DSGVO – Das Datenschutzrecht in Deutschland

Seit dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO). Zeitgleich ist ein neues Bundesdatenschutzgesetz (BDSG neu) in Kraft getreten. Anfangs löste das aktualisierte Datenschutzrecht hektische Aktivitäten aus, weil die Rechtslage und ihre konkrete Umsetzung an vielen Stellen noch unklar waren. Inzwischen gibt es einige Kommentare und Erfahrungen zur DSGVO und zum neuen BDSG. Letzteres ist quasi ein Teil der DSGVO – und zwar jener, der die Öffnungsklausel umsetzt, nach der die EU-Nationalstaaten Teilbereiche des Datenschutzrechts autonom regeln dürfen. In Deutschland fallen darunter beispielsweise der Arbeitnehmerdatenschutz sowie spezielle Regeln für den Datenschutz bei Medien, der ausschließlich in Rundfunk-Staatsverträgen und den Landesgesetzen geregelt werden muss.

Was will, was regelt die Datenschutz-Grundverordnung (DSGVO)?

Wir können in diesem Ratgeber nur in Grundzügen erläutern, worum es geht und dafür sensibilisieren, dass der Datenschutz ein Thema für alle Selbstständigen ist – und ansonsten auf Fachdienste im Internet und Fachdienstleister verweisen. Denn: Welche eigenen Geschäftsprozesse dokumentiert und welche angepasst werden müssen, welche Aufzeichnungen vorzubereiten und welche Vorkehrungen zu treffen sind, hängt schlicht vom Geschäft und dem Umfang der Datenspeicherung ab.

Für einen Schnelleinstieg ins Thema finden wir den Mini-Onlinekurs von elopage besonders geeignet. Ein anderes, etwas betulicheres Online-Tool mit einfachen Basis-Fragen, um kurz zu checken, welche Anforderungen sich ergeben können, gibt es beim Bayrischen Landesamt für Datenschutzaufsicht. Kurz vor Ende der Umsetzungsfrist kam dann auch die EU mit einer interaktiven Infografik um die Ecke, in der unter "Was muss Ihr Unternehmen tun?" in Stichworten steht, wer was umzusetzen hat und generell wozu die DSGVO (aus EU-Sicht) dienen soll.

Die Grundprinzipien

Die neuen Grundprinzipien sind eigentlich die alten. Der Ansatz und die Anforderungen des Datenschutzes werden durch die DSGVO nicht verändert, weshalb die meisten der im Folgenden genannten Herausforderungen nicht wirklich neu (und hoffentlich bereits länger umgesetzt) sind. Zentral geht es dabei um den Verbraucher- und Kundenschutz, weniger um die geschäftlichen Kontakte mit und Daten von Auftraggebern, die natürlich aber auch betroffen sein können:

Personenbezogene Daten dürfen nur für "festgelegte, eindeutige und legitime Zwecke" (Art. 5 DSGVO, Absatz 1 b) verarbeitet werden. Und das unter dem Grundsatz der Datensparsamkeit und Richtigkeit. Sie müssen auf ein notwendiges Maß beschränkt sein (Art. 5 DSGVO, Absatz 1 c) und wenn Fehler moniert werden "unverzüglich gelöscht oder berichtigt werden" (Art. 5 DSGVO, Absatz 1 d).

Alle personenbezogenen Daten müssen angemessen gegen fremden Zugriff gesichert sein und sind zu löschen, sobald sie nicht mehr gebraucht werden. Und natürlich muss bei Speicherung solch sensibler Daten der oder die Gespeicherte zustimmen und das nachgewiesen werden können. Wirklich neu ist hier eigentlich nur: Wer solche Daten auf fremde Server aufspielt, muss dessen Betreiber – etwa einen Webhosting-Dienst – vertraglich an den Datenschutz binden oder die Betroffenen müssen dieser sogenannten Auftragsdatenverarbeitung einzeln und ausdrücklich zustimmen. – Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet die Seite Onlinehändler-News einen gleichnamigen Artikel ausführlicher und kommt zum Schluss: Im Zweifel ja. Insbesondere auch, wenn Google Analytics eingesetzt wird, weil sich auf das Thema schon die Abmahnanwälte gestürzt haben. Siehe dazu Details im Text Datenschutzkonforme Website und Angebote unter der Zwischenüberschrift Web-Hosting und Analysetools. – Die Europäische Kommission hat dafür Standardvertragsklauseln veröffentlicht, zu denen die Kanzlei WBS in Zusammenarbeit mit der DGD gezipte, vorausgefüllte Versionen bereit stellt.

Wozu dient das Ganze?

Die Grundprinzipien, die Artikel 5 DSGVO als generelle Normen festlegt, sind weitgehend selbsterklärend. Personenbezogene Daten dürfen ausschließlich verwendet werden, wenn

  • für die Einzelnen transparent ist, welche ihrer Daten wie und warum verarbeitet werden und sie im Zweifel ausdrücklich eingewilligt haben;
  • die Daten nur dafür verwendet werden, wofür sie erhoben werden. Der Zweck darf im Nachhinein nicht wesentlich verändert werden;
  • die personenbezogenen Daten so sparsam wie möglich genutzt werden und beispielsweise nicht auf Vorrat angelegt werden;
  • ein Schutz vor unbefugtem Zugriff auf die Daten besteht.

Diese Prinzipien sind auch nicht wirklich neu. Was aber systematisch gegenüber dem bisherigen nationalen Datenschutzrecht stärker betont wird, ist die Vorsorge zur Vermeidung von Fehlern (und entsprechend hohe Bußgelder, wenn die fehlende Vorsorge der Grund für Datenpannen ist). Die DSGVO erinnert also noch mal nachdrücklicher an den existierenden Grundsatz des Datenschutzes: Jede Speicherung persönlicher Daten ist verboten, wenn es keinen guten Grund gibt, sie aufzubewahren. Und wenn Daten über eine Person gespeichert werden, hat diese ein umfassendes Recht zu wissen, welche das sind. Daher müssen auf Verlangen beispielsweise auch interne Vermerke offen gelegt werden. Kurz: Alles, was über eine Person gespeichert wird, kommt "als Gegenstand des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO grundsätzlich in Betracht". So entschied es am 15. Juni 2021 der Bundesgerichtshof in einem Grundsatzurteil (Az. VI ZR 576/19).

Die Grundregeln

Die Anforderungen in Sachen Datenschutz sind für die meisten Werkvertragsunternehmer und Dienstleisterinnen durchaus zu bewältigen und überschaubar. Es ist ja nicht so, dass seit dem 25. Mai 2018 all jene mit einem Bein im Knast stehen, die kein eigenes Datenschutz-Konzept haben. – Wer aber mit personenbezogenen Daten hantiert, braucht ein Datenschutz-Konzept und gegebenenfalls eine Datenverarbeitungs-Dokumentation. Das gilt insbesondere für den Online-Handel, den Versand von Newslettern oder für jene, die viele Adressdaten ihrer Kundschaft bekommen. In solchen und ähnlichen Fällen ist es notwendig, Geschäftsprozesse, in denen Daten erhoben und verarbeitet werden, zu dokumentieren und auf mögliche Probleme abzuklopfen. Grundsätzlich gilt:

  • Erlaubnis: Keine Speicherung von personenbezogenen Daten ohne ausdrückliche Erlaubnis oder gesetzliche Vorgabe.
  • Einwilligung: Jeder Kontakt und Kunde ist leicht verständlich über die Speicherung und insbesondere die Weitergabe seiner Daten zu informieren. Alle Einwilligungserklärungen, auch die in Verträgen, sind entsprechend zu erstellen, zu ergänzen oder anzupassen.
  • Datenschutzerklärung: Dieses zentrale Statement gehört zu jedem eigenen Webauftritt. Es muss von jeder einzelnen Seite per Klick erreichbar sein. Und da Website-Nutzerinnen und -Nutzer nicht ohne Zustimmung nachverfolgt werden dürfen, braucht es auch für jedes nicht anonyme Tracking eine ausdrückliche Zustimmung per Opt-in.
  • Dokumentation: Alle gespeicherten Personen haben das Recht, innerhalb eines Monats darüber informiert zu werden, welche Daten von ihnen warum verarbeitet werden. Das bedeutet, dass diese Informationen sinnvoll und schnell auffindbar abgelegt werden.
  • Verzeichnis der Verarbeitungsschritte: Erfolgt die regelmäßige Verarbeitung von personenbezogenen Daten oder werden sensible Daten erhoben, gelten besonders hohe Standards. Hier muss ein Verzeichnis der Verarbeitungsschritte selbst von Kleinstunternehmen geführt werden.
  • Aufbewahrung: Alle personenbezogenen Daten sind – egal, ob analog oder digital gespeichert – gegen Zugriff gesichert aufzubewahren.
  • Löschen: Nicht mehr gebrauchte Daten sind ohne Aufforderung zu löschen und auf jeden Fall dann, wenn gespeicherte Personen dies verlangen. Eine Ausnahme bilden natürlich Daten, die noch für die Steuer oder wegen anderer gesetzlicher Vorschriften aufbewahrt werden müssen.
  • Weitergabe: Bei jeder Weitergabe von personenbezogenen Daten (der eigenen Kundschaft) ist ein Vertrag zur Auftragsdatenvereinbarung mit dem Empfänger bzw. der Empfängerin solcher Daten fällig. Etwa beim Mailversand über einen Dienstleister. Datenschutzrechtlich bleibt dabei der Auftraggeber verantwortlich.
  • Auskunft: Betroffene, die danach fragen, müssen innerhalb von vier Wochen Auskunft darüber bekommen, welche Daten von ihnen gespeichert sind.
  • Portabilität: Ebenfalls innerhalb von vier Wochen müssen einer gespeicherten Person alle personenbezogenen Daten in einer auslesbaren Form (etwa einer Excel-Tabelle) übergeben werden, wenn sie diese weitergeben will. Externe Hintergrundinformationen zur neuen Datenportabilität gibt es hier.

Je nach Geschäftsmodell reicht die Spanne des Handlungsbedarfs daher auch für Solo-Selbstständige von "dringend" bis "Entwarnung". Grundsätzlich lohnt es sich – nicht zuletzt wegen der happigen Bußgelder – zu checken, ob etwas zu tun ist und sich klarzumachen, ob die Daten anderer Personen durch die eigenen Datenbanken und Websites rauschen – und wie deren Verarbeitung rechtskonform bleibt.

Wer verpflichtet ist Datenschutzbeauftragte zu bestellen oder es tun will, weil das Thema einfach zu komplex für den eigenen Geschäftsbetrieb ist, kann externe Beauftragte bestellen. Die Kosten dafür starten bei etwa 150 €/Monat, die Stundensätze liegen in ähnlicher Höhe. Wer mit personenbezogenen Daten hantiert und sich vom Thema Datenschutz heillos überfordert fühlt, für den bzw. die ist diese Investion – zumindest für eine Übergangszeit – lohnend. Im Prinzip gilt beim Datenschutz das Gleiche wie bei der Steuer: Externe Beratung zu engagieren, um sich aufs eigentliche Geschäft zu konzentrieren, ist keine Schande, sondern schlicht professionell.

Drei Themen, die oft keine sind

  • Medial war ein wenig die Frage in den Vordergrund getreten, wer einen Datenschutzbeauftragten benennen muss und welche Dokumentationspflichten nach der DSGVO neu entstehen. Das erste Problem stellt sich für Solo-Selbstständige und die meisten Kleinunternehmen nur mittelbar: Interne oder externe (auf jeden Fall aber qualifizierte) Datenschutzbeauftragte muss nur benennen, wer regelmäßig zwanzig (früher zehn) oder mehr Menschen mit personenbezogenen Daten hantieren lässt. Das müssen nicht unbedingt Angestellte sein, auch freie Mitarbeiterinnen zählen hier zu den Beschäftigten.
    Ob mit oder ohne die Pflicht eine beauftragte Person zu benennen: Die Unternehmensführung (also ihr selbst) bleibt juristisch verantwortlich für die korrekte Datenverarbeitung. Und die grundsätzlichen gesetzlichen Bestimmungen zum Datenschutz gelten natürlich unabhängig von der Unternehmensgröße. Bei extrem sensiblen Daten kann es sein, dass ein Unternehmen auch mit weniger als zwanzig Personen eine Datenschutz-Beauftragte benennen muss. So geht die Konferenz der unabhängigen Datenschutzbehörden beispielsweise in einem Beschluss vom 26. April 2018 davon aus, dass manche Arztpraxen und andere Gesundheitsberufe unter die Bestellpflicht fallen könnten. – Um herauszufinden, ob man selbst eine Datenschutzbeauftragte beauftragen sollte oder muss, gibt es einen Hintergrundtext und vor allem einen kommentierten Schnellcheck bei JuraForum.

  • Das zweite gern diskutierte Thema: die umfassende Dokumentation nach Artikel 30 der Verordnung. Also das berüchtigte "Verzeichnis von Verarbeitungstätigkeiten" – das die meisten Selbstständigen ebenfalls nicht betrifft. Wer weniger als 250 Mitarbeiter beschäftig, muss nicht alle Geschäftsprozesse, in denen Daten erfasst und bearbeitet werden, umfassend dokumentieren – außer, die Verarbeitung "birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien". Letztere sind in Artikel 9 der Verordnung geregelt, der hier beispielsweise politische und sexuelle Überzeugungen, Gewerkschaftsmitgliedschaft und ethnische Merkmale als Kategorien nennt. Aktuelle Hinweise und Muster zum Verzeichnis von Verarbeitungstätigkeiten haben die Datenschutzbehörden von Bund und Ländern Mitte Februar 2018 erstellt und veröffentlicht.

  • Wettbewerbsrechtlich müssen sich die meisten Solo-Selbstständige weniger Gedanken machen, solange sie die Basisanforderungen – etwa eine Datenschutzerklärung auf der Website – erfüllen: Das Datenschutzrecht ist erst einmal ein individuelles Persönlichkeitsschutzrecht. Jeder Rechtsverstoß kann aber auch wettbewerbsrechtliche Aspekte im Sinne des §3a UWG haben. Immer dann, wenn ein Wettbewerber oder Verbraucher (deren Verbände klagen dürfen) durch den Verstoß konkret benachteiligt wird, kann er fordern, die Störung des Geschäfts (oder der Verbraucherrechte) zu beseitigen. Ob das auch für DSGVO-Verstöße gilt, ist leidlich unklar, hier gibt es sehr unterschiedliche Meinungen in der Fachliteratur und unterschiedliche Urteile. Klar ist: Die Gefahr mit dem Wettbewerbsrecht in Konflikt zu geraten, ist besonders hoch, wenn die Kundendaten selbst die Ware sind. Wer solch sensible Geschäfte betreibt, braucht natürlich sowieso einen professionellen betrieblichen Datenschutz. Alle Betreiberinnen nd Betreiber "normaler" beruflicher Websites aber sollten beachten: Grundsätzliche Verstöße – etwa eine fehlende Datenschutzerklärung oder die fehlende Verschlüsselung von Kontaktformularen – können Mitbewerber leicht erkennen und versuchen dagegen vorzugehen. Dazu hat etwa das Landgericht Würzburg Mitte September 2018 entschieden Az. 11 O 1741/18, dass hier eine Unterlassungsklage gerechtfertigt ist. Gegenteiliger Meinung war gut einen Monat zuvor das Landgericht Bochum (Az. I-12 O 85/18). Details zu den Urteilen stehen im Text zur datenschutzkonformen Website. – Um die Lage zu klären, ist also offensichtlich der Gesetzgeber gefragt. Die Regierung bereitet derzeit einen Gesetzentwurf zur Beschränkung des Abmahnmissbrauchs vor.

Gefahren

Eine gewisse Verunsicherung insbesondere bei Kleinbetrieben ist berechtigt: Die rechtliche Lage ist für Laien kaum einzuschätzen und selbst Profis hatten zur Einführung keinen kompletten Überblick gewinnen können. Das zeigten beispielsweise die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK). In jedem dieser Papiere, die eine Einführung in einzelne Themenkomplexe des damals neuen Datenschutzrechts enthalten, steht der Hinweis "Diese Auffassung steht unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses." Anders gesagt: Selbst die deutschen Datenschutzprofis sind sehr vorsichtig.

Da das neue Datenschutzrecht angewandt werden muss, werden sicherlich immer wieder Abmahnkanzleien versuchen, insbesondere bei fehlerhaften Webseiten damit ihr Geschäft zu machen. Ein eher skurriler und wohl betrügerischer Versuch wurde im Sommer 2022 mit einer Abmahnwelle rund um die Verwendung von Google-Fonts gestartet, die auch unter Solo-Selbstständigen Wellen schlug. Theoretisch ist es zudem möglich, dass Aufsichtsbehörden zur Überprüfung der Einhaltung des Datenschutzes Kontrollen durchführen. Allerdings nicht im hierbei privilegierten Medienbereich und auch ansonsten ist diese Möglichkeit kein Grund zur Panik: Die damalige Bundesdatenschutzbeauftragte Andrea Voßhoff beschwichtigte bereits im Vorfeld der DSGVO-Einführung: "Es muss sich keiner vorstellen, dass ab dem 25. Mai alle Aufsichtsbehörden nur noch ausschwärmen und alle aufsuchen, die die DSGVO nicht einhalten." (Quelle: ARD - Plusminus vom 23.5.18) Die Aufsichtsbehörden überprüfen normalerweise auch nicht aus eigenem Antrieb, sondern reagieren auf Beschwerden von Betroffenen. Wenn diese sogar klagen, sind bei schwerwiegenden Datenschutzverstößen für Konzerne – aber eben nur für diese – Geldbußen in Höhe von bis zu vier Prozent des Jahresumsatzes möglich. Solo-Selbständige hingegen müssen nicht mit gewaltigen Strafen rechnen.

Fazit: Da das neue Datenschutzrecht einige unbestimmte Rechtsbegriffe und widersprüchliche Bestimmungen enthält, sind die Einhaltung und Kontrolle schwierig. Rechtlich liegt noch Einiges in einer Grauzone, die die Gerichte nach und nach lichten müssen. Da die Regeln aber im Kern für Facebook, Google und Co. gedacht sind, dürften sie letztlich und langfristig den Solo-Selbstständigen (als Bürgerinnen und Bürger) mehr nutzen, als sie ihnen (als Unternehmen) schaden.

Was ist zu tun?

Prinzipiell auf der sicheren Seite ist, wer mit Daten grundsätzlich verantwortungsvoll umgeht und sich um die relativ wenigen Anforderungen kümmert. Da heißt es vor allem: offensichtliche Schwachstellen beseitigen. Also jene Regeln umsetzen, die die Gefahr bergen, dass Abmahner oder Behörden gegen die Verstöße vorgehen. Der erste Schritt ist, die eigene Webseite rechtssicher zu machen. Worum es da alles geht und gehen kann, steht im Text Datenschutzkonforme Website und Angebote. Zumindest die von außen sichtbaren Fehler – etwa eine fehlende Datenschutzerklärung – gehören umgehend ausgebügelt. Ob ihr beispielsweise tatsächlich (soweit notwendig), einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen habt und ob eure Dokumentation der Datenverarbeitungen in Ordnung ist, kann von außen niemand sehen oder prüfen, sollte aber ebenfalls erfolgen, wenn sie notwendig ist. Auch weil der Ärger und die Strafen umso größer werden, je länger die Leichen im Keller liegen.
Es geht um nicht weniger, als im ganzen Geschäftsbereich auf die Konformität mit der DSGVO zu achten. In größeren Firmen werden betriebliche Datenschutzbeauftragte die Firmeninhaber und die Beschäftigten auf den jeweils aktuellen Rechtsstand bringen. Anders sieht es bei kleinem Firmen oder Selbstständigen aus, die müssen sich komplett selber darum kümmern – oder sich, wie beschrieben, externe Hilfe besorgen.

Vertiefende Informationen

Wer tiefer in das Thema einsteigen will oder muss, sollte sich frühzeitig informieren und im Zweifel auch externe Datenschützer bemühen, die für das eigene Unternehmen eine rechtssichere Datenschutz-Strategie entwickeln. Auch für kleinere Unternehmen geeignete Informationen hatten bereits im Mai 2018 folgende Quellen veröffentlicht: