Constantin Jacob, Leiter Recht & Regulierung und Verbandsjustitiar im Customer Service & Call Center Verband Deutschland e. V. (CCV)
Die Datenschutz-Grundverordnung (DSGVO), welche seit 25. Mai 2018 anzuwenden ist, ist eine Verordnung der Europäischen Union (EU). Sie dient dazu, Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen in der EU zu vereinheitlichen. In Kraft trat die DSGVO bereits am 24. Mai 2016. Unternehmen hatten also zwei Jahre Zeit, sich auf diese vorzubereiten. EU-Verordnungen sind Rechtsakte der Europäischen Union, die unmittelbar in den Mitgliedstaaten wirksam sind. Anders als EU-Richtlinien erfordern EU-Verordnungen wie die DSGVO somit keine Umsetzung durch den nationalen Gesetzgeber. Ungeachtet der unmittelbaren Wirksamkeit von EU-Verordnungen müssen die nationalen Gesetzgeber dennoch meist Anpassungen der nationalen Gesetze vornehmen, um den europarechtlichen Änderungen Rechnung zu tragen.
Deutschland novellierte sein Bundesdatenschutzgesetz (BDSG) im Mai 2017. Das neue BDSG wird gemeinsam mit der DSGVO seit 25. Mai 2018 angewandt. Die Regelungen der DSGVO gelten auch für Unternehmen aus Drittstaaten außerhalb der EU, wenn diese Daten von EU-Bürgern verarbeiten (Marktortprinzip, Art. 3 Abs. 2 DSGVO).
Durch die DSGVO soll der Schutz personenbezogener Daten innerhalb der EU sichergestellt und dennoch der freie Datenverkehr innerhalb des Europäischen Binnenmarkts gewährleistet werden. Ob das Ziel, die Rechtsanwendung EU-weit zu vereinheitlichen, erreicht wird, ist jedoch fraglich. Denn obwohl etliche Regelungen schon lange in vielen EU-Staaten ähnlich lauten, differiert oft die Auslegung durch die nationalen Aufsichtsbehörden. Auch enthält die DSGVO sogenannte „Öffnungsklauseln“, die den EU-Staaten erlauben, in bestimmten Bereichen nationale Regelungen zu treffen; dies gilt z. B. für den Beschäftigtendatenschutz. Die Mitte 2020 anstehende Evaluierung der DSGVO plant die Große Koalition laut Koalitionsvertrag intensiv zu begleiten und auf ihre Zukunftsfähigkeit sowie Effektivität zu überprüfen. Auch möchte sie sich für eine innovationsfreundliche Anwendung der DSGVO einsetzen.
Der CCV informiert nach Login (siehe unten „Wissen“) ausführlich über Inhalte der DSGVO und veröffentlicht zudem Artikel in den Fachmedien (CallCenterPROFI, TeleTalk).
Ebenso wurde die DSGVO auf unseren CCV-Regionaltreffen und im Rahmen einer DSGVO-Roadshow mit mehreren Veranstaltungen deutschlandweit thematisiert.
Sehr detailliert klärt auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit über Inhalte und Änderungen mit ihren Broschüren zur DSGVO und zum Datenschutz allgemein auf. Ebenso empfehlenswert sind die Praxishilfen der Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V. Das Bayerische Landesamt für Datenschutzaufsicht hält zudem ausführliche Informationen zur DSGVO bereit. Ebenso stellen die Datenschutzkonferenz sowie die Stiftung Datenschutz umfassende Unterlagen zur Verfügung.
Wie immer in der Rechtswissenschaft gilt: Ein Blick ins Gesetz erleichtert die Rechtsfindung. Den Text zur DSGVO finden Sie bspw. hier. Empfehlenswert ist es zudem, die Erwägungsgründe (ErwG) zu den einzelnen Artikeln der DSGVO bei der Lektüre hinzuzuziehen, hierdurch können bereits viele Fragen geklärt werden. Links zu den jeweils passenden Erwägungsgründen sind den DSGVO-Artikeln in der beispielhaft angegebenen Quelle unten angehängt. Dies gilt ebenso für die passenden Paragrafen des BDSG (neu).
Kurzüberblick
- Die DSGVO fiel nicht vom Himmel, sondern ist bereits seit 24. Mai 2016 in Kraft. Es bestand eine zweijährige Übergangsfrist. Seit 25. Mai 2018 ist die DSGVO anzuwenden.
- Keine Panik!
- Zu den meisten DSGVO-Artikeln existieren Erwägungsgründe. Sie bieten Anhaltspunkte zu Auslegung, Definitionen etc. Beachten Sie diese unbedingt! Sie helfen Ihnen bereits in vielen Fragen entscheidend weiter.
- Wie bislang schon gilt im Datenschutz: Alles, was nicht ausdrücklich erlaubt ist, ist verboten.
- Entsprechend ist Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung personenbezogener Daten) quasi die zentrale Norm der DSGVO.
- Prüfen und überarbeiten Sie Ihre Datenschutzerklärung/Transparenzinformationen anhand Artt. 13, 14 DSGVO. Weisen Sie auf diese auf Ihrer Homepage, in Ihrer E-Mail-Signatur etc. hin.
- Überprüfen Sie Ihre internen Prozesse (etwa in Bezug auf Optins).
- Entwickeln Sie Konzepte in Hinblick auf die Betroffenenrechte und die Meldungspflicht von „Datenpannen“.
- Beachten Sie: Geben Sie im Rahmen von Auskunftsersuchen Informationen nur an die tatsächlich betroffene Person weiter. Verlangen Sie ggf. einen Identitätsnachweis bzw. nutzen Sie ausschließlich die Ihnen bekannten Kontaktkanäle des Betroffenen. Auskünfte an falsche Personen können eine meldungspflichtige „Datenpanne“ darstellen!
- Prüfen Sie die Notwendigkeit von Verträgen zur Auftragsverarbeitung und schließen Sie diese ggf. ab. Passen Sie alte Verträge zur Auftragsdatenverarbeitung der neuen Rechtslage an.
- Sensibilisieren Sie Ihre Mitarbeiter für das Thema Datenschutz, erstellen Sie idealerweise Datenschutz-Richtlinien, in denen Sie auf Betroffenenrechte, „Datenschutzpannen“ usw. hinweisen.
- Verpflichten Sie Mitarbeiter und Funktionsträger in Text-/Schriftform zum Datenschutz.
- Falls notwendig führen Sie eine Datenschutz-Folgenabschätzung durch.
- Erstellen Sie eine umfangreiche Dokumentation zur Vorlage bei einer Prüfung durch eine Aufsichtsbehörde (u.a. Verarbeitungsverzeichnis inklusive Auflistung der technisch-organisatorischen Maßnahmen [„TOMs“], Ausdruck Ihrer aktuellen Datenschutzerklärung, Datenschutz-Verpflichtungen Ihrer Mitarbeiter, Datenschutz-Richtlinie, Verträge zur Auftragsverarbeitung, wenn notwendig Datenschutz-Folgenabschätzung).
- Überprüfen Sie, ob Sie einen Datenschutzbeauftragten bestellen müssen. Das ist oftmals der Fall.
- Datenschutz ist ein fortlaufender Prozess! Überprüfen Sie regelmäßig Ihre Dokumentationen sowie Maßnahmen und aktualisieren Sie diese ggf.
- Zuständige Aufsichtsbehörde ist die/der Landesdatenschutzbeauftragte Ihres Bundeslands.
- Bei der DSGVO handelt es sich um ein neues Gesetz. Die Auslegung durch Behörden und Gerichte ist in strittigen Fragen noch nicht klar. Darum ist es auch für Sie als Unternehmen natürlich nicht immer einfach, die DSGVO handzuhaben. Wichtig ist insofern, dass Ihr Unternehmen Sensibilität zeigt und sich Mühe gibt, die DSGVO umzusetzen.
…
Ausführliche Informationen für CCV-Mitglieder nach Login im unteren Bereich „Wissen“.
Unterstützen auch Sie den Verband und die Branche! Werden Sie Mitglied im CCV!
Diese Fragestellung sowie weitere Themen werden auch ausführlich in der am 5. April 2022 veröffentlichten CCV-Publikation „Datenschutz- und Wettbewerbsrecht im Kundenservice“ erörtert.
Rechtlicher Hinweis: Diese Publikation stellt eine allgemeine und unverbindliche Information dar. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers. Jegliche Haftung des CCV wird ausgeschlossen. Der CCV darf als Branchenverband keine Rechtsberatung im Einzelfall leisten. Hierzu wenden Sie sich bitte an einen spezialisierten Rechtsanwalt oder an einen (externen) Datenschutzbeauftragten. Alle Rechte, auch der auszugsweisen Vervielfältigung, liegen beim CCV.
Stand: 31. Juli 2018