Ein Beitrag von RA Christian Schmitt, DGRV-Rechtsabteilung, für unser Fachmagazin PerspektivePraxis.
Ab dem 25. Mai 2018 gelten in Deutschland (und der übrigen EU) neue gesetzliche Vorgaben zum Schutz personenbezogener Daten. Grundlage des neuen Rechts bildet die EU-weit geltende Datenschutzgrundverordnung (DSGVO) sowie in Deutschland zusätzlich das Bundesdatenschutzgesetz (BDSG) n. F. Weitere datenschutzrechtliche Vorgaben aus anderen Gesetzen, z. B. aus dem Sozialgesetzbuch (SGB) und dem Telemediengesetz (TMG), gelten daneben weiter. Im Mai 2016 wurde die DSGVO (mit einer zweijährigen Übergangsfrist) im Amtsblatt der Europäischen Union veröffentlicht. Mehr als ein Jahr später – am 30. Juli 2017 – wurde im Bundesgesetzblatt im Rahmen des „Datenschutz Anpassungs- und Umsetzungsgesetz EU“ das neue Bundesdatenschutzgesetz für Deutschland verkündet. Es tritt zeitgleich mit der DSGVO in Kraft und ist neben der Verordnung zu beachten.
Die DSGVO enthält mit 99 Artikeln umfassende Regelungen für die Verarbeitung personenbezogener Daten. Gleichwohl werden den Gesetzgebern der Mitgliedsstaaten über Öffnungsklauseln in der DSGVO Möglichkeiten gewährt, nationale Sonderregelungen zu erlassen. Der deutsche Gesetzgeber hat diese Gesetzgebungskompetenz z. B. durch Regelungen zum Datenschutzbeauftragten (§ 38 BDSG n. F.) und zum Datenschutz im Beschäftigungsverhältnis (§ 26 BDSG n. F.) genutzt. Grundlegende Änderungen der bisherigen Rechtslage sind damit aber nicht verbunden. Obgleich das neue Bundesdatenschutzgesetz 37 Paragrafen mehr als seine Vorgängerversion aufweist, gelten viele der Vorschriften nur für öffentliche Stellen (z. B. Behörden) und sind damit nicht auf Genossenschaften anwendbar (insb. §§ 8–16 und 45–84 BDSG n. F.). Die bisher bekannte Vorgabe zur Verpflichtung auf das Datengeheimnis steht beispielsweise nun in § 53 BDSG n.F. und damit in einem Teil des neuen BDSG, welcher auf Genossenschaften keine Anwendung findet. Auch wenn Genossenschaften nicht von § 53 BDSG n. F. erfasst werden, hat sich die Verpflichtung auf das Datengeheimnis bewährt. Beschäftigte (inkl. Praktikantinnen und Praktikanten) sollten daher auch weiterhin bei Beschäftigungsaufnahme (bzw. Praktikumsbeginn) auf das Datengeheimnis verpflichtet werden. Für Auftragsverarbeiter gilt zudem ausdrücklich Art. 28 Abs. 3 lit. b) DSGVO („Verpflichtung zur Vertraulichkeit der eingesetzten Mitarbeiter/innen“).
Aufgrund des ohnehin sehr hohen Datenschutzniveaus in Deutschland wird die neue Rechtslage für deutsche Unternehmen überschaubare Veränderungen zur Folge haben. Es gilt weiterhin der Grundsatz, dass die Verarbeitung (s. zur erweiterten Begriffsdefinition Art. 4 Ziffer 2 DSGVO) personenbezogener Daten verboten ist, soweit die Verarbeitung nicht z. B. aufgrund einer Einwilligung zur Vertragserfüllung oder aufgrund einer Interessenabwägung erlaubt ist (Grundsatz der Rechtmäßigkeit). Die bekannten Grundsätze Zweckbindung, Richtigkeit, Datenminimierung (bislang Datensparsamkeit) finden sich nun in Art. 5 DSGVO kodifiziert. Zudem ist die Datenverarbeitung möglichst transparent für den Betroffenen zu gestalten, was sich in vielfältigen Informationspflichten widerspiegelt (z. B. Art. 14 bis 16 DSGVO). Der gestiegene Dokumentationsbedarf resultiert im Wesentlichen aus dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der „Rechenschaftspflicht“ – der für die Datenverarbeitung Verantwortliche muss die Einhaltung der Rechtmäßigkeit der Verarbeitung „nachweisen“ können. Spezielle Vorschriften zur Datenverarbeitung für Werbezwecke enthalten die neuen Vorschriften nicht mehr. Neben der Einwilligung (Art. 6, 7 DSGVO) bietet zukünftig die Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DSGVO regelmäßig eine angemessene Rechtsgrundlage zur Verarbeitung personenbezogener Daten für Werbezwecke. Hervorzuheben ist der stark angehobene Bußgeldrahmen (bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes, Art. 83 Abs. 5 DSGVO, grundsätzlich schon einschlägig bei Verletzung der o. g. Grundsätze).Insbesondere mit den neuen Begrifflichkeiten (z. B. Einschränkung statt Sperrung) oder vergleichbaren Regelungen (z. B. Datenschutz Folgenabschätzung statt Vorabkontrolle) wird man sich, auch dank der erläuternden Erwägungsgründe, schnell zurechtfinden.
Der Aufwand zur Umsetzung der neuen Vorgaben hängt maßgeblich vom Umfang der durch das Unternehmen verarbeiteten Daten ab sowie von der Frage, wie umfassend bisher datenschutzrechtlich relevante Vorgänge dokumentiert wurden. Die Aufsichtsbehörden für den Datenschutz erarbeiten fortlaufend Informationsdokumente und Umsetzungshilfen. Auch verbundintern werden derzeit Leitfäden und Muster entwickelt, die den Genossenschaften über die Verbände zur Verfügung gestellt werden. Unternehmen, die schon jetzt über ein ausgeprägtes Informationssicherheitsanagementsystem (ISMS) verfügen, können viele der dort vorhandenen Informationen auch für die datenschutzrechtlich erforderliche Dokumentation nutzen. Bei komplexen und umfangreichen datenschutzrechtlichen Verfahren wird zukünftig regelmäßig auch ein umfassendes Datenschutzmanagementsystem erforderlich sein. Eine verstärkte Zusammenarbeit der Bereiche Informationssicherheit und Datenschutz ist in jedem Fall geboten. Zur Umsetzung der neuen Vorgaben bietet sich eine Projektstruktur an. Durch die Projektgruppe sollte zunächst eine Bestandsaufnahme erfolgen: Welche Verfahren mit personenbezogenen Daten bestehen im Unternehmen? Auf welcher Rechtsgrundlage erfolgt die Datenverarbeitung? Welche Sicherheitsmaßnahmen wurden getroffen? Sodann ist dieser Istzustand mit dem Sollzustand nach neuem Recht abzugleichen; etwaige Defizite sind angemessen zu beheben. Bei der Analyse sind insbesondere folgende Punkte zu beachten:
Das neue Datenschutzrecht hat viele altbekannte Grundsätze und Regelungen im Gepäck. Gleichwohl werden die neuen Vorgaben Umsetzungsaufwand verursachen. Den angemessenen Verarbeitungsmöglichkeiten für Unternehmen stehen verschärfte Dokumentations- und Informationspflichten gegenüber. Der hohe Bußgeldrahmen veranschaulicht den gestiegenen Anspruch von Staat und Gesellschaft an die Rechtmäßigkeit bei der Verarbeitung personenbezogener Daten.