Viele reiben sich verwundert die Augen, dass sie in der letzten Zeit von Unternehmen vermehrt zur Unterschrift bestimmter Erklärungen im Zusammenhang mit dem Datenschutz aufgefordert werden.
Die Ursache liegt in der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung und dem neuen Bundesdatenschutzgesetz. Diese Gesetze haben zum Ziel, dass personenbezogene Daten von Privatpersonen durch Unternehmen, die diese Daten verarbeiten, besser geschützt werden, als dies in der Vergangenheit der Fall war.
Bei vielen Unternehmen sind die neuen Anforderungen der Datenschutzgrundverordnung erst sehr spät ins Bewusstsein gelangt. Erst wenige Monate vor Inkrafttreten wurde den Unternehmen allmählich bewusst, welche Anforderungen die Datenschutzgrundverordnung an sie stellt.
Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, es sei denn, der Verantwortliche kann sich auf das Vorliegen einer Rechtsgrundlage berufen. Als solche kommen im Wesentlichen in Betracht das Bestehen eines Vertrages oder vorvertraglichen Verhältnisses, eine rechtliche Verpflichtung, das Bestehen überwiegender Interessen des Verantwortlichen gegenüber den Interessen der betroffenen Person oder die Einwilligung des Betroffenen.
Derzeit werden Sie von Unternehmen immer wieder aufgefordert, ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten zu erklären, obwohl dies oft nicht erforderlich ist, weil ein vertragliches oder vorvertragliches Verhältnis besteht oder die Interessen des Unternehmers die Interessen des Betroffenen überwiegen.
Richtig ist, dass die betroffenen Personen, deren personenbezogenen Daten verarbeitet werden, durch den Verantwortlichen über die Person des Verantwortlichen und über ihre Rechte (u.a. Löschungsanspruch, Recht auf Vergessen werden) zu informieren sind.
Grundsätzlich ist zu begrüßen, dass sich vor dem Hintergrund der Datenschutzgrundverordnung jedes Unternehmen Gedanken machen muss, wo im Unternehmen welche personenbezogenen Daten zu welchen Zwecken verarbeitet und an welche Dritten weitergegeben werden und u.a. ein Anspruch auf Löschung der Daten gegeben ist. Daran haben sich auch die großen Unternehmen aus den USA, Google, Facebook und Microsoft zu halten. Auch diese passen derzeit ihre Strukturen an, da Bußgelder von bis zu 20 Mio. € oder 2 % des Jahresumsatzes drohen.
Auch im Internet hinterlässt die Datenschutzgrundverordnung ihre Spuren. An die Pop-up-Fenster zum Einsatz von Cookies hat man sich schon gewöhnt. Viele Unternehmen versuchen jedoch, das Verhalten der Besucher ihrer Internetseite im Hintergrund mit sog. Tracking Tools auszuwerten (bspw. Google Analytics). Einer derartigen Auswertung ohne ausdrückliche Zustimmung im Doppelklickverfahren hat die Datenschutzkonferenz der Länder im April 2018 eine Absage erteilt.
Wer zukünftig möchte, dass sein Benutzerverhalten bei Besuch einer Internetseite getrackt wird, muss diesem Tracking vor Beginn des Trackings ausdrücklich zustimmen.
Weil viele Unternehmen diese Anforderungen nicht erfüllen, ist aus unserer Sicht derzeit vom Einsatz derartiger Tracking Tools Abstand zu nehmen, zumal eine Weiterleitung nur bei Vorhandensein eines Auftragsverarbeitungsvertrages zwischen dem Verantwortlichen und dem Dienstanbieter zulässig ist. Den Muster-Auftragsverarbeitungsvertrag von Google erachten wir als nicht ausgewogen.
Insgesamt ist auch aus unserer Sicht dem europäischen Gesetzgeber ein großer Wurf gelungen, insbesondere wenn man sich vor Augen führt, dass Google täglich 5,5 Milliarden Suchanfragen abspeichert. Weniger geglückt ist, dass die Vorgaben der Datenschutzgrundverordnung auch sehr kleine Unternehmen treffen, die um das wirtschaftliche Überleben kämpfen und mit der Umsetzung der Datenschutzgrundverordnung überfordert sind.
Hier bleibt darauf zu hoffen, dass Abmahnungen durch Abmahnanwälte unterbleiben und die Datenschutzbehörden mit Maß und Ziel vorgehen, beispielsweise indem lediglich Weisungen erteilt werden und Bußgelder zurückgestellt werden.
