Recht für Onlineprint: Datenschutzgrundverordnung neu in 2018 – 5 Dinge, die man wissen muss

Recht für Onlineprint: Datenschutzgrundverordnung neu in 2018 – 5 Dinge, die man wissen muss

Die neue Grundverordnung zum Datenschutz tritt 2018 in Kraft. Sie spielt auch in der Onlineprint-Branche eine Rolle, und zwar eine wichtige. Wird es anstrengend für einige Onlinedrucker? Wahrscheinlich.

Einige Aspekte gilt es bei der nahenden Datenschutzgrundverordnung zu beachten: Die Erfüllungspflicht seitens der Unternehmen, die Forderung nach aktivem Vorgehen – und auch vertraglich ergeben sich Änderungen. Das Kundendaten-Handling wird bei einigen Onlinedruckern umfassend überarbeitet werden müssen. Ich habe Dr. Martin Schirmbacher als Rechtsbeistand der Initiative Online Print und Fachanwalt für IT-Recht bei HÄRTING Rechtsanwälte um einen Überblick über die mit der Datenschutzgrundverordnung einhergehenden Anforderungen an Onlinedrucker gebeten. So viel kann ich vorwegnehmen: Herausgekommen ist ein auch für Nicht-Juristen sehr (!) informativer Text. Und wer diesen liest, der weiß in jeder Hinsicht Bescheid über das, was die Datenschutzgrundverordnung Onlinedruckern ab 2018 abverlangen wird – und wie sie sich mit den entsprechenden Maßnahmen darauf vorbereiten.

Datenschutzgrundverordnung – Ein neues Gesetz aus Brüssel

Die Datenschutzgrundverordnung (DSGVO) ist in aller Munde und sie sorgt für Handlungsdruck bei allen E-Commerce-Unternehmen. Bei der DSGVO handelt es sich um eine EU-Verordnung, die ab dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union gelten wird. Anders als bei einer EU-Richtlinie bedarf die Verordnung keiner gesonderten Umsetzung; sie ist bereits in Kraft und wird ohne weitere Übergangsfrist alle Unternehmen betreffen, die innerhalb der Europäischen Union personenbezogene Daten verarbeiten.

Die Verordnung betrifft auch alle Online-Drucker. Es gibt keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, ab der die neuen Regeln erst gelten würden. Die DSGVO gilt grundsätzlich für ein StartUp genauso wie für den Marktführer mit Niederlassungen in 20 Ländern.

Die meisten, die schon einmal mit der DSGVO konfrontiert wurden, haben von den horrenden Bußgeldern gehört, die die Verordnung vorsieht. Während bisher für schwerwiegende Datenschutzverstöße maximal ein Bußgeld von 300.000,- Euro drohte, können nun bis zu 20 Millionen Euro verhängt werden. Bei Großunternehmern kann das Bußgeld sogar bis zu 4 % vom weltweiten Jahresumsatz betragen. Auch wenn die Wahrscheinlichkeit, von Bußgeldern betroffen zu sein, für kleinere Unternehmen nicht unbedingt steigt, ist das Risikopotenzial insgesamt doch ungleich höher. Die Aufsichtsbehörden lassen kaum eine Gelegenheit aus darauf hinzuweisen, dass der Bußgeldrahmen ausgeschöpft werden solle. Auch kleinere Unternehmen, für die der Datenschutz bisher eher ein Randthema war, müssen sich nun damit im Detail befassen.

Personenbezogene Daten – Verarbeitung verboten

Wie bisher auch, gilt das Datenschutzrecht ausschließlich für personenbezogene Daten. Es muss also immer einen Bezug zu einer natürlichen Person geben. Juristische Personen sind nicht geschützt. Daraus darf aber nicht der falsche Schluss gezogen werden, dass B2B-Unternehmen nicht betroffen sind. Auch wer nur Geschäftskunden hat, sammelt personenbezogene Daten, etwa von Ansprechpartnern. Außerdem ist in vielen Unternehmensnamen der Name des Inhabers enthalten – und auch so Personenbezug gegeben.

Einer der wesentlichen Grundsätze des (alten wie neuen) Datenschutzrechts ist das Verbotsprinzip: Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn es findet sich eine Rechtfertigung. Es gibt mehrere Rechtfertigungsgründe. Die wichtigsten sind: (1) eine vertragliche Grundlage, (2) berechtigte Interessen des Unternehmens und (3) eine Einwilligung der betroffenen Person.

(1) Eine Rechtfertigung für die Verarbeitung von Kundendaten ist der Vertrag mit dem Kunden. Ein Online-Drucker darf zum Beispiel die Adressdaten des Kunden an einen Logistikdienstleister weitergeben, damit dieser die Waren ausliefern kann. Die Rechtfertigung reicht aber stets nur soweit, wie dies zur Vertragserfüllung erforderlich ist. Eine Bonitätsprüfung ist davon zum Beispiel schon nicht mehr umfasst.

(2) Eine Datenverarbeitung kann nach der DSGVO auch auf berechtigte Interessen des die Daten speichernden Unternehmens gestützt werden. Das gilt aber nicht stets – ein berechtigtes Interesse wird nämlich fast immer bestehen. Vielmehr muss die Verarbeitung auch zu dem jeweiligen Zweck notwendig sein und die Interessen der betroffenen Person dürfen nicht überwiegen. Notwendig ist also eine Abwägung der Interessen des Unternehmens an der Datenverarbeitung mit den Interessen des Betroffenen, dass möglichst wenig Daten erhoben und verarbeitet werden. Maßgeblich sind dabei die vernünftigen Erwartungen des Betroffenen. Rechnet dieser typischerweise mit der Datenverarbeitung, dürfen die Daten im Zweifel genutzt werden. Ist eher ungewöhnlich, was das Unternehmen mit den Daten plant, muss die Datenverarbeitung unterbleiben. Am Ende ist dies eine Frage des Einzelfalls – mit unsicherem Ergebnis.

(3) Ergibt sich keine Erlaubnis aus dem Gesetz, kann gegebenenfalls eine Einwilligung helfen. Mit einer freiwillig erteilten Einwilligung lässt sich nahezu jeder Datenverarbeitungsvorgang rechtfertigen. Dies gilt aber nur, wenn die Einwilligung wirksam erteilt wurde. Und die DSGVO stellt im Vergleich zum geltenden Recht höhere Anforderungen an die Erteilung der Einwilligung auf. An der Freiwilligkeit soll zum Beispiel zu zweifeln sein, wenn die Einwilligung mit dem Vertragsschluss verbunden wird. Das neue Recht verbietet für bestimmte Umstände eine Kopplung von Einwilligung mit Vertragsschluss – Einzelheiten unklar. Außerdem sollen für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden – wann Verarbeitungsvorgänge so unterschiedlich sind, dass man eine gesonderte Einwilligung abfragen soll, sagt das Gesetz aber nicht. Bereits erteilte Einwilligungen bleiben gültig, wenn sie im Wesentlichen den Anforderungen der DSGVO entsprechen.

Compliance – Must-haves

Wesentliche Neuerung der DSGVO ist die Umkehrung der Darlegungslast. Während es bisher für mittelständische Unternehmen vertretbar war, in Sachen Datenschutz einfach nichts falsch zu machen, legt die Datenschutzgrundverordnung den Unternehmen umfangreiche Pflichten auf, die aktiv zu erfüllen sind, sollen die Bußgelder vermieden werden. Die wichtigsten Punkte einer ganzen Reihe von Compliance-Vorgaben werden im Folgenden dargestellt:

(1) Verfahrensverzeichnis – Eine lange Liste aller Datenverarbeitungsvorgänge

Grundsätzlich muss jedes Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten führen. Zwar sieht die DSGVO eine Ausnahme von dieser Pflicht für Unternehmen mit weniger als 250 Mitarbeitern vor. Allerdings enthält die gleiche Vorschrift mehrere Rückausnahmen, die dazu führen, dass auch kleinere Unternehmen ein Verfahrensverzeichnis führen müssen. Die Schwelle ist nämlich unbeachtlich, wenn die Verarbeitung von personenbezogenen Daten nicht nur gelegentlich geschieht. Das dürfte bei den allermeisten Online-Unternehmen gegeben sein, so dass die Führung eines Verzeichnisses dringend zu empfehlen ist. Das Verzeichnis kann auch elektronisch, etwa in einer Excel-Tabelle geführt werden.

Darin müssen alle Datenverarbeitungsvorgänge aufgelistet und insbesondere der Zweck der Verarbeitung und die Löschfristen genannt werden. Dabei ist nicht jeder einzelne Datenverarbeitungsschritt gemeint, sondern allgemeiner eine Übersicht über Verarbeitungstätigkeiten. Sinn der Vorschrift ist zum einen, dass in den Unternehmen ein Bewusstsein für die Verarbeitung von personenbezogenen Daten geschaffen wird. Zum anderen soll den Aufsichtsbehörden ein einfacher Überblick über die Datenverarbeitungsvorgänge in den Unternehmen gegeben werden. Dementsprechend muss das Verzeichnis auf Anfrage der Behörde jederzeit vorgelegt werden können. Ein Recht Einzelner, etwa von Kunden, auf Einsicht in das Verzeichnis besteht dagegen nicht.

(2) Betroffenenrechte – Widerspruch, Auskunft, Löschung u.v.a.m.

Die DSGVO enthält gleich 12 Artikel, die sich mit den Rechten der Betroffenen befassen. Nicht wirklich neu ist das Recht des Kunden, Auskunft über die Speicherung seiner Daten verlangen zu können. Auch ein Recht auf Löschung gibt es schon jetzt. Neu ist dagegen ein generelles Widerspruchsrecht gegen die Datenverarbeitung. Natürlich kann dem Unternehmen nicht verwehrt werden, Daten, die für die Vertragserfüllung oder Verfolgung von Ansprüchen benötigt werden, zu speichern. Daten, die ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden.

Wie so oft liegen die Schwierigkeiten aber im Detail: Macht ein Kunde einen Auskunftsanspruch geltend, muss dieser unverzüglich erfüllt werden. Das heißt, dass die Beantwortung im Normalfall binnen weniger Werktage zu erfolgen hat. Die gesetzliche Maximalfrist, die aber nur ausnahmsweise greifen soll, beträgt einen Monat. Dies bedeutet, dass in jedem Unternehmen ein Prozess geschaffen werden muss, der den Umgang mit Auskunftsansprüchen betrifft. Niemand sollte sich erstmals mit den Ansprüchen beschäftigen, wenn ein solcher Anspruch einmal geltend gemacht wird.

(3) Datenschutzerklärung – Umfassende und transparente Nutzerinformation

Jedes Unternehmen mit einer Website kennt das schon jetzt: Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Das neue Recht geht in doppelter Hinsicht darüber hinaus. Zum einen gilt die Informationspflicht für alle Datenverarbeitungsvorgänge. Auch wer offline Daten erhebt, etwa in einem Kundengespräch, muss über die Verarbeitung der Daten informieren. Außerdem ist der Umfang der Pflichtinformation noch einmal erweitert worden. Nach neuem Recht muss zum Beispiel über den Datenschutzbeauftragten informiert werden. Außerdem muss jeweils die Rechtsgrundlage für die Verarbeitung der Daten angegeben werden. Sollen die Daten weitergegeben werden (etwa an Dienstleister), müssen jedenfalls Kategorien von Empfängern angegeben werden.

Der Schutz personenbezogener Daten wird durch die DSGV stärker als jemals zuvor fokussiert – das bedeutet Arbeit für alle E-Commerce-Unternehmen

(4) Technische und organisatorische Maßnahmen – Risikoangemessene Datensicherheit

Eine neue Qualität bekommen auch die Maßnahmen, die Unternehmen für die Sicherheit der Verarbeitung von Daten treffen müssen. Die Verordnung legt fest, dass geeignete technische und organisatorische Maßnahmen vorhanden sein müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Frage des notwendigen Sicherheitslevels wird also sowohl das Risiko als auch die Bedeutung der Daten berücksichtigt. Je schwerer der Verlust der Daten für die Betroffenen wiegen würde, umso sicherer müssen die IT-Systeme sein. Erforderlich ist also eine Risikoeinschätzung.

Die DSGVO sieht auch vor, dass die Qualität der technischen und organisatorischen Maßnahmen regelmäßig zu kontrollieren ist. Es bedarf also eines regelmäßigen Prozesses, der die IT-Systeme testet.

(5) Meldepflichten bei Datenpannen – Schnelle Meldung wird zur Pflicht

Deutlich ausgeweitet werden die Pflichten zur Meldung von Datenpannen. Während eine Meldung bisher nur im Ausnahmefall erforderlich ist, muss nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden an die Behörde gemeldet werden. Ziel ist es, schnell zu informieren, um frühzeitig reagieren zu können und Schäden gering zu halten. Aus dieser Pflicht folgt letztlich die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift.

Wenn ein hohes Risiko eines Datenverlusts besteht, sind zudem auch die betroffenen Personen zu informieren. Auch hier bestehen keine langen Fristen. Vielmehr muss unverzüglich informiert werden.

(6) Benennung eines Datenschutzbeauftragten – Bestellungspflicht ab 10 Mitarbeitern

Die DSGVO sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor. Dies soll aber nur gelten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder wenn Gesundheitsdaten verarbeitet werden.

Das deutsche Recht geht aber darüber hinaus und sieht – letztlich wie bisher – die verpflichtende Benennung eines Datenschutzbeauftragten vor, wenn sich mehr als 10 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weil das auf fast alle Unternehmen mit mehr als 10 Mitarbeitern zutrifft, werden also auch nach der DSGVO viele deutsche Unternehmen einen Datenschutzbeauftragten bestellen müssen.

Die DSGVO für den Online-Drucker – Drei Beispiele aus der Praxis

Im Folgenden wird an drei Beispielen kurz erläutert, wie sich die DSGVO konkret auf die Arbeit in E-Commerce-Unternehmen auswirkt.

(1) Kundendaten – Alles hat Personenbezug

Alle Daten, die zu einem Kunden gespeichert sind, sind personenbezogen. Die Tatsache, dass ein Kunde ein Fotobuch erstellt, aber nicht bestellt hat, ist genauso personenbezogen, wie die Zahlungsfrist, das eingesetzte Zahlungsmittel oder die Frage, ob der Kunde einen Newsletter abonniert hat.

Für jedes einzelne Datum muss geprüft werden, ob ein Rechtfertigungsgrund besteht und wie lange dieser reicht. So besteht beispielsweise kein Grund, eine Kaufabsicht für ein konkretes Produkt Jahre zu speichern. Je nach Investment muss diese Information schon wenige Wochen später wieder gelöscht werden. Die Auftragshistorie darf dagegen länger – im Zweifel bis zum Ablauf der jeweiligen Verjährungsfrist – gespeichert werden. So ist für jedes einzelne Datum eine Löschfrist zu ermitteln. Kreditkartendaten dürfen in aller Regel nur mit zusätzlicher Einwilligung des Kunden gespeichert werden.

(2) Personenbezogene Daten in Druckprodukten – Verwendung nur für den Druck

Viele Druckprodukte, insbesondere im B2C-Bereich, sind individualisiert. Ob Poster, Fotobücher oder Einladungskarten, auf den Produkten sind Bilder von Personen, manchmal auch Namen. Auch hier werden personenbezogene Daten verarbeitet, weil jedenfalls der Kunde im Zweifel weiß, wer die abgebildeten Personen sind. Der Online-Printer darf diese Daten nur für den vertraglich vorgesehenen Zweck verarbeiten – nämlich zum Druck im Auftrage des Kunden. Eine weitergehende Verarbeitung (etwa Gesichtserkennung über mehrere Aufträge hinweg) ist unzulässig.

(3) Newsletter-Werbung – Einwilligung in die Personalisierung?

Fast jedes E-Commerce-Unternehmen versendet mehr oder weniger regelmäßig E-Mail-Nachrichten an Kunden und sonstige Abonnenten. Dafür ist nach dem Gesetz gegen den unlauteren Wettbewerb eine ausdrückliche Einwilligung des Empfängers erforderlich. Daran ändert die DSGVO nichts. Allerdings sind auch die Vorgaben des Datenschutzrechts einzuhalten.

Soll der Newsletter personalisiert und etwa in Abhängigkeit von Wissen über den Empfänger (z.B. Bestellverhalten oder Öffnungsrate) ausgestaltet werden, ist dies eine Verarbeitung von Daten, die wiederum rechtfertigungsbedürftig ist. Je nachdem, welche Daten für die Individualisierung des Newsletters tatsächlich verwendet werden, lässt sich das womöglich mit berechtigten Interessen des Online-Druckers rechtfertigen. Die DSGVO regelt ausdrücklich, dass das Direktmarketing ein berechtigtes Interesse sein kann. Dann muss dies auch für gezieltes Direktmarketing gelten. Maßgeblich sind aber die vernünftigen Erwartungen der Empfänger. Je mehr Daten verwendet werden und je überraschender deren Verwendung ist, umso eher wird sich die Auswertung der Daten nicht mehr auf berechtigte Interessen stützen lassen. Im Zweifel ist dann eine Einwilligung erforderlich. In jedem Falle muss der Empfänger die Möglichkeit haben, die Personalisierung zu beenden. Über dieses Widerspruchsrecht muss der Empfänger vorab belehrt werden.

(4) Lohnbuchhaltung – Die DSGVO betrifft alle Unternehmensbereiche

Die Lohnbuchhaltung wird in der Regel an ein Steuerbüro oder einen anderen Spezialisten gegeben oder mittels einer Software erledigt. In beiden Fällen bleibt das Unternehmen für die Datenverarbeitung verantwortlich. Dies bedeutet insbesondere, dass mit einem Dienstleister eine (Auftragsverarbeitungs-) Vereinbarung zu schließen ist, die den Vorgaben der Verordnung genügt. Ein Dienstleister oder Softwareanbieter sollte um Bestätigung der DSGVO-Compliance gebeten werden.

Das neue Datenschutzrecht hat also nicht nur im Verhältnis zum Kunden Relevanz, sondern betrifft jeden Unternehmensbereich, in dem Daten natürlicher Personen verarbeitet werden.

Die DSGVO kommt, fangen Sie schnell mit der Umsetzung an

Die Datenschutzgrundverordnung bringt Veränderungen und verursacht auch Online-Druckern erheblichen Aufwand und Kosten. Das mag als lästig empfunden werden. Genauso wie der Arbeitsschutz oder das Steuerrecht sollte die Befassung mit dem Datenschutz in Zukunft Selbstverständlichkeit werden. Dies gilt schon wegen der entsprechenden Erwartungen der Kunden, aber natürlich auch wegen der potenziell drohenden horrenden Bußgelder.

Die DSGVO gilt für alle E-Commerce-Unternehmen. Wer sich bisher nicht um den Datenschutz gekümmert hat, sollte damit jetzt anfangen. Die Regeln sind teilweise kompliziert, mit ein bisschen Vorbereitung lässt sich die DSGVO jedoch in den Griff bekommen. Den Kopf in den Sand zu stecken, ist jedenfalls keine Alternative.

Hinterlasse einen Kommentar

Mit Abschicken meines Kommentars erkläre ich mich mit den Nutzungsbedingungen einverstanden.

Send this to friend