Ernst Bloch soll einmal gesagt haben, er bemühe sich zwar, hochkomplizierte philosophische Fragen so einfach wie möglich zu vermitteln. Doch ohne einige Abstraktionen würde er nun mal nicht auskommen. Man könne auch Beethovens Neunte nicht auf dem Kamm blasen. Ähnlich verhält es sich in Rechtsfragen, die nicht immer für Laien leichtverständlich dargelegt werden können. Sehen Sie es mir also nach, wenn es hier manchmal etwas kompliziert wird.
Die Haftung von Geschäftsführungen
Die Geschäftsführer oder Vorstände von Aktiengesellschaften unter den Lesern kennen die Haftung für den GmbH Geschäftsführer aus § 43 GmbH bzw. 91, 93 AktG, also der Pflicht bei Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Und diese Pflicht trifft Sie natürlich auch in Bezug auf das Einhalten der Vorschriften aus dem Datenschutz. Nun ist in der EU DSGVO aber noch eine neue Vorschrift hinzugekommen, die auch alle Einzelunternehmer und Personengesellschaften betrifft. Es geht um die Frage der Rechenschaftspflicht oder englisch Accoutability aus Art 5 II EU DSGVO. Mit dieser Rechenschaftspflicht geht eine Art Beweislastumkehr einher. Das bedeutet, dass mit dem 25. Mai 2018 nicht mehr Ihnen bewiesen werden muss, dass Sie sich nicht datenschutzkonform verhalten haben, sondern es liegt nun an Ihnen zu beweisen, dass Sie die Datenschutzrichtlinien eingehalten und das Ganze selbstverständlich auch dokumentiert haben.
Rechenschaftspflichten
Gerade darin liegt eine entscheidende Neuerung. Wurden Technisch Organisatorische Maßnahmen (TOM) oder Verfahrensverzeichnisse in der Vergangenheit nur sehr rudimentär erstellt und das Thema Datenschutz etwas in die Ecke gestellt, muss es nun Teil der täglichen Prozesse im Unternehmen werden. Haben Sie z.B. in der Marketing Abteilung eine Datenbank mit allen Ihren Buchhändlern verzeichnet, müssen Sie zukünftig nachweisen, dass Sie die datenschutzrechtlichen Bestimmungen in Bezug auf Ansprache und Versand einhalten. Selbstverständlich gilt auch weiterhin der Grundsatz der Datensparsamkeit, wonach die Erhebung von personenbezogenen Daten auf das notwendige Maß beschränkt sein muss. ( Art 5 I c) EU DSGVO). Also fragen Sie in Ihren Formularen auf der Website auch nur Daten ab, die Sie auch wirklich für die Bearbeitung Ihres Kunden benötigen.
Ein weit verbreiteter Irrtum ist es auch, dass der Datenschutz erst ab einer Mitarbeiterzahl von 10 Personen gilt. Zwar ist in der Regel erst ab dann ein Datenschutzbeauftragter zu bestellen, das Gesetz gilt aber für alle Unternehmen, so dass Sie sich auch mit dem Thema Datenschutz als Unternehmen mit weniger als 10 Mitarbeitern beschäftigen müssen.
Da die EU DSGVO sogenannte Öffnungsklauseln enthält, wonach auch der nationale Gesetzgeber noch Dinge regeln kann, war es nun am Deutschen Gesetzgeber ein neues Bundedatenschutzgesetz auf den Weg zu bringen. Und so enthält das BDSG-neu, das zeitgleich mit der EU DSGVO in Kraft tritt, eben Regelungen beispielsweise zum Beschäftigtendatenschutz (§ 26 BDSG-neu) oder zur Übernahme von Datenübermittlungen an Auskunfteien. Hier hat sich zu den alten Regelungen aber im wesentlichen nichts geändert.
»Kleines« Konzernprivileg
Für Unternehmensgruppen, die aus einem herrschenden und abhängigen Unternehmen (Art 4 Nr. 19 EU DSGVO) bestehen gibt es Erleichterungen in der EU DSGVO. Zum einen muss nur ein Datenschutzbeauftragter benannt werden, zum anderen müssen keine lästigen mehrfachen Auftragsdatenverarbeitungs-Vereinbarungen mehr geschlossen werden wie in der Vergangenheit. Es reicht, wenn eine gruppeninterne vertragliche Regelung getroffen wird. Diese Regelung wird auch als Codes of conduct bezeichnet. Gleichwohl spricht man nur vom sogenannten kleinen Konzernprivileg, denn auch wenn über eine Interessensabwägung nach Art 6 I Personaldaten in einer Unternehmensgruppe an einer Stelle verarbeitet werden können, so muss doch jedes Mitglied der Gruppe auf Verarbeitungsverzeichnisse, Datenschutzfolgenabschätzungen oder technisch organisatorische Maßnahmen hin gesondert betrachtet werden. Ist Ihr Unternehmen also Teil einer Unternehmensgruppe, was ja in der Medienbrache häufiger der Fall ist, gibt es durch die EU DSGVO einige Erleichterungen, die Sie in Anspruch nehmen können. Gleichwohl entbindet Sie das nicht davon, sich selbst auch um den Datenschutz in Ihrem Unternehmensteil zu kümmern.
Darüber hinaus gibt es weitere Erleichterungen durch die EU DSGVO. So ist z.B. die Verpflichtung auf das Datengeheimnis weggefallen. Zwar findet sich eine ähnliche Regelung in Art 29 EU DSGVO, nämlich der Verpflichtung auf Weisung der unterstellten Person, jedoch ist dieser Anspruch deutlich geringer ausgeprägt als die Regelungen im § 5 des alten BDSG. Aus meiner Sicht können teure Online-Schulungen der einzelnen Mitarbeiter, mit entsprechendem Test und Zertifizierung zukünftig entfallen. Trotzdem sollten Schulungen für die einzelnen Unternehmensteile, wie Marketing, Personal, Lektorat oder Buchhaltung angeboten werden, um die Mitarbeiter mit den Bestimmungen des Datenschutzes vertraut zu machen und gleichzeitig ein Bewusstsein für das Thema Datenschutz zu schaffen. Auch für das Marketing wird es einfacher zukünftig Kunden zu bewerben, denn Art 6 I a) bis f) fordert zwar die Einwilligung des Kunden, jedoch gibt es vielfältige Ausnahmetatbestände, so z.B. Art 6 I f) wonach eine Verarbeitung zur Wahrung des berechtigten Interesses des Verantwortlichen, also beispielsweise der Marketingabteilung erforderlich ist.
Vorsicht, kein Freibrief
Denn entweder gilt ab Mai 2018 die ePrivacy Verordnung die u.a die EU Cookierichtlinie verdrängt und ergänzende Regelungen zum elektronischen Direktmarketing in Art 16 bereithält oder es gilt eben noch § 7 UWG. § 7 UWG wird dann allerdings in Bezug auf elektronische, werbliche Kommunikation durch Art 16 verdrängt. Bestehen bleibt § 7 II UWG, wonach die vereinfachte Nutzung von E-Mail Adressen für eigene Werbezwecke möglich bleibt. Da es hier noch keine endgültige Regelung gibt , muss man das noch beobachten. Merken können Sie sich jedenfalls schon mal, dass die Cookiebanner, die man bisher noch auf vielen Websites sieht, dann der Vergangenheit angehören. Wenden Sie sich im Zweifelsfall an Ihren Datenschutzbeauftragten oder einen Datenschutzberater.
Noch zwei gute Nachrichten für die Unternehmen: Zum einen entfällt das Verfahrensverzeichnis für Jedermann gänzlich und die Verarbeitungsverzeichnisse oder Verfahrensverzeichnisse, wie sie bisher genannt wurden, müssen nur dann erstellt werden, wenn das Unternehmen mehr als 250 Mitarbeiter beschäftigt, was auf einen Großteil der Unternehmen der Medienbranche nicht zutreffen dürfte. Leider gilt das aber nur, wenn die Verfahren nur gelegentlich angewendet werden. Das wird bei einem Grossteil der Verfahren, sei es die Telefonanlage, oder die CRM- und Kunden-Datenbank nicht der Fall sein, so dass die angedachte Erleichterung hier wieder eingeschränkt wird.
Betroffenenrechte
Wir sind ja Jäger und Sammler. So wurden in der Vergangenheit personen-bezogene Daten eben auch massenhaft Daten gespeichert und damit gesammelt. Nur an das Löschen hat so recht keiner gedacht. Das ist etwas, was nun mit der EU DSGVO wichtig wird. Denn aufgrund der oben angedeuteten Rechenschaftspflicht aus Art 5 II müssen Sie in irgendeiner Weise die mögliche Löschung von personenbezogenen Daten, also der Betroffenen, vorsehen. Und am einfachsten geht das mit einem Löschkonzept.
Nur wie kommt man zu so einem Löschkonzept? Überprüfen Sie zunächst in welchen Anwendungen Sie personenbezogene Daten verarbeiten. Das wird regelmäßig die Personaldaten , aber auch Kunden- und Lieferanten-Daten betreffen. Für Hardware, wie Multifunktionsgeräte mit Festplatte oder ausgediente Hardware sollte sowieso eine Vernichtung oder Löschung der Daten vorgesehen sein.
Wenn Sie die Anwendungen identifiziert haben, prüfen Sie, zu welchem Zweck die Daten aufgenommen wurden, und ob das dokumentiert ist. Gibt es eine Grundlage für die Verarbeitung oder eine Einwilligung und ist auch diese dokumentiert? Klar gibt es eine gesetzliche Grundlage für die Mitarbeiterdaten, wie sieht es aber mit den Kunden- oder Interessentendaten aus?
Der nächste Punkt ist etwas heikler, denn Sie müssen sich über die Löschfristen Gedanken machen. Wie lange darf ich denn Bewerberdaten speichern, wann müssen Kundendaten gelöscht werden? Bei Bewerberdaten geht man davon aus, dass sie nach spätestens sechs Monaten gelöscht sein sollten. Manche fordern gar die Daten schon nach 3 Monaten zu löschen. Entscheiden können das letztlich Sie, nur begründen und dokumentieren Sie Ihre Entscheidung wegen der oben angesprochenen Rechenschaftspflicht. Bei den Kundendaten ist das nicht pauschal zu beantworten. Ein Richtwert können 3- 4 Jahre sein. Haben Sie aber eine E-Book Plattform und dem Nutzer ein zeitlich unbefristetes Nutzungsrecht eingeräumt, können Sie diesen Kunden natürlich schwerlich löschen. So muss sich also jeder Einzelfall in Bezug auf das Löschkonzept angeschaut werden. Was aber der Vergangenheit angehören soll, sind riesige Datenbanken mit zig »Kundenleichen« die seit Jahren nichts mehr mit dem Unternehmen zu tun haben.
Im nächsten dritten und letzten Teil dieser Serie werde ich Ihnen mitteilen, was Sie jetzt wie angehen müssen, damit Ihr Unternehmen fit für die EU DSGVO wird. Zudem erhalten Sie eine kleine Checkliste mit der Sie überprüfen können, wie Sie im Datenschutz stehen.
Den ersten Teil der Artikelserie über die europäische Datenschutzgrundverordnung können Sie hier lesen.