Die Europäische Datenschutzgrundverordnung (DSGVO) wird ab dem 25. Mai 2018 die bisherigen nationalen Datenschutzgesetze ablösen. Personenbezogene Daten dürfen dann nur verarbeitet werden, soweit die DSGVO dies ausdrücklich gestattet. Einen Personenbezug haben dabei Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen nicht nur die Namen und Anschriften von Kunden, sondern auch ihre IP-Adressen. Bereits erteilte Einwilligungen sind nur dann eine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten, wenn sie den Bedingungen der DSGVO entsprechen.
Foto: Pe3k - shutterstock.com
Während sich die großen Konzerne überwiegend schon seit 2016 auf die neuen Anforderungen der DSGVO vorbereiten, haben Mittelständler oft immer noch keine ausreichenden Maßnahmen ergriffen, obwohl sie regelmäßig personenbezogene und nicht selten auch hochsensible Daten verarbeiten. Manche Firmenlenker scheinen nicht einmal zu wissen, dass das neue Datenschutzrecht auch für sie gilt und eine gründliche Vorbereitung erfordert.
Viele benutzen für Ihre Transaktionen immer noch alte Verträge, die lediglich das Bundesdatenschutzgesetz berücksichtigen. Und obwohl die Umsetzung der DSGVO weitreichende Maßnahmen im Betrieb erfordert, warten manche Unternehmer immer noch ab, anstatt zu handeln. Diese Untätigkeit nach der Devise "wo kein Kläger, da kein Richter" kann teure Konsequenzen haben.
Viele große Konzerne sind mit dem Thema heute so weit vorangeschritten, dass sie Dienstleister, die nicht DSGVO-compliant sind, gegen datenschutzkonforme Partner austauschen. Ihnen ist das Risiko zu hoch, haften sie doch durch die Beauftragung nicht konformer Dienstleister mit bis zu vier Prozent ihres weltweiten Jahresumsatzes oder maximal 20 Millionen Euro - je nachdem welcher Betrag höher ist.
Mangelnde Compliance lässt sich auch nicht vertuschen: Ist es erst einmal zu einer Datenschutzverletzung gekommen, muss diese binnen 72 Stunden der Aufsichtsbehörde gemeldet werden. Wer gegen diese Meldepflicht verstößt, kann auch noch viele Monate später mit einem empfindlichen Bußgeld belegt werden. Das gilt auch für Datenschutzverstöße, die in einem bereits vergangenen Geschäftsjahr begangen wurden. Wer es heute fahrlässig unterlässt, die richtigen Maßnahmen zu ergreifen, kann sich später nicht darauf berufen, von alldem nichts gewusst zu haben.
Wer muss also dringend handeln?
Marketingagenturen und ihre Kunden
Agenturen mit Erfahrung im E-Mail-Marketing werden oft von Konsumgüter-Anbietern und Dienstleistern eingesetzt. Sie wissen, wie man Bestandskunden für neue Produkte begeistern und neue Zielgruppen erschließen kann. Das geht allerdings nicht ohne die Verarbeitung der Kundendaten durch die Agentur, die den Versand der Mailings übernimmt. Deshalb ist schon bei der Auswahl einer Agentur sorgfältig zu prüfen, ob diese ihren Auftrag datenschutzgerecht ausführen kann. Wollen oder können Unternehmen diese Prüfung nicht selbst vornehmen, müssen sie dafür einen akkreditierten Auditor einschalten, der den Auftragsverarbeiter vor Ort prüft.
Damit Unternehmen dafür nicht die Einwilligung jedes einzelnen Empfängers einholen müssen, sichern sie den Schutz der Kundendaten in einer schriftlichen Vereinbarung mit der Agentur. Wer die durchaus komplexen Anforderungen der DSGVO an eine solche Vereinbarung nicht kennt, sollte sich dabei von einem Rechtsanwalt oder externen Datenschutzbeauftragten unterstützen lassen. Dabei ist unbedingt auf die Vermeidung von Interessenkonflikten zu achten, die etwa auftreten können, wenn ein Rechtsanwalt das Unternehmen in Kundenstreitigkeiten oder arbeitsrechtlichen Verfahren vor Gericht vertritt und seinen Mandanten zugleich als externer Datenschutzbeauftragter berät. In solchen Fällen sollte entweder die Prozessvertretung oder die Tätigkeit als Datenschutzbeauftragter von einem anderen Anwalt wahrgenommen werden.
Zu regeln sind auch die technischen und organisatorischen Maßnahmen, die von der Agentur zum Schutz der Kundendaten zu treffen sind. Damit allerdings sind viele Agenturen überfordert oder sie haben Schwierigkeiten, die gesetzlich vorgeschriebenen Maßnahmen so rechtzeitig umzusetzen, dass eine Mailing-Aktion planmäßig umgesetzt werden kann. Das ist für beide Seiten misslich: Die Agentur kann ihren Kunden verlieren, und der Kunde haftet für eine nicht gesetzeskonforme Verarbeitung der Kundendaten durch die Agentur. Er muss mit einem Bußgeld von bis zu zehn Millionen Euro oder zwei Prozent seines vorangegangenen Jahresumsatzes rechnen. In bestimmten Fällen, etwa bei einer unzulässigen Übermittlung personenbezogener Daten in Drittländer oder bei Nichterfüllung der Informationspflichten durch den für die Verarbeitung der Daten Verantwortlichen können Geldbußen bis zur doppelten Höhe verhängt werden. Anders als nach bisherigem Recht kann dann auch den Dienstleister eine Haftung treffen.
Lettershops
Gleiches gilt für sogenannte Lettershops, die im Auftrag ihrer Kunden Werbung per Post versenden. Auch sie verarbeiten dazu für ihre Kunden personenbezogene Adressdaten mit den Namen und Anschriften der Empfänger. Werden diese Daten ohne Einwilligung des Kunden und ohne Abschluss einer geeigneten Auftragsverarbeitungsvereinbarung mit dem Lettershop versandt, haften beide dafür und müssen ein von der Aufsichtsbehörde verhängtes Bußgeld bezahlen.
Helpdesks und Auftragsdienste
Oft haben Unternehmen ihr Telefonsekretariat an externe Dienstleister ausgelagert. Auch sie müssen die DSGVO beachten. Das gleiche gilt für Firmen, die den Betrieb ihres Kunden-Helpdesks an Dienstleister abgegeben haben. Ruft in diesem Fall ein Kunde auf einer Servicerufnummer an, wird ihm von einem externen Dienstleister geantwortet. Der hat den Namen und die Anschrift des Kunden mit samt Adresse und Angaben zu den gekauften Produkten meist schon auf seinem Bildschirm präsent, um den Fall zügig bearbeiten zu können.
Das aber erfordert die vorherige Weitergabe der Kundendaten an den Auftragsdienst. Auch hier muss sich der Auftraggeber vor der erstmaligen Weiterleitung personenbezogener Daten an den Auftragsverarbeiter überzeugen, dass dieser seine Dienstleistungen datenschutzkonform erbringt. Er muss DSGVO-konforme, schriftliche Vereinbarungen treffen.
Datenverarbeiter in Drittstaaten
Besondere Anforderungen sind immer dann zu beachten, wenn der Auftragsverarbeiter die Daten entweder selbst im außereuropäischen Ausland oder in einem Rechenzentrum verarbeitet, das ein Subunternehmer in einem Drittstaat betreibt. Mancher Auftragsdienst behält sich im Kleingedruckten ausdrücklich vor, die Kundendaten auch außerhalb der EU zu verarbeiten und die meisten Helpdesks werden längst nicht mehr in Deutschland, sondern in Indien oder einem anderen Drittstaat betrieben. Das ist aber nur unter bestimmten Bedingungen möglich. Zudem steht noch nicht fest, ob Großbritannien durch den Brexit bald zu diesen Drittstaaten gehören wird, so dass es Sinn ergibt, auch hier vorsorglich für künftige Rechtssicherheit in den Vertragswerken zu sorgen.
Webanalyse-Dienste
Der bekannteste Dienst zur Messung und Analyse der Besuche auf Internetseiten ist immer noch Google Analytics, das dazu eine Fülle von Werkzeugen bereitstellt. Daneben gibt es aber auch eine Vielzahl kostenloser Tools, die ähnliche Funktionen bieten. Allen Verfahren gemein ist die Erfassung der IP-Adresse des Seitenbesuchers. Diese stellt aber gemäß der aktuellen Rechtsprechung des Europäischen Gerichtshofes ein personenbezogenes Datum dar. Bislang wurde es für ausreichend gehalten die Seitenbesucher über die Verwendung solcher Tools zu informieren und eine DSGVO-konforme Vereinbarung mit dem Anbieter solcher Analysedienste zu schließen. Damit ist es aber nicht mehr getan und Webseitenbetreiber müssen sich auch hier auf geänderte gesetzliche Anforderungen einstellen, wenn sie keine Abmahnungen und Bußgelder riskieren wollen.
Veranstalter von Webinaren
Viele Unternehmen bieten interne Fortbildungen heute als Webinare an, um eine möglichst breite Mitarbeiterteilnahme ermöglichen zu können. Die technische Umsetzung solcher Webinare und der Versand der Einladungen wird dabei meistens spezialisierten Anbietern überlassen, die damit auch die personenbezogenen Daten der Teilnehmer erhalten. Auch hier sind also Vereinbarungen mit dem Anbieter über die sichere Verarbeitung dieser Daten notwendig.
Anwender von SaaS-Lösungen
ERP- oder CRM-Software wird heute immer häufiger als Cloud-Lösung eingesetzt und damit vom Anwender nicht mehr gekauft, sondern als Dienst abonniert. Das hat eine regelmäßige Verarbeitung personenbezogener Daten in der Cloud durch den Hersteller oder Vermarkter der Software zur Folge. Dazu ist die Einwilligung der betroffenen Kunden beziehungsweise eine geeignete vertragliche Regelung erforderlich. Fehlt sie, liegt darin eine Datenschutzverletzung erheblichen Ausmaßes, die bußgeldbewehrt ist. Viele SaaS-Anbieter weisen ihre Kunden darauf aber nicht hin, und die Kunden selbst sind sich ihrer diesbezüglichen Pflichten oft nicht bewusst. Auch für Unternehmen, die SaaS-Lösungen bereits einsetzen oder es planen, besteht also Handlungsbedarf zur Erreichung der DSGVO-Compliance.
Subunternehmer
Dienstleister, die personenbezogene Daten im Auftrag ihrer Kunden verarbeiten, speichern diese meist nicht (nur) auf ihren eigenen Rechnern und Servern, sondern auch in der Cloud oder in einem lokalen Rechenzentrum, das für sie als Subunternehmer tätig wird. Ist das der Fall, muss der Dienstleister seine Kunden darüber informieren und nicht nur mit diesen, sondern auch mit dem Cloud Service Provider oder Rechenzentrumsbetreiber einen Vertrag zur Auftragsverarbeitung abschließen. Darin ist sicherzustellen, dass der Subunternehmer die Anforderungen an den Datenschutz ebenso erfüllt, wie der Dienstleister gegenüber seinem Auftraggeber. Ob das tatsächlich der Fall ist, muss der Auftraggeber vor der ersten Weitergabe personenbezogener Daten an den Subunternehmer prüfen und auch danach regelmäßig verifizieren.
Nutzer von Smart Manufacturing und Predictive Maintenance
Die Digitalisierung der Konstruktion ist längst Realität, die der Produktion schreitet in vielen Branchen und Schlüsselindustrien voran. Dabei wird oft nicht daran gedacht, dass etwa Dienstleister, die zur vorbeugenden Wartung (Predictive Maintenance) Zugriff auf Anlagen und Maschinen erhalten, häufig auch mit personenbezogenen Daten des Bedienpersonals oder Kunden in Berührung kommen. Auch hier ist zu prüfen, ob es - wie auch sonst regelmäßig - einer schriftlichen Vereinbarung zwischen dem Auftraggeber und dem Dienstleister bedarf, mit der die datenschutzkonforme Verarbeitung dieser Daten geregelt wird.
Fazit
Wer sich zur Bewerbung seiner Produkte externer Dienstleister bedient, muss sicherstellen, dass - er und sein Dienstleister - die Anforderungen der DSGVO erfüllen. Hierzu reicht es nicht aus, in Vereinbarungen mit dem Dienstleister den Gesetzestext zu wiederholen. Zudem muss auch die Umsetzung der für die Datensicherheit notwendigen technischen und organisatorischen Maßnahmen stimmen. Ob hier Defizite beim Dienstleister herrschen, muss vor der Auftragserteilung geprüft werden: Es gilt Lücken zu erkennen und zu schließen.
Wird die Compliance mit dem Europäischen Datenschutzrecht nicht rechtzeitig sichergestellt, ergeben sich daraus hohe Bußgeld- und Schadensrisiken. Sie treffen nicht nur die Unternehmen allgemein, sondern unter Umständen auch deren Vorstände und Geschäftsführer persönlich. Angesichts des hohen Schadenspotenzials von Datenschutzverstößen ist zudem nicht auszuschließen, dass Datenschutzlücken von missliebigen Wettbewerbern missbraucht werden könnten. Mit der anonymen Meldung von Datenschutzverletzungen an Aufsichtsbehörden könnten Insider oder Whistleblower gezielt daran arbeiten, verantwortliche Mitarbeiter eines Wettbewerbers loszuwerden oder den Wettbewerber zur Geschäftsaufgabe zu zwingen.
Vor dem Hintergrund dieser Rechtslage gilt es für alle Unternehmen dringend zu prüfen, ob die von ihnen zum Schutz personenbezogener Daten ergriffenen Maßnahmen ausreichen, um die die geänderten Anforderungen der neuen Datenschutzgrundverordnung zu erfüllen, die ab dem 25. Mai 2018 einzuhalten sind.