Datenschutz ist in den vergangenen Jahren zu einem gesellschaftlich vielbeachteten Thema geworden. Unternehmen können es sich daher eigentlich nicht mehr leisten, den Datenschutz zu vernachlässigen. Auch in unserer anwaltlichen Beratungspraxis nehmen wir eine stete Zunahme von datenschutzrelevanten Sachverhalten im Dezernat IT-Recht wahr.

Das allgemeine Datenschutzrecht ist zum Einen geprägt von einem immer wieder geänderten Gesetz, dessen Systematik zwischenzeitlich schwierig ist. Als Fachanwälte stellen wir zum Anderen eine häufig äußerst strenge Auslegung dieses Rechts durch die Datenschutzbehörden fest, die bei Verstößen häufig Bußgelder aussprechen können.

Mit der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung wurde die Bedeutung des Datenschutzrechts erheblich gesteigert. Das neue Recht sieht Bußgelder bis zu 20 Mio € oder - wenn höher - bis zu 4% des weltweiten Konzernumsatzes vor. Zugleich steigen auch die Anforderungen und die rechtlichen Rahmenbedingungen.

Dabei ist die Datenschutzgrundverordnung (DSGVO) eine EU-Verordnung, die den Schutz personenbezogener Daten für alle Unternehmen und Organisationen, die in der EU tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten, regelt. Sie stellt sicher, dass der Schutz personenbezogener Daten auf einem hohen Niveau bleibt und gleichzeitig für alle EU-Mitgliedstaaten einheitlich geregelt ist.

Die DSGVO definiert, was unter personenbezogenen Daten zu verstehen ist und wann eine Verarbeitung dieser Daten erlaubt ist. Sie enthält auch Regelungen zu den Rechten der betroffenen Personen, wie beispielsweise dem Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung.

Generell umfasst das Datenschutzrecht zum Beispiel die folgenden Themen, die wir exemplarisch darstellen wollen.

Besonders ärgerlich für Unternehmen ist es, wenn mangels anwaltlicher Beratung bereits grundlegende formale Voraussetzungen für datenschutzkonformes Verhalten nicht beachtet werden. Ab einer relativ niedrigen Zahl von Mitarbeitern, die mit Daten umgehen, wird bereits ein betrieblicher Datenschutzbeauftragter benötigt. Es gibt aber auch - weniger bekannt - weitere Fälle, in denen ein Datenschutzbeauftragter zu benennen ist, wie die Verarbeitung personenbezogener Daten, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung von betroffenen Personen betrifft, oder die Verarbeitung besonders sensibler personenbezogener Daten oder von personenbezogenen Daten von strafrechtlichen Verurteilungen und Straftaten

Der Datenschutzbeauftragte hat die Aufgabe, die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen oder der Organisation zu überwachen und zu beraten. Er muss über die erforderliche Fachkompetenz verfügen und darf nicht gleichzeitig eine andere Funktion ausüben, die dieser Aufgabe entgegenstehen würde.

Es ist wichtig, dass der DSB unabhängig und frei von Weisungen handeln kann und direkt dem Geschäftsführer oder einer höheren Managementebene unterstellt ist.

Der Anwendungsbereich von Bußgeldvorschriften ist schnell erreicht, wenn ein Datenverarbeitungsvorgang auf einen Dritten ausgelagert wird, ohne die nach dem Gesetz notwendige Vereinbarung zur Auftragsverarbeitung abzuschließen und natürlich auch umzusetzen. Der Fachanwalt für IT-Recht kann hierzu die notwendigen Vereinbarungen individuell ausarbeiten, sofern kein eindeutiger Fall einer Funktionsübertragung vorliegt.

Eine Auftragsverarbeitungsvereinbarung (AVV) ist ein Vertrag, in dem festgelegt wird, wie ein Unternehmen oder eine Organisation, der Auftragsverarbeiter, personenbezogene Daten im Auftrag eines anderen Unternehmens oder einer anderen Organisation, dem Auftraggeber, verarbeiten darf. Die AVV regelt die Pflichten und Verantwortungen des Auftragsverarbeiters im Hinblick auf den Datenschutz und stellt sicher, dass die personenbezogenen Daten in Übereinstimmung mit der DSGVO und anderen datenschutzrechtlichen Vorschriften verarbeitet werden.

Die AVV wird in der Regel dann benötigt, wenn der Auftragsverarbeiter für den Auftraggeber personenbezogene Daten verarbeitet, die nicht in seinem eigenen Unternehmen oder seiner eigenen Organisation erhoben wurden. Beispiele hierfür sind Cloud-Dienste, die von einem externen Anbieter bereitgestellt werden, oder die Verarbeitung von personenbezogenen Daten durch ein Callcenter im Auftrag eines anderen Unternehmens.

Es ist wichtig, dass die AVV alle Anforderungen der DSGVO und anderer datenschutzrechtlicher Vorschriften erfüllt und alle relevanten Aspekte der Auftragsverarbeitung abdeckt. Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Vorschriften bei der Auftragsverarbeitung verantwortlich und muss daher sicherstellen, dass die AVV entsprechend ausgestaltet ist.

Übersehen wird dabei teilweise, dass die AVV alleine noch keine Rechtfertigungsgrundlage darstellt, um die Daten dem Dritten zu übergeben oder die Daten von dem Dritten im Auftrag erfassen zu lassen.

Die AVV alleine reicht jedoch nicht aus, um die Verarbeitung personenbezogener Daten zu rechtfertigen. Die Verarbeitung von personenbezogenen Daten muss immer eine gesetzliche Grundlage haben, auf die sich der Auftraggeber und der Auftragsverarbeiter berufen können. Die gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten sind in der DSGVO festgelegt.

Für eine AVV gelten dabei die gleichen möglichen gesetzliche Grundlagen für die Verarbeitung personenbezogener Daten, wie auch sonst bei der Datenverarbeitung, wie z.B.

• Einwilligung der betroffenen Person
• Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist
• Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt
• Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person
• Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde
• Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen

Die AVV muss daher immer auf einer gesetzlichen Grundlage für die Verarbeitung personenbezogener Daten beruhen und diese ausdrücklich anführen. Sie muss zudem alle Anforderungen der DSGVO und anderer datenschutzrechtlicher Vorschriften erfüllen und alle relevanten Aspekte der Auftragsverarbeitung abdecken.

Datenschutz kann für das Marketing häufig eine besondere Herausforderung darstellen. Marketing-Aktivitäten erfordern in der Regel die Verarbeitung von personenbezogenen Daten, um gezielt Werbung an die richtige Zielgruppe ausspielen zu können. Dabei ist es wichtig, dass der Datenschutz gewahrt wird und die Rechte der betroffenen Personen beachtet werden.

Es gibt jedoch auch im Marketing viele Möglichkeiten, den Datenschutz zu beachten und die gesetzlichen Anforderungen einzuhalten. Beispielsweise können Unternehmen und Organisationen eine Einwilligung der betroffenen Personen einholen, bevor sie diese zu Marketingzwecken kontaktieren. Sie können zudem sicherstellen, dass sie nur diejenigen personenbezogenen Daten verarbeiten, die für die Durchführung von Marketingaktivitäten erforderlich sind, und diese Daten sorgfältig aufbewahren und schützen.

Es ist wichtig, dass Unternehmen und Organisationen im Marketing den Datenschutz immer im Blick haben und sich entsprechend aufstellen. Auf diese Weise können sie sicherstellen, dass sie die gesetzlichen Anforderungen einhalten und Verstöße vermeiden.

Marketingaktionen werden nämlich aus ihrer Natur heraus möglichst öffentlichkeitswirksam präsentiert. Das verschärfte Bewusstsein der Bevölkerung für datenschutzrechtliche Themen kann daher beispielsweise leicht das Preisausschreiben, welches ein "positives Image" transportieren sollte, in sein Gegenteil verkehren. Auch bloße Adressdaten sind im Regelfall nicht frei und für jeden beliebigen Zweck verwendbar. Schon bei der Planung der Marketingaktion sollten in der anwaltlichen Beratung die Weichen richtig gestellt werden, um später auch die Ziele erreichen zu können. Als Fachanwälte können wir Sie in diesem Bereich in der Regel kurzfristig unterstützen, denn auch uns ist bewusst, dass man an die Einschaltung des Rechtsanwalts oft erst zum Ende der Marketingplanung denkt.

Die Datenschützer nehmen sicherlich erfreut zur Kenntnis, dass sich immer mehr Webseitenbetreiber der besonderen Pflicht zur Bereithaltung von datenschutzrechtlichen Informationen beim Betrieb einer Webseite erinnern und sich hier durch einen Anwalt fachkundig beraten lassen.

Immer mehr wird allgemein bekannt, dass selbst die Verarbeitung von sog. IP-Adressen der Besucher, die der Webseitenbetreiber meist keiner konkreten Person wird zuordnen können, ein datenschutzrelevanter Vorgang ist. Hieraus ergibt sich die Notwendigkeit der individuellen Anpassung der notwendigen Datenschutzerklärung an die konkreten Verhältnisse der Webseite, die wir in der anwaltlichen Praxis nach den Informationen der Techniker vornehmen. Es wäre jedenfalls nicht sachgerecht zu glauben, die Muster-Belehrung einer anderen Webseite würde stets ausreichen.

Eine Datenschutzerklärung ist insofern zu einem wichtigen Bestandteil jeder Webseite, geworden, da sie beschreibt, wie das Unternehmen oder die Organisation, das die Webseite betreibt, personenbezogene Daten verarbeitet. Die Datenschutzerklärung muss den Besuchern der Webseite die notwendigen Informationen zur Verfügung stellen, um ihnen die Möglichkeit zu geben, eine informierte Entscheidung darüber zu treffen, ob sie ihre personenbezogenen Daten preisgeben möchten.

Es ist wichtig, dass die Datenschutzerklärung für die Webseite verständlich und leicht zugänglich ist und alle relevanten Informationen enthält. Sie sollte regelmäßig aktualisiert werden, um sicherzustellen, dass sie immer den geltenden datenschutzrechtlichen Anforderungen entspricht.

Man muss allerdings auch beachten, dass die bloße Existenz der Datenschutzerklärung nicht ausreicht, um die Datenverarbeitung zu rechtfertigen. Sehr viele Dienste, die auf Webseiten eingesetzt werden, benötigen eine informierte Einwilligung oder es muss eine andere Rechtsgrundlage gefunden werden.

Die Beispiele zeigen, dass Datenschutzrecht als Teil des IT-Rechts tatsächlich sehr weit ist und in seiner Bedeutung wohl teilweise noch erheblich unterschätzt wird. Gerne freuen wir uns als Fachanwälte für IT-Recht auf Ihr Thema.

• Rechtsanwalt Dr. jur. Dirk Lindloff
• Rechtsanwalt Elmar Kloss
• Rechtsanwalt Dr. jur. Christian Cloos