Ein Beitrag von Christina Schattauer, Rechtsanwältin im Bereich IP und IT bei Squire Patton Boggs (US) LLP
Die neue Datenschutz-Grundverordnung gilt ab nächstem Jahr und bringt einige Veränderungen mit sich, die es jetzt schon zu beachten und einzuhalten gilt. Denn: Datenschutz wird kein Randthema mehr bleiben. Bei Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes bei Verstößen sollte auch jedes Startup diesem Thema ausreichend Aufmerksamkeit widmen.
Für wen gilt die Datenschutz-Grundverordnung (DS-GVO)?
Es gilt der Grundsatz: Wer personenbezogene Daten von EU-Bürgern verarbeitet, muss die DS-GVO einhalten. Daher gilt die DS-GVO nicht mehr nur für Unternehmen mit Sitz in der EU, sondern für jeden, der EU-Daten verarbeitet, unabhängig vom Ort der Niederlassung.
Nicht nur die Verantwortlichen einer Datenverarbeitung, also diejenigen die den Zweck der Verarbeitung festlegen, sollten die Änderungen beachten. Nunmehr werden auch sogenannte Auftragsverarbeiter direkt verpflichtet, das heißt diejenigen, die personenbezogene Daten für andere als Service Provider verarbeiten, beispielsweise Newsletter-Versender, Callcenter oder Hosting Anbieter.
Wann dürfen personenbezogene Daten verarbeitet werden?
Datenverarbeitung ist unter Anderem nur rechtmäßig, wenn der Betroffene eingewilligt hat oder die Datenverarbeitung erforderlich ist, beispielsweise zur Durchführung eines Vertrages. Wie bereits nach derzeitigem deutschem Recht muss die Einwilligung freiwillig und ausdrücklich erteilt werden.
Eine versteckte Einwilligung beispielsweise in der Datenschutzerklärung ist nicht ausreichend. Formulierungen innerhalb von Nutzungsbedingungen, wie „Durch das Anlegen eines Accounts willigen Sie ein, dass wir Ihre Angaben zu Marketingzwecken durch Partnerfirmen nutzen.“ sind unwirksam. Eine Einwilligung durch Anklicken eines Kästchens, bevor man beispielsweise ein Produkt online kauft, bleibt grundsätzlich möglich. Für einige Bereiche gelten strengere Anforderungen, wie beispielsweise bei der Verarbeitung von Gesundheitsdaten, biometrische Daten oder Daten von Kindern. Die DS-GVO erfordert darüber hinaus weitreichende interne Dokumentationspflichten. Das gilt nicht nur für Webseiten im Internet, sondern auch für Apps.
Über was muss informiert werden?
Neu eingeführt werden durch die DS-GVO umfangreiche Informationspflichten des Verantwortlichen und auch des Auftragsverarbeiters. Ein Verstoß gegen diese Informationspflichten kann Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes nach sich ziehen.
Die Information muss insbesondere Folgendes enthalten:
- Wer ist der Verantwortliche? Für Unternehmen außerhalb der EU, muss ein Vertreter in der EU benannt werden.
- Zu welchem Zweck sollen die Daten verarbeitet werden, beispielsweise zur Erstellung eines Nutzerkontos.
- Wer sind die Empfänger, beispielsweise die Personalabteilung.
- Welche Kategorien von Daten sollen erhoben werden? Hier sollte beachtet werden, dass z.B. auch eine E-Mail ein personenbezogenes Datum ist.
- Zudem muss angegeben werden, ob Daten in Drittländer (außerhalb der EU) übermittelt werden und ggf. muss die Grundlage dieser Übermittlung angegeben werden. Grundlage können insbesondere die EU-Standardverträge, verbindliche Unternehmensregeln oder ein Angemessenheitsbeschluss der Europäischen Kommission sein, mit dem die Kommission für bestimmte Länder, wie z.B. Kanada oder die Schweiz, ein sicheres Datenschutzniveau anerkannt hat. Eine Liste findet sich auf der Internetseite der Kommission. Datenübermittlungen an Unternehmen in den USA sind außerdem auf der Grundlage einer Privacy Shield-Zertifizierung möglich. Das Privacy Shield-Abkommen wird jedoch, wie schon sein Vorgänger Safe Harbour, derzeit gerichtlich überprüft.
- Die Aufbewahrungsfrist der Daten muss genannt werden.
- Welche Rechte hat der Betroffene? Er muss über die Möglichkeit Auskunft, Sperrung und Löschung zu verlangen informiert werden. Er kann der Datenverarbeitung widersprechen und seine einmal erteilte Einwilligung jederzeit wiederrufen. Neu sind die Hinweispflichten auf das Recht zur Beschwerde bei einer Datenschutzbehörde und Datenportabilität zu einem anderen Anbieter. Insbesondere Anbietern von Social-Media-Diensten dürfte die Umsetzung dieses Rechts aufgrund der Verschiedenartigkeit der gespeicherten Daten (Text, Ton, Bild) Probleme bereiten.
Bedarf es einer Datenschutzerklärung?
Eine Pflicht zur Datenschutzerklärung besteht nach der DS-GVO nicht. Allerdings besteht die Pflicht nach deutschem Recht, das neben der Verordnung anwendbar bleibt. Bestehende Datenschutzerklärungen sollten angepasst werden.
Müssen Datenverarbeitungsverzeichnisse geführt werden?
Die meisten Unternehmen sind verpflichtet, umfangreiche Verzeichnisse zur Datenverarbeitung zu führen. Dies gilt für Unternehmen ab 250 Mitarbeitern uneingeschränkt, sowie für Unternehmen mit spezieller Datenverarbeitung, beispielsweise Gesundheitsdaten, unabhängig von der Größe. Auch wenn ein Startup jetzt noch wenig Mitarbeiter hat, empfiehlt sich mit Blick in die Zukunft alle Verarbeitungsvorgänge bereits jetzt schon aufzulisten. Dies erspart später eine Menge Arbeit, wenn keiner mehr einen Überblick über alle verwendeten Systeme hat.
Muss ein Datenschutzbeauftragter ernannt werden?
Ein Datenschutzbeauftragter muss insbesondere ernannt werden, wenn die Verarbeitungsvorgänge eine umfangreiche und regelmäßige systematische Überwachung der Betroffenen erforderlich machen oder beispielsweise Gesundheitsdaten umfangreich verarbeitet werden.
Der Datenschutzbeauftragte kann ein Mitarbeiter oder ein externer Berater sein. Mit einem externen Berater muss dann ein Dienstleistungsvertrag geschlossen werden.
Der Datenschutzbeauftrage muss Fachwissen im Datenschutzrecht besitzen und seine Aufgaben schließen die Beratung des Unternehmens im Datenschutz, die Überwachung der Einhaltung des Datenschutzes und die Zusammenarbeit mit der Aufsichtsbehörde ein.
Bei Verstößen drohen auch hier Geldbußen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Was ist bei der Auftragsdatenverarbeitung zu beachten?
Auftragsverarbeitung bedeutet, dass beispielsweise Daten durch einen Service Provider verarbeitet werden. Dies ist insbesondere beim Auslagern der Buchhaltung der Fall. Die DS-GVO schreibt vor, dass der Verantwortliche und der Auftragsverarbeiter einen Vertrag abschließen, der spezielle Punkte regeln muss, unter anderem dass die Verarbeitung nur auf dokumentierte Weisung erfolgt, bestimmte Sicherheitsmaßnahmen eingehalten und alle befugten Personen des Auftragsverarbeiters zu Vertraulichkeit verpflichtet werden. Bei einem Verstoß können Geldbußen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gegen den Verantwortlichen und – das ist neu – auch gegen Auftragsverarbeiter verhängt werden. Bestehende Service Provider-Verträge müssen nachverhandelt werden.
Fazit: Was ändert sich durch die Datenschutz-Grundverordnung?
- Bei Verstößen drohen erhebliche Geldbußen
- Die Betroffenen einer Datenverarbeitung müssen umfassend informiert werden
- Die Rechte des Betroffenen werden ausgeweitet, zum Beispiel kann der Betroffene die Übertragung der Daten an einen anderen Verantwortlichen fordern (dies wird beispielsweise Social-Media-Anbieter vor Probleme stellen)
- Bei der Verarbeitung von Daten von Kindern (unter 16 Jahren) ist zusätzlich zu der Einwilligung des Kindes und der Zustimmung der Eltern nötig
Wer Compliance-Risiken vermeiden will, sollte bereits jetzt anfangen, die Anforderungen der DS-GVO umzusetzen. Diese Compliance-Risiken können sich wertmindernd auswirken oder sogar Dealbreaker sein. Zudem drohen bei Verstößen Geldbußen.