Juristen raufen sich bereits heute die Haare, wie die 99 Artikel der neuen Datenschutz-Grundverordnung (DS-GVO) im Einzelfall auszulegen sind. Klar ist jedenfalls dies: Jeder Unternehmer sowie die Vereinsvorstände und andere Organisationen, die personenbezogene Daten etwa von Kunden und Mitgliedern verwalten, müssen ab dem 25. Mai die verschärften Vorschriften beachten. Die neue Verordnung gilt EU-weit, sie wird in Deutschland ergänzt durch ein neues Bundesdatenschutzgesetz.
Thomas Biesenbaum ist beim Westfälisch-Lippischen Landwirtschaftsverband (WLV) in Münster für den Datenschutz zuständig. Er hat uns die wichtigsten Fragen zu dem Thema beantwortet.
Wochenblatt: Warum hat die EU den Datenschutz neu geregelt?
Biesenbaum: Brüssel will die personenbezogenen Daten und deren Verarbeitung besser schützen. Wie wichtig der Schutz ist, zeigen die aktuellen Skandale um Facebook und Co. Verarbeitung heißt: Das Erheben, Speichern, Ändern und Übermitteln von Daten. Die DS-GVO gilt für alle Unternehmen in der EU und damit auch für alle Landwirte, die personenbezogene Daten für ihre Zwecke verwalten. Dazu zählen die Daten von Mitarbeitern im Betrieb und die Daten, die zum Beispiel ein Direktvermarkter von seinen Kunden oder ein Verein von seinen Mitgliedern erhebt. Da Landwirte grundsätzlich Unternehmer sind, müssen sie die Vorschriften beachten, egal, ob es sich um ein Einzelunternehmen, eine GbR oder GmbH handelt.
Die DS-GVO greift nicht, wenn Daten zu rein persönlichen Zwecken verwendet werden. Beispiele: Ein Familienfoto oder lustige Fotos vom Junggesellenabschied werden im Internet hochgeladen, etwa in einer WhatsApp-Gruppe oder bei Instagram. Auch das Speichern und die Weitergabe von privaten Telefonnummern etwa im Handy unterliegt nicht dem Datenschutz.
Wochenblatt: Angenommen, ein Landwirt, Arbeitgeber oder Direktvermarkter hat mit personenbezogenen Daten zu tun. Bei welchen Geschäften (Handlungen) muss der Unternehmer den Datenschutz beachten?
Biesenbaum: Die Verarbeitung der Daten ist erlaubt, wenn es eine gesetzliche Grundlage gibt oder eine ausdrückliche Einwilligung des Geschäftspartners/Kunden vorliegt. Beispiel: Ein Landwirt lässt sein Mähwerk in der Werkstatt reparieren. Zur Vertragserfüllung benötigt die Werkstatt unter anderem seine Anschrift und die Bankverbindung. Hier erübrigt sich eine Einwilligungserklärung bei der Auftragsannahme.
Hauptsächlich Landwirte sowie Direktvermarkter, die regelmäßig und viel mit personenbezogenen Daten zu tun haben, sollten die Vorschriften beachten und sich im Zweifel beraten lassen. Beispiel: Ein Kunde kauft im Hofladen ein und der Direktvermarkter möchte vom Kunden den Namen und die Anschrift wissen, um künftig an ihn Werbung zu schicken. In diesen Fällen sollte der Direktvermarkter immer eine schriftliche Einwilligungserklärung zur Datennutzung erfragen.
Wochenblatt: Welche Rechte hat ein Bürger (Kunde)? Und wozu ist jeder Unternehmer mit Blick auf den Datenschutz verpflichtet?
Biesenbaum: Die Fragen zur Umsetzung werden in Zukunft wohl noch viele Gerichte beschäftigen. Klar ist: Ein Unternehmer, der Daten erhebt und verwaltet, hat eine Transparenz- und Informationspflicht. Er muss dem Kunden kostenfrei und innerhalb von vier Wochen nach Anfrage mitteilen, welche Daten er wo gespeichert hat und wie er sie verwendet. Der Kunde kann die Löschung seiner Daten verlangen, wenn der Zweck der Datenverarbeitung nicht mehr besteht, weil zum Beispiel die Geschäftsverbindung aufgelöst wurde.
Nur im Ausnahmefall, wenn etwa ein Unternehmer die Daten aus steuerlichen Gründen zehn Jahre aufbewahren muss, kann das Recht auf Löschung nicht bestehen. Das ist auch der Fall, wenn der Aufwand für den Unternehmer auf Löschung der Daten unverhältnismäßig hoch ist. Gerade hier sind Konflikte vorprogrammiert, wenn etwa kleine Gewerbebetriebe weit zurückliegende Daten von Kunden löschen sollen, die Daten auf dem PC jedoch gar nicht mehr auffindbar sind oder in der Vergangenheit nicht oder nicht richtig abgespeichert wurden. Wer in diesen Fällen in der Beweispflicht ist, Unternehmer oder Kunde, ist eine spannende Frage, die wir nicht beantworten können.
Wochenblatt: Was müssen Unternehmer noch beachten? Muss jeder, der personenbezogene Daten erhebt und verwaltet, einen Datenschutzbeauftragten bestellen?
Biesenbaum: Laut Verordnung muss jeder Unternehmer ein Verzeichnis seiner Verarbeitungstätigkeiten nachweisen. Das Verzeichnis kann man in schriftlicher oder elektronischer Form führen und es ist an geeigneter Stelle im Betrieb aufzubewahren. Der Unternehmer muss in der Erklärung darlegen, welche personenbezogenen Daten er von seinen Kunden wo speichert, was mit den Daten passiert usw.
Nutzt etwa ein Direktvermarkter zum Beispiel die Daten, um regelmäßig Werbeflyer an seine Kunden zu verschicken, und erfolgt der Versand über einen Dienstleister („Lettershop“), muss der Auftraggeber einen Vertrag mit dem Dienstleister schließen und so sicherstellen, dass der Dienstleister die Vorschriften zum Datenschutz beachtet. Das ist die sogenannte Auftragsverarbeitung.
Die Bestellung eines Datenschutzbeauftragten ist nur erforderlich, wenn ein Betrieb mindestens zehn Mitarbeiter ständig mit der Datenverarbeitung beschäftigt. Der Unternehmer kann einen internen, aber auch externen Experten mit dieser Aufgabe betrauen.
Wochenblatt: Mit Blick auf den 25. Mai – welche Unternehmer sollten jetzt noch handeln?
Biesenbaum: Alle Landwirte und insbesondere Direktvermarkter, die eine eigene Webseite im Internet betreiben oder die Waren oder Dienstleistungen im Internet anbieten, sollten ihre Datenschutzerklärungen und das Impressum bis zum 25. Mai dem aktuellen Stand anpassen. Wer fremde Hilfe benötigt, sollte sich an seinen Web-Designer und/oder einen Rechtsanwalt wenden. Formulare etwa für eine Datenschutzerklärung finden Sie im Internet unter www.lda.bayern.de. Die Erklärungen sind auch für Vereine konzipiert, die bei ihrer Mitgliederverwaltung auf den Datenschutz achten müssen.
Wochenblatt: Der Aufwand für kleine Betriebe dürfte erheblich sein, wenn etwa Kunden oder Mitarbeiter umfassende Auskunft über ihre Daten fordern. Wer kontrolliert das Ganze?
Biesenbaum: Die Landesdatenschutzbehörde in Düsseldorf (www.ldi.nrw.de) ist die Aufsichtsbehörde in Nordrhein-Westfalen. Sie soll die Vorschriften kontrollieren und Verstöße sanktionieren. Bei ganz erheblichen Verfehlungen darf die Behörde bis zu 4 % vom Jahresumsatz des Unternehmens abschöpfen.
Doch größerer Ärger droht von anderer Stelle: Nach Inkrafttreten der Verordnung (25. Mai) werden gewiefte Anwälte und Abmahnvereine gezielt nach Verstößen etwa im Internet suchen und den Betroffenen Unterlassungserklärungen ins Haus schicken. In diesen Fällen ist man ruckzuck einige 100 € los und kann sich kaum wehren.
Mehr zum Thema Datenschutz lesen Sie hier: