Datenverarbeitung in Zeiten der Datenschutzgrundverordnung (DSGVO)
Der Verarbeitung personenbezogener Daten sind mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) am 25.5.2018 enge gesetzliche Grenzen gesetzt. Was uns als private Internetnutzer freut, verunsichert viele Unternehmer, Webshop-Betreiber und Freiberufler. Tatsächlich muss nicht jeder Unternehmer das neue, komplexe Datenschutzrecht inhaltlich durchdringen, sondern die wichtigsten Konsequenzen kennen.
Künftige Nutzung von Bestandsdaten im Marketing
Völlig unterschätzt wird derzeit noch die Rechtsqualität des grundrechtsgleichen Schutzgutes der „informationellen Selbstbestimmung“, das der europäische Gesetzgeber mit der DSGVO nun konsequent auch auf das Recht unter Privaten übertragen hat. Für die Verarbeitung personenbezogener Daten bedarf es künftig – ich verkürze Art. 6 DSGVO – entweder (1) des ausdrücklichen Einverständnisses der Betroffenen, (2) einer Aufgabe im öffentlichen Interesse oder (3) rechtlicher oder vertraglicher Pflichten, die die Datenverarbeitung erforderlich machen.
Für die öffentliche Verwaltung selbst, aber auch Krankenkassen, Innungen oder Handwerkskammern, ändert die neue DSGVO tatsächlich wenig, deren Aufgaben liegen unbestritten im öffentlichen Interesse und sind zumeist ohnehin gesetzlich geregelt.
Ist Bestandskundenpflege jetzt rechtswidrig?
Viele Unternehmen hingegen sind in der Situation, dass sie zwar im „Besitz“ von unzähligen Kunden-Datensätzen sind, deren Erhebung im Kontext früherer Geschäfte erforderlich und rechtmäßig war – deren künftige Nutzung im Sinne bewährter Bestandskundenpflege jedoch mangels Einverständnis rechtlich überaus problematisch erscheint. Denn tatsächlich sind seit dem 25.5.2018 auch typische Aktivitäten zur Kundenpflege wie Erinnerungen (z.B. TÜV-Termin, Heizungswartung), Einladungen (zu Hausmessen, Jubiläum, Tag der offenen Tür) und elektronische Post (Newsletter) ausdrücklich nur noch dann rechtens, wenn jeder Empfänger vorab unmissverständlich in diese Art der Nutzung seiner Daten eingewilligt hat.
Umfangreiche Dokumentationspflichten
Auch die mit der DSGVO eingeführten umfangreichen datenschutzrechtlichen Dokumentationspflichten (Verfahrensverzeichnis, TOM, Auftragsdatenverarbeitung) sollte kein Unternehmer auf die leichte Schulter nehmen: Unternehmen, die personenbezogene Daten verarbeiten, müssen ihre interne Umsetzung der DSGVO in einer Datenschutzakte dokumentieren. Die neuen Rechtspflichten reichen also weit über eine Datenschutzerklärung auf der Firmen-Webseite hinaus!
Datenschutzrecht gilt auch für kleine Unternehmen!
Um ein weiteres verbreitetes Missverständnis auszuräumen: Eine geringe Zahl von Mitarbeitern (<10) entbindet ggfs. von der Pflicht zur Bestellung eines Datenschutzbeauftragten – alle anderen datenschutzrechtlichen Bestimmungen gelten trotzdem. Hier ist der Gesetzgeber – zu Recht – davon ausgegangen, dass größere Unternehmen zur rechtskonformen Umsetzung der DSGVO ohnehin einen (internen oder externen) Datenschutzbeauftragten mit Fachkundenachweis brauchen.
Martin Schuler
Datenschutzbeauftragter (DSC)
Datenschutz-Dozent (KÜS-Akademie)
Tel: 05656 923 1774
Tel. 0177 – 50 30 833