In den Medien kursieren derzeit in Zusammenhang mit der bevorstehenden Anwendbarkeit der DS-GVO viele Meldungen und Meinungen, wonach zukünftig insbesondere Klein- und mittelständische Unternehmen oder auch Vereine mit einem unverhältnismäßigen bürokratischen Aufwand belastet werden und viele Datenverarbeitungen in der bisher praktizierten Form nicht mehr oder nur noch mit individueller Einwilligung der betroffenen Person zulässig sein sollen. Die DS-GVO mit ihren überzogenen Vorgaben einerseits und den drohenden Sanktionen andererseits wird als großes Risiko für den Fortbestand der Unternehmen dargestellt.
Dabei wird zumeist übersehen, dass vergleichbare Pflichten auch schon nach aktueller Rechtslage bestehen und der Umsetzungs- und Anpassungsaufwand daher letztendlich gar nicht so groß ist wie oftmals dargestellt wird. Mit einigen der gängigen Missverständnisse bzw. Fehlbewertungen soll nachfolgend aufgeräumt werden:
Beispiel 1 – Handwerksfirmen: Verarbeitung von Kundendaten
Handwerksfirmen werden von der DS-GVO über Gebühr belastet. Schon das Ausmessen der Wohnung eines Kunden beispielsweise durch einen Maler oder einen Fußbodenleger falle künftig unter den Datenschutz. Der Handwerker muss dann protokollieren, wie er mit den Daten umgeht.
Diese Meinung übersieht, dass schon jetzt jede Erhebung, Verarbeitung und Nutzung von Kundendaten, etwa zur Erstellung eines Angebots oder zur nachfolgenden Rechnungslegung, in den Geltungsbereich des Bundesdatenschutzgesetzes fällt und damit auch jetzt schon jeder Handwerker angemessene technische und organisatorische Maßnahmen zu treffen hat, die die Sicherheit der verarbeiteten Daten garantieren. Mit der Anwendbarkeit der DS-GVO ändert sich daran nicht viel: Wie bisher darf ein Handwerker auch nach der DS-GVO zur Erfüllung seiner vertraglichen Vereinbarungen Kundendaten – und dazu gehören beispielsweise auch die zur Erfüllung der angebotenen Handwerksleistungen notwendigen Angaben zur Größe und zum Zuschnitt einer Wohnung – verarbeiten. Und wie bisher muss er auch für die Sicherheit dieser Daten sorgen. Auch daran, dass dies natürlich mit gewissen Dokumentationspflichten verbunden ist, ändert sich nichts Grundsätzliches. Die DS-GVO hält insoweit sogar eine Erleichterung parat. Während bisher ein Verfahrensverzeichnis zur Einsichtnahme für jedermann vorgehalten werden musste und unter besonderen Umständen sogar eine Meldepflicht gegenüber der Aufsichtsbehörde bestand, ist ein solches Verzeichnis zukünftig nur noch für interne Zwecke bzw. für die Einsichtnahme durch die Aufsichtsbehörde zu erstellen.
Was allerdings neu ist, sind die umfangreicheren Informationspflichten im Rahmen der Datenerhebung. Diese können aber mit einem letztendlich einmaligen Aufwand abgefangen werden. Die DS-GVO sieht vor, dass Personen, von denen Daten erhoben werden, zur Gewährleistung einer fairen und transparenten Verarbeitung über den jeweiligen Verarbeitungskontext zu informieren sind. Dies kann praktisch über ein entsprechendes Informationsblatt erfolgen, welches dem Kunden beim Erstkontakt, etwa bei einer Angebotsfrage, ausgehändigt wird.
Beispiel 2 – Parteien, Vereine: Geburtstagsglückwünsche an Mitglieder
Partei- oder Vereinsvorstände dürfen ihren Mitgliedern künftig keine Geburtstagskarten mehr schreiben, weil das Geburtsdatum und die Adresse unter den Datenschutz fallen.
Geburtsdatum und Anschrift sind geradezu klassische Beispiele für personenbezogene Daten. Dass bei der Verarbeitung solcher Daten die datenschutzrechtlichen Vorschriften zu beachten sind, dürfte tatsächlich niemand anzweifeln.
Damit stellt sich also lediglich die Frage, ob die DS-GVO in Bezug auf die Verarbeitung von Mitgliederdaten strengere Vorgaben macht als das derzeit beim Bundesdatenschutzgesetz der Fall ist.
Tatsächlich ist dies nicht der Fall. In beiden Fällen ist die Verarbeitung von Mitgliederdaten nur zur Verfolgung des Partei- oder Vereinszwecks bzw. zur Betreuung und Verwaltung von Mitgliedern zulässig. Dies erfolgt entweder auf der Grundlage der Vereinsmitgliedschaft und damit eines vertragsähnlichen Verhältnisses oder einer Interessenabwägung. Geburtstagsglückwünsche werden dabei – soweit sich dazu keine ausdrücklichen Regelungen in der Satzung befinden – im Allgemeinen mit einer Interessenabwägung gerechtfertigt werden können. Solange ein Mitglied einer solchen Datennutzung nicht entgegentritt, kann davon ausgegangen werden, dass entgegenstehende schutzwürdige Betroffeneninteressen nicht bestehen. Beschränkt ist eine solche Datennutzung natürlich auf den Personenkreis, der gemäß Satzung oder Geschäftsordnung befugt ist, auf die dazu erforderlichen Mitgliederdaten zuzugreifen (Vorstand, Geschäftsstelle).
Beispiel 3: Anfertigung und Veröffentlichung von Veranstaltungsfotos
Vereine bzw. sonstige Verantwortliche dürfen Fotos von Veranstaltungen nur noch veröffentlichen, wenn jeder Einzelne per separatem Formular sein Einverständnis dazu erteilt hat, das noch dazu jederzeit widerrufen werden kann.
Die Zulässigkeit der Anfertigung und Speicherung von Fotoaufnahmen auf Vereins- oder sonstigen Veranstaltungen beurteilt sich aktuell nach dem Bundesdatenschutzgesetz bzw. zukünftig nach der DS-GVO; für die Zulässigkeit der Veröffentlichung sind auf der Grundlage einer entsprechenden Öffnungsklausel in der DS-GVO weiterhin die Vorschriften des Kunsturheberrechtsgesetzes (KunstUrhG) heranzuziehen. Das Kunsturheberrechtsgesetz stützt sich dabei auf eine Vorschrift der DS-GVO (Art. 85 Abs. 1), der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet, und fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DS-GVO ein.
Damit ergeben sich auch hier keine wesentlichen Unterschiede zur aktuellen Praxis. Maßgeblich ist in erster Linie, ob bei der jeweiligen Fotoaufnahme eine (oder mehrere) Person(en) im Mittelpunkt stehen, oder ob die Veranstaltung als solche wiedergegeben wird.
Im erstgenannten Fall wird – wie bisher schon – eine Veröffentlichung regelmäßig nur mit (einer den Anforderungen des Art. 7 DS-GVO genügenden) Einwilligung der betroffenen Person(en) zulässig sein; im Übrigen kann die Veröffentlichung mit den entsprechenden Ausnahmetatbeständen des KunstUrhG bzw. mit einer Interessenabwägung nach der DS-GVO gerechtfertigt werden. Damit können Fotos von Veranstaltungen, an denen die abgebildeten Personen teilgenommen haben und/oder auf denen sie praktisch nur als Beiwerk zu sehen sind, auch weiterhin ohne Einwilligung auf der Website oder in Printmedien veröffentlicht werden.
Bei geschlossenen Veranstaltungen kann über vertragliche Regelungen (z. B. Veranstaltungs-AGB) eine Veröffentlichungsbefugnis begründet werden.
Die Annahme, dass die DS-GVO dem Anfertigen oder der Veröffentlichung von Fotografien entgegenstehe, ist daher unzutreffend.
Beispiel 4: Pflicht zur Benennung eines Datenschutzbeauftragten
Ab zehn Mitarbeitern müsse nun neuerdings jede Firma einen Datenschutzbeauftragten bestimmen – der dann für die eigentliche Arbeit weitgehend ausfällt, weil er sinnlos Protokolle schreiben muss.
Diese Befürchtung ist zunächst einmal insoweit unbegründet, als dass es bei der betreffenden, nicht in der DS-GVO, sondern im neuen Bundesdatenschutzgesetz befindlichen Vorschrift nicht um die Gesamtzahl der Mitarbeiter geht, sondern in die diesbezügliche Zählung nur solche Mitarbeiter einbezogen werden müssen, die automatisiert, also z. B. mittels PC, personenbezogene Daten verarbeiten. Daher sind zumeist nur die Mitarbeiter aus dem Verwaltungsbereich zu berücksichtigen, während die gewerblichen Mitarbeiter oftmals unberücksichtigt bleiben können. Handwerksfirmen beispielsweise werden unter diesen Voraussetzungen nur im Ausnahmefall einen Datenschutzbeauftragten benennen müssen.
Im Übrigen ist aber auch dies keine neue auf die DS-GVO zurückzuführende Regelung. Denn schon nach aktueller Gesetzeslage gibt es diese Grenze von 10 mit der automatisierten Verarbeitung beschäftigter Personen. Wer etwa als Unternehmer dem Gesetzgeber jetzt also – unzutreffender Weise – eine neue Belastung des Mittelstandes vorwirft, offenbart eine ungenügende Kenntnis der seit Jahren bestehenden und für ihn maßgeblichen Rechtslage.
Die Aufgabe der betrieblichen Datenschutzbeauftragten besteht in der Unterstützung und Beratung der Unternehmensleitung in datenschutzrechtlichen Fragen sowie einer diesbezüglichen Überwachungsfunktion. Sie sollten daher nicht als notwendiges Übel, sondern als Chance, die Unternehmensleitung fachkundig bei der Gewährleistung des Datenschutzes zu unterstützen und diese insoweit auch zu entlasten, gesehen werden.
Neu ist insoweit lediglich die – wenig aufwändige – Pflicht, den benannten Datenschutzbeauftragten der Aufsichtsbehörde zu melden. Dazu ist auf der Website des Sächsischen Datenschutzbeauftragten ein entsprechendes Formular eingestellt.
Beispiel 5: Der beim Bäcker hinterlegte Brötchenbeutel
Jeder kenne den Fall, dass man vor dem Wochenende beim Bäcker eine Brötchenbestellung mitsamt einem Beutel abgibt und auch gleich bezahlt. Am Samstagmorgen muss der Beutel dann nur noch abgeholt werden. Da auf dem Zettel personenbezogene Daten des Kunden stehen, sei es in Zukunft zwingend, dass der Bäcker ein Verzeichnis anlegt, in dem er genau dokumentiert, wann und wie er den Zettel entsorgt und somit die Daten löscht.
Zweifellos richtig ist, dass es sich bei den Bestellzetteln um personenbezogene Daten handelt. Diese beinhalten den Namen des Kunden, den Inhalt der Bestellung und im Allgemeinen noch die Anmerkung „bezahlt“. Gleichwohl sind die Befürchtungen des Bäckerhandwerks an dieser Stelle unbegründet. Denn eine solche Sammlung von Brötchenbestellzetteln unterfällt gar nicht erst der DS-GVO. Deren Anwendungsbereich beschränkt sich insoweit auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten einerseits sowie die nichtautomatisierte Verarbeitung von in einem Dateisystem gespeicherten personenbezogenen Daten andererseits. Diesen Anforderungen genügt eine solche Sammlung von Brötchenbestellungen ebenso wenig wie ein handschriftlich geführter Bestellkalender.
Im Übrigen entsorgen die Kunden ihre regelmäßig an den Brötchenbeuteln befestigten Bestellzettel dann auch selbst.
Beispiel 6: Information von Vereinsmitgliedern über gespeicherte Daten
Vereine müssten nach der Datenschutz-Grundverordnung ihre Mitglieder über alle Daten informieren, die über sie gespeichert sind. Neben Adresse und Telefonnummer liegen in Vereinen über langjährige Mitglieder häufig auch Daten zu Konfektionsgrößen von Trainingsanzügen, Geschwistern und unter Umständen auch zu Krankheiten vor. All diese Daten zusammenzutragen, dauere sehr lang und für die gerade in kleineren Vereinen häufig ausschließlich tätigen Ehrenämtler sei das ein nicht zu leistender Aufwand.
Eine anlasslose pauschale Informationspflicht im o. g. Sinne findet sich in der DS-GVO nicht. Gemeint ist hier wohl stattdessen das Auskunftsrecht der betroffenen Person nach Art. 15 DS-GVO. Nach dieser Vorschrift muss aber nur dann eine solche Information erfolgen, wenn ein Vereinsmitglied auch tatsächlich eine derartige Auskunft verlangt. Praktisch wird dies wohl – wie bisher – eher die Ausnahme darstellen, denn im Regelfall kennt ein Vereinsmitglied die zu seiner Person gespeicherten Daten. Sollte es allerdings dazu kommen, dass ein Vereinsmitglied tatsächlich von seinem Auskunftsrecht Gebrauch macht, dann ist – in diesem konkreten Einzelfall – auch umfassend und erschöpfend Auskunft zu erteilen. Gleichwohl handelt es sich dabei um keine neue Regelung, denn auch nach der bis 24. Mai 2018 bestandenen Rechtslage, war der Verein zu einer solchen Auskunft verpflichtet (§ 34 BDSG-alt). Es besteht also kein Grund zu der Besorgnis, dass Vereine nun plötzlich mit einer Vielzahl solcher Auskunftsforderungen überzogen werden; vielmehr ist zu erwarten, dass dies auch zukünftig nur sehr selten der Fall sein wird.
[Stand: 05.06.18] Quelle: Sächsischer Datenschutzbeauftragter