Aktueller Stand zur EU-Datenschutzgrundverordnung
Die EU-Datenschutzgrundverordnung ist in aller Munde. Es gibt viele Webinare, Seminare und Artikel über dieses Thema. Um ein wenig Klarheit über die tatsächliche Situation zum jetzigen Zeitpunkt (Stand 10.10.2017) zu bekommen, habe ich mich mit Rechtsanwalt Jens Thurn von der Kanzlei Thurn Legal für ein Interview getroffen.
Seit 2011 ist Jens Thurn als Rechtsanwalt zugelassen und hat in den letzten Jahren umfangreiche Erfahrungen in der Rechtsberatung und Prozessführung gesammelt. Zwischen 2012 und 2015 war er in einer mittelständischen Kanzlei in einem Vorort von Hamburg tätig. Anschließend war Jens in einer internationalen Großkanzlei in Hamburg angestellt, bevor er sich Anfang 2016 selbstständig gemacht hat.
Hallo Jens! Ich freue mich sehr, dass du mit mir dieses kleine Interview machst. Bitte stelle dich für die Leser einmal ganz kurz vor. Wer bist du, was machst du, welchen Bezug hast du zu Web Analytics/Digital Analytics und der EU-Datenschutzgrundverordnung?
Hallo Karsten, danke für die Einladung. Ich freue mich ebenso. Seit 2011 bin ich als Rechtsanwalt tätig. Schon früh habe ich mich für IT-Recht und „Online-Recht“ begeistert, sodass ich diesen Beratungsschwerpunkt kontinuierlich ausgebaut und schließlich die Fachanwaltsausbildung für den Bereich IT-Recht abgeschlossen habe und nunmehr auch die Zertifizierung zum Datenschutzbeauftragten bevorsteht. Im Rahmen meiner bisherigen Erfahrungen habe ich vielfältige Facetten der Beratungen und Rechtsdurchsetzung erlebt. Anfang 2016 entschloss ich mich, meine eigene Kanzlei Thurn Legal mit dem Schwerpunkt im IT-Recht, Datenschutz und E-Commerce-Recht zu gegründet.
So schön die Möglichkeiten des Internets auch sind, verbergen sich darin nicht ganz unerhebliche Gefahren für alle Beteiligten. Hieran knüpfe ich mit meiner Beratung an. Sowohl die Rechtsprechung als auch die gesetzlichen Regelungen befinden sich gerade in dem recht „jungen“ Bereich des IT- und Internetrechts im Fluss, sodass es wichtig ist, kompetent beraten zu sein, um nicht mit gerichtlichen Entscheidungen oder neuen gesetzlichen Regelungen überrascht zu werden.
Aus meiner Sicht geht es hierbei jedoch nicht um das „Geschäft mit der Angst“, sondern vielmehr die technischen Neuerungen im Rahmen interessanter, neuer Möglichkeiten zu nutzen und damit auch alte ausgetretene Pfade zu verlassen. Damit all das jedoch kein Himmelfahrtskommando wird, sollte man die rechtlichen Rahmenbedingungen kennen, um bestehende Risiken bewusst eingehen zu können. Um dieses für meine Mandanten zu ermöglichen, arbeite ich mit diesen eng und vertrauensvoll zusammen.
Du hast durch deine Aufgaben als Rechtsanwalt viel Kontakt zu großen und kleinen Firmen. Bemerkst du einen Unterschied im Umgang mit dem Thema Datenschutz zwischen groß und klein?
Tatsächlich wächst die Bedeutung des Datenschutzes in Unternehmen jedweder Größe. Dies jedoch auch nicht zuletzt deshalb, da die datenschutzrechtlichen Problemstellungen zunehmend Gegenstand der allgemeinen Berichterstattung werden. Einen nicht unerheblichen Beitrag hierzu leistet auch die neue gesetzliche Regelung, die Datenschutzgrundverordnung, die nächstes Jahr am 25. Mai 2018 für alle EU-Bürger und Unternehmen in Kraft tritt. Welche Neuerungen sich hieraus individuell ergeben, sollte jedes Unternehmen für sich abklopfen.
Riesige Budgets sind in der Regel nicht erforderlich, um sich datenschutzkonform aufzustellen.
Natürlich ist es so, dass gerade in größeren Unternehmen in der Regel größere Budgets bereitstehen, um internen Sachverstand aufzubauen oder externen Sachverstand einzukaufen. Diesen Unterschied merkt man in der Beratungspraxis schon. Ich möchte aber darauf hinweisen, dass die notwendige Expertise nicht teuer sein muss und große bzw. teure Beratungspakete oft an dem tatsächlichen Bedarf eines Unternehmens vorbeigehen. Riesige Budgets sind in der Regel nicht erforderlich, um sich datenschutzkonform aufzustellen.
Ab welcher Unternehmensgröße muss sich die Geschäftsleitung ernsthaft Gedanken zum Schutz der Daten machen? Gibt es da Vorgaben?
Der Datenschutz unterscheidet (…) nicht zwischen der Größe einzelner Unternehmen.
Naja, der Datenschutz unterscheidet zunächst einmal nicht zwischen der Größe einzelner Unternehmen. Die Rechte der Betroffenen und damit die Pflichten eines Unternehmens bestehen weitgehend unabhängig von ihrer Größe. Natürlich gibt es einzelne Regelungen, die besondere Verpflichtungen vorsehen, sofern gewisse Größenschwellen überschritten werden, etwa die Bestellungspflicht eines Datenschutzbeauftragten ab in der Regel 10 Personen. Die gesetzlichen Regelungen zielen aber eher auf die besondere Gefahrenneigung der Verarbeitung von personenbezogenen Daten.
Ein Datenschutzbeauftragter ist (…) unabhängig von der Größe des Unternehmens zu bestellen, wenn personenbezogene Daten für Markt- oder Meinungsforschung verarbeitet werden. Zu den personenbezogenen Daten zählen auch pseudonymisierte Datensätze.
Diese Größenschwellenregelung indiziert, dass eine besondere Gefahr in der Verarbeitung von personenbezogenen Daten ab dieser Größe liegt. Ein Datenschutzbeauftragter ist übrigens auch unabhängig von der Größe des Unternehmens zu bestellen, wenn personenbezogene Daten z.B. für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Zu den personenbezogenen Daten zählen auch pseudonymisierte Datensätze.
Es ist übrigens darauf hinzuweisen, dass unabhängig von der Organisationsform einer Unternehmung, Datenschutzverstöße zu einer persönlichen Haftung der Unternehmensverantwortlichen führen können.
Welche (größten) Fehler machen Unternehmen aus deiner Sicht, wenn es um nutzerbezogene Daten geht?
Oft schrecken die Unternehmen vor vermeintlich hohen Kosten bei der Prüfung und Beurteilung von datenschutzrechtlichen Risiken zurück.
Als größten Fehler würde man sicherlich bezeichnen können, dass viele Unternehmer und Unternehmen sich zu wenig Gedanken über den Datenschutz im Detail machen. Oft schrecken die Unternehmen vor vermeintlich hohen Kosten bei der Prüfung und Beurteilung von datenschutzrechtlichen Risiken zurück. Sicherlich ist es aber häufig nicht erforderlich, umfangreiche Konzepte zu erarbeiten, sodass diese Angst vor Kosten für die Beratung unberechtigt ist. Es gibt heute jedoch für jeden Bedarf passende Beratungsangebot.
Weitere große Fehler bestehen in der unberechtigten Speicherung von Daten, etwa in der Speicherung und Verarbeitung trotz fehlender oder unvollständiger Einwilligungen, in der Speicherung von vielzähligen Daten einer Person, obwohl es hierzu keinen Anlass gibt, und zuletzt ist häufig festzustellen, dass Löschungsroutinen nicht eingeführt worden sind oder unbeachtet bleiben.
Was können die Unternehmen da besser machen?
Zusammengefasst rate ich jedem Unternehmen, sich dem Thema Datenschutz anzunehmen, nicht aus der Angst heraus, etwaige Bußgelder zahlen zu müssen, sondern vielmehr um die notwendige Souveränität im Umgang mit Betroffenenrechten ausstrahlen zu können. Es ist übrigens mit einer verstärkten Ausübung der Betroffenenrechten nach dem Inkrafttreten der EU-Datenschutzgrundverordnung zu rechnen. Mit der notwendigen Gelassenheit können Anfragen betroffene Person oder Datenschutzbehörden dann beantwortet werden, ohne dass dabei immer wieder die Ruhe im Unternehmen gestört wird.
In den letzten Monaten gab es zu der EU-Datenschutzgrundverordnung dieser Verordnung viele Gerüchte und Halbwahrheiten zu sehen und zu lesen. Warum herrscht noch so viel Unklarheit über die Umsetzung?
(…) Schaffung eines einheitlichen europäischen Datenschutzniveaus.
Mit der Datenschutzgrundverordnung wird ein bislang nicht erreichtes Konzept konkretisiert, nämlich die Schaffung eines einheitlichen europäischen Datenschutzniveaus. Die Datenschutzgrundverordnung lässt hiervon jedoch vielfältige Ausnahmen zu. Für einzelne Regelungen sieht die Datenschutzgrundverordnung sogenannte Öffnungsklauseln für die Mitgliedstaaten vor, d. h., dass die Mitgliedstaaten jeweils nationale gesetzliche Regelungen erlassen können, die die gesetzlichen Regelungen der Datenschutzgrundverordnung ergänzen und ausformen.
(…) zwischen nationaler Regelung und europäischem Recht ergeben sich im Einzelfall, nämlich in der konkreten Ausformung eines tatsächlichen Problems unter Umständen Regelungskollisionen
In Deutschland etwa ist dieses durch das Bundesdatenschutzgesetz (neu) erfolgt. Letztlich ist aber jedes Gesetz auslegungsbedürftig, sodass sich im Einzelfall jeweils die Frage stellen kann, wieweit einzelne Öffnungsklauseln und damit die nationalen Regelungen der Mitgliedstaaten reichen können und dürfen, ohne dabei das übergeordnete europäische Recht, die Datenschutzgrundverordnung zu verletzen. In dieser Gemengelage zwischen nationaler Regelung und europäischem Recht ergeben sich im Einzelfall, nämlich in der konkreten Ausformung eines tatsächlichen Problems unterschiedliche Auffassungen. Viele dieser derzeit bestehenden Unklarheiten werden sich wohl erst im Rahmen der Anwendung des Rechtes lösen, wenn etwa erste Entscheidungen der Gerichte oder Datenschutzaufsichtsbehörden vorliegen.
Grundsätzlich kann man natürlich sagen, der Auflösung dieses Konfliktes zwischen nationaler und europäischem Recht stehen wir recht gelassen gegenüber und werden uns dann an die im Laufe der Anwendung des Rechts veröffentlichten Entscheidungen halten, jedoch können sich bei einer Verletzung des Datenschutzrechts erhebliche Rechtsfolgen ergeben, nämlich einerseits die Verhängung nicht ganz unerhebliche Bußgelder, die die Datenschutzgrundverordnung vorsieht, aber auch Schadensersatzansprüche einzelner betroffenen Personen. Nicht zuletzt besteht natürlich auch das Ziel, einzelne Problemstellungen nicht immer wieder und wieder anpacken zu müssen und einzelne Geschäftsmodelle ständig anpassen zu müssen.
Die Verbreitung von Halbwahrheiten ist aber auch auf Unkenntnis und die Erregung von Aufmerksamkeit zurückzuführen.
Die Verbreitung von Halbwahrheiten ist aber auch auf Unkenntnis und die Erregung von Aufmerksamkeit zurückzuführen. Natürlich ist die Aufregung mit der Einführung der Datenschutzgrundverordnung groß. Niemand möchte von den vorgesehenen Sanktionen, die bis zu 20 Mio. EUR oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs reichen, betroffen sein. Aber wie so häufig empfiehlt sich ein entspannter Blick auf die einen betreffenden Problemstellungen.
Kannst du uns die wichtigsten Eckpunkte – die bis heute schon bekannt sind – nennen? Worauf müssen sich zum Beispiel Betreiber von Onlineshops gefasst machen?
Grundsätzlich kann man die neuen Regelungen jedoch dahingehend zusammenfassen, dass die Betroffenenrechte des Einzelnen gestärkt werden.
Für jedes Geschäftsmodell ergeben sich aus der EU-Datenschutzgrundverordnung und dem hierauf basierenden nationalen Recht natürlich andere Handlungsanweisungen. Grundsätzlich kann man die neuen Regelungen jedoch dahingehend zusammenfassen, dass die Betroffenenrechte des Einzelnen gestärkt werden. Es ist damit zu rechnen, dass diese ihre Rechte vehementer als in der Vergangenheit einfordern werden. Zu nennen sind hier insbesondere Informationspflichten, Auskunftsrecht der betroffenen Person, Recht auf Datenübertragbarkeit und das Recht auf Löschung. Hierauf sollte sich der Einzelne vorbereiten.
Trifft diese Grundverordnung auch kleine Websitebetreiber, wie Blogger und private Websites? Was müssen die Betreiber da beachten?
Ja. Die Anforderungen an Blogger und private Website-Breitreiber sind grundsätzlich identisch mit den Anforderungen, die an große Unternehmen gestellt werden. Allerdings unterscheiden sich in der Regel die Verarbeitungsprozesse. Je einfacherer diese gehalten werden, desto einfacher ist häufig auch die rechtliche Einbettung.
Zu wann rechnest du damit, dass die Rechtslage klar ist und Unternehmen tatsächlich alle notwendigen Maßnahmen ergreifen können?
Da die EU-Datenschutzgrundverordnung ohne Übergangsfrist am 25. Mai 2018 in Kraft tritt, sollten bis zu diesem Zeitpunkt alle Dokumente und Prozesse der Datenverarbeitung an die neue Regelung angepasst worden sein.
Die Datenschutzaufsichtsbehörden der Länder, der Düsseldorfer Kreis und die Art. 29-Datenschutzgruppe sind bereits dabei, Stellungnahmen zu veröffentlichen. Einzelne Themen sind bereits behandelt worden. Es ist daher stets sinnvoll, sich eine Übersicht über die veröffentlichten Stellungnahmen zu den einzelnen Fragestellungen zu verschaffen und sich fortlaufend mit den neuen gesetzlichen Regelungen auseinanderzusetzen. Da die EU-Datenschutzgrundverordnung ohne Übergangsfrist am 25. Mai 2018 in Kraft tritt, sollten bis zu diesem Zeitpunkt alle Dokumente und Prozesse der Datenverarbeitung an die neue Regelung angepasst worden sein.
Jens, ganz herzlichen Dank, dass du dir die Zeit für dieses Interview genommen hast. Ich bin sehr gespannt, was zum Thema Datenschutz noch alles auf Websitebetreiber zukommt!
Es erwartet uns kein Hexenwerk, jedoch sollten die notwendigen Vorbereitungen zur Umsetzung der Datenschutzgrundverordnung rechtzeitig starten. Ich danke Dir.
