Vom Streben nach Transparenz

Ab 25. Mai 2018 gilt die neue Datenschutzgrundverordnung (DSGVO). Darin sind u. a. umfassende Informations- und Betroffenenrechte bzw. -pflichten geregelt, je nachdem aus welchem Blickwinkel man es betrachtet. Die meisten Betroffenenrechte sind nicht wirklich neu. Aufgrund der damit verbundenen Strafdrohungen auf Basis der DSGVO erlangen die Rechte der Betroffenen jedoch neue Be­deutung.

 

Es ist zu erwarten, dass einerseits die Verantwort­lichen mehr auf deren Einhaltung achten, aber auch die Betroffenen häufiger von ihren Rechten Ge­brauch machen werden. Eines der deklarierten Ziele der Europäischen Union war die Stärkung und Präzisierung der Rechte der betroffenen Personen. Aus Sicht der Betroffenen macht eine Verschärfung der Informations- und Betroffenenrechte bzw. der relevanten Sanktionen Sinn, da ihnen bisher Aus­künfte manchmal nicht oder teilweise nur halb­herzig erteilt wurden. Manchmal fehlt es auch an der notwendigen Transparenz. Nicht immer werden Betroffene auf einfache und transparente Weise über die Verarbeitung ihrer Daten informiert. Vielen Betroffenen ist oft völlig unklar, welche ihrer Daten wie verarbeitet werden. Die allseits beliebten Kundenkarten werden häufig zum Profiling (darunter versteht man eine automatisierte Verarbeitung [Auswertung] personenbezogener Daten) genützt, das Rückschlüsse auf das Verhalten, die Gesundheit, Gewohnheiten usw. des Kunden zulassen, welche der Betroffene eigentlich gar nicht preisgeben wollte. In welchem Ausmaß die Daten tatsächlich ver­arbeitet oder weitergeben werden, ist also nicht immer bekannt. Nicht nur der Ausbau der Betroffenenrechte, der Informationspflichten, sondern auch die Pflicht zur datenschutzfreundlichen Voreinstellung („Privacy by Default“) wird dazu beitra­gen, mehr Kontrolle über die eigenen Daten (wieder) zu erlangen. Danach darf etwa eine Einwilli­gung zur Verwendung der Daten für (konkret zu benennende) Werbezwecke auf einer Internetseite oder bei einem Webshop nicht von vornherein als „akzeptiert“ angekreuzt sein. Der Betroffene soll selbst durch aktives Tun entscheiden können, ob er einer bestimmten Verwendung seiner Daten zu­stimmt oder aktiv von der datenschutzsichersten Einstellung abweichen will.

 

Erheblicher Aufwand für Unternehmer

Aus Sicht des Unternehmers ist die Umsetzung der DSGVO allerdings mit erheblichem Aufwand ver­bunden. Neben etwa der Pflicht zur Führung eines Datenverarbeitungs-Verzeichnisses, der oft heraus­fordernden Erfüllung der Anforderungen an die Daten- und damit auch IT-Sicherheit oder der Über­prüfung sämtlicher Einwilligungserklärungen und datenschutzrelevanter Verträge, müssen ausrei­chende Vorkehrungen getroffen werden, damit die Betroffenenrechte zeitgerecht erfüllt werden kön­nen. Betroffenenrechte sind das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung (erweitert um das Recht auf Vergessenwerden) sowie das Recht auf Einschränkung, das Recht auf Datenübertragung und das Widerspruchsrecht. Der Verantwortliche hat der betroffenen Per­son, je nachdem welches Betroffenenrecht in An­spruch genommen wurde, alle relevanten Informationen – und diese können sehr umfangreich sein – unverzüglich, grundsätzlich innerhalb eines Monats nach Eingang des Antrages zur Verfügung zu stellen. Unternehmen, die im größeren Ausmaß mit personenbezogenen Daten zu tun haben, werden ohne entsprechende automatisierte technische Lösung diese Aufgabe nicht erfüllen können. Aber auch Un­ternehmen, die keine großen Mengen personenbezogener Daten verarbeiten, müssen sich vorab Ge­danken darüber machen, wie entsprechende Anfragen erfüllt werden können, um die notwendigen Vorkehrungen zu treffen, was natürlich mit einem nicht unerheblichen Aufwand verbunden sein wird. Aber auch die zukünftige Nachweispflicht einer (in­formierten Einwilligungserklärung kann in der Pra­xis mit erheblichen Herausforderungen verbunden sein. Wer einen Newsletter an seine Kunden versen­den möchte, muss bei Bedarf nachweisen können, dass er über die entsprechenden (informierten) Ein­willigungen verfügt. Bei einer Onlineanmeldung wird das keine große technische Herausforderung sein. Wer aber seinen Newsletter manuell füttert – etwa weil er persönlich eine Visitenkarte erhalten hat – der wird einen entsprechenden Nachweis nicht (immer) erbringen können.

 

Achtung: Newsletter

Ein Problem wird sich häufig auch bezüglich beste­hender Newslettersysteme ergeben, weil hier zwar meistens Einvernehmen mit dem Betroffenen über die Zusendung erzielt wurde, aber kein Nachweis über die informierte Einwilligung erbracht werden kann. Es wird daher bei Bedarf empfohlen, mög­lichst rasch entsprechende schriftliche Bestätigun­gen nachzuholen, um nicht ab 25. Mai 2018 auf sei­nen Newsletter verzichten zu müssen. Es kommt also viel Arbeit auf Unternehmen und andere Ver­antwortliche zu.