Noch ist sie nicht in aller Munde, doch Unternehmen sollten sich allmählich sputen, vor allem wenn sie mit Kundendaten hantieren. Gemeint ist die ab Anfang 2018 in Kraft tretende Datenschutz-Grundverordnung. Noch nie gehört? Dann wird es allerhöchste Eisenbahn, denn viel Zeit bleibt nicht mehr sich darauf vorzubereiten. Änderungen treffen im Speziellen all diejenigen Unternehmen, die Umgang mit Kundendaten pflegen und Fauxpas dann mit empfindlichen Strafen belegt sind. Aber zuerst an den Anfang zurück. Bereits seit drei Jahren verhandeln die Vertreter der Europäischen Union über eine EU-weit geltende Regelung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Ziel der DS_GVO

Erklärtes Ziel & Zweck ist es u.a. eine „Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten“ herzustellen. Das besondere an dieser Rechtsvorschrift, im Gegensatz zu anderen EU Verordnungen ist, dass einzelne Mitgliedsstaaten den Datenschutz nicht durch nationale Ratifizierungsverfahren abschwächen oder verstärken dürfen. Dennoch können aber geringe Abweichungen durch nationale Gesetzgebungsverfahren erreicht werden, um diese an nationales Recht anzupassen. Das bedeutet auch, dass ein Blick bzgl. Gesetzgebung nach Deutschland sich durchaus lohnen kann, aber nicht immer auf Österreich anzuwenden ist. Das sollte in jedem Fall bedacht werden. Fahren wir nun weiter fort.

Was wird geregelt

Die Verordnung regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Die bereits geltenden Betroffenenrechte werden erweitert und um neue Rechte ergänzt. Herausgekommen ist dabei am 04.Mai 2016 die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.

Wen betrifft die Datenschutz-Grundverordnung?

Soweit betrifft die Datenschutz-Grundverordnung alle Unternehmen, die in irgendeiner Art und Weise personenbezogene Daten erfassen oder aber verarbeiten. Im Folgenden möchten wir uns den Neuerungen widmen, die im Speziellen auf uns Dienstleister bzw. Auftragsverarbeiter und die Kunden zukommen werden. Dabei sollen auch mögliche Stolpersteine aufgezeigt werden.

An dieser Stelle sei erwähnt, dass zur endgültigen Absicherung immer juristischer Rat mit einzubeziehen ist und die gemachten Angaben & Recherchen mit bestem Gewissen angefertigt wurden, jedoch ohne Gewähr sind. Waren die bisherigen Strafen für Unternehmen bspw. im Sinne einer nicht zeitgerechten Beauskunftung oder Richtigstellung. überschaubar, werden diese in Zukunft wesentlich empfindlicher sein. Der Strafrahmen sieht Strafen von bis zu 20 Millionen Euro bzw. 4 % des Unternehmensumsatz vor. Kein kleiner Pappenstiel möchten wir meinen zumal davon auszugehen ist, dass direkt nach in Kraft treten der Verordnung auch die ersten Abmahnungen folgenden werden.

Einwilligung

Die Datenschutz-Grundverordnung ist als ein sogenanntes Verbotsgesetz mit Erlaubnisvorbehalt verfasst. Das heisst, der Umgang mit persönlichen Daten ist grundsätzlich erstmal einmal untersagt, es sei denn eine gesetzliche Vorschrift erlaubt dies oder aber die Erlaubnis des Betroffenen liegt vor bzw wurde eingeholt.

Höchst umstritten ist jedoch die Frage, wie eine korrekte Einwilligung auszusehen hat und immer noch Gegenstand vieler Diskussionen.

Unter Ziffer 32 ff. ((EU) 2016/679) werden Szenarien der Einwilligung beschrieben. Festzuhalten ist, dass die Einwilligung eindeutig, freiwillig, zum konkreten Fall, informiert und unmissverständlich sein muss. Daraus ergibt sich beispielsweise, dass eine Checkbox (im Dokument Kästchen genannt) zwar zulässig ist, jedoch nicht die Vorauswahl dieser. Ebenso ist eine Einwilligung, die unfreiwillig bzw. durch Untätigkeit erteilt wurde ungültig. Ein User muss also immer klar und unmissverständlich auf die Verwendung seiner Daten hingewiesen werden. Für uns stellt sich hingegen auch die Frage, ob die Datenverarbeitung direkt im Vertrag bzw. den AGBs festgehalten werden kann um sich dadurch in einem rechtssicheren Rahmen zu bewegen. Eins vorweg: Gefährlich und höchst umstritten.

Diskussion des sogenannten Koppelungsverbot

Dürager & Kotschy konstatieren, dass durchaus Zweifel an der Freiwilligkeit entstehen, wenn Zustimmungsklauseln zur Datenverwendung zusammen mit anderen Klauseln einer gemeinsamen Zustimmungserklärung unterworfen werden, ohne dass der Betroffene unter den Klauseln auswählen kann. Diese Problematik stellt sich laut den Autoren regelmäßig im Zusammenhang mit Verträgen in Form von Allgemeinen Geschäftsbedingungen (AGBs), wenn der Betroffene spezielle Datenverwendungsklauseln – nach Willen des anderen Vertragspartners – nicht streichen kann. (NEUERUNGEN ZUR ZUSTIMMUNG (EINWILLIGUNG ) NACH DER DS-GVO Debattenbeitrag zur Datenschutz-Grundverordnung) Für die Praxis ergeben sich laut Dürager & Kotschy ( S.9ff ) weitere Unsicherheiten, da keine Anhaltspunkte geliefert werden, wann Situationen vorliegen, in welchen Koppelung doch zulässig sein könnte, weil an der Freiwilligkeit der Zustimmung nicht zu zweifeln ist.

Die Autoren diskutieren durchaus einen für uns und unsere Kunden wichtigen Fragenkomplex mit praktischer Relevanz, in Zusammenhang mit Marketing-Anwendungen. Sie werfen u.a. die Frage auf, ob Grenzen für einen „Grundrechtsverzicht gegen Entgelt besteht oder ob die Freiheit der Vertragsgestaltung überwiegt. Dies wäre beispielsweise der Fall, wenn man einem Nutzer vor die Wahl stellt, Leistungen gegen Entgelt zu gewähren oder aber die Bezahlung anhand der Verarbeitung der Daten zulässig ist. Leider können hier, mit gänzlicher Sicherheit noch keine Antworten geliefert werden und uns bleibt an dieser Stelle nur die Möglichkeit, weitere Urteile etc. abzuwarten.

Verarbeitung von Daten durch berechtigte Interessen

Unmittelbar für uns ebenfalls interessant ist Ziffer 47. In diesem Passus werden berechtigte Interessen zwischen Verarbeiter und Betroffenen beschrieben sowie auch das Kundenverhältnis tangier. Dabei lautet ein Passus wie folgt: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ Im Passus selbst werden jedoch Grundfreiheiten des Betroffenen höher gewichtet, als die Interessen des Verarbeitenden.

Am Schluss ist folgender Satz zu finden: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Daraus kann gefolgert werden, dass sofern die Einwilligung zur weiteren Verarbeitung s.o. gegeben ist, dürfen beispielsweise Newsletter an Kunden verschickt werden. Sofern eine ordentliche An- bzw. Abmeldung (opt-in/ opt-out) Möglichkeit gegeben ist. (S. 111 ((2012/0011 (COD))

Obwohl die Grundlage in dieser Angelegenheit sehr schwammig ist und auch kein opt-in denkbar wäre, sollte man, um auf der sicheren Seite zu bleiben, immer ein opt-in anbieten. Selbst um den Nachweispflichten gerecht zu werden. Da das Thema doch sehr umfangreich und komplex ist, werden wir uns im weiteren Artikel über die Nachweispflichten unterhalten und weitere Ausblicke auf diese bevorstehende Novelle.

Exkurs: Datenschutzbehörde Österreich

Auf der Website der Datenschutzbehörde der Republik Österreich finden sich in aktueller Version alle relevanten, für Österreich geltende, Gesetzestexte. Zur weiteren Vertiefung immer einen Blick wert.