Durch die Europäische Datenschutz-Grundverordnung werden zwei Arten von Beteiligten in die Verantwortung genommen: der Datenverantwortliche und der Auftragsverarbeiter.

Zur Erinnerung: Der Datenverantwortliche bestimmt den Zweck und die Art der Verarbeitung personenbezogener Daten.

In der Folge kann er einen oder mehrere Auftragsverarbeiter einsetzen, die in bestimmten Phasen der Datenverarbeitung gemäß den gewünschten Zielen, in seinem Namen und nach seinen Anweisungen tätig werden. Mit der DSGVO können Auftragsverarbeiter ebenfalls haftbar gemacht werden.

Beispiel

Sind Sie Verantwortlicher für Marketing, Kommunikation, Vertrieb, Operatives Geschäft, IT-Administrator, Rechtsbeistand, E-Commerce-Spezialist - Webentwicklung, Personalleiter?

Sie sind mit Sicherheit maßgeblich an der Zweckbestimmung und den Verarbeitungsmethoden für personenbezogene Daten in Ihrem Unternehmen beteiligt. Es ist jedoch Ihr Unternehmen, als juristische Person, und nicht Sie, als natürliche Person, der Verantwortliche für die Verarbeitung. Es sei denn, es wird nachgewiesen, dass Sie als Experte dieses Unternehmens, bei der Festlegung der auf die diese personenbeogenen Daten angewandten Zwecke und Verarbeitungsmethoden allein gehandelt haben.

Meldepflichten

Seit dem 25. Mai 2018 werden zwar die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten (§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) bzw. jeweiliges Landesdatenschutzgesetz) hinfällig und durch ein lokales Verzeichnis von Verarbeitungstätigkeiten ersetzt, jedoch müssen nun zwei wichtige Grundsätze berücksichtigt werden: „Privacy by design“ und „Privacy by default“.

Privacy by design und by default

„Privacy by design“ und „Privacy by default“ ist die Notwendigkeit, systematisch die notwendigen Maßnahmen zum Schutz personenbezogener Daten bei der Erstellung eines Produkts oder einer Dienstleistung zu integrieren. Als Beteiligter an der Entwicklung eines Produkts oder einer Dienstleistung, unabhängig von der Phase, sind Sie daher von diesem Grundsatz betroffen.

Grundsatz der Rechenschaftspflicht

Darüber hinaus gibt es den Grundsatz der Rechenschaftspflicht. Datenverantwortliche und Auftragsverarbeiter müssen sowohl Prozesse zum Schutz personenbezogener Daten umsetzen als auch gleichzeitig den Nachweis erbringen können, dass sie die Regelungen der DSGVO auf Dauer einhalten (d.h. die Wirksamkeit dieser Prozesse durch Dokumentation und interne Maßnahmen kontinuierlich verfolgen können).

Der Geltungsbereich wird wie folgt festgelegt: Gilt für Datenverantwortliche und Datenverarbeiter mit Sitz in der Europäischen Union (EU) und solche mit Sitz außerhalb der EU, die Verarbeitungen durchführen, die dazu bestimmt sind, Waren und Dienstleistungen an Personen innerhalb der Europäischen Union zu liefern oder ihr Verhalten innerhalb der EU zu überwachen.

Die in der Europäischen Verordnung vorgesehenen Rechte und Pflichten betreffen insbesondere:

Datenübertragbarkeit

Ihr Kunde kann von Ihnen verlangen, dass Sie alle Daten auf einem lesbaren Datenträger an Ihren Wettbewerber senden, wenn dieser den Lieferanten wechselt.

Benachrichtigung bei Datenschutzverletzung

Im Falle einer Datenschutzverletzung (unberechtigter Zugriff etc.) ist der für die Verarbeitung Verantwortliche verpflichtet, die Datenschutzbehörde innerhalb von 72 Stunden zu informieren, oder sogar die Personen, deren Daten verletzt wurden, wenn ein hohes Risiko besteht, die Rechte und Freiheiten dieser Personen zu verletzen.

Die Führung eines Registers der Datenverarbeitungsvorgänge

Unter bestimmten Bedingungen sehr empfehlenswert.

Die Ernennung eines Datenschutzbeauftragten (DSB)

(unter bestimmten Bedingungen), um den Schutz personenbezogener Daten zu gewährleisten.

Folgeneinschätzung

Vor der Weiterverarbeitung werden die möglichen Folgen eingeschätzt, wenn ein hohes Risiko einer Verletzung des Schutzes personenbezogener Daten besteht. Es wird besonders für eine bestehende Verarbeitung empfohlen, die ein hohes Risiko darstellt.

Für den Fall der Nichteinhaltung der Europäischen Datenschutzgrundverordnung können Geldbußen von 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem welcher der Beträge höher ausfällt.

Als Kommunikator müssen Sie nicht nur die von Ihnen übermittelten Nachrichten (Ursprung, Bedeutung) mit der Anwendung der DSGVO ändern, sondern verstärkt Ihre Art der Verarbeitung der personenbezogenen Daten Ihrer Kontakte: Unterrichten Sie sie vor der Verarbeitung mit mehr Transparenz; für den Fall, dass die rechtliche Berechtigung für die Verarbeitung auf einer Einwilligung beruht, müssen Sie ihre gültige Einwilligung jederzeit nachweisen können.

Personenbezogene Daten sind Informationen, die dazu verwendet werden können, eine natürliche Person direkt oder indirekt zu identifizieren. Eine E-Mail-Adresse vorname.nachname@namederdomain.de ermöglicht die eindeutige Identifizierung einer natürlichen Person, während eine Kundennummer ein Mittel zur indirekten Identifizierung einer natürlichen Person sein kann.

Andererseits ermöglicht eine generische Adresse allein nicht von vornherein die Identifizierung einer natürlichen Person (es sei denn, Sie haben Angaben, die es Ihnen ermöglichen, jemanden durch Querverweise zu identifizieren). E-Mail Adressen vom Typ kontakt@namederfirma.de stellen Kontaktdaten von juristischen Personen dar. Da diese Art von Daten nicht als personenbezogene Daten gelten, fallen sie nicht in den Anwendungsbereich der DSGVO.

Die Regeln für die elektronische Kommunikation werden von der DSGVO nicht in Frage gestellt.

Beachten Sie jedoch, dass der Entwurf der europäischen ePrivacy-Verordnung, über welchen derzeit im EU-Parlament und EU-Rat diskutiert wird, die Debatte über Themen in Gang setzt, die die digitale Kommunikation und die Einwilligung der Nutzer kombinieren. Dieses Themengebiet muss daher in den kommenden Monaten weiterverfolgt werden.

Wenn wir über personenbezogene Daten sprechen, denken wir zwangsläufig irgendwann über die Einwilligung der Personen nach, deren Daten wir verarbeiten. Im Internet herrscht jedoch große Verwirrung über den Begriff der Einwilligung im Rahmen der DSGVO...

Der europäische Rechtstext weist darauf hin, dass die Einwilligung eine der Rechtsgrundlagen ist, auf die sich die Datenverarbeitung stützen kann. Aber es ist nicht die einzig mögliche Rechtfertigung für die Datenverarbeitung (z.B. Vertragserfüllung), und in diesem Sinne ist es falsch zu behaupten, dass die Einwilligung nach der DSGVO systematisch verbindlich vorgeschrieben wird und zur Regel wird.

Andererseits verschärft die DSGVO die Bedingungen, die gelten, wenn eine Datenverarbeitung auf der Grundlage der Einwilligung erfolgt. In der Praxis, wenn eine Einwilligung erforderlich ist (z.B. im Falle von kommerzieller Prospektion im BtoC Bereich) oder wenn Sie selbst die Verarbeitung der Daten durch eine Einwilligung begründen, müssen Sie eine gültige Einwilligung einholen:

Klare und unmissverständliche positive Aussage oder Handlung der Person

Vorausgefüllte Kästchen, passive oder implizierte Zustimmungen sind nicht erlaubt!

Die Einwilligung muss leicht zugänglich sein

Die Zustimmung muss erklärt werden: Informieren Sie den Betroffenen mit einfachen Worten über die beabsichtigte Verwendung seiner Daten, die Person muss über die erteilte Einwilligung und deren Umfang informiert sein. Verwenden Sie keine Verneinung.

Die Einwilligung muss frei und spezifisch sein

Die Einwilligung muss frei und spezifisch sein: Sie muss einen bestimmten Zweck haben (z.B. um ein kommerzielles Angebot zu senden). Die Zustimmung darf nicht erzwungen werden (d.h. sie darf nicht mit Rabatten, Geschenken oder Dienstleistungen in Verbindung gebracht werden). Weiterhin ist zwischen der Zustimmung zur Datenverarbeitung und der Einwilligung der DSGVO zu unterscheiden.

Das Recht auf jederzeitigen Widerruf der Einwilligung

Sie müssen die Person darüber informieren, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen, wobei Sie angeben müssen, dass es ebenso einfach ist, die Einwilligung zu widerrufen wie sie zu erteilen.

Bewahren Sie den Nachweis der erhaltenen Einwilligung auf

Behalten Sie den Nachweis der Zustimmung (Sie müssen diese beweisen können!): Wozu die Person zugestimmt hat, wann sie zugestimmt hat und wer zugestimmt hat. Die Nachweisbarkeit von Aktionen im Zusammenhang mit der Einwilligung muss gewährleistet sein: Über die Zustimmung, die Verwendung und die widerrufenen Einwilligungen.

Widerruf der Einwilligung vereinfachen

Die Zustimmung zu widerrufen, sollte für den Einzelnen einfach sein. (Einstellungen, die z.B. in Ihrem Kundenkonto geändert werden können)

Darüber hinaus wird das Recht auf Information zur Datenverarbeitung durch die europäische Verordnung gestärkt. Insbesondere müssen die Nutzer klar über die Verwendung ihrer Daten, die Empfänger, die Dauer der Speicherung, die Möglichkeit der Korrektur, Löschung oder Einschränkung ihrer Daten oder die Möglichkeit, der Verarbeitung zu widersprechen, informiert werden.

Zu beachten: Der für die Verarbeitung Verantwortliche sollte nur Datenverarbeiter einsetzen, die ausreichende Garantien bei der Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Datenschutz bieten, damit die Verarbeitung den Anforderungen der DSGVO entspricht.

Als Kunde einer E-Mail-Marketing-Lösung zum Beispiel sind Sie in der Position des Verantwortlichen, der diesen Subunternehmer für die Verarbeitung Ihrer in Ihrem Namen, für Ihr Konto und unter Ihren Anweisungen versandten Newsletter oder E-Mail-Kampagnen beauftragt. Es liegt daher in Ihrer Verantwortung, dafür zu sorgen, dass diese E-Mail-Marketing-Lösung die erforderlichen Mittel einsetzt und an den Schutz personenbezogener Daten angepasst ist.