DSGVO – Das Datenschutzrecht in Deutschland

Seit dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO). Zeitgleich ist ein neues Bundesdatenschutzgesetz (BDSG neu) in Kraft getreten. In Behörden, Firmen und natürlich bei Selbstständigen löste das aktualisierte Datenschutzrecht hektische Aktivitäten aus. Nicht, weil sie die Einführung verschlafen haben, sondern weil die Rechtslage und ihre konkrete Umsetzung an vielen Stellen noch unklar waren und sind. Normalerweise helfen bei wichtigen und interpretationsfähigen Gesetzen juristische Kommentare und Referenzurteile weiter. Momentan ist hier die Lage noch unbefriedigend. Es gibt zwar bereits einige Kommentare zur DSGVO, jedoch zu wenige Detailinformationen zum neuen BDSG. Letzteres ist ja quasi ein Teil der DSGVO – und zwar jener, der die Öffnungsklausel umsetzt, nach der die EU-Nationalstaaten Teilbereiche des Datenschutzrechts autonom regeln dürfen. In Deutschland fallen darunter beispielsweise der Arbeitnehmerdatenschutz sowie spezielle Regeln für den Datenschutz bei Medien, der ausschließlich in Rundfunk-Staatsverträgen und den Landesgesetzen geregelt werden muss.

Was will, was regelt die Datenschutz-Grundverordnung (DSGVO)?

Wir können in diesem Ratgeber nur in Grundzügen erläutern, worum es da überhaupt geht, warum der Datenschutz ein Thema für alle Selbstständigen ist und was akut getan werden sollte – und ansonsten auf Fachdienste im Internet und Fachdienstleister verweisen. Denn: Welche eigenen Geschäftsprozesse dokumentiert und welche angepasst werden müssen, welche Aufzeichnungen vorzubereiten und welche Vorkehrungen zu treffen sind, hängt schlicht vom Geschäft und dem Umfang der Datenspeicherung ab.

Für einen Schnelleinstieg ins Thema finden wir den Mini-Onlinekurs von elopage besonders geeignet. Ein anderes, etwas betulicheres Online-Tool mit einfachen Basis-Fragen, um kurz zu checken, welche Anforderungen sich ergeben können, gibt es beim Bayrischen Landesamt für Datenschutzaufsicht. Kurz vor Ende der Umsetzungsfrist kam dann auch die EU mit einer interaktiven Infografik um die Ecke, in der unter "Was muss Ihr Unternehmen tun?" in Stichworten steht, wer was umzusetzen hat und generell wozu die DSGVO (aus EU-Sicht) dienen soll.

Die Grundprinzipien

Die neuen Grundprinzipien sind eigentlich die alten. Der Ansatz und die Anforderungen des Datenschutzes werden durch die DSGVO nicht verändert, weshalb die meisten der im Folgenden genannten Herausforderungen nicht wirklich neu (und hoffentlich bereits länger umgesetzt) sind. Zentral geht es dabei um den Verbraucher- und Kundenschutz, weniger um die geschäftlichen Kontakte mit und Daten von Auftraggebern, die natürlich aber auch betroffen sein können:

Personenbezogene Daten dürfen nur für "festgelegte, eindeutige und legitime Zwecke" (Art. 5 DSGVO, Absatz 1 b) verarbeitet werden. Und das unter dem Grundsatz der Datensparsamkeit und Richtigkeit. Sie müssen auf ein notwendiges Maß beschränkt sein (Art. 5 DSGVO, Absatz 1 c) und wenn Fehler moniert werden "unverzüglich gelöscht oder berichtigt werden" (Art. 5 DSGVO, Absatz 1 d).

Alle personenbezogenen Daten müssen angemessen gegen fremden Zugriff gesichert sein und sind zu löschen, sobald sie nicht mehr gebraucht werden. Und natürlich muss bei Speicherung solch sensibler Daten der oder die Gespeicherte zustimmen und das nachgewiesen werden können. Wirklich neu ist hier eigentlich nur: Wer solche Daten auf fremde Server aufspielt, muss dessen Betreiber – etwa einen Webhosting-Dienst – vertraglich an den Datenschutz binden oder die Betroffenen müssen dieser sogenannten Auftragsdatenverarbeitung einzeln und ausdrücklich zustimmen. – Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet die Seite Onlinehändler-News einen gleichnamigen Artikel ausführlicher und kommt zum Schluss: Im Zweifel ja. Insbesondere auch, wenn Google Analytics eingesetzt wird, weil sich auf das Thema schon die Abmahnanwälte gestürzt haben. Siehe dazu Details im Text Datenschutzkonforme Website und Angebote unter der Zwischenüberschrift Web-Hosting und Analysetools. – Die Europäische Kommission hat dafür Standardvertragsklauseln veröffentlicht, zu denen die Kanzlei WBS in Zusammenarbeit mit der DGD gezipte, vorausgefüllte Versionen bereit stellt.

Wozu dient das Ganze?

Die Grundprinzipien, die Artikel 5 DSGVO als generelle Normen festlegt, sind weitgehend selbsterklärend. Personenbezogene Daten dürfen ausschließlich verwendet werden, wenn

  • für die Einzelnen transparent ist, welche ihrer Daten wie und warum verarbeitet werden und sie im Zweifel ausdrücklich eingewilligt haben;
  • die Daten nur dafür verwendet werden, wofür sie erhoben werden. Der Zweck darf im Nachhinein nicht wesentlich verändert werden;
  • die personenbezogenen Daten so sparsam wie möglich genutzt werden und beispielsweise nicht auf Vorrat angelegt werden;
  • ein Schutz vor unbefugtem Zugriff auf die Daten besteht.

Diese Prinzipien sind auch nicht wirklich neu. Was aber systematisch gegenüber dem bisherigen nationalen Datenschutzrecht stärker betont wird, ist die Vorsorge zur Vermeidung von Fehlern (und entsprechend hohe Bußgelder, wenn die fehlende Vorsorge der Grund für Datenpannen ist). Die DSGVO erinnert also noch mal nachdrücklicher an den existierenden Grundsatz des Datenschutzes: Jede Speicherung persönlicher Daten ist verboten, wenn es keinen guten Grund gibt, sie aufzubewahren. Und wenn Daten über eine Person gespeichert werden, hat diese ein umfassendes Recht zu wissen, welche das sind. Daher müssen auf Verlangen beispielsweise auch interne Vermerke offen gelegt werden. Kurz: Alles, was über eine Person gespeichert wird, kommt "als Gegenstand des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO grundsätzlich in Betracht". So entschied es am 15. Juni 2021 der Bundesgerichtshof in einem Grundsatzurteil (Az. VI ZR 576/19).

Die Grundregeln

Die Anforderungen in Sachen Datenschutz sind für die meisten Werkvertragsunternehmer und Dienstleisterinnen durchaus zu bewältigen und überschaubar. Es ist ja nicht so, dass seit dem 25. Mai 2018 all jene mit einem Bein im Knast stehen, die kein eigenes Datenschutz-Konzept haben. – Wer aber mit personenbezogenen Daten hantiert, braucht ein Datenschutz-Konzept und gegebenenfalls eine Datenverarbeitungs-Dokumentation. Das gilt insbesondere für den Online-Handel, den Versand von Newslettern oder für jene, die viele Adressdaten ihrer Kundschaft bekommen. In solchen und ähnlichen Fällen ist es notwendig, Geschäftsprozesse, in denen Daten erhoben und verarbeitet werden, zu dokumentieren und auf mögliche Probleme abzuklopfen. Grundsätzlich gilt:

  • Erlaubnis: Keine Speicherung von personenbezogenen Daten ohne ausdrückliche Erlaubnis oder gesetzliche Vorgabe.
  • Einwilligung: Jeder Kontakt und Kunde ist leicht verständlich über die Speicherung und insbesondere die Weitergabe seiner Daten zu informieren. Alle Einwilligungserklärungen, auch die in Verträgen, sind entsprechend zu erstellen, zu ergänzen oder anzupassen.
  • Datenschutzerklärung: Dieses zentrale Statement gehört zu jedem eigenen Webauftritt. Es muss von jeder einzelnen Seite per Klick erreichbar sein. Und da Website-Nutzerinnen und -Nutzer nicht ohne Zustimmung nachverfolgt werden dürfen, braucht es auch für jedes nicht anonyme Tracking eine ausdrückliche Zustimmung per Opt-in.
  • Dokumentation: Alle gespeicherten Personen haben das Recht, innerhalb eines Monats darüber informiert zu werden, welche Daten von ihnen warum verarbeitet werden. Das bedeutet, dass diese Informationen sinnvoll und schnell auffindbar abgelegt werden.
  • Verzeichnis der Verarbeitungsschritte: Erfolgt die regelmäßige Verarbeitung von personenbezogenen Daten oder werden sensible Daten erhoben, gelten besonders hohe Standards. Hier muss ein Verzeichnis der Verarbeitungsschritte selbst von Kleinstunternehmen geführt werden.
  • Aufbewahrung: Alle personenbezogenen Daten sind – egal, ob analog oder digital gespeichert – gegen Zugriff gesichert aufzubewahren.
  • Löschen: Nicht mehr gebrauchte Daten sind ohne Aufforderung zu löschen und auf jeden Fall dann, wenn gespeicherte Personen dies verlangen. Eine Ausnahme bilden natürlich Daten, die noch für die Steuer oder wegen anderer gesetzlicher Vorschriften aufbewahrt werden müssen.
  • Weitergabe: Bei jeder Weitergabe von personenbezogenen Daten (der eigenen Kundschaft) ist ein Vertrag zur Auftragsdatenvereinbarung mit dem Empfänger bzw. der Empfängerin solcher Daten fällig. Etwa beim Mailversand über einen Dienstleister. Datenschutzrechtlich bleibt dabei der Auftraggeber verantwortlich.
  • Auskunft: Betroffene, die danach fragen, müssen innerhalb von vier Wochen Auskunft darüber bekommen, welche Daten von ihnen gespeichert sind.
  • Portabilität: Ebenfalls innerhalb von vier Wochen müssen einer gespeicherten Person alle personenbezogenen Daten in einer auslesbaren Form (etwa einer Excel-Tabelle) übergeben werden, wenn sie diese weitergeben will. Externe Hintergrundinformationen zur neuen Datenportabilität gibt es hier.

Je nach Geschäftsmodell reicht die Spanne des Handlungsbedarfs daher auch für Solo-Selbstständige von "dringend" bis "Entwarnung". Grundsätzlich lohnt es sich – nicht zuletzt wegen der happigen Bußgelder – zu checken, ob etwas zu tun ist und sich klarzumachen, ob die Daten anderer Personen durch die eigenen Datenbanken und Websites rauschen – und wie deren Verarbeitung rechtskonform bleibt.

Wer verpflichtet ist Datenschutzbeauftragte zu bestellen oder es tun will, weil das Thema einfach zu komplex für den eigenen Geschäftsbetrieb ist, kann externe Beauftragte bestellen. Die Kosten dafür starten bei etwa 150 €/Monat, die Stundensätze liegen in ähnlicher Höhe. Wer mit personenbezogenen Daten hantiert und sich vom Thema Datenschutz heillos überfordert fühlt, für den bzw. die ist diese Investion – zumindest für eine Übergangszeit – lohnend. Im Prinzip gilt beim Datenschutz das Gleiche wie bei der Steuer: Externe Beratung zu engagieren, um sich aufs eigentliche Geschäft zu konzentrieren, ist keine Schande, sondern schlicht professionell.

Drei Themen, die oft keine sind

  • Medial war ein wenig die Frage in den Vordergrund getreten, wer einen Datenschutzbeauftragten benennen muss und welche Dokumentationspflichten nach der DSGVO neu entstehen. Das erste Problem stellt sich für Solo-Selbstständige und die meisten Kleinunternehmen nur mittelbar: Interne oder externe (auf jeden Fall aber qualifizierte) Datenschutzbeauftragte muss nur benennen, wer regelmäßig zwanzig (früher zehn) oder mehr Menschen mit personenbezogenen Daten hantieren lässt. Das müssen nicht unbedingt Angestellte sein, auch freie Mitarbeiterinnen zählen hier zu den Beschäftigten.
    Ob mit oder ohne die Pflicht eine beauftragte Person zu benennen: Die Unternehmensführung (also ihr selbst) bleibt juristisch verantwortlich für die korrekte Datenverarbeitung. Und die grundsätzlichen gesetzlichen Bestimmungen zum Datenschutz gelten natürlich unabhängig von der Unternehmensgröße. Bei extrem sensiblen Daten kann es sein, dass ein Unternehmen auch mit weniger als zwanzig Personen eine Datenschutz-Beauftragte benennen muss. So geht die Konferenz der unabhängigen Datenschutzbehörden beispielsweise in einem Beschluss vom 26. April 2018 davon aus, dass manche Arztpraxen und andere Gesundheitsberufe unter die Bestellpflicht fallen könnten. – Um herauszufinden, ob man selbst eine Datenschutzbeauftragte beauftragen sollte oder muss, gibt es einen Hintergrundtext und vor allem einen kommentierten Schnellcheck bei JuraForum.

  • Das zweite gern diskutierte Thema: die umfassende Dokumentation nach Artikel 30 der Verordnung. Also das berüchtigte "Verzeichnis von Verarbeitungstätigkeiten" – das die meisten Selbstständigen ebenfalls nicht betrifft. Wer weniger als 250 Mitarbeiter beschäftig, muss nicht alle Geschäftsprozesse, in denen Daten erfasst und bearbeitet werden, umfassend dokumentieren – außer, die Verarbeitung "birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien". Letztere sind in Artikel 9 der Verordnung geregelt, der hier beispielsweise politische und sexuelle Überzeugungen, Gewerkschaftsmitgliedschaft und ethnische Merkmale als Kategorien nennt. Aktuelle Hinweise und Muster zum Verzeichnis von Verarbeitungstätigkeiten haben die Datenschutzbehörden von Bund und Ländern Mitte Februar 2018 erstellt und veröffentlicht.

  • Wettbewerbsrechtlich müssen sich die meisten Solo-Selbstständige weniger Gedanken machen, solange sie die Basisanforderungen – etwa eine Datenschutzerklärung auf der Website – erfüllen: Das Datenschutzrecht ist erst einmal ein individuelles Persönlichkeitsschutzrecht. Jeder Rechtsverstoß kann aber auch wettbewerbsrechtliche Aspekte im Sinne des §3a UWG haben. Immer dann, wenn ein Wettbewerber oder Verbraucher (deren Verbände klagen dürfen) durch den Verstoß konkret benachteiligt wird, kann er fordern, die Störung des Geschäfts (oder der Verbraucherrechte) zu beseitigen. Ob das auch für DSGVO-Verstöße gilt, ist leidlich unklar, hier gibt es sehr unterschiedliche Meinungen in der Fachliteratur und unterschiedliche Urteile. Klar ist: Die Gefahr mit dem Wettbewerbsrecht in Konflikt zu geraten, ist besonders hoch, wenn die Kundendaten selbst die Ware sind. Wer solch sensible Geschäfte betreibt, braucht natürlich sowieso einen professionellen betrieblichen Datenschutz. Alle Betreiberinnen nd Betreiber "normaler" beruflicher Websites aber sollten beachten: Grundsätzliche Verstöße – etwa eine fehlende Datenschutzerklärung oder die fehlende Verschlüsselung von Kontaktformularen – können Mitbewerber leicht erkennen und versuchen dagegen vorzugehen. Dazu hat etwa das Landgericht Würzburg Mitte September 2018 entschieden Az. 11 O 1741/18, dass hier eine Unterlassungsklage gerechtfertigt ist. Gegenteiliger Meinung war gut einen Monat zuvor das Landgericht Bochum (Az. I-12 O 85/18). Details zu den Urteilen stehen unter Datenschutzkonforme Website. – Um die Lage zu klären, ist also offensichtlich der Gesetzgeber gefragt. Die Regierung bereitet derzeit einen Gesetzentwurf zur Beschränkung des Abmahnmissbrauchs vor.

Gefahren

Eine gewisse Verunsicherung insbesondere bei Kleinbetrieben ist berechtigt: Die juristische Lage ist im Detail noch nicht wirklich geklärt. Wie unsicher die rechtliche Lage für Laien wie Profis derzeit ist, zeigen auch die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK). In jedem dieser Papiere, die eine Einführung in einzelne Themenkomplexe des neuen Datenschutzrechts enthalten, steht der Hinweis "Diese Auffassung steht unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses." Anders gesagt: Selbst die wichtigen deutschen Datenschützer äußern sich noch sehr vorsichtig und die Bundesbeauftragte für den Datenschutz hält sich mit eigenen Veröffentlichungen zurzeit zurück. Es ist also tatsächlich nicht leicht, den gesetzlichen Anforderungen nachzukommen – weder für Behörden, noch für Konzerne, noch für Solo-Selbstständige.

Da das neue Datenschutzrecht angewandt werden muss, werden sicherlich immer wieder Abmahnkanzleien versuchen, insbesondere bei fehlerhaften Webseiten damit ihr Geschäft zu machen. (Die anfangs befürchteten Abmahnwellen sind jedoch einstweilen – Stand August 2019 – ausgeblieben.) Des Weiteren ist es theoretisch möglich, dass Aufsichtsbehörden zur Überprüfung der Einhaltung des Datenschutzes Kontrollen durchführen. Allerdings nicht im hierbei privilegierten Medienbereich. Jedoch ist auch diese theoretische Möglichkeit kein Grund zur Panik: Die damalige Bundesdatenschutzbeauftragte Andrea Voßhoff beschwichtigte bereits im Vorfeld der Neuregelung: "Es muss sich keiner vorstellen, dass ab dem 25. Mai alle Aufsichtsbehörden nur noch ausschwärmen und alle aufsuchen, die die DSGVO nicht einhalten." (Quelle: ARD - Plusminus-Beitrag vom 23.5.18) Wohl auch, weil die Aufsichtsbehörden für den Datenschutz personell gar nicht ausreichend ausgestattet sind, um ihrer Aufsichtspflicht nachzukommen. Zudem überprüfen sie normalerweise nicht aus eigenem Antrieb, ob das Datenschutzrecht in Firmen umgesetzt wurde. Sie reagieren allerdings auf Beschwerden von Betroffenen zeitnah.

Bei Klagen Betroffener gegen Datenschutzverstöße sind bei schwerwiegenden Verstößen für Konzerne – aber eben nur für diese – Geldbußen in Höhe von bis zu vier Prozent des Jahresumsatzes möglich. Mit gewaltigen Strafen müssen Solo-Selbständige nicht rechnen.

Fazit: Da das neue Datenschutzrecht einige unbestimmte Rechtsbegriffe und widersprüchliche Bestimmungen enthält, sind die Einhaltung und Kontrolle sehr schwierig. Rechtlich liegt vieles noch in einer Grauzone und wir können davon ausgehen, dass viele konkrete Anforderungen des neuen Datenschutzrechtes erst in einigen Jahren vorliegen werden. Da die Regeln aber eher für Facebook, Google und Co. gedacht sind, dürften sie letztlich und langfristig den Solo-Selbstständigen (als Bürgerinnen und Bürger) mehr nutzen, als sie ihnen (als Unternehmen) schaden.

Was ist zu tun?

Prinzipiell auf der sicheren Seite ist, wer mit Daten grundsätzlich verantwortungsvoll umgeht, sich um die relativ wenigen seit Juni 2018 neuen Vorgaben kümmert. Da heißt es vor allem: offensichtliche Schwachstellen beseitigen. Also jene Regeln umsetzen, die die Gefahr bergen, dass Abmahner oder Behörden gegen die Verstöße vorgehen.

Der erste Schritt ist, die eigene Webseite rechtssicher zu machen. Worum es da alles geht und gehen kann, steht im Text Datenschutzkonforme Website und Angebote. Zumindest die von außen sichtbaren Fehler – etwa eine fehlende Datenschutzerklärung – gehören umgehend ausgebügelt. Ob ihr beispielsweise tatsächlich schon (soweit überhaupt notwendig), einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen habt und ob eure Dokumentation der Datenverarbeitungen in Ordnung ist, kann akut niemand sehen oder prüfen, sollte aber – wenn noch nicht geschehen – zügig erfolgen. Auch weil der Ärger und die Stafen größer werden, je länger die Leichen im Keller liegen.

Es geht darum, den ganzen Geschäftsbereich auf die Konformität mit der DSGVO zu überprüfen. Alle erkennbar notwendigen Angleichungen sind auch wirklich umzusetzen.  In größeren Firmen werden betriebliche Datenschutzbeauftragte die Firmeninhaber und die Beschäftigten auf den aktuellen Rechtsstand bringen. Anders sieht es bei kleinem Firmen oder Selbstständigen aus, die müssen sich komplett selber darum kümmern – oder sich, wie schon beschrieben, externe Hilfe besorgen.

Vertiefende Informationen

Wer tiefer in das Thema einsteigen will oder muss, sollte sich frühzeitig informieren und im Zweifel auch externe Datenschützer bemühen, die für das eigene Unternehmen eine rechtssichere Datenschutz-Strategie entwickeln. Auch für kleinere Unternehmen geeignete Informationen haben bereits im Mai 2018 folgende Quellen veröffentlicht:


  Link zu dieser Seite.Seite drucken