Im Frühling 2018 thematisierten die Medien die im Mai kommende Datenschutzgrundverordnung (DSGVO). Dabei bewegten sich die unterschiedlichen Beiträge in einem wenig scharf umrissenen Feld zwischen Besänftigung und Hysterie. Dies war uns Anlass genug, für etwas mehr Ordnung und Struktur und damit Übersichtlichkeit zu sorgen.
Wichtige Fragen zuerst
Außer Frage steht, dass das Thema für uns alle relevant ist, schon allein deshalb, weil der Schutz personenbezogener Daten ein zu respektierendes Faktum ist. Außer Frage steht gleichfalls, dass moralische Diskussionen über Datenmissbrauch, die Beschränkung des Urheberrechts oder der Meinungsfreiheit uns anhand der geschaffenen Fakten im Moment nicht dienen.
Daher baten wir die beiden spezialisierten Rechtsanwälte Fabian Braches in Köln und Cornelius Matutis in Potsdam um ihre Antworten auf die aus unserer Sicht zunächst dringenden Fragen gebeten und hier als Beiträge im Interviewstil zur Verfügung gestellt. Die ersten zwei Beiträge sind frei zugänglich, alle anderen haben wir ausschließlich für die AGD-Mitglieder in den internen Bereich der AGD-Website eingestellt, die die Texte nach dem Login an der Website lesen können.
Vorlagen sind immer unvollständig
Wir bitten um Verständnis, dass wir keine vermeintlich allgemeingültigen Vorlagen für zum Beispiel Datenschutzerklärungen zur Verfügung stellen werden. Weil die jeweilige Erklärung die konkreten Tools der Website berücksichtigen muss, gibt es eine Vielzahl von Varianten und gerade nicht die eine Vorlage. Dies veranschaulichen Angebote im Internet wie etwa der von Dr. Thomas Schwenke formulierte Datenschutzgenerator.
Der Autor weist ebenfalls darauf hin, dass es sich lediglich um ein Muster handelt und warnt vor einer schematischen Übernahme. Wer also sicher gehen will, sollte die bereits von den oben genannten Rechtsanwälten zu überschaubaren Honoraren angebotenen individuellen Prüfungen der konkreten Situation in Anspruch nehmen.
Rechtsanwalt Fabian Braches: https://www.kanzlei-eins.com/#shadow
Rechtsanwalt Cornelius Matutis: https://anwalt-fuer-datenschutz.eu/datenschutz-pruefung/
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Dies ist durch die Zuordnung signifikanter Merkmale zu einer Person möglich. Wir sprachen mit Rechtsanwalt Fabian Braches und Rechtsanwalt Cornelius Matutis.
Was fällt unter die Kategorie »personenbezogene Daten«?
RA Fabian Braches: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Dies ist insbesondere durch die Zuordnung der folgenden Merkmale zu einer Person möglich:
- einer Kennung wie einem Namen,
- einer Kennnummer,
- Standortdaten,
- einer Online-Kennung oder
- einem oder mehrerer besonderer Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person sind.
Sämtliche Personal- sowie Kundenstammdaten, Login-Kennungen, Kundennummern sowie Daten von Auftragnehmern wie etwa Kooperationspartnern und Freelancern etc. sind also personenbezogene Daten.
Neben den »personenbezogenen Daten« existieren auch noch die besonderen Kategorien personenbezogener Daten. Deren Verarbeitung ist nur unter strengen Voraussetzungen zulässig. Besondere Kategorien personenbezogener Daten sind:
- die rassische und ethnische Herkunft,
- die politische Meinung,
- die religiöse oder weltanschauliche Überzeugung
- Daten, aus denen sich die Gewerkschaftshörigkeit ergibt,
- genetische Daten,
- biometrische Daten,
- Gesundheitsdaten,
- Daten zum Sexualleben oder der sexuellen Orientierung.
Fallen auch E-Mails darunter?
RA Cornelius Matutis: Natürlich. Die E-Mail-Adresse ist bereits ein personenbezogenes Datum, soweit es nicht die generelle Unternehmens-Mail-Adresse ist. Und der Inhalt von E-Mails kann die verschiedensten personenbezogenen Daten enthalten. Mit heutiger Technik ist es auch einfach möglich diese automatisiert zu durchsuchen, so dass auch hier eine umfassende Datenverarbeitung möglich ist.
Wie lange muss ich und wie lange darf ich eine mit meinem Kunden geführte Korrespondenz aufbewahren? Muss ich die Daten löschen oder archivieren?
RA Cornelius Matutis: Sie müssen die Korrespondenz nur insoweit aufheben, wie dies gesetzlich z.B. wegen der steuer- und handelsrechtlichen Vorschriften erforderlich ist. Dies gilt aber nicht für die gesamten E-Mails, sondern nur solche, welche als Handelsbriefe (dann 6 Jahre) oder steuerrelevante Belege (dann 10 Jahre) eingestuft werden. Hier wird man als kürzeste Aufbewahrungszeit die 3 Jahre der allgemeinen Verjährungsfrist ansehen können. Wichtig ist vor allem, dass Sie sich Gedanken darüber machen, welche E-Mails Sie wie lange aufbewahren wollen bzw. sollen und diese Gedanken müssen Sie dann in einem entsprechenden Dokument (Verzeichnis der Verarbeitungstätigkeiten) niederschreiben, damit die Aufsichtsbehörde sieht, dass Sie sich die Gedanken gemacht haben. Und in regelmäßigen Abständen sollten Sie dann die vorhandenen E-Mails dahingehend durchgehen, ob diese nun endgültig gelöscht werden können.
Eine Archivierung ändert hieran nichts, denn die Daten sind dann weiterhin bei Ihnen aufbewahrt. Interessant wird es in der Zukunft, wie mit vorhandenen alten Datensicherungen umzugehen sein wird, denn diese könnten durchaus bereits gelöschte E-Mails enthalten, welche die Unternehmen überhaupt nicht mehr besitzen dürften.
Welche Auswirkungen hat die DSGVO bei der Nutzung von Online- bzw. Cloud-Anwendungen wie Whats App, Trello, FB-Messenger, Google-Drive?
RA Fabian Braches: Bei der Verwendung von Cloud-Anwendungen dürfte es sich regelmäßig um eine sog. Auftragsdatenverarbeitung handeln. Liegt eine solche Auftragsverarbeitung vor, muss ein Vertrag zur Auftragsverarbeitung mit dem Auftragsverarbeiter, also dem Cloud-Anbieter abgeschlossen werden. Dafür gibt es vom Gesetzgeber bestimmte Vorgaben: Der Cloud-Anbieter muss sorgfältig ausgewählt werden. Er muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen zum Datenschutz getroffen hat, die sicherstellen, dass die Verarbeitung der Daten des Auftraggebers im Einklang mit der DSGVO erfolgt. Wichtig ist hierbei die Frage, ob die Daten innerhalb oder außerhalb der EU/EWR gespeichert werden. Wenn die Verarbeitung in einem sog. Drittland (z.B. USA, Indien, China etc.) erfolgt, sind hier weitere Vorkehrungen zum Datenschutz zu treffen. So müssen für eine Datenverarbeitung in Drittländern geeignete Garantien für die Einhaltung des Datenschutzes nach der DSGVO bestehen (z.B. EU-Standardverträge, Privacy Shield-Abkommen, Angemessenheitsbeschluss der EU-Kommission). Ob die jeweiligen Anbieter diese Voraussetzungen erfüllen, muss konkret im Einzelfall geprüft werden.
Weiterführende Links:
Unter Berücksichtigung der Tatsache, dass Vorlagen und Merkblätter immer nicht ganz vollständig sind, weisen wir abschließend auf ein paar informative Seiten und Links der Aufsichtsbehörden hin:
Kurzpapiere der Datenschutzkonferenz (DSK) zur EU-DSGVO
Leitlinien der Datenschutzaufsichtsbehörden der Mitgliedsstaaten der EU (Art. 29-Datenschutzgruppe