Der Zugang zu einer großen Menge an Daten eröffnet der Wirtschaft Geschäftsfelder mit riesigem Potential. Klar ist aber auch, dass der Umgang mit Daten gesellschaftlich immer kritischer gesehen wird. Das Ergebnis dieser Rechnung ist die DSGVO. Für Unternehmer ist es – auch angesichts der drohenden Sanktionen – elementar, sich zumindest in Grundzügen mit dem Datenschutz auszukennen und das eigene Geschäftsmodell entsprechend anzupassen oder zu überdenken.
Warum Datenschutz?
Der Datenschutz findet seine nationalen Anfänge wohl hauptsächlich in einem Urteil des Bundesverfassungsgerichts von 1983 zu einer Volkszählung der Bundesrepublik Deutschland. Mittels einer statistischen Großerhebung wollte die Regierung damals Daten über das Volk erheben. Das führte teilweise zu einem Aufschrei innerhalb der Bevölkerung, die darin einen grundlegenden Eingriff des Staates in die Privatsphäre, wenn nicht sogar in die höchstpersönliche Lebenssphäre, sah. Auch das Bundesverfassungsgericht stand dem Vorhaben kritisch gegenüber und stellte fest, dass das damalige Volkszählungsgesetz teilweise verfassungswidrig war.
Politisch und gesellschaftlich im Diskurs wurde der Datenschutz zu einem zentralen Thema der Zeit. Es folgte die erste Version des Bundesdatenschutzgesetzes, welches in seiner Art eines der ersten Gesetze überhaupt (auch international) darstellte. Anschließend verlor die Debatte jedoch an Zündstoff und das BDSG führte eher ein Schattendasein.
Trotz allem ergaben sich durch den technischen Fortschritt immer weitere Möglichkeiten für Unternehmen, mit Daten nicht nur eigene Prozesse zu optimieren, sondern allein mit dem Sammeln von Daten, Geld zu verdienen. (Wohl) Ab den 2000er Jahren wurde dieser Zustand alltäglich. Er blieb gesellschaftlich ebenso wie politisch aber weitgehend unkommentiert.
Spätestens aber mit dem Einzug von Social Media wurde schnell klar, dass eine Kontrolle bei der Verarbeitung von personenbezogenen Daten notwendig ist. Es entstand die neue Datenschutzgrundverordnung (DSGVO). Die nun wachsende Kritik an den „Datenkraken“ fand ihre Bestätigung nicht zuletzt in dem Datenskandal rund um „Cambridge Analytica“.
Anwendungsbereich der DSGVO
Der Ausgangspunkt für die Anwendung der DSGVO ist die Verarbeitung von personenbezogenen Daten.
Personenbezogene Daten
Die personenbezogenen Daten sind der zentrale Rückschlusspunkt der DSGVO. Sie sind der Ausfluss der oben bezeichneten Problematik von Eingriffen in die Privatsphäre oder höchstpersönliche Intimsphäre. Das sichtbarste Beispiel an personenbezogenen Daten findet sich nach wie vor auf Social-Media-Plattformen. Bei der Nutzung einer App (wie etwa Instagram) wird beispielsweise gespeichert, wann die App geöffnet wird, welchen Seiten man folgt und welche Bilder sich der Nutzer ansieht. Dadurch können Rückschlüsse auf Schlafgewohnheiten, Freundschaften und persönliche Präferenzen des Nutzers (durch Scrollgeschwindigkeit etc.) gewonnen werden. Bei all diesen Daten handelt es sich um personenbezogene Daten.
Die DSGVO definiert die personenbezogenen Daten in Art. 4 Nr. 1 DSGVO. Zentrales Merkmal der Definition ist dabei die Identifizierbarkeit, aber auch die Beziehbarkeit der Daten auf einzelne Personen. Das Gegenstück zu den personenbezogenen Daten sind sog. Maschinendaten. Bei Maschinendaten sind Rückschlüsse auf Personendaten grundsätzlich nicht möglich, weil sie (nur) bspw. die Anzahl der Waschzyklen, Zahl der Fertigungen, Störungen usw. aufzeichnen. Diese Daten sind von immenser Wichtigkeit für die Wirtschaft und unterliegen nicht der DSGVO. Hier gilt vielmehr das Prinzip „Free flow of data“. Die Grenze zwischen beiden Datenkategorien ist allerdings fließend.
Datenverarbeitung
Die Datenverarbeitung wird in Art. 4 Nr. 2 DSGVO konkretisiert. Nach der dortigen Regelung wird klar, dass der Begriff sehr weit zu verstehen ist und somit beinahe jedweder Umgang mit Daten eine Verarbeitung iSd. DSGVO darstellt. Anknüpfend an das Instagram-Beispiel stellt also das Ansehen, ein Vorschlag für eine bestimmte Seite, die Übermittlung der Daten an Drittanbieter und das Scrolltracking jeweils für sich genommen bereits eine Verarbeitung (personenbezogener Daten) dar.
Anforderungen der DSGVO bei der Verarbeitung personenbezogener Daten
Die Verarbeitungsprinzipien der DSGVO finden sich in Art. 5 DSGVO.
Die erste Möglichkeit ist die Verarbeitung über eine Einwilligung des Nutzers. Diese ist zumindest erforderlich, wenn die Verarbeitung der personenbezogenen Daten nicht notwendig ist. Nicht notwendig ist eine Verarbeitung immer dann, wenn sie für den Kernbereich der Leistung nicht essentiell ist. Die Einwilligung muss in nachweisbarer Art und Weise dokumentiert und in einer klaren und einfachen Sprache formuliert werden. Sie kann vom Nutzer jederzeit widerrufen werden. Darüber hinaus muss sie freiwillig erfolgen. Die Freiwilligkeit ist sehr umstritten. Zwar ist das Setzen eines Häkchens kein Zwang an sich, da jedoch kaum jemand den dazugehörigen Text durchliest, ließe sich ebenso gegen eine Freiwilligkeit argumentieren, denn im Ergebnis wünschen nur wenige Menschen die Weitergabe ihrer Daten an Dritte usw.
In Art. 5 DSGVO ist ebenfalls die Zweckbindung geregelt. Dadurch wird klargestellt, dass dort, wo keine Einwilligung notwendig ist, klar sein muss, was mit den Daten passiert.
Hinzukommend sieht die DSGVO vor, dass die jeweiligen Verarbeiter unter Beachtung der Datensparsamkeit agieren und das Kommunikationsrisiko tragen. Letzteres bedeutet, dass der Unternehmer für etwaige Datendiebstähle durch Hacker etc. einzustehen hat.
Spezielle Anforderungen auf einer Website
Von zentraler Bedeutung für eine Website ist die Datenschutzerklärung (Art. 12 DSGVO). Für diese muss zunächst analysiert werden welche Daten wie verarbeitet werden. Das kann einem bei dem Einsatz von Webanalyse-Tools wie Google Analytics teilweise schwerfallen, da mitunter nicht klar ist, wie Daten gesammelt werden und an welche Drittanbieter diese übermittelt werden. Denken Sie außerdem daran, dass Serverlog-Files regelmäßig auch personenbezogene Daten darstellen. Zu beachten ist darüber hinaus die Cookie-Rechtsprechungen vom EuGH und BGH, die sich einig sind, dass eine aktive Einwilligung der Besucher zur Cookienutzung notwendig ist.
Datenschutzbeauftragter
Das rechtliche Bedürfnis eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO. Danach muss ein Datenschutzbeauftragter benannt werden, sofern die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Das Gleiche gilt, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Allerdings ist das deutsche BDSG strenger. Gemäß § 38 I BDSG ist die Benennung eines Datenschutzbeauftragten über die DSGVO-Bestimmungen hinaus verpflichtend, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.
Sie haben weitere Fragen zum Datenschutz? Wir sind für Sie da!