Samstag, 18. März 2017

Eu-Datenschutz-Grundverordnung: Was kommt ab Mai 2018 auf Unternehmen zu?

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (EU 2016/679) in Kraft. Was ändert sich? Was muss beachtet, was ausgearbeitet und was angepasst werden, um die extrem hohen Bußgelder im zweistelligen Millionenbereich bzw. bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zu vermeiden?

Profitorientierte Unternehmen und Organisationen ist die Erhebung, Speicherung und Verwaltung von sensitiven Informationen generell untersagt. Für Unternehmen des Gesundheitswesens (Ärzte, Krankenhäuser, Krankenkassen usw.) gibt es eine Ausnahme.

Sensitive Informationen sind Angaben zu rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, genetischen Daten, biometrischen Daten sowie Informationen zum Sexualleben oder der sexuellen Orientierung (Artikel 9). Die Speicherung und Verarbeitung von Informationen zu strafrechtlichen Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln darf nur unter behördlicher Aufsicht vorgenommen werden (Artikel 10).

Das bedeutet, dass derartige Informationen weder in Bewerbungsunterlagen noch in Personal- oder Kundenakten vermerkt sein dürfen. Die bloße Anfrage derartiger Informationen kann Bußgelder von bis zu 20 Millionen Euro bzw. 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zur Folge haben (Artikel 83 Abs. 5).

Vorsicht ist hier auch bei Bildmaterial geboten, denn Fotos und Videos können Aufschluss über den Gesundheitszustand, Sehfehler und andere sensitive Informationen zu Einzelpersonen enthalten.

Die Löschpflicht ist verschärft worden. Die Erlaubnis zum Sperren, wenn das Vernichten der Informationen zu aufwendig ist, sieht die europäische Datenschutz-Grundverordnung nicht vor. Hier empfiehlt sich der rechtzeitige Austausch von Software, bei der eine endgültige Löschung von auf Einzelpersonen zurückführbarer Informationen zu aufwendig ist.

Das noch aktuelle Bundesdatenschutzgesetz verpflichtet in §4g Abs. 2 und 2a Unternehmen, sobald auf Einzelpersonen zurückführbare Informationen erhoben und gespeichert werden, auf Antrag jedermann in geeigneter Weise die Punkte eins bis acht aus dem Verfahrensverzeichnis nach BDSG §4e zur Verfügung zu stellen. Egal, ob es dabei um die erfassten Kontaktdaten in WhatsApp-Chats von Handelsvertretern, Kontaktinformationen bei Gewinnspielen, Kundeninformationen, E-Mail-Schriftverkehr, Personalakten, Bewerbungsunterlagen oder Aufzeichnungen von Videokameras geht. Das Gesetz greift überall da, wo Informationen, die auf Einzelpersonen zurückführbar sind, flüchtig oder permanent gespeichert werden.

Die EU-Datenschutz-Grundverordnung geht hier mit Artikel 13 noch einen Schritt weiter. Schon bei der Erhebung von personenbezogenen Informationen muss zukünftig Betroffenen nicht nur mitgeteilt werden, wer für die Datenerhebung, -speicherung und –verarbeitung verantwortlich und somit haftbar ist, sondern auch die Kontaktdaten des Datenschutzbeauftragten. Den Betroffenen muss vor der Erhebung transparent, unter Angabe der Rechtsgrundlage, dargelegt werden, zu welchem Zweck die einzelnen Informationen für wie lange gespeichert und verarbeitet werden. Darüber hinaus muss genau aufgelistet werden, an wen die Daten weitergegeben werden. Für die Weitergabe an Drittländer oder internationale Unternehmen sind besondere Bedingungen zu beachten. Zusätzlich muss der Betroffenen bei der Erhebung über seine Rechte aufgeklärt werden. Die Grundverordnung legt dabei besonderen Wert darauf, dass dem Betroffenen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt wird (Artikel 12 Abs. 1). Die Nachweispflicht, dass Betroffenen informiert wurden, liegt hierbei auf der Seite des Unternehmens (Artikel 12 Abs. 5).

Bei der webbasierten Erhebung lässt sich die Vorgabe recht einfach, zum Beispiel durch einen Bestätigungshaken, lösen. Es gibt viele Situationen, in denen ein Aushändigen der Angaben mit Bestätigung durch Unterschrift denkbar ist. Wie aber sieht das in Supermärkten bei Kartenzahlung, bei Videoüberwachungsdaten oder bei Kommunikationsdaten, wie Email, SMS, Chat usw. aus? Hier ist der Einfallsreichtum der Unternehmen gefragt. Die Beweispflicht, dass Betroffene informiert wurden, liegt in jedem Fall bei den Unternehmen. Auch Kommunikationsdaten sind umgehend nach Zweckerfüllung zu löschen, es sei denn, der Kommunikationsinhalt fällt unter die Aufbewahrungsfrist eines anderen Gesetzes, wie beispielweise dem Handelsgesetzbuch. Bei der Kommunikation haben beide Seite Rechte und Pflichten. Ein Aufheben von Emails, SMS, Chat-Historie usw. ohne entsprechende Rechtsgrundlage ist nach wie vor für alle Kommunikationspartner nicht erlaubt.

Wer auf die Idee kommt, dass mit Einwilligung alles erlaubt ist, dem sollte bewusst sein, dass die Einwilligung bewusst, freiwillig und auf unmissverständliche Weise passieren muss und jederzeit durch den Betroffenen mit unverzüglicher Wirkung widerrufen werden kann. Freiwillig bedeutet, so lange es keine Rechtsgrundlage für die Erhebung, Speicherung oder Verarbeitung gibt, darf dem Betroffenen kein Nachteil entstehen, wenn er nicht einwilligt.  Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, wie beispielsweise AGBs, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen (Artikel 7). Der Betroffene hat das Recht, die Einwilligung jederzeit mit unverzüglicher Wirkung zu widerrufen. Die Nachweispflicht, dass der Betroffene eingewilligt hat, liegt auch hier bei den Unternehmen (Artikel 7 Abs. 1).

Betroffenen Personen haben darüber hinaus das Recht, von dem verantwortlichen Unternehmen, die sie betreffenden Informationen strukturiert in einem gängigen, maschinenlesbaren Format zu erhalten (Artikel 20). Darüber hinaus möchte die EU, dass verantwortliche Unternehmen den Betroffenen Personen einen Fernzugang zu einem sicheren System bereitstellen, der den Betroffenen direkten Zugang zu den über sie gesammelten Informationen ermöglicht (Grund 63).

Besondere Aufmerksam widmet die EU-Datenschutz-Grundverordnung dem Profiling. Profiling ist jede Art der automatisierten Verarbeitung, um bestimmte persönliche Aspekte zu bewerten, zu analysieren oder vorherzusagen. Insbesondere, wenn es sich dabei um Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel handelt. Entscheidungen mit rechtlicher Wirkung oder erheblichen Beeinträchtigungen dürfen nicht ausschließlich auf Profiling beruhen (Artikel 22).

Ein besonderes Augenmerk legt die EU beim Thema Datenschutz auf Kinder und Jugendliche. Hier darf allerdings Deutschland noch an der Altersgrenze schrauben.

Keine Kommentare:

Kommentar veröffentlichen