6 Monate DS-GVO


Die Datenschutz-Grundverordnung (DS-GVO) ist nun seit einem halben Jahr wirksam und es gibt bereits umfangreiche Erfahrungen aus der Beratungspraxis. Aber wie sieht es eigentlich bei den Aufsichtsbehörden aus? Hat sich hier etwas verändert? Wurden bereits Bußgelder verhängt? Wo liegen die Schwerpunkte bei der Arbeit? Im Rahmen der Sitzung des Erfa-Kreises Mainz / Koblenz am 16.11.2018 in Speyer standen 2 Mitarbeiter der rheinland-pfälzischen Aufsichtsbehörde Rede und Antwort. Dabei nahmen Sie auch Stellung zu der weit verbreiteten „Einwilligungswut“.

Videoüberwachung

Rechtsanwalt und Fachanwalt für IT-Recht Jan Morgenstern, Leiter des Erfa-Kreises Mainz / Koblenz, begrüßte die zahlreichen Teilnehmer aus verschiedenen Unternehmen und führte in die Veranstaltung ein. Danach folgte ein kurzer Überblick zu den Erfahrungen der Aufsichtsbehörde. Die Mitarbeiter machten insbesondere darauf aufmerksam, dass sich die Anzahl der gemeldeten Datenpannen und Beschwerden von Betroffenen drastisch erhöht haben. Dies hängt einerseits wohl mit der Präsenz des Themas in den Medien und zum anderen mit den etwas modifizierten Anforderungen der DS-GVO zusammen. In den nächsten Monaten wird jedenfalls ein weiterer Anstieg der Meldungen und Beschwerden erwartet. Aufgrund der Pflicht der Aufsichtsbehörde, in solchen Fällen zeitnah tätig zu werden, ist dies mit erheblichem Arbeitsaufwand verbunden. Die Mitarbeiter stellen aber auch nochmals klar, dass die DS-GVO keine neuen Rechte für die Betroffenen mit sich gebracht hat. Diese sind lediglich erst jetzt darauf aufmerksam geworden.

Einwilligungen

Die Teilnehmer diskutieren in der Folge über die Zulässigkeit der Videoüberwachung von nicht öffentlich zugänglichen Bereichen und der damit einhergehenden Informationspflicht nach Art. 13 DS-GVO. Diese scheint wohl häufig noch nicht umgesetzt worden zu sein, auch weil das Anbringen von derart umfangreichen Hinweisen oftmals ein Problem darstellt. Auch geht es um die zulässige Speicherdauer der Aufnahmen. Hier wird von Seiten der Aufsichtsbehörde klar gestellt „je kürzer desto besser“. Eine Speicherung von bis zu 72 Stunden kann jedoch im Einzelfall unter Berücksichtigung entsprechender Sicherheitsanforderungen durchaus zulässig sein.

Seit dem Wirksamwerden der DS-GVO lassen sich Unternehmen vermehrt Einwilligungserklärungen von allen möglichen Betroffenen wie Kunden, Mitarbeitern und Lieferanten unterzeichnen, um deren Daten für die Abwicklung eines Vertrags verarbeiten zu dürfen. Diese Praxis hat sich wohl aufgrund von Unwissenheit und auch Unsicherheit flächendeckend durchgesetzt, obwohl für die Verarbeitung von Daten im vertraglichen Kontext eine eindeutige Rechtsgrundlage existiert. Bereits nach altem Datenschutzrecht war die Verarbeitung personenbezogener Daten zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich war. Das ergab sich aus § 28 Abs. 1 Nr. 1 BDSG (alt), welcher inhaltlich im neuen Art. 6 Abs. 1 b) DS-GVO zu finden ist. In Bezug auf die Zulässigkeit der Datenverarbeitung im vertraglichen Kontext hat sich also nichts geändert. Das Einholen von unnötigen Einwilligungen führt vielmehr dazu, dass die Betroffenen glauben, sie hätten bei der Verarbeitung ihrer Daten eine Wahl. Dem ist jedoch nicht so, weshalb diese weit verbreitete Vorgehensweise aus datenschutzrechtlicher Sicht eher intransparent ist. Wenn man keine Einwilligung benötigt, ist auch keine einzuholen.

Auftragsverarbeitung – bitte nicht bei jedem Vertrag

Als weiteres Problem diskutieren die Teilnehmer das herrschende Missverständnis zum Thema Auftragsverarbeitung. Es kommt häufig vor, dass Unternehmen einen Vertrag nach Art. 28 DS-GVO versenden und um Unterzeichnung bitten, obwohl faktisch überhaupt keine Auftragsverarbeitung vorliegt. Wenn es sich um einen Kunden handelt, der sich als Auftraggeber sieht, ist das für den Dienstleister meistens eine „verzwickte“ Situation. Unterschreibt er nicht, bekommt er den Auftrag nicht. Unterschreibt er, verpflichtet er sich zu etwas, das er eigentlich gar nicht leisten muss und geht erhöhte Haftungsrisiken ein. Die Mitarbeiter der rheinland-pfälzischen Aufsichtsbehörde sehen aber grundsätzlich kein Problem, wenn man als Dienstleister einen solchen Vertrag unterschreibt. Es ist nur schlichtweg falsch und nicht notwendig. Das Kurzpapier Nr. 13 der Datenschutzkonferenz (DSK), in dem einige Beispiele für Auftragsverarbeitungen und „normale Vertragsverhältnisse“ aufgeführt sind, soll mittelfristig um ein paar weitere Beispiele ergänzt werden.

Pflichtinformationen  nach Art. 13 DS-GVO – nur bei neuen Datenerhebungen

Die Mitarbeiter der Aufsichtsbehörde stellten auch noch einmal klar, dass die Pflichtinformationen nach Art. 13 DS-GVO nur bei Datenerhebung zur Verfügung gestellt werden müssen. Die Übersendung an Bestandskunden oder Mitarbeiter, die bereits vor dem 25.05.2018 eingestellt wurden, wird als nicht notwendig angesehen. Auch in diesem Zusammenhang hat sich in der Praxis allerdings eine Verfahrensweise entwickelt, die bei vielen Betroffenen und auch Unternehmen für Verwirrung gesorgt hat. Oftmals wurden die Informationen mit der Bitte um Unterschrift versandt oder sie wurden mit einer Einwilligungserklärung vermengt. Die Aufsichtsbehörde stellt zwar gegenüber anfragenden Unternehmen immer wieder klar, dass dies nicht notwendig bzw. richtig ist, konnte der Flut von Schreiben und Einwilligungen bisher aber noch nicht Herr werden. Es bleibt allen Beteiligten daher nur die Möglichkeit, immer wieder auf die fehlende Notwendigkeit hinzuweisen und keine Unterschrift zu leisten.

Die Erfa-Kreis-Sitzung war für alle Beteiligten eine gute Möglichkeit, die Ansichten der Aufsichtsbehörde einmal aus erster Hand zu erfahren. Die Mitarbeiter haben sich sehr für die Belange und Probleme der teilnehmenden Berater interessiert und haben dabei geholfen, einige offene Fragen zu beantworten und Rechtsansichten zu bestätigen. Momentan werden bereits einige Bußgeldverfahren durchgeführt, deren Ausgang dann im Tätigkeitsbericht für das Jahr 2018 nachgelesen werden kann. Für das Ende des Jahres 2018 wurde eine Fragebogenaktion in Aussicht gestellt, in deren Rahmen Unternehmen verschiedener Branchen angeschrieben werden sollen. Im kommenden Jahr soll es dann vermehrt zu Kontrollen kommen – die Zeit der Beratung ist also vorbei, bald werden die Unternehmen in die Pflicht genommen.

zurück zu den News