Die Europäische Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 die europäische Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG) und damit das Bundesdatenschutzgesetz (BDSG) ersetzen und unmittelbar in allen Mitgliedstaaten der Europäischen Union (EU) Wirkung entfalten. Ziel ist es, eine EU-weite Harmonisierung der Regelungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen herbeizuführen.
Da Deutschland im Vergleich zu anderen EU-Staaten bereits ein hohes Datenschutzniveau hat, findet sich ein Großteil der Regelungen der DSGVO bereits im BDSG wieder. Es ergeben sich jedoch ins besondere beim Bußgeldrahmen und bei den Informationspflichten in Bezug auf die Einwilligung diverse Unterschiede zu bestehenden Regelungen, weswegen Factoring-Unternehmen ihre Datenverarbeitungsprozesse einer genauen Prüfung unterziehen sollten.
Prinzipien
Die DSGVO schreibt die bereits im BDSG bestehenden datenschutzrechtlichen Grundprinzipien der Datenvermeidung, Datensparsamkeit, Zweckbindung und des Verbotes mit Erlaubnisvorbehalt und Transparenz fort. Datenverarbeitungsvorgänge sollen lediglich zulässig sein, soweit die betroffene Person bereits zugestimmt hat, die Datenverarbeitung zur Vertragserfüllung erforderlich ist oder eine in den Regelungen niedergelegte Ausnahme greift.1)
Zahlreiche Voraussetzungen, die sich bisher nur in allgemeinen Prinzipien widerspiegelten, werden nun von der DSGVO präziser gefasst.
Allgemeine Neuerungen
Eine zentrale Neuerung, die mit der DSGVO einhergehen und alle Unternehmen betreffen wird, stellt die Reform der Bußgeldvorschriften dar. Der Bußgeldrahmen des § 43 BDSG betrug bislang bis zu 300 000 Euro. Zukünftig sind Bußgelder von bis zu vier Prozent des weltweit vom Unternehmen erzielten Jahresumsatzes beziehungsweise ein Betrag von 20 Millionen Euro vorgesehen, je nachdem, welcher der Beträge höher ausfällt.2)
Damit rücken die Bußgelder für Datenschutzverletzungen in die Nähe von Kartellverstößen, bei denen zehn Prozent des Umsatzes als Berechnungsgrundlage herangezogen werden.3) Die zuständigen Aufsichtsbehörden werden mit der Aufgabe betraut sicherzustellen, dass die Sanktionen im Falle eines Verstoßes "wirksam, verhältnismäßig und abschreckend" Wirkung entfalten.4) Inwieweit der neue, weitaus höhere Bußgeldrahmen von den Aufsichtsbehörden ausgeschöpft werden wird, bleibt abzuwarten. Allerdings ist davon auszugehen, bei einer Obergrenze von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes statt wie bisher "nur" 300 000 Euro, dass die Bußgelder in Zukunft tendenziell höher ausfallen werden.
Des Weiteren werden die Informationspflichten von Unternehmen im Falle von Datenschutzverletzungen drastisch verschärft. In Zukunft sind die Unternehmen bei Datenschutzverstößen verpflichtet, die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Kenntniserlangung des Verstoßes zu informieren. Dies gilt auch gegenüber dem Betroffenen, welcher unverzüglich und in verständlicher Weise in Kenntnis zu setzen ist, sofern die Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge hat.
Dieser Informationspflicht gegenüber den Betroffenen kann das für die Datenverarbeitung verantwortliche Unternehmen (der Verantwortliche) entgehen, sofern es geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat. Dazu zählen insbesondere solche, die personenbezogene Daten schützen, wie etwa durch Verschlüsselung, oder die dafür Sorge tragen sicherzustellen, dass das Risiko einer Verletzung der Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.
Es ist zudem weiterhin nicht erforderlich, den Betroffenen zu informieren, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.5)
Vor dem Hintergrund des drastisch erhöhten Bußgeldrahmens wird diese Informationspflicht die Unternehmen vor besondere Herausforderungen stellen. Daher gilt es, ein effektives Reporting-System im Unternehmen zu etablieren, das gewährleistet, dass Datenschutzverletzungen rechtzeitig erkannt werden und unter Einbindung der richtigen Ansprechpartner und Hierarchieebenen bewertet werden, sodass die richtigen Entscheidungen im Hinblick auf die Meldung von Datenschutzverletzungen getroffen werden können.
Zudem gibt die neue DSGVO Unternehmen künftig in Art. 30 DSGVO die Pflicht zum Führen eines Verzeichnisses in wesentlichen Bereichen der Verarbeitungstätigkeit auf. Inhaltlich entsprechen die verlangten Dokumentationen den bereits bekannten Anforderungen des BDSG. So ist zum Beispiel vorgesehen, die wesentlichen Informationen der Datenverarbeitung, wie Angaben zu Zweck der Verarbeitung, Löschfristen und Empfang, zusammenzufassen. Die dokumentierten Verfahren müssen zudem nicht mehr "Jedermann", sondern nur noch den Aufsichtsbehörden auf Antrag zur Verfügung gestellt werden. Eine Differenzierung zwischen einem öffentlichen und einem internen Teil des Verfahrensverzeichnisses ist nicht länger erforderlich. Ebenso werden Auftragsverarbeiter den Änderungen der DSGVO folgend, ein Verzeichnis zu führen haben.
Von der Pflicht zum Führen eines Verzeichnisses kann von Unternehmen mit weniger als 250 Mitarbeitern in engen Grenzen abgewichen werden, sofern die Datenverarbeitung den Rechten und Freiheiten der Betroffenen risikolos gegenübersteht, sie regelmäßig erfolgt oder sensible Daten nicht betroffen sind.
Materielle Regelungsspielräume
Das ursprüngliche Ziel der Datenschutz-Grundverordnung, nämlich ein EU-weit einheitliches Datenschutzrecht zu schaffen, wurde allerdings verfehlt. Die DSGVO enthält circa 60 Öffnungsklauseln, die es in den Mitgliedsstaaten ermöglicht, von den Regelungen der DSGVO abzuweichen.
Den Mitgliedstaaten wird im Bereich der Datenverarbeitung - und zwar sowohl bezüglich der Erstverarbeitung, gerichtet auf den ursprünglichen Verarbeitungszweck, als auch bei der Weiterverarbeitung zu anderen Zwecken - bei der Schaffung von Rechtsgrundlagen ein erheblicher Spielraum eingeräumt.
Insbesondere für eine Weiterverarbeitung zu anderen Zwecken lässt die DSGVO nationale Regelungen zu, durch welche die grundsätzlich unzulässige Weiterverarbeitung von Daten erlaubt sein kann.6) Eine Maßnahme des Gesetzgebers muss in diesem Zusammenhang stets verhältnismäßig sein. Auf diese Weise sollen der Schutz des Betroffenen, das öffentliche Interesse und die Rechte und Freiheiten anderer Personen gewährleistet werden. Letztlich bleibt abzuwarten, in welchem Umfang der deutsche Gesetzgeber von den materiellen Regelungsspielräumen Gebrauch machen wird.
Weitere Regelungen auf nationaler Ebene können bei der Datenverarbeitung in Bezug auf genetische Daten, biometrische Daten oder Gesundheitsdaten, für im öffentlichen Interesse liegende Archivzwecke, für Zwecke der historischen oder wissenschaftlichen Forschung, für statistische Zwecke, im Beschäftigungskontext, für journalistische, literarische oder künstlerische Zwecke und soweit sie unter die Inanspruchnahme der Meinungs- und Informationsfreiheit fallen, beschlossen werden.7)
Des Weiteren können die Betroffenenrechte teilweise durch den nationalen Gesetzgeber Einschränkungen erfahren.8) Diese Ausnahmeregelungen sollen einen angemessenen Ausgleich zwischen dem Recht eines Betroffenen auf Privatsphäre und anderen, widerstreitenden Interessen sicherstellen. Weitere Öffnungsklauseln sind in der DSGVO für das Verbot der Verarbeitung sensibler Daten, bei der Datenverarbeitung durch mehrere Beteiligte, beim betrieblichen Datenschutzbeauftragten, im Rahmen der Selbstregulierung sowie beim Verbandsklagerecht vorgesehen, wobei diese Aufzählung nicht abschließend ist.
Zudem finden sich in einigen Artikeln der DSGVO sogenannte unbestimmte Rechtsbegriffe wieder. Dies sind Begriffe, deren inhaltliche Bedeutung mehrere Auslegungen zulässt und sich auch aus dem Zusammenhang, in dem sie erwähnt werden, nicht objektiv erschließen lassen. Wie die Begriffe der DSGVO zu interpretieren sind, wird unter anderem durch den deutschen Gesetzgeber und die Rechtsprechung zu beantworten sein. Allerdings ist davon auszugehen, dass der deutsche Gesetzgeber nur bereit ist, das Notwendige zu ändern und bestehende Regelungen soweit wie möglich erhalten wird.
Verantwortung des Datenschutzbeauftragten
Unter der DSGVO ist eine besondere Veränderung für den Datenschutzbeauftragten zu erwarten.9) Sein Aufgabenbereich wird sich zwar nicht grundlegend ändern. Er muss weiterhin eine gewisse berufliche Qualifikation, das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben vorweisen können. Allerdings wird sich seine Verantwortung grundlegend verändern. Unter dem BDSG musste der Datenschutzbeauftragte auf die Einhaltung des Datenschutzrechts lediglich "hinwirken". Unter der DSGVO muss er jedoch die Einhaltung "überwachen."10) Vermutlich wird seine Stellung einem Überwachergaranten gleichen, welcher zum Eingreifen bei Verstößen von Datenverarbeitungen verpflichtet ist. Dadurch werden die Anforderungen an den Datenschutzbeauftragten weitaus höher sein als bisher, was sich auch in der Haftung des Datenschutzbeauftragten widerspiegeln kann. Datenschutzbeauftragte in Unternehmen sollten sich jedenfalls diese Änderung bewusst machen und sich im Klaren sein, dass ihre Verantwortung unter der DSGVO eine andere sein wird, obwohl sich ihr Aufgabenkatalog nicht groß ändern wird.
Erster Entwurf des Bundesdatenschutzgesetzes
Ein erster Entwurf des Allgemeinen Bundesdatenschutzgesetzes (ABDSG-E) wurde am 5. August 2016 vom Bundesministerium des Innern veröffentlicht. Dieser Entwurf sieht einige zentrale Veränderungen in Bezug auf die Zweckänderung vor, die nicht zuletzt für Factoring-Unternehmen von großem Interesse sind.
Für Unternehmen, die eine Datenverarbeitung zu anderen als den ursprünglichen Zwecken betreiben, gilt festzuhalten: Sofern die Zweckänderung dem Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche dient, stehen einer Verarbeitung von Daten ausnahmsweise keine Einwände entgegen.11)
Das B2C-Factoring sieht sich mit der Problematik konfrontiert, dass in der Forderungsabtretung durch den Factoring-Kunden gegenüber dem Unternehmen wahrscheinlich eine Zweckänderung zu sehen ist. Jedenfalls müsste eine Zweckänderung wohl angenommen werden, soweit mit der Forderungsabtretung zugleich eine Änderung der Zweckbindung des Vertrages zwischen Factoring-Kunde und Debitor als Folge einhergehen würde. Die Weitergabe der Daten an das Factoring-Unternehmen bedürfte in diesem Fall einer weiteren, ausdrücklichen Einwilligung durch den Debitor. In der Praxis würden automatisierte Abläufe im Datenverkehr stark beeinflusst, wobei unter anderem ein erheblicher Anstieg des Verwaltungsaufwands aus diesem Erfordernis resultieren würde.
Das Recht auf Information des Betroffenen tritt jedoch gemäß Entwurf des ABDSG zurück, sofern die Pflichterfüllung mit einem unverhältnismäßigen Aufwand einhergeht.12) Gleiches gilt für die Auskunftsrechte der Berechtigten.13) Neben weiteren Änderungen wird der Bußgeldrahmen auf persönlich haftende Personen erstreckt und auf 300 000 Euro festgesetzt, wodurch er dem des BDSG entspricht.14)
Demnach nimmt der Entwurf zum ABDSG eine deutlich liberalere Haltung zugunsten von Unternehmen im Gegensatz zum bisherigen Wortlaut der DSGVO ein. Eine "doppelte Benachrichtigungspflicht" könnte gerade bei Massengeschäften mit erheblichem Abwicklungsumfang einen unverhältnismäßigen Aufwand begründen, welcher eine rechtmäßige Reduktion der Informationsverpflichtung ermöglichen würde.
Der Entwurf zum ABDSG erweckt bisher den Eindruck, der hiesige Gesetzgeber beabsichtige vor allem eine Erleichterung im Umgang mit personenbezogenen Daten für öffentliche Stellen und Nachrichtendienste. Dabei wird der Datenschutz der Betroffenen augenscheinlich nicht gestärkt, weshalb anhaltende Kritik das Bundesministerium der Justiz zu einem Einschreiten veranlasste. Der Entwurf zum ABDSG wurde daher bereits am 8. September 2016 durch das Bundesministerium der Justiz vorläufig gestoppt. Von daher können derzeit15) keine belastbaren Aussagen gemacht werden, welche inhaltlichen Änderungen durch das ABDSG erfolgen werden. Einigkeit besteht offenbar lediglich darüber, dass die bisherige Struktur des BDSG komplett aufgehoben wird und sich zukünftig an der Struktur der DSGVO orientiert.
Änderungen bei der Einwilligung
Durch die DSGVO wird ein Einwilligungserfordernis verankert, welches Unternehmen vor neue Herausforderungen stellen wird. Aber zunächst eine gute Nachricht in Bezug auf bereits erteilte Einwilligungen:
Es ist davon auszugehen, dass auch unter der DSGVO bereits erteilte Einwilligungen fortgelten, sofern sie bereits rechtswirksam erteilt wurden. An eine bereits erteilte Einwilligung kann allerdings dann nicht nahtlos angeknüpft werden, wenn unter anderem das Gebot der Freiwilligkeit im Zeitpunkt der Einwilligungserteilung widerrechtlich missachtet wurde.16) In Bezug auf das Einwilligungserfordernis unter der DSGVO werden sich folgende Änderungen ergeben:
Entsprechend der bisherigen Rechtslage muss eine Einwilligung freiwillig erklärt werden, auf einer informierten Entscheidung der betroffenen Person beruhen und eindeutig erklärt werden. Anders als aktuell muss nach der DSGVO die Einwilligung jedoch nicht mehr regelmäßig schriftlich erklärt werden. Vielmehr stehen die schriftlich, mündlich, elektronisch oder in anderer Form erklärten Einwilligungen gleichberechtigt nebeneinander.17) Auch die konkludente Erklärung der Einwilligung ist daher möglich. Voraussetzung, insbesondere einer konkludenten Einwilligung, ist jedoch, dass die betroffene Person sich aktiv erklärt. Schweigen - oder im Online-Kontext - vorangekreuzte Checkboxen sind keine Erklärung im Sinne des Art. 8 DSGVO und damit keine Einwilligungserklärung.
Der Verantwortliche trägt für die Erklärung der Einwilligung zudem die Beweislast.18) Es ist daher ratsam, Einwilligungserklärungen schriftlich oder elektronisch einzuholen und jedenfalls für die Dauer der darauf gestützten Datenverarbeitungen zu dokumentieren. Die Einwilligung kann - wie bisher - jederzeit mit Wirkung für die Zukunft widerrufen werden.19) Es besteht demnach weiterhin eine Organisationspflicht, Systeme, die personenbezogene Daten auf der Basis einer Einwilligungslösung verarbeiten, so zu gestalten, dass individuelle Widersprüche umgesetzt werden können.
Bei den Informationspflichten, die im Zusammenhang mit einer Einwilligung zu erfüllen sind, werden die Anforderungen verschärft: Der Verantwortliche muss zum Zeitpunkt der Erhebung seinen Namen und seine Kontaktdaten angeben. Neu ist die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten. Zudem muss der Verantwortliche über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Durch diese neue Anforderung wird der Betroffene darüber aufgeklärt, auf welchen Erlaubnistatbestand der Verantwortliche die Datenverarbeitung stützen möchte. Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Unternehmens erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen.
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, sind die Betroffenen grundsätzlich über die konkreten Empfänger zu informieren. Ausnahmsweise reicht auch eine Information über Kategorien von Empfängern, wenn konkrete Unternehmen noch nicht bezeichnet werden können. Sollte der Verantwortliche eine Übermittlung personenbezogener Daten in Drittstaaten beabsichtigen, muss darüber ebenfalls informiert werden. Um diese Pflicht zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung die Übermittlung beruht und welche Maß nahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Werden zum Beispiel EU-Standardvertragsklauseln verwendet, muss dem Betroffenen eine Einsichtnahme in das entsprechende Dokument ermöglicht werden.
Darüber hinaus ist konkret anzugeben, für welchen Zeitraum personenbezogene Daten gespeichert werden. Nur ausnahmsweise, wenn die Angabe einer konkreten Zeitspanne nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus. Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen. Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist auch darauf gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt. Ferner muss der Betroffene darüber aufgeklärt werden, dass er sich bei einer Aufsichtsbehörde beschweren kann, wenn er die Ansicht vertritt, die Verarbeitung seiner personenbezogenen Daten erfolge rechtswidrig.
Sobald der Verantwortliche Verfahren der automatisierten Entscheidung nach Art. 22 DSGVO oder andere Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren aufgeklärt werden. Diese Informationspflicht erstreckt sich auf Angaben zu der dazu verwendeten Logik oder des Algorithmus.
Da dieser Katalog an Informationspflichten erheblich von den bisherigen abweicht, wird für Factoring-Unternehmen, wie auch für alle anderen datenverarbeitenden Unternehmen, ein erhöhter Mehraufwand entstehen, um bisher existierende Datenschutzerklärungen zu überarbeiten.
Weitere Entwicklung beobachten
Ziel der DSGVO war es, den Weg für einen harmonisierten Datenschutz in Europa und ein modernes Datenschutzniveau zu ebnen. Dies ist durch die vielen Öffnungsklauseln nur teilweise gelungen. Der bisherige Entwurf zum ABDSG ist höchst umstritten, weshalb aus unternehmerischer Sicht mit einer Umsetzung in der bisherigen Fassung nicht gerechnet werden darf.
Factoring-Unternehmen müssen jedoch auf Grundlage der DSGVO mit verschärften Informationspflichten, erhöhtem Bußgeldrahmen und somit wohl künftig einem erhöhten organisatorischen Aufwand bei der Datenverarbeitung rechnen. Bevor kein gültiger Entwurf des ABDSG vorliegt, können allerdings keine konkreten Angaben gemacht werden, inwiefern der deutsche Gesetzgeber von den Öffnungsklauseln Gebrauch machen wird.
Daher gilt es, die Entwicklungen bei der Umsetzung der Datenschutz-Grundverordnung genau zu beobachten und das Jahr 2017 dafür zu nutzen, um maßgebliche Anpassungen bei den Datenverarbeitungsprozessen im Unternehmen vorzunehmen, damit bei Wirkung der DSGVO im Mai 2018 deren Anforderungen unmittelbar erfüllt werden können.
1) Art. 6 DSGVO.
2) Art. 83; Art. 84 DSGVO.
3) § 81 Abs. 4 GWB.
4) Art. 83 Abs.1 DSGVO.
5) Art. 34 DSGVO.
6) Art. 6 Abs. 3a DSGVO.
7) Art. 6 Abs. 2a DSGVO.
8) Art. 21 DSGVO.
9) Art. 35 Abs. 1 DSGVO.
10) Art. 39 DSGVO
11) Art. 6 Abs. 4 DSGVO.
12) §§ 7, 8 ABDSG-E.
13) § 9 ABDSG-E.
14) § 43 BDSG, § 42 ABDSG-E.
15) Stand 4. November 2016.
16) Erwägungsgrund 43.
17) Erwägungsgrund 32.
18) Art. 7 Abs. 1 DSGVO.
19) Art. 7 Abs. 3 DSGVO.
