weiter sagt, als dass man eben Daten von Personen nur dann verarbeiten darf, wenn das die Verordnung oder das BDSG direkt erlaubt, ein anderes Gesetz es erlaubt oder eben der Betroffene in die Verarbeitung einwilligt.
Über die Zweckbindung bei der Datenverwaltung
Ein anderer Grundsatz der uns aus dem »alten« BDSG noch bekannt ist, ist der Grundsatz der Zweckbindung. Danach dürfen Daten nur für den Zweck erhoben und verwendet werden, der im Voraus festgelegt und damit dem Betroffenen bekanntgegeben wurde. Entfällt der Zweck, sind die Daten zu löschen. Auch dieser Grundsatz findet sich in der neuen EU DSGVO in Art 5 I b) wieder und ist insoweit keine Änderung zum bisherigen Recht. Allerdings normiert nun Art 6 IV EU DSGVO, dass personenbezogene Daten auch bei einer Zweckänderung verarbeitet werden dürfen. Hierzu sind aber gleich fünf weitere Punkte in den Buchstaben a) bis e) des Art 6 IV zu berücksichtigen. Kurz gesagt, es darf sich nicht um sensible Daten z.B. Gesundheitsdaten handeln, die Verbindung zwischen den Zwecken und dem Zweck der Weiterverarbeitung muss miteinander vereinbar sein, die Verarbeitung muss für den Betroffenen erwartbar gewesen sein und es besteht eine Garantie für die Datensicherheit. Selbstverständlich muss der Betroffene über die Zweckänderung informiert werden.
Soweit zum Einstig in die EU DSGVO. Im 2. Teil dieser Blogbeitragsreihe wird es um das Thema Datenschutz für Unternehmen im Detail, um weitere Änderungen zwischen dem BDSG »alt« und der EU DSGVO / BDSG-neu und um erste wichtige Umsetzungsvorschläge für einen optimalen Datenschutz nach der neuen Richtlinie gehen.