1. Bislang richteten sich datenschutzrechtliche Anforderungen im Zusammenhang mit Kundendaten v.a. nach den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sowie den §§ 11 f. des Telemediengesetzes (TMG). Dies wird sich mit Inkrafttreten der DSGVO zum 25. Mai 2018 grundlegend ändern. Weite Teile des BDSG sowie die genannten Bestimmungen des TMG werden gegenstandslos. Die DSGVO gilt dann unmittelbar in den EU-Mitgliedsstaaten. Daneben sind die Spielräume des nationalen Gesetzgebers auf beschränkte, in der DSGVO ausdrücklich bezeichnete Bereiche begrenzt. Der deutsche Gesetzgeber hat davon mit dem „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ (Datenschutz-Anpassungs- und Umsetzungsgesetz) vom 30. Juni 2017, verkündet im Bundesgesetzblatt 2017, Teil 1, Nr. 44, am 05. Juli 2017, ab Seite 2097 f., Gebrauch gemacht.
Zu beachten ist, dass die DSGVO keine spezifischen Regelungen für die Online-Branche, wie z.B. die Zulässigkeit von Cookies, Regelungen für Social-Media-Dienste, etc. beinhaltet. Für diese Zwecke hat die Europäische Kommission den Vorschlag einen neuen ePrivacy-Verordnung ((ePV) – vgl. 2017/0003 (COD)) erarbeitet, welche u.a. deutlich striktere Regeln für die Nutzung von Cookies (vgl. Art. 8 Abs. 1 ePV) beinhalten soll. Die neue ePrivacy-Verordnung soll nach dem Willen der EU-Kommission zusammen mit der DSGVO, mithin zum 25. Mai 2018, in Kraft treten. Ob dies umgesetzt werden kann, ist angesichts des noch laufenden Gesetzgebungsverfahrens jener Verordnung unklar.
2. Das neue Recht bezieht sich nicht auf jegliche, sondern nur auf personenbezogene Daten. Dies sind nach der neuen Definition in Art. 4 Ziffer 1 DSGVO „… alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.
Die Abgrenzung, wann Daten einen Bezug zu einer bestimmten oder bestimmbaren Person aufweisen, kann durchaus komplex sein. Kernfrage ist, wessen Fähigkeiten und Mittel insoweit für die Feststellung eines Personenbezuges maßgeblich sind. Dies kann einerseits die verarbeitende Stelle (relativer Personenbezug) oder ein absoluter Personenbezug, mithin das gesamte Weltwissen, sein. Eine eindeutige Positionierung ist der DSGVO nicht zu entnehmen. Jedenfalls wird für diese Abgrenzung nach den Erwägungsgründen zu Art. 26 Satz 3 DSGVO der Aufwand zur Identifizierung berücksichtigt werden müssen.
Unter Berücksichtigung der Rechtsprechung des EuGH, welcher jüngst entschieden hat, dass auch dynamische IP-Adressen personenbezogene Daten darstellen (Urteil vom 19.10.2016, Az. C-582/14), soll es für die Annahme eines Personenbezuges bereits ausreichen, dass der Verarbeiter über „rechtliche Mittel verfügt“, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen, was bei IP-Adressen in begrenzten Szenarien über die Internetzugangsanbieter erfolgen kann. Auch insoweit ist von einer Ausweitung der Definition „personenbezogenen Daten“, und damit des Anwendungsbereichs der DSGVO auszugehen.
3. Nach der DSGVO, Art. 6 Abs. 1 Satz 1, gilt weiter das datenschutzrechtliche Verbotsprinzip. Die Verarbeitung personenbezogener Daten ist nur im Falle einer Einwilligung des Betroffenen oder aufgrund einer spezifischen gesetzlichen Erlaubnis zulässig. Die Tatbestände in Art. 6 Abs. 1, dort insbesondere Art. 6 Abs. 1 f) DSGVO, welcher u.a. die Verarbeitung von personenbezogenen Daten von Kunden adressierten, sind hier von zentraler Bedeutung.
Praktisch wichtig bleibt, wie in der Vergangenheit, die Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten, welche nach Art. 6 Abs. 1 a) „für einen oder mehrere bestimmte Zwecke“ erteilt werden soll. In Anbetracht der bisherigen Praxis vieler Unternehmen bei der Gestaltung vorgegebener Standard-Einwilligungstexte, welche im Übrigen wie bisher nach den Maßstäben des AGB-Rechts überprüft werden können, hat sich EU-Gesetzgeber bemüht, die materiellen Anforderungen an eine Einwilligung im Interesse des Schutzes der Betroffenen stärker zu konturieren. Aus dem Erwägungsgrund 32 der DSGVO geht hervor, dass „… die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen (sollte), mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“. Dies soll wie bisher u.a. durch ein Opt-in des Betroffenen, aber auch durch die „Auswahl technischer Einstellungen“, z.B. des Internetbrowsers, möglich sein. Für Opt-out-Lösungen bei Einwilligungen, welche von der deutschen Rechtsprechung in besonderen Szenarien toleriert wurden, besteht kein Raum mehr.
Nach dem genannten Erwägungsgrund der DSGVO muss, wenn die Verarbeitung mehreren Zwecken dienen soll, für sämtliche Zwecke eine Einwilligung erteilt werden. Der Begriff der Einwilligung wird in Art. 4 Ziffer 11 DSGVO definiert. Danach ist die „Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Gemäß Art. 7 DSGVO muss der Verantwortliche, so wie bisher, das Bestehen der Einwilligung nachweisen können. Wenn der Text einer Erklärung noch weitere Sachverhalte betrifft, so muss der Einwilligungstext nach Art. 7 Abs. 2 DSGVO „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen“.
Die datenschutzrechtliche Einwilligung muss auch nach der DSGVO, Art. 7 Abs. 3, widerruflich bleiben, worauf die betroffene Person vorab hinzuweisen ist. Die signifikanten Änderungen in Bezug auf die Gestaltung der datenschutzrechtlichen Einwilligung sollten Unternehmen zum Anlass nehmen, bestehende Standard-Einwilligungstexte sorgfältig zu überprüfen und anzupassen.
4. Ein zentrales Anliegen der DSGVO besteht in einer deutlichen Stärkung der Rechte Betroffener, Art. 12 ff. DSGVO. Dazu zählt, datenschutzrelevante Informationen an die Betroffenen „in präziser, transparenter, verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache zu übermitteln; …“, was nicht nur Juristen vor erhebliche Herausforderungen stellen kann.
Der Katalog der bei Erhebung von personenbezogenen Daten zu erteilenden Informationen, vgl. Art. 13 u. 14 DSGVO, wird deutlich erweitert. Darüber hinaus erhalten Betroffene das Recht, eine Kopie ihrer von der Datenverarbeitung betroffenen personenbezogenen Daten zu erhalten, Art. 15 Abs. 3 DSGVO.
Betroffenen steht nach Art. 16 DSGVO das Recht zu, vom Verantwortlichen, vgl. die Definition in Art. 4 Ziffer 7 DSGVO, die Berichtigung unrichtiger Daten bzw. die Vervollständigung unvollständiger Daten zu verlangen. Hinzu kommt, das bereits von der Rechtsprechung des EuGH anerkannte und nun in Art. 17 DSGVO kodifizierte sog. „Recht auf Vergessenwerden“. Dieses Löschungsrecht gilt nach Art. 17 DSGVO u.a., wenn die personenbezogenen Daten für die vorgesehenen Zwecke nicht mehr notwendig sind, eine vorliegende Einwilligung widerrufen wird, in Fällen unrechtmäßiger Verarbeitungen, etc. Wurden solche zu löschenden personenbezogenen Daten öffentlich gemacht, müssen Verantwortliche unter Berücksichtigung verfügbarer Technologien und Kosten angemessene Maßnahmen treffen, um auch Dritte darüber zu informieren, dass die betroffene Person die Löschung von Links zu diesen Daten bzw. Kopien verlangt hat.
Nach Art. 17 Abs. 3 DSGVO gelten umgekehrt zu Gunsten des Verantwortlichen bestimmte Ausschlusstatbestände in Bezug auf Löschungsansprüche, so u.a., wenn der Erhalt der Daten zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, z.B. aus einem Vertrag oder zur Geltendmachung von Rechtsansprüchen notwendig ist.
Ein weiteres neues Recht der Betroffenen wurde durch Art. 20 DSGVO (Datenportabilität) geschaffen. Damit können betroffene Personen von Verantwortlichen die Aushändigung der von ihnen zur Verfügung gestellten personenbezogenen Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ verlangen. Dies mag vor allem auf Nutzerprofile in sozialen Netzwerken oder E-Mail-Konten zielen. Aber auch Kundenkonten bei Unternehmen, einschl. jeglicher zugehöriger personenbezogener Daten, wie etwa in E-Mails oder Bildern, können von dem Anspruch betroffen sein.
5. Die DSGVO wird den Umgang von Unternehmen mit dem Thema „Datenschutz“ in den allermeisten Fällen nachhaltig verändern, da das neue Recht eine ganze Reihe von neuen Unternehmenspflichten mit sich bringt. Diese sind insbesondere in den Art. 24 ff. der DSGVO enthalten. Der Inhalt und der Umfang der in erheblichen Teilen neuen Pflichten von Unternehmen im Umgang mit personenbezogenen Daten werden bereits im umfangreichen, in Art. 5 DSGVO enthaltenen Katalog der Grundsätze für die Verarbeitung deutlich. Es gelten die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht.
Verantwortliche Unternehmen haben geeignete technische und organisatorische Maßnahmen zu installieren, damit ihre Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt, vgl. Art. 24 Abs. 1 DSGVO.
Im Bereich des technischen Datenschutzes bedeutet dies u.a. nach Art. 25 DSGVO die Festlegung von internen Strategien und Maßnahmen, welche die Einhaltung der Grundsätze des Datenschutzes durch Technik (Data Protection by Design) und datenschutzfreundliche Voreinstellungen der Systeme (Data Protection by Default) sicherstellen. Dazu kann u.a. gehören, dass die Verarbeitung personenbezogener Daten minimiert und diese schnellstmöglich pseudonymisiert werden.
Nutzt ein Unternehmen z.B. eine Software für die Verwaltung von Kundendaten, und gewährleistet jenes System eben nicht Datenschutzgrundsätze, wie die Datenminimierung, wirksam umzusetzen, wird man nach Inkrafttreten der DSGVO und einer Übergangsphase im Rahmen einer Abwägung dazu kommen können, dass das verantwortliche Unternehmen das bestehende IT-System entweder entsprechend verändern oder ein neues, Datenschutz konformes System einzuführen hat.
Maßnahmen zur technischen Sicherheit der Verarbeitung personenbezogener Daten, welche bislang u.a. §§ 9 BDSG zu entnehmen waren, werden ebenfalls verschärft und sind nunmehr u.a. Art. 32 DSGVO zu entnehmen. Die Meldepflichten von Unternehmen im Falle von Datenschutzverletzungen werden verschärft, vgl. Art. 33 DSGVO, und Verantwortlichen wird in Fällen, in denen die Verarbeitung personenbezogener Daten, insbesondere bei der Verwendung neuer Technologien, aufgrund Art, Umfang, Umständen und Zwecken der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, eine vom Unternehmen zu dokumentierende Datenschutzfolgenabschätzung abverlangt, Art. 35 DSGVO. Dies könnte z.B. in Fällen von Kredit-Profiling eine Rolle spielen.
Die neuen umfangreichen Pflichten von Unternehmen nach der DSGVO werden die Einführung eines Datenschutzmanagementsystems im Unternehmen erforderlich machen, welches u.a. eine Datenschutzorganisation mitsamt Verantwortlichkeiten, die angepasste Rolle des Datenschutzbeauftragen, Verzeichnisse von Verarbeitungstätigkeiten, ein Vertragsmanagement, ein Verfahren für die genannten Datenschutzfolgenabschätzungen sowie Prozesse für die Wahrnehmung von Rechten Betroffener beinhalten muss.
Anders als in der Vergangenheit, in denen festgestellte Datenschutzverstöße von den zuständigen Behörden oftmals nur mit marginalen Sanktionen geahndet wurden, wird zukünftig nach Inkrafttreten der DSGVO ein nachhaltig verschärftes Bußgeld- und Sanktionssystem zur Anwendung kommen. Dieses System beinhaltet auch die Möglichkeit der Verhängung von sehr hohen Geldstrafen und soll eine Bewusstseinsveränderung der Verantwortlichen unterstützen. Auch insoweit besteht Anlass, eigene Unternehmensprozesse in datenschutzrelevanten Bereichen rasch zu überprüfen, anzupassen und in Einklang mit dem ab Ende Mai 2018 gültigen neuen Recht zu bringen. Be prepared.