Martin Schuler, Datenschutzbeauftragter, Datenschutz-Dozent KÜS Akademie

Der Verarbeitung personenbezogener Daten sind mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) am 25.5.2018 enge gesetzliche Grenzen gesetzt. Was uns als private Internetnutzer freut, verunsichert viele Unternehmer, Webshop-Betreiber und Freiberufler. Tatsächlich muss nicht jeder Unternehmer das neue, komplexe Datenschutzrecht inhaltlich durchdringen, sondern die wichtigsten Konsequenzen kennen.

Künftige Nutzung von Bestandsdaten im Marketing
Völlig unterschätzt wird die Rechtsqualität des grundrechtsgleichen Schutzgutes der „informationellen Selbstbestimmung“, das der europäische Gesetzgeber mit der DSGVO nun auch auf das Recht unter Privaten übertragen hat. Für die Verarbeitung personenbezogener Daten bedarf es nun – ich verkürze Art. 6 DSGVO – entweder (1) des ausdrücklichen Einverständnisses der Betroffenen, (2) einer Aufgabe im öffentlichen Interesse oder (3) rechtlicher oder vertraglicher Pflichten, die die Datenverarbeitung erforderlich machen.
Für die öffentliche Verwaltung selbst, aber auch Krankenkassen, Innungen oder Handwerkskammern, ändert die neue DSGVO tatsächlich wenig, deren Aufgaben liegen unbestritten im öffentlichen Interesse und sind meist ohnehin gesetzlich geregelt.
Viele Unternehmen hingegen sind nun in der Situation, dass sie zwar im „Besitz“ von unzähligen Kunden-Datensätzen sind, deren Erhebung im Kontext früherer Geschäfte erforderlich und rechtmäßig war – deren künftige Nutzung hingegen mangels Einverständnis rechtlich überaus problematisch erscheint. Denn tatsächlich sind seit dem 25.5.2018 auch typische Aktivitäten zur Kundenpflege wie Erinnerungen (z.B. TÜV-Termin, Heizungswartung), Einladungen (zu Hausmessen, Jubiläum, Tag der offenen Tür) und elektronische Post (Newsletter) ausdrücklich nur noch dann rechtens, wenn jeder Empfänger vorab unmissverständlich in diese Art der Nutzung seiner Daten eingewilligt hat.

Umfangreiche Dokumentationspflichten
Auch die mit der DSGVO eingeführten umfangreichen datenschutzrechtlichen Dokumentationspflichten (Verfahrensverzeichnis, TOM, Auftragsdatenverarbeitung) sollte kein Unternehmer auf die leichte Schulter nehmen: Unternehmen, die personenbezogene Daten verarbeiten, müssen ihre interne Umsetzung der DSGVO in einer Datenschutzakte dokumentieren. Die neuen Rechtspflichten reichen also weit über eine Datenschutzerklärung auf der Firmen-Webseite hinaus! Um ein weiteres verbreitetes Missverständnis auszuräumen: Eine geringe Zahl von Mitarbeitern entbindet ggfs. von der Bestellung eines Datenschutzbeauftragten – alle anderen datenschutzrechtlichen Bestimmungen gelten trotzdem. Hier ist der Gesetzgeber – zu Recht – davon ausgegangen, dass größere Unternehmen zur rechtskonformen Umsetzung der DSGVO ohnehin einen (internen oder externen) Datenschutzbeauftragten mit Fachkundenachweis brauchen.

Martin Schuler
Datenschutzbeauftragter DSC
Datenschutz-Dozent KÜS-Akademie