Fast jedes Unternehmen oder jeder Soloselbständige lässt irgendwelche Daten von einem Dritten verarbeiten. Das kann der IT-Dienstleister sein oder der Lieferservice um die Ecke. Oder aber die externe Buchhaltung, die externe Rechnungsschreibung oder der Lettershop zum Versand von Newslettern. Nun geht es in der DSGVO ja vor allem um den Schutz der personenbezogenen Daten und nicht um irgendwelche Daten, die in keiner Beziehung zu einer natürlichen Person gebracht werden können. Bleibt die Frage, wie sich eine Auftragsverarbeitung von der Erbringung einer Dienstleistung abgrenzt.

Jetzt zu Weihnachten und durch die Einschränkung des stationären Handels durch Corona boomt der E-commerce und Onlinehandel wie nie zuvor. Die meisten Onlinehändler bedienen sich dabei verschiedener externer Dienstleister um Nebenleistungen wie Zahlungsabwicklung, Transport, Garantiebearbeitung etc. abzuwickeln.
Das bringt besondere Herausforderungen an den legalen Datentransfer und die korrekte Datenerhebung mit sich. Die allgemeinen Grundsätze der DSGVO, einer verbindlichen Rechtsnorm, müssen ohnehin von jedem umgesetzt werden, der in irgendeiner Form personenbezogene Daten erfasst und verarbeitet.
Zu beantworten sind die spezifischen Fragen:
Welche Daten dürfen im Zusammenhang mit einem Bestellvorgang überhaupt erfasst werden?
Welcher externe Dienstleister darf korrekterweise welche Daten erhalten?

Die Regeln der DSGVO und des Datenschutzes sind seit 2018 der „Informationellen Selbstbestimmung“ natürlicher Personen gewidmet. Das bedeutet, dass jeder Mensch gesetzlicher Eigentümer seiner personenbezogenen Daten ist und dass nur der Eigentümer über die Verwendung dieser Daten entscheidet.

Um die Entscheidung über eine Verwendung treffen zu können, muss die Person jedoch zunächst wissen, welche Daten erhoben werden und was mit diesen Daten im Einzelnen passiert. Genau das will der Artikel 5 der DSGVO erreichen, der fordert, dass personenbezogene Daten auf „rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden müssen.

Am 16.7.2020 beschloss der EuGH, dass der EU-US privacy shield für die Übertragung von Daten in die Vereinigten Staaten nicht mehr das geforderte Sicherheitsniveau garantiert. Damit wurde eine der grundlegenden Rechtsgrundlagen für die Übertragung von personenbezogenen Daten in die Vereinigten Staaten gekippt. Man mag jetzt sagen, wir übertragen ja nichts in die USA! Stimmt aber i.d.R. nicht.

Stellen wir uns einmal folgendes Szenario vor:

Ein Arbeitgeber hat einem Mitarbeiter im Home Office die benötigte Hardware in Form eines Rechners/Laptops für dienstliche Anwendungen zur Verfügung gestellt. Der Mitarbeiter speichert jedoch auch private Daten auf diesem Rechner – was er tunlichst unterlassen sollte.

Der Arbeitgeber hat einen begründeten Verdacht einer Pflichtverletzung und greift per Remote-Zugriff auf alle Inhalte zu und findet z.B. Sachverhalte, die dem Beschäftigungsvertrag entgegenstehen. Daraufhin spricht er eine Kündigung aus.

Ist das erlaubt?

• Wir sind zu klein, die DSGVO trifft auf uns nicht zu
  Das trifft auf zu gut wie kein Unternehmen, keinen Einzelunternehmer oder Selbstständigen zu. Sobald personenbezogene Daten von Kunden, Mitarbeitern, Lieferanten oder Bewerbern digital oder analog (im Ordner, im Terminbuch) gespeichert oder verarbeitet werden, müssen Sie für einen angemessenen Schutz dieser Daten sorgen und unterliegen den Vorschriften der DSGVO. Dazu gehört nicht nur eine an die Funktionen der Webseite angepasste Datenschutzerklärung, sondern einige grundlegende Prozesse und Dokumentationen, die die Rechte der Benutzer sicherstellen.

Entgegen der landläufigen Meinung gilt das nicht nur für die Großen. Auch Kleinbetriebe und Selbstständige sind davon betroffen. Nicht zuletzt gilt das für die Bürger, die Betroffenen, dieses Landes. Da sich das noch nicht herumgesprochen zu haben scheint, habe ich den nachstehenden - vielleicht etwas philosophischen - Artikel verfasst.

Corona hält die Welt fest im Griff. Alles bewegt sich rasend schnell in Richtung Digitalisierung. Da bekommen persönliche Daten insbesondere im Bereich Gesundheit eine neue Bedeutung und einen neuen Wert. Geolokalisierung zur Kontaktermittlung möglicherweise Infizierter, Gesundheitsdatenbanken und nicht zu vergessen die vielen privaten Messages in den sozialen Medien und Registrierungsprozeduren auf Webseiten – soll das wirklich nur Handelsware sein?

 Das Jahr 2020 wird von vielen renommierten Datenschutzkanzleien als das Jahr der Prüfungen und Bussgelder gesehen. Zwar kann man davon ausgehen, dass Kleinunternehmen nach wie vor eine gewisse Kulanz bei der Umsetzung erwarten können, aber das Vorgehen der Behörden bei Prüfung und Ahndung von Datenschutzverletzungen ist um einiges konsequenter geworden; wie auch die Anzahl der gemeldeten Verstöße erheblich gestiegen ist.

Es reicht eben nicht, eine Musterdatenschutzerklärung etwas anzupassen und auf die Webseite zu stellen. Vielmehr sind etliche Informationspflichten zu erfüllen, um die Betroffenenrechte wahren zu können. In diesem Zusammenhang sind auch betriebsintern einige Massnahmen zu ergreifen und Prozesse zu entwickeln um den Vorschriften der DSGVO zu genügen.