Newsletter abonnieren
Anwendung der EU-Datenschutzgrundverordnung ab dem 25.05.2018
Wie bereits bekannt, wird ab dem 25.05.2018 die „Verordnung des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG vom 27.04.2016“ (VO (EU) 2016/679) (kurz: EU-Datenschutzgrundverordnung bzw. EU-DSGVO) u.a. in Deutschland anwendbar sein. Übergangsfristen gibt es nicht.
Bei der EU-DSGVO handelt es sich um eine europäische Norm, die unmittelbar geltendes Recht in allen Mitgliedstaaten der EU darstellt. Sie muss daher nicht in nationales Recht umgesetzt werden.
Ab der Anwendung der EU-DSGVO am 25.05.2018 wird das (derzeit noch geltende) Bundesdatenschutzgesetzt (kurz: BDSG alte Fassung) außer Kraft treten und durch die EU-DSGVO ersetzt werden. In Ergänzung zur EU-DSGVO wird ein neues Bundesdatenschutzgesetz (BDSG neue Fassung) am 25.05.2018 in Kraft treten. Sofern daher ab dem 25.05.2018 auf Regelungen des BDSG Bezug genommen werden sollte, handelt es sich hierbei um die Regelungen des BDSG n.F..
Rechtliche Vorgaben, die das bis zum 24.05.2018 geltende BDSG a.F. aufgestellt hat, sind ab dem 25.05.2018 damit nicht mehr gültig. Diese Vorgaben können auch nicht auf die EU-DSGVO übertragen werden, da es sich bei den Vorgaben des BDSG a.F. um nationale Vorgaben handelt, die EU-DSGVO jedoch europäisches Recht darstellt. Sofern und soweit im Übrigen die Regelungen der EU-DSGVO nationale Regelungsmöglichkeiten der nationalen Gesetzgeber zulassen (sog. Öffnungsklauseln), ist in Ergänzung zur EU-DSGVO das BDSG n.F. anwendbar. Ob dies der Fall ist, muss in jedem Einzelfall geprüft werden.
Unternehmen, die (ganz oder teilweise) automatisiert Daten verarbeiten und sich bislang mit den neuen Vorgaben der EU-DSGVO noch nicht beschäftigt haben, sollten dies nunmehr kurzfristig nachholen. Hierbei ist nicht relevant, ob ein Unternehmen nur online, nur offline oder online und offline tätig ist. Auch die Größe des Unternehmens spielt für die Anw! endung der EU-DSGVO keine Rolle. Anknüpfungspunkt ist die (ganz oder teilweise) automatisierte Datenverarbeitung in der Europäischen Union.
Nach Erfahrung des Verbandes haben sich bislang viele Unternehmen mit den Vorgaben der EU-DSGVO noch nicht (im Detail) beschäftigt bzw. diese umgesetzt. Diese Einschätzung hat u.a. die im April 2018 veröffentlichte Studie des „eco-Verband“ (Verband der Internetwirtschaft) und ABSOLIT-Consulting bestätigt (https://www.eco.de/presse/eco-verband-dsgvo-haelt-deutsche-wirtschaft-in-atem/).
Einige Unternehmen vertreten hierbei die Ansicht, dass die neuen rechtlichen Vorgaben mit einigen Änderungen im Bereich der Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung erledigt seien. Diese Ansicht kann unser Verband jedoch nicht teilen; die Anforderungen sind aber komplexer. Es wird sicherlich Modifikationen in der Formulierung von Datenschutzerklärungen in Folge der neuen Vorgaben geben. Entsprechende Modifikationen werden derzeit in den Datenschutzerklärungen, die als Muster bereitgestellt werden, vorgenommen. Sofern die überarbeiteten Muster abrufbar sind, wird der Verband dies bekannt geben.
Ferner bitten einige Unternehmen darum, die neuen Vorgaben mit „wenigen Sätzen“ zu erläutern. Dies ist jedoch ! nach unserer Ansicht nicht möglich und würde die neuen Vorgaben nur in nicht angemessener Form abbilden.
7. Hinweis auf „Erläuternde Hinweise zur EU-Datenschutzgrundverordnung“
Der IDO-Verband hat „Erläuternde Hinweise zur EU-Datenschutzgrundverordnung“ erstellt, die im Login-Bereich unter https://www.ido-verband.com/erlaeuternde-hinweise-zur-eu-datenschutzgrundverordnung/ abrufbar sind.
Diese „Erläuternden Hinweise“ sind zwar einerseits umfangreich, können andererseits jedoch nur als „Einstieg“ in dieses komplexe Thema betrachtet werden. Unter dem Gliederungspunkt „P. Weiterführende Hinweise, Checklisten etc.“ finden sich Hinweise auf Mustertexte bzw. Checklisten, die die Landesdatenschutzbehörde Nordrhein-Westfalen bzw. die Landesdatenschutzbehörde Bayern veröffentlicht haben. Insbesondere mittels der von diesen Landesdatenschutzbehörden veröffentlichten Checklisten (der jeweilige Link ist in dem Beitrag eingefügt) können Unternehmen feststellen, ob bzw. in welchem Umfang für sie (noch) Handlungsbedarf betreffend die Vorgaben der EU-DSGVO besteht.
Die Frage des Handlungsbedarfes (ob/in welchem Umfang) kann jedes Unternehmen nur für sich individuell entscheiden, eine pauschale Beantwortung ist nicht möglich. Der IDO-Verband kann Unternehmen daher nicht die Aufgabe abnehmen, sich mit den Vorgaben der EU-DSGVO zu beschäftigen und hiernach für sich zu entscheiden, in welchem Umfang noch Anpassungs- bzw. Umsetzungsbedarf besteht. Der IDO-Verba! nd kann an dieser Stelle – ebenso wie die Datenschutzbehörden – lediglich „Hilfestellung“ geben, die jedes Unternehmen jedoch in der Praxis selbst anwenden muss.
Sollte ein Unternehmen bei der Anpassung bzw. Umsetzung der neuen rechtlichen Vorgaben Fragen haben bzw. sollten rechtliche Schwierigkeiten entstehen, kann sich das Unternehmen an die Geschäftsstelle des Verbandes wenden. Im eventuellen Bedarfsfall würde die Geschäftsstelle das Anliegen – in Abstimmung mit dem Anfragenden – an im Datenschutzrecht kompetente Anwälte weiterleiten.
8. Welche Informationspflichten muss der Unternehmer bei Erhebung personenbezogener Daten wann erfüllen?
In diesen „Erläuternden Hinweisen“ informiert der Verband unter dem Gliederungspunkt H.2 über die Informationspflichten im Zusammenhang mit der Erhebung personenbezogener Daten. Hierbei regelt Art. 13 EU-DSGVO die Informationspflichten bei der Erhebung von personenbezogenen Daten bei der betroffenen Person (Direkterhebung), Art. 14 EU-DSGO beinhaltet die Informationspflichten, sofern die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden (Dritterhebung).
Im Falle der Direkterhebung (Art. 13 EU-DSGVO) sind der betroffenen Person, die ihre personenbezogenen Daten dem Unternehmen (sog. „Verantwortlicher“) mitteilt, die in Ar! t. 13 Abs. 1 und 2 EU-DSGVO genannten Informationen „zum Zeitpunkt der Erhebung“ zur Verfügung zu stellen. Hierbei handelt es sich um folgende Informationen:
• Name und Kontaktdaten des Verantwortlichen (ggf. des Vertreters)
• Kontaktdaten des DSB (sofern vorhanden)
• Zweck und Rechtsgrundlage der Verarbeitung
• Berechtigte Interessen (sofern betroffen)
• Empfänger bzw. Kategorien von Empfängern
• Übermittlung in Drittland bzw. an internationale Organisationen (sofern betroffen)
• Dauer der Speicherung
• Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit
• Bestehen eines Rechts auf Widerruf der Einwilligung
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• Information, ob die die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist sowie evtl. Folgen der Nichtbereitstellung
• Bestehen einer automatisierten Entscheidungsfindung
• Information über evtl. Zweckänderung der Datenverarbeitung
Beispielfall: Ein Kunde (natürliche Person) bestellt telefonisch bei einem Unternehmen Ware. Hierbei gibt er zur Abwicklung der Bestellung neben seinem Vor- und Nachnamen seine Adresse an, ggf. noch eine Telefon- und eine Telefaxnumm! er sowie eine E-Mail-Adresse. Indem der Unternehmer diese Daten entgegennimmt, erhebt er sie. Nach dem Wortlaut des Art. 13 EU-DSGVO müsste er „zum Zeitpunkt der Erhebung“, also zum Zeitpunkt der telefonischen Entgegennahme dieser Daten, die vorstehend genannten Informationen dem Kunden zur Verfügung stellen. Dass dies im Rahmen eines Telefonates kaum möglich bzw. in der Praxis nicht umsetzbar sein wird, dürfte nachvollziehbar sein. Im Übrigen muss der Unternehmer nach der Vorgabe des Art. 5 Abs. 2 EU-DSGVO nachweisen, dass er die Informationen nach Art. 13 Abs. 1 und 2 EU-DSGVO dem Kunden zur Verfügung gestellt hat. Würde er daher dem Kunden die in dieser Regelung genannten Informationen mündlich bereitstellen (unabhängig von der Frage der Praktikabilität), wäre ein Nachweis der Überlassung nicht führbar (insbesondere, wenn der Kunde den Erhalt der Informationen bestreiten würde). Kernfrage ist daher, was „zum Zeitpunkt der Erhebung“ bedeutet.
Soweit diesseits bekannt, hat sich bislang lediglich die Datenschutzbehörde Schleswig-Holstein (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, kurz ULD Schleswig Holstein) hierzu geäußert. In einer Mitteilung vom 10.04.2018 hat sich das ULD Schleswig-Holstein mit der EU-DSGVO im Zusammenhang mit „selbständigen Heilberuflern“ beschäftigt. Die Mitteilung ist unter https://www.datenschutzzentrum.de/uploads/medizin/Heilberufe.pdf abrufbar. Das ULD Schleswig-Holstein hat hierin zu den Informationspflichten des Art. 13 EU-DSGVO ausgeführt, dass diese Informationen (im konkrete! n Fall ging es um die Daten von Patienten) im „zeitlichen Zusammenhang mit der Erhebung der Daten“ zur Verfügung gestellt werden müssen. Dies geschehe am einfachsten „z.B. mit einem Flyer oder Handzettel“, der an die Patienten bei der Aufnahme ausgegeben werde. Es genüge auch, wenn der Zettel nur die wichtigsten Informationen zusammenfasse und im Übrigen auf die Homepage der Arztpraxis verwiesen werde, wo sich Einzelheiten finden lassen würden.
Diese Einschätzung des ULD Schleswig-Holstein betrifft zwar nur selbständige Heilberufler und deren Patienten. Aus Sicht des IDO-Verbandes besteht jedoch kein sachlicher Grund, bei anderen Unternehmen und deren Kunden eine andere, z.! B. eine strengere, Sichtweise zur vertreten und in einer anderen Konstellation Flyer oder Handzettel nicht ausreichen zu lassen. Auch wenn insofern aber kein sachlicher Grund für eine andere Sichtweise bestehen mag, muss in der Praxis abgewartet werden, ob die Sichtweise des ULD Schleswig Holstein auch auf andere Sachverhaltskonstellationen wie das Verhältnis „Heilberufler/Patient“ übertragen wird und ob ferner diese Sichtweise des ULD Schleswig Holstein auch von anderen Datenschutzbehörden geteilt werden wird. Unabhängig hiervon kann man jedoch die vorgeschilderte Sichtweise des ULD Schleswig-Holstein auch in anderen Sachverhaltskonstellationen als „praktikabel“ beurteilen.
N! eben der Frage, ob bzw. in welcher Form der Verantwortliche die Informationen i.S.d. Art. 13 EU-DSGVO erteilen muss, stellt sich für den Verantwortlichen die Frage, wie er die Erfüllung der Informationspflicht nachweisen kann. Auch diesbezüglich hat das ULD Schleswig-Holstein für das Verhältnis Heilberufler/Patient in seiner vorgenannten Einschätzung Ausführungen gemacht. Hiernach ist es z.B. ausreichend, wenn den Patienten standardmäßig bei der Aufnahme (als Patient) der Zettel mit den darin aufgeführten Informationen i.S.d. Art. 13 DSGVO übergeben wird und dies für jeden Patienten im Praxissystem vermerkt wird. Es sei nicht erforderlich, dass die Patienten mit ihrer Unterschrift quittieren müssten, dass sie die Informationen erhalten hätten. Ebenso sei es nicht erforderlich, den Patienten die Informationen schon am Telefon vorzulesen, wenn diese anrufen würden, um einen Termin zu vereinbaren. An dieser Stelle genüge es, wenn die Informationen auf der Homepage der Pr! axis leicht erkennbar wären.
Überträgt man diese Ausführungen des ULD Schleswig-Holstein auf den eingangs genannten Beispielfall der telefonischen Bestellung von Ware durch einen Kunden bei einem Unternehmer, könnte man zu folgender Einschätzung gelangen:
Der Unternehmer muss dem Kunden die Informationen i.S.d. Art. 13 EU-DSGVO entweder, wenn er eine Auftragsbestätigung per E-Mail-Nachr! icht versendet, dieser E-Mail-Nachricht z.B. als PDF-Dokument beifügen, oder, sofern keine elektronische Auftragsbestätigung versendet wird, die Ware jedoch unmittelbar versendet wird, der Warensendung einen Flyer oder Handzettel mit den Informationen i.S.d. Art. 13 EU-DSGVO beifügen. Im erstgenannten Fall (elektronische Auftragsbestätigung) kann man die Erfüllung der Informationspflichten mittels der elektronischen Nachricht nachweisen, im zweitgenannten Fall (Beilegung der Informationen zu der Warensendung) könnte man im System vermerken, dass der Warensendung standardmäßig ein Zettel mit den Informationspflichten beigefügt ist.
Abwandlung des Beispielsfalles: Der Kunde ! bestellt die Ware nicht telefonisch, sondern auf elektronischem Weg in einem Online-Shop. Nimmt der Kunde z.B. ein verbindliches Angebot des Verkäufers an (z.B. bei einem Sofort-Kaufen-Angebot bei eBay) und übermittelt in diesem Zusammenhang seine personenbezogenen Daten, so müsste der Unternehmer unmittelbar im Anschluss an diese Annahme, z.B. zusammen mit der Widerrufsbelehrung und den Allgemeinen Geschäftsbedingungen, die Informationen nach Art. 13 EU-DSGVO erteilen. Sofern hingegen der Kunde (als erstes) ein verbindliches Angebot (Bestellung) abgibt, das von dem Unternehmer angenommen werden könnte, könnte man es so gestalten, dass der Unternehmer im Zusammenhang mit der Bestätigung des Einganges der Bestellung die Informationen i.S.d. Art. 13 EU-DSGVO erteilt. Von dieser reinen Eingangsbestätigung ist die Auftragsbestätigung, mit der der Unternehmer das Angebot des Kunden annimmt, zu unterscheiden. Wird keine Eingangsbestätigung, sondern direkt die Auftragsbestätigung versendet, könnte man dieser die Pflichtinformationen beifügen.
Es bleibt abzuwarten, ob – von (anderen) Datenschutzbehörden – die dargestellte Sichtweise des ULD Schleswig-Holstein und die auf dieser Basis angestellten Überlegungen zu einer praxisgerechten Handhabung in Shop-Systemen geteilt werden. Eine Prognose ist diesbezüglich nicht möglich. Dass die (anderen) Datenschutzbehörden insofern praxisgerechte Lösungen anwenden, kann nur gehofft werden.
9. Zur Meldung des Datenschutzbeauftragten unter der EU-Datenschutzgrundverordnung
Sofern ein Unternehmen auf Basis der Regelungen des Art. 37 Abs. 1 EU-DSGVO bzw. auf Basis der Regelungen des Art. 37 Abs. 4 EU-DSGVO i.V.m. § 38 BDSG n.F. einen Datenschutzbeauftragten bestellen muss, hat das Unternehmen die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen, Art. 37 Abs. 7 EU-DSGVO.
Ob neben den Kontaktdaten, also der Anschrift des Unternehmens, der Telefon- Telefaxnummer sowie der E-Mail-Adresse des Datenschutzbeauftragten auch dessen Name genannt werden muss, ist noch nicht final entschieden. Im Kurzpapier Nr. 12 der Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehör! den des Bundes und der Länder) ist eine Pflicht zur Bekanntgabe des Namens des Datenschutzbeauftragten nicht vorgesehen (Stand: 16.01.2018).
In welcher Form das Unternehmen der Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten mitteilen muss, ist bislang ebenfalls noch nicht entschieden. In dem vorgenannten Kurzpapier ist insofern ausgeführt, dass die Aufsichtsbehörden ein Formular zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten zur Verfügung stellen werden. Eine Evaluierung bei den Datenschutzbehörden im April 2018 hat gezeigt, dass bislang die wenigsten Datenschutzbehörden ein solches Formular (in irgendeiner Form) zur Verfügung gestellt haben. Teilweise wird lediglich darauf hingewiesen, dass rechtzeitig zum 25.05.2018 entsprechende Formulare zur Verfügung stünden. Der Hamburger Datenschutzbeauftragte hat hingegen bereits ein PDF-Formular zur Verfügung gestellt (https://www.datenschutz-hamburg.de/datenschutz-fuer-firmen-und-behoerden/betrieblicher-datenschutz/dsb-meldeformular.html), das per E-Mail, Post oder Fax an ihn übermittelt werden kann. Die Datenschutzbehörde Mecklenburg-Vorpommern hat bereits ein Online-Meldeformular zur Verfügung gestellt (https://www.datenschutz-mv.de/kontakt/Mitteilung-von-Datenschutzbeauftragten/), wobei darin allerdings der Vor- und Zuname des Datenschutzbeauftragten anzugeben ist.
Es bleibt damit festzustellen, dass noch nicht alle Datenschutzbehörden im April 2018 Maßnahmen getroffen haben, die erforderlich sind, damit die betroffenen Unternehmen ab dem 25.05.2018 die von ihnen geforderten Informationen bereitstellen können.
Wir werden diesen Aspekt weiterhin beobachten und Sie über aktuelle Entwicklungen auf dem Laufenden halten.
10. Zulässigkeit sowie Voraussetzungen des Einsatzes von Tracking-Maßnahmen ab dem 25.05.2018, z.B. Google Analytics, Cookies etc.
Zusätzlich zu der EU-DSGVO sollte ab dem 25.05.2018 die sog. ePrivacy-Verordnung der EU Anwendung finden, die die Vorgaben der EU-DSGVO im Hinblick auf die elektronische Kommunikation präzisieren und ergänzen sollte. Da sich aber das EU-Gesetzgebungsverfahren zur ePrivacy-Verordnung erheblich verzögert hat, ist nach einem Positionspapier der Datenschutzkonferenz vom 26.04.2018 mit einem Inkrafttreten der ePrivacy-Verordnung im Jahr 2018 nicht mehr zu rechnen.
Nach § 13 Abs. 1 Telemediengesetz (TMG) müssen Betreiber einer Website die Nutzer ihrer Website zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten informieren. Diese Informationspflicht ist durch die zur Bereitstellung einer Datenschutzerklärung zu erfüllen. Es entsprach zuletzt ständiger Rechtsprechung der Wettbewerbsgerichte, dass Unternehmen, die eine Website betreiben, ohne eine solche Datenschutzerklärung bereitzustellen, wettbewerbswidrig i.S.d. §§ 3, 3a UWG handeln.
Die Regelungen der ePrivacy-Verordnung sollten ab Mai 2018 die Vorgaben der §§ 13ff. TMG ersetzen. Aufgrund dessen hat eine Anpassung der TMG-Regelung an die EU-DSGVO nicht (mehr) stattgefunden. Die ePrivacy-Verordnung gibt es nun aber noch nicht.
Ob vor diesem Hintergrund die Regelungen der § 13 ff. TMG ab dem 25.05.2018 zusätzlich zu der EU-DSGVO noch Anwendung finden, ist derzeit nicht klar. Dass grundsätzlich EU-Recht Anwendungsvorrang vor nationalem Recht hat, entspricht sei vielen Jahren allgemeiner Rechtsansicht.
In dem am 26.04.2018 veröffentlichten Positionspapier der Datenschutzkonferenz wurde nun festgestellt, dass die Regelungen der EU-DSGVO Anwendungsvorgang vor den Regelungen des TMG haben.
Hieraus wird in Ziffer 4. des Papieres folgende Schlussfolgerung gezogen: „Damit können die §§ 12, 13, 15 TMG b! ei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Trackingmechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25.05.2018 nicht mehr angewendet werden.“
Ziff. 6 des Positionspapiers bestimmt, dass als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien nur noch die Einwilligung, rechtsgeschäftliche Vorgaben und berechtigte Interessen in Betracht kommen.
Ziff. 9 des Papiers bestimmt ferner, dass beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Pers! onen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen, jedenfalls eine vorherige Einwilligung erforderlich sei. Dies bedeute, dass eine informierte Einwilligung im Sinne der EU-DSGVO vor der Datenverarbeitung eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.
Diese Aussage in Ziff. 9 des Positionspapiers wird dahingehend verstanden, dass bei der Verwendung von Analyse-Tools wie Google Analytics oder bei Werbe-Trackern ab dem 25.05.2018 eine vorherige explizite Zustimmung des Nutzers erforderlich sei. Bislang, also bis zum 24.05.2018, durften solche Tracking-Maßnahmen nach dem Opt-out-Prinzip durchgeführt werden, d.h., es musste ein Hinweis auf die Tracking-Maßnahmen erf! olgen nebst der Einräumung eines Widerspruchsrechtes. Die Sichtweise der Datenschutzkonferenz würde damit eine vollständige Abkehrung von der bisherigen Praxis darstellen: ein Unternehmen müsste ab dem 25.05.2018 bei dem Einsatz von Google Analytics vorab die Zustimmung des betroffenen Internetnutzers, also des Nutzers seiner Website, einholen. Der Nutzer müsste also vor dem Besuch der Website seine Einwilligung btf. die Nutzung von Google Analytics durch den Unternehmer abgeben. Dies erscheint kaum praktikabel zu sein.
Ob diese Sichtweise der Datenschutzkonferenz auch der Sichtweise der Gerichte entsprechen wird, bleibt abzuwarten. Gleichwohl gehen Unternehmen, die ab dem 25.05.2018 Tracking-Maßnahmen (wie Google Analytics) ohne Einholung einer vorherigen Zustimmung durchführen, da! s Risiko ein, dass Datenschutzbehörden dieses Verhalten beanstanden könnten.
