Ab dem 25.05.2018 gilt die neue EU Datenschutzgrundverordnung (DSGVO). Diese ist für sämtliche Unternehmen verbindlich, welche personenbezogene Daten (hierzu gehören unter anderem Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Kontodaten, etc.) innerhalb der EU verarbeiten.
Aber auch Unternehmen, welche außerhalb Europas ihren Sitz haben, aber innerhalb Europas personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an die Verordnung halten. Dies wird insbesondere für Online-Händler relevant, welche Waren in der EU verkaufen. Aber auch soziale Netzwerke, wie beispielsweise Facebook, sind verpflichtet, die Regelungen der DSGVO einzuhalten, da die Nutzerdaten auch in der EU verarbeitet werden (ob Facebook dies auch tatsächlich im Sinne der DSGVO umsetzen wird, erscheint fraglich, man darf gespannt sein.)
Zugleich tritt das neue Bundesdatenschutzgesetz (BDSG) in Kraft, welches weitestgehend der europäischen Verordnung angepasst ist, jedoch einige Fälle konkreter erfasst.
Eine Schonfrist gibt es nicht, bei Verstößen hiergegen drohen empfindliche Bußgelder in Höhe von bis zu 20.000.000 € bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorvergangenen Geschäftsjahres.
Sinn dieser Verordnung ist eine Vereinheitlichung der Datenschutzbestimmungen innerhalb der Europäischen Union. Ob dies auch gleichzeitig eine Vereinfachung darstellen wird, ist höchst zweifelhaft. Die Terminologien der Verordnung sind zum Teil sehr allgemein gehalten bzw. auslegungsbedürftig, insofern dürfte nach dem 25.5.2018 eine erhebliche Rechtsunsicherheit bestehen, welche zahlreiche Gerichte beschäftigen wird.
Ein Beispiel einer Rechtsunsicherheit zeigt sich im Bereich von Arztpraxen:
Die einschlägige Regelung zur Benennung eines Datenschutzbeauftragten, welche für Arztpraxen relevant sein dürfte, findet sich in Art. 37 Abs. 1 DSGVO. Dieser besagt:
Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Hierbei relevant ist insbesondere der Verweis auf Artikel 9 Abs. 2 h) DSGVO, welcher die Behandlung personenbezogener Daten zum Zwecke der Gesundheitsvorsorge, medizinische Diagnostik etc. zum Gegenstand hat. Hiernach wäre also in jedem Fall gemäß Artikel 37 DSGVO ein Datenschutzbeauftragter zu benennen, wenn eine der folgenden Konstellationen vorliegen würde:
- Die Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle.
- Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung vonPatienten erforderlich macht.
- Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d Art. 9 DSGVO: bei diesem geht es insbesondere um die Verarbeitung von Gesundheitsdaten.
Der Regelfall dürfte sein, dass die Arztpraxis nicht als öffentliche Stelle betrieben wird, sondern als privatrechtliche Einrichtung. Für Gesundheitsämter oder diverse Krankenhäuser dürfte Ziff.1 der oben genannten Auflistung jedoch einschlägig sein.
Nach Ziff. 2 wäre ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Praxis die Durchführung von Datenverarbeitung etwa in Form von klinischen Studien wäre. Für die normale Arztpraxis wäre diese Bestimmung also auch nicht einschlägig.
Relevant dürfte wohl Ziff. 3 der oben genannten Auflistung sein, wonach ein Datenschutzbeauftragter zu benennen ist, wenn die Kerntätigkeit der Praxis die umfangreichen Verarbeitung von Gesundheitsdaten darstellt.
Doch was bedeutet in diesem Kontext „umfangreich“? Dieser Begriff ist in der DSGVO nicht näher definiert. Insofern muss dieser Begriff ausgelegt werden. Hierzu hilft ein Blick in die Erwägungsgründe der DSGVO. Erwägungsgrund 91 besagt unter anderem: “… Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt…“
Hieraus wird ersichtlich, dass die Ernennung eines Datenschutzbeauftragten offenbar nicht erforderlich ist, wenn es sich um die Praxis eines einzelnen Arztes handelt. Bei Praxisgemeinschaften hingegen verhält es sich schon wieder anders.
Auch für Fitnessstudiobetreiber dürfte die neue DSGVO von größter Brisanz sein, da auch sie in hohem Maße besonders sensible Daten wie z.B. Vorerkrankungen erheben. Bei gesteuerten Kraftzirkeln werden unter Umständen Daten an Dritte weitergegeben, sodass es eine Datenschutzvereinbarung mit dem Hersteller geben muss und die Kunden nicht nur hierüber informiert werden sondern auch ihre Einwilligung erteilen müssen.
Die genannten Beispiele stellen nur einen winzigen Ausschnitt der Problematik dar, die mit der neuen Verordnung auf Branchen bzw. Unternehmen der unterschiedlichsten Art zukommen können. Auch wettbewerbsrechtlich dürfte dieses Thema hochrelevant werden, es steht zu befürchten, dass eine neue Abmahnungswelle droht, da ein Verstoß gegen die DSGVO den Tatbestand des § 3 a UWG (Vorsprung durch Rechtsbruch) erfüllen könnte. Dies dürfte vor allem kleinere und mittlere Unternehmen betreffen.
Angesichts der enormen Sanktionen bei Verstößen empfiehlt sich also dringender Handlungsbedarf durch entsprechende Maßnahmen durch geschulte und zertifizierte Datenschutzexperten. Die Uhr tickt….
—
Haben Sie weitere Fragen zur Datenschutzgrundverordnung? Oder andere Fragen zu Internetrecht? Nehmen Sie Kontakt auf und ich berate Sie gerne.