© akindo/iStock© akindo/iStock

informiert, Politik

Datenschutz neu geregelt

Am 25. Mai 2018 beginnt eine neue Zeitrechnung im Umgang mit personen­bezogenen Daten. Viele Unternehmen sind verunsichert und suchen nach Wegen, mit den neuen Bestimmungen umzugehen. Abmahnungen und Kontrollen dürften künftig deutlich zunehmen. 

Die einen denken, dass es schon nicht so schlimm werden wird, und warten erst einmal ab. Andere sind seit Monaten in heller Aufregung – aus Sorge, etwas falsch zu machen und mit hohen Bußgeldern belegt zu werden. Und wieder andere haben noch gar nicht mitbekommen, dass sich im Umgang mit personenbezogenen Daten in Kürze eine Menge ändern wird. Oder sie denken, dass sie das alles nicht betreffen wird.

Klar ist: Ab dem 25. Mai 2018 muss jedes Unternehmen die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) umgesetzt haben. Sie vereinheitlicht das Datenschutzrecht in Europa und löst viele aktuelle Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) ab. Unternehmen sehen sich bald einer Vielzahl von Informations- und Dokumentationspflichten gegenüber, die sie bisher häufig vernachlässigt haben.

Auf die Spitze getrieben

In welchen Irrgarten der Bürokratie die neuen Bestimmungen führen können, haben kürzlich Mitarbeiter der Datenschutz Nord Gruppe am Beispiel eines Telefonats zwischen einem Patienten und einer Arztpraxis demonstriert: Vor der Vergabe eines Termins sind die Praxismitarbeiter verpflichtet, den Anrufer über den Datenschutz zu informieren. Sie müssen aufklären, wer in ihrem Haus für die Datenverarbeitung verantwortlich ist, wie derjenige zu erreichen ist und wie lange die Daten gespeichert werden. Damit nicht genug: Der Patient muss gleich bei der ersten Kontaktaufnahme auch über seine Rechte informiert werden, also seinen Anspruch auf Auskunft, Berichtigung und Löschung der Daten, gefolgt von den Kontaktdaten der Datenschutz-Aufsichtsbehörde – für den Fall, dass der Betroffene der Meinung ist, dass die Informationen zu seiner Person nicht datenschutzkonform verarbeitet werden. Und das alles nur, weil der Patient um einen Impftermin in der Arztpraxis nachgefragt hatte. Da kann ein ansonsten zügig abzuwickelndes Telefonat schnell zehn Minuten in Anspruch nehmen und den Praxisbetrieb lähmen. Thomas Riemann, Leiter der Rechtsabteilung beim Verband der Vereine Creditreform, muss schmunzeln, wenn er von diesem Fall erzählt: „Das ist absurd. So schlimm wird es hoffentlich nicht kommen.“

» Unternehmen müssen die betreffende Person bereits bei der Erhebung von Daten darüber informieren, wie sie diese Angaben verarbeiten. «
Thomas Riemann, Creditreform

Gleichwohl ist er überzeugt, dass sich im Umgang mit personenbezogenen Daten eine Menge ändern wird. „Neu ist, dass Unternehmen die betreffende Person bereits bei der Erhebung von Daten darüber informieren müssen, wie sie diese Angaben verarbeiten“, betont Riemann. Wenn also beispielsweise Creditreform-Mitarbeiter eine telefonische Recherche bei einem neuen Gewerbebetrieb durchführen, müssten sie bereits im Rahmen dieses Telefonats die entsprechenden Informationen geben. „Das ist problematisch. Deshalb haben wir mit den Aufsichtsbehörden abgesprochen, dass es ausreicht, dem Angerufenen anzubieten, ihm die entsprechenden Informationen per Post, Fax oder E-Mail zu übermitteln oder sich den Text auf unserer Internetseite anzusehen“, erläutert der Rechtsexperte.

Wichtig sei, so betont Riemann, dass jedes Unternehmen in Zukunft umfassend dokumentiere, dass es seiner Informationspflicht nachgekommen sei. Denn es müsse im Zweifel jederzeit nachweisen können, dass es ein Recht an den vorhandenen Daten besitze. Neu ist zudem, dass mit Einführung der DSGVO auch im Inkassobereich Informationspflichten zu erfüllen sind. So müssen die Unternehmen in Zukunft auch ihren Mahnschreiben einen entsprechenden Informationstext beifügen.

Auf Antrag löschen

Wie steht es mit dem Recht auf Vergessenwerden, also dem Anspruch von Personen auf Löschung ihrer Daten? Creditreform rechnet damit, dass künftig vermehrt entsprechende Anträge gestellt werden – gerade weil die neue Regelung zu diesem Punkt keine klaren Vorgaben macht. Es heißt lediglich, dass die Daten zu löschen sind, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Eine klare Fristenregelung, wie sie § 35 des BDSG nennt (Negativmerkmale werden nach drei Jahren gelöscht), fehlt. Der Verband der Wirtschaftsauskunfteien hat deshalb gemäß Artikel 40 DSGVO sogenannte Verhaltensregeln (Code of Conduct) entworfen, die im Wesentlichen der bisherigen Löschpraxis nach dem BDSG entsprechen. Das bedeutet, dass auch künftig Negativmerkmale drei Jahre nach Erledigung gelöscht werden – allerdings mit dem Unterschied, dass dies nach dem 25. Mai 2018 taggenau (so wie bereits jetzt bei den Schuldnerverzeichniseintragungen) erfolgt und nicht mehr ab Jahresende. Noch ist unklar, wie und von wem dies künftig kontrolliert wird – ob von den Datenschutzbehörden oder von Dritten, etwa dem TÜV.

Überhaupt die Kontrolle: Es ist damit zu rechnen, dass die Aufsichtsbehörden in Zukunft sehr viel genauer prüfen werden, ob Unternehmen die geltenden Datenschutzbestimmungen einhalten. Auch die Zahl der Abmahnungen dürfte deutlich steigen. Niemand, der mit personenbezogenen Daten umgeht – das sind nahezu alle Unternehmen, vom kleinen Händler, der eine Website betreibt, bis zum Dax-Konzern – kann sich mehr darauf berufen, dass ihn die neuen Datenschutzregeln nicht betreffen. Riemann rechnet jedoch damit, dass die Kontrolleure zumindest in den ersten Monaten noch nicht allzu streng sein werden. „Die neuen Regeln sind in vielen Punkten deutlich weniger präzise als die Bestimmungen des BDSG. Deshalb sind alle Beteiligten, auch die Aufsichtsbehörden, zunächst noch unsicher, wie welche Vorschrift im Tagesgeschäft umgesetzt werden kann. Vieles muss sich erst einspielen“, sagt er. Hinzu kommt: Anders als in vielen anderen europäischen Ländern gibt es in Deutschland zwar eine funktionierende Datenschutzaufsicht. Aber deren Kapazitäten genügen nicht für flächendeckende Kontrollen. Bei Verstößen gegen die neuen Regeln drohen empfindliche Strafen. In leichten Fällen reichen die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Bei schweren Verstößen kann die Aufsichtsbehörde eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängen.

 

Textbaustein für AGB

Online-Händlern, die mit Creditreform zusammenarbeiten, empfiehlt Riemann, ihre Kunden auf die Kooperation hinzuweisen – und so ihren Informationspflichten nachzukommen. Dazu hat Creditreform einen Textbaustein formuliert, den Unternehmen in ihr Informationsmusterschreiben oder ihre AGB integrieren können:

Unser Unternehmen prüft regelmäßig bei Vertragsabschlüssen und in bestimmten Fällen, in denen ein berechtigtes Interesse vorliegt, Ihre Bonität. Dazu arbeiten wir mit der Creditreform (ORT, NAMEN, ANSCHRIFT) zusammen, von der wir die dazu benötigten Daten erhalten. Zu diesem Zweck übermitteln wir Ihren Namen und Ihre Kontaktdaten an Creditreform. Weitere Informationen zur Datenverarbeitung bei Creditreform erhalten Sie in dem ausführlichen Merkblatt Creditreform-Information gem. Art. 14 EU-DSGVO oder unter www.creditreform-ORT.de/EU-DSGVO*

* Bei ORT den jeweiligen VC ergänzen

 


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Lesen Sie weiter