Noch 14 Tage – Neues Datenschutzrecht auf der Zielgeraden

(11.05.2018)

In 14 Tagen, am 25.05.2018, tritt das neue Datenschutzrecht nach zweijähriger Übergangsfrist in Kraft. Ab diesem Zeitpunkt gelten die Anforderungen des jetzigen Bundesdatenschutzgesetzes nicht mehr, sie werden ausnahmslos durch die Datenschutz-Grundverordnung (im Folgenden nur noch DSGVO) und das neue BDSG ersetzt.

Mit Geltung der DSGVO treffen den jeweiligen Verantwortlichen eine ganze Reihe datenschutzrechtlicher Verpflichtungen, die sich unter anderem in umfangreichen Informationspflichten niederschlagen. Bisher war es beispielsweise ausreichend, wenn der Betreiber einer Website den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten aufklärte. Dieser Katalog wird mit Geltung der DSGVO massiv erweitert, etwa um die Angabe des Datenschutzbeauftragten, der jeweiligen Rechtsgrundlage der Verarbeitung personenbezogener Daten, die Angabe der Aufsichtsbehörde sowie um Informationen zu den Rechten der betroffenen Person und des Rechts, sich bei der Aufsichtsbehörde über den Verantwortlichen zu beschweren.

Der Betreiber einer Website muss diese – und weitere – Informationen in seine Datenschutzerklärung aufnehmen, ansonsten riskiert er ein Tätigwerden der Aufsichtsbehörden oder aber eine Abmahnung durch Mitbewerber. Dabei muss er berücksichtigen, dass sowohl die Aufsichtsbehörden als auch Mitbewerber relativ einfach kontrollieren können, ob die Anforderungen der DSGVO eingehalten wurden: Durch den Umfang der Informationspflichten wird auch die Datenschutzerklärung entsprechend umfangreicher, so dass ein erster Blick dahin auf der Website schon genügt.

Der Verantwortliche muss die Informationen außerdem grundsätzlich „zum Zeitpunkt der Erhebung“ der Daten erteilen, was für Website-Betreiber noch relativ leicht umsetzbar ist, indem eine entsprechende Seite auf der Website implementiert wird.

Anders sieht es aber beispielsweise für Unternehmer aus, die ihre Waren und Dienstleistungen im Haustürgeschäft anbieten, etwa Verkäufer von Zeitungsabonnements. Bei dieser Art von Geschäft wird der potentielle Kunde überredet, seine Daten auf einem entsprechenden Vordruck anzugeben, der anschließend an die Vertriebsgesellschaft weitergeleitet wird. Hier stellt das Ausfüllen des Vordrucks durch den Kunden die Erhebung der Daten dar, weshalb der Verantwortliche in diesem Rahmen bereits umfangreich informieren muss. Dies lässt sich am Besten bewerkstelligen, indem man dem Kunden die Informationen in schriftlicher Form übergibt oder die Informationen auf der Rückseite des Vordrucks abdruckt.

Nicht zulässig dürfte es in diesem Beispiel aber sein, den Betroffenen auf die jeweilige Website des Verantwortlichen – der Vertriebsgesellschaft – zu verweisen und ihn darauf aufmerksam zu machen, dass er dort die datenschutzrechtlichen Informationen nachlesen kann. Der Betroffene, der den Vordruck ausfüllt, müsste diesen Hinweis zunächst einmal zur Kenntnis nehmen und dann an seinen PC gehen oder sein Smartphone bedienen, um an die Informationen zu gelangen. Damit ist nicht nur eine gewisse zeitliche Relevanz gegeben, dem Betroffenen werden darüber hinaus Hürden auferlegt, um an die Information zu gelangen. In diesem Kontext spricht man von einem sog. Medienbruch, dessen Zulässigkeit von den Aufsichtsbehörden aktuell noch uneinheitlich beur-teilt wird. Nach dem Wortlaut der DSGVO ist lediglich klar, dass Informationen in einer „leicht zugänglichen Form“ erteilt werden müssen. Dies dürfte auf den ersten Blick gegen einen Medienbruch sprechen, da die leichte Zugänglichkeit nicht gegeben ist, wenn der Betroffene sich zunächst eines anderen Mediums bedienen muss, um an die Information zu gelangen. Im Beispiel des Abonnementverkäufers hat diese Sichtweise durchaus ihre Berechtigung, wenn man die Überra-schung des Betroffenen durch die unvermittelte Ansprache berücksichtigt.

Anders kann es jedoch sein, wenn es sich nicht um einen Abonnementverkäufer handelt, sondern um einen Arzt, der von einem neuen Patienten telefonisch zur Terminvereinbarung angerufen wird. Bei einer solchen Terminvereinbarung werden regelmäßig personenbezogene Daten verarbeitet, indem der Termin im Rahmen des Telefonats in den Terminkalender der Arztpraxis eingetragen wird. Allerdings kann der Arzt bzw. dessen Angestellte nicht ständig umfangreich am Telefon über die Informationspflichten informieren, da sich dies im turbulenten Praxisalltag schlecht verwirkli-chen lässt und darüber hinaus schnell eine gewisse Informationsmüdigkeit des Betroffenen – nämlich des Patienten – eintritt, da er von den Informationen sprichwörtlich erschlagen wird. Aus diesem Grunde kommt es im Ergebnis auf eine pragmatische Herangehensweise bei der Erfüllung der Informationspflichten an, die dem Einzelfall gerecht werden muss. Das kann durchaus dazu führen, dass man in einzelnen Fällen, wie etwa dem der Arztpraxis, ausnahmsweise einen Medienbruch bejaht. Solange die Praxis der Aufsichtsbehörden zu dieser Thematik aber noch uneinheitlich ist, sollte man hier im Zweifel anwaltlichen Rat einholen.

Hier stehen wir Ihnen gerne für eine kompetente und praxisnahe anwaltliche Beratung zur Verfügung.