Crashkurs: Datenschutz-Grundverordnung Teil 2

Im ersten Teil der Beitragsreihe wurde erklärt in welchen Fällen Daten verarbeitet werden dürfen und wann Daten als personenbezogen gelten.
Dabei fiel ganz besonders die neue Erlaubnis der Verarbeitung von Daten auf Grundlage berechtigter (auch ökonomischer) Interessen auf.
Trotz dieser Generalerlaubnis, spielt die Einwilligung der Betroffenen auch in der DSGVO weiterhin einen sehr wichtigen Faktor. Dabei wird das Abholen der Einwilligung durch den Wegfall der Schriftform, zumindest auf den ersten Blick leichter. In diesem Teil der Beitragsreihe wird aufgezeigt, wie man sich die Einwilligungen richtig einholt.

Nachweispflicht statt Schriftform

Auch schon vor der Reform des Datenschutzes durften Einwilligungen elektronisch abgegeben werden – dies bleibt auch weiterhin gleich. Neu dazu kommt, dass auch ausserhalb des Webs Einwilligungen durch mündliche Erklärungen oder durch beispielsweise das Nicken (gilt als schlüssige Handlung) auch weiterhin zulässig sind. Die Datenverarbeiter müssen die Einwilligungen nachweisen und die Zweifel fallen zu ihren Lasten (Art. 7 Abs. 1 DSGVO). Somit sollte gründlich für Nachweisbarkeit gesorgt werden – hier führt dies ausserhalb des Internets doch wieder zur schriftlichen Form. Online können Einwilligungshandlungen am besten mit der gekürzten IP-Adresse und idealerweise mit einem Double-Opt-In bestätigt und in einer Datenbank abgelegt werden.

m Fall der Angestellten bleibt die Schriftform nach (Art, 26 Abs 2 S. 3 BDSG) vorgeschrieben (wenn zum Beispiel Angestellte sich mit deren Fotos auf der Website der Firma einverstanden erklären sollen).
So wird der Wegfall der Schriftform eher weniger Vorteile bringen. Dies besonders, weil nicht nur die Einwilligungserklärung nachweisbar sein muss. Auch muss man die nachfolgend erklärten Voraussetzungen nachweisen können.

Voraussetzungen von Einwilligungen

Eine Einwilligung muss von einer
einwilligungsfähigen Person
freiwillig 
– für den konkreten Fall 
– in informierter Weise
– in unmissverständlicher in Form
– in einer Erklärung
– in sonstigen eindeutigen Handlung abgegeben sein.

Einwilligungen von Minderjährigen

Laut Art.8 der DSGVO sind Minderjährige erst ab ihrem 16. Lebensjahr fähig sind, eine Einwilligung abzugeben. Dies ist nur dann gültig, wenn sie „Dienste der Informationsgesellschaft“ in Anspruch nehmen, was im Internet der Normalfall sein wird. Ist ein Nutzer also unter 16 Jahre alt, müssen die Eltern einwilligen. Hierbei gibt es keine einfachen Methoden wie beispielsweise ein Double-Opt-In, bei denen die Eltern dabei sind  – somit wird dich das Mindestalter für Onlinedienste wahrscheinlich auf 16 Jahre erhöhen müssen. Die Untergrenze von 16 Jahren heisst jedoch nicht, dass Daten von Minderjährigen sonst nicht verarbeitet werden dürfen. Sondern es heißt, auch wenn Minderjährige keine Einwilligungen abgeben können, dürfen beispielsweise Onlinehändler ihre Adressen an Spediteure weiterleiten (Art. 6 Abs. 1 DSGVO) oder ihre Bewegungen auf der Website mit Google Analytics analysieren (Art. 6 Abs. 1 DSGVO).

Freiwilligkeit

Die Einwilligung ist nur dann freiwillig, wenn die Person sich nicht gezwungen fühlt, einwilligen zu müssen. Hierbei wäre ein Beispiel für unfreiwilliges Einwilligen, wenn sich beispielsweise ein Minderjähriger wegen stark übertriebener Anpreisung und zeitlicher Verkürzung gezwungen fühlen, bei einem Glücks- oder Gewinnspiel teilzunehmen. Hierbei ist die Freiwilligkeit ganz besonders zu Hinterfragen, auch bei Erwachsenen.
Was Beschäftigte (Angestellte in einem Unternehmen) betrifft, ist hier aufzuführen, dass sich diese aus Angst um ihre Stelle eher schneller zu Einwilligungen gezwungen sehen. Eine schriftliche Einwilligungserklärung der Angestellten sollte daher eine ausführliche Belehrung über die Freiwilligkeit und fehlende Folgen der Weigerung enthalten. Gleichzeitig werden an vorteilhafte Einwilligungen (zum Beispiel Beteiligung am Bonusprogramm des Unternehmens) geringere Anforderungen gestellt, als an nur benachteiligende Einwilligungen (zum Beispiel Teilnahme am Arbeitnehmer-Bewertung).

Koppelungsverbot

Das strenge Koppelungsverbot trifft vor allem Anbieter von Onlineplattformen und Apps. Es trifft auf Fälle zu, in denen eine Leistungserbringung von einer dafür nicht erforderlichen Einwilligung abhängig gemacht (also an die Einwilligung gekoppelt) wird. So ist es beispielsweise nicht erforderlich die Verarbeitung der eigenen Daten einzuwilligen, um ein soziales Netzwerk zu nutzen. Dies bedeutet in diesem konkreten Fall jedoch nicht, dass das soziale Netzwerk die Daten nicht zu Werbezwecken verarbeiten dürfte. Hierbei spielen die -im ersten Teil dieser Beitragsreihe erklärten berechtigten Interessen – die Hauptrolle. Hier kann sich das soziale Netzwerk auf diese Regelung berufen.

Datenbearbeitungsgrundsätze

Eine weitere Neuerung betrifft den Ausbau der Datenbearbeitungsgrundsätze. Hierzu wurde aufgeführt, dass wegen der technologieneutralen Gestaltung der DSGVO für die betroffenen Personen, aber vor allem auch für die Datenbearbeiter teilweise unklar sei, was erlaubt ist. Um diese Unsicherheit zu reduzieren, wurde eine detailliertere Darlegung der Datenbearbeitungsgrundsätze vorgeschlagen. Bei dieser detaillierteren Ordnung könnten dann auch spezifische Bestimmungen zu Big Data und Cloud Computing usw. im Gesetz angelegt werden. Im Entwurf wurden entsprechende Vorschläge beim Ausbau der aktiven Informationspflicht in Art. 13 VE-DSG, bei der Informationspflicht im Zusammenhang mit automatischen Einzelfallentscheidungen mit erheblicher Auswirkung (Art. 15 VE-DSG) sowie beim Ausbau der Sorgfaltspflichten in Art. 16 ff. VE-DSG berücksichtigt.

Datenbestände aus Drittquellen

Auch auf die Anreicherung von Datenbeständen aus Drittquellen wird die Reform der DSGVO haben. Die Informations- und Transparenzpflichten sollen auch für diese Art von Daten verschärft werden. Die Datenbearbeiter müssen die betroffenen Personen innert einer Frist nach der Anreicherung über die Datenbeschaffung  solcher Informationen benachrichtigen. Art. 13 VE-DSG enthält eine entsprechende Informationspflicht. Dieser Artikel verlangt dabei, dass die Information spätestens im Zeitpunkt der Speicherung der genutzten Daten erfolgt. Unklar ist, auf welche Weise diese Information zu erfüllen ist. Ob eine Information in der Datenschutzerklärung genügt, wenn mit der betroffenen Drittperson allenfalls gar kein Geschäftskontakt besteht, ist nicht klar. Ausserdem ist zu beachten, dass die Ausnahmen von der Informationspflicht nach Art. 14 VE-DSG beschränkend auszulegen wären. Der Verantwortliche muss unbedingt Anstrengungen unternehmen, bevor die Informationspflicht als unverhältnismässig angesehen werden kann. Die Informationspflicht bei der Datenbeschaffung bei Dritten kann deswegen je nach Ausgestaltung und Umsetzungsanforderung erhebliche schlechte Auswirkungen auf die Datenanreicherung haben. Dies wirkt sich dementsprechend auf die verfügbaren Daten und damit besonders die personalisierte Werbung und Big Data aus.

Weiterer Ausbau

  • Änderung des sachlichen Geltungsbereichs: Nach Art. 2 VE-DSG soll das Gesetz neu nicht mehr auf Daten juristischer Personen anwendbar sein.
  • Begriffsbestimmungen werden abgeändert: In Art. 3 VE-DSG werden bestimmte Begriffe neu definiert oder eine neue Terminologie verwendet. Die Auswirkungen erscheinen jedoch, abgesehen von der erwähnten Regelung des Profiling, an sich nicht erheblich.
  • Sorgfaltspflichten werden ausgebaut: Während das geltende DSG die Sorgfaltspflichten in Art. 7 DSG nur im allgemeinten regelt, enthält der VE-DSG in Art. 16 eine umfangreiche Auswahl von Pflichten. Dazu gehören: Data Privacy by Default und by Design, Datenschutz-Folgenabschätzung, Dokumentationspflicht, Pflicht zur Meldung von Datenschutzverletzungen, sowie eine Informationspflicht bei Bekanntgabe an Dritte, wenn die bekannt gegebenen Daten berichtigt, gelöscht oder entfernt werden müssen.
  • Diese Sorgfaltspflichten erhöhen den Umsetzungsaufwand. Data Privacy by Design und Default gaben zu dem enormen Einfluss auf Werbeaktivitäten. Es gilt das Prinzip der Datenminimierung, was dem personalisierten Marketing und Big Data an sich entgegensteht.
  • Rechte der betroffenen Person werden ausgebaut: In Art. 20 VE-DSG werden die Rechte der betroffenen Person gehandhabt. Das Auskunftsrecht wird im Vergleich zum geltenden Recht weiter ausgebaut. Die übrigen Ansprüche (Recht auf Vergessen, siehe Teil 1) ändern sich gegenüber dem geltenden Recht nicht erheblich. Eingeführt werden soll der Erlass von Verfahrenskosten (Gerichtsgebühren) bei der zivilrechtlichen Verfolgung von Datenschutzverletzungen.

Bereits dieser zweite Teil dieser Beitragsreihe über die verschiedenen Regelungen macht deutlich, dass die geplante Reform in vielen verschiedenen Branchen der digitalen Ökonomie erhebliche Auswirkungen haben wird.  Im dritten und letzten Teil wird noch auf allgemeine Informationen eingegangen und

Der Datenschutz wird daher in der Unternehmenspraxis stärker in den Fokus gezogen als dies vor der Reform der Fall war. Aus der wirtschaftlichen Sicht ist generell merkwürdig, dass der Bundesrat mit zahlreichen Vorschlägen, wie beispielsweise zum Sanktionssystem, von der künftigen Regelung in der EU abweicht.

Sollte der Entwurf zum Gesetz werden, würde dies unnötige Hindernisse für den internationalen Wirtschaftsverkehr schaffen. Es bleibt zu hoffen, dass am Entwurf die erforderlichen Veränderungen vorgenommen werden. Die weitere Entwicklung in der Schweiz ist demnach weiter zu verfolgen.