Tatsächlich benötigt man selten eine Einwilligung: Art. 6 DS-GVO bietet fünf generalklauselartige gesetzliche Ermächtigungsgrundlagen, die in den allermeisten Fällen eine ausreichende rechtliche Grundlage für die Datenverarbeitung liefern. Unter anderem ist die Verarbeitung erlaubt, wenn sie für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, oder wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Berechtigtes Interesse

Besonders großzügig ist die Regel, dass eine Datenverarbeitung grundsätzlich erlaubt ist, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist; eine Vielzahl von Fällen lässt sich hierauf stützen. Als berechtigtes Interesse erkennt die DS-GVO (in den sog. Erwägungsgründen) sogar Direktwerbung an. Zwar kann der Betroffene dem widersprechen; auch dann entfällt aber (außer im Falle der Direktwerbung) nicht automatisch die Berechtigung.

Einwilligung

Eine (vorsorglich eingeholte) Einwilligung kann sogar schädlich sein. Nach Ansicht mancher Datenschutzbehörden bindet sich damit der Verantwortliche selbst; bei Widerruf der Einwilligung (der grundsätzlich jederzeit möglich ist) kann der Verantwortliche dann nicht hilfsweise eine gesetzliche Ermächtigungsgrundlage heranziehen, sondern muss die Verarbeitung einstellen.

Selbst dort, wo sie eingeholt werden muss (etwa vor dem Zusenden von Newslettern, bei Kundenkarten in Apotheken) fehlt es oft an der Wirksamkeit, weil die Voraussetzungen nicht eingehalten werden. Unter anderem muss die Einwilligung freiwillig sein, wogegen bei der Öffentlichen Hand und bei Arbeitgebern schon gesetzliche Zweifel bestehen; das Koppelungsverbot ist zu beachten – unter anderem darf die Erfüllung eines Vertrags nicht von einer Einwilligung abhängig gemacht werden, die hierfür nicht erforderlich ist.

Dokumentations- und Belehrungspflichten

Viel gestöhnt wurde auch über die vielen Dokumentations- und Belehrungspflichten, die die DS-GVO mit sich bringt. Tatsächlich ist dies ein zentrales Element (gewissermaßen als Gegengewicht zur Aufweichung in inhaltlicher Hinsicht), allerdings nicht immer neu.

Verzeichnis von Verarbeitungstätigkeiten

Ein Verzeichnis von Verarbeitungstätigkeiten (abgekürzt VVT) musste man auch früher schon anlegen; dies wird auch jetzt gerne von Datenschutzaufsichtsbehörden nachgefragt. Tatsächlich ist das VVT ein gutes Verwaltungsinstrument für die Einhaltung des Datenschutzes, viele weitere Pflichten könnten mit dessen Hilfe leicht erledigt werden. Die Anlage des VVT bedeutet zwar zunächst Arbeit; allerdings ist zu berücksichtigen, dass es sich im wesentlichen um einen einmaligen Aufwand handelt (in der Folge müssen lediglich neue Verarbeitungstätigkeiten und sonstige Aktualisierungen eingepflegt werden) und Berufsverbände in der Regel Musterverzeichnisse vorhalten, so dass man das Rad nicht neu erfinden muss.

Datenschutzerklärungen auf Websites

Auch Datenschutzerklärungen auf Websites waren schon nach altem Recht erforderlich; ihr Fehlen ist, wie früher, abmahnfähig. Da die Verarbeitungstätigen von Websites sich alle bis zu einem gewissen Grade ähneln, kann man auf eine Vielzahl von Mustern zurückgreifen. Analysetools helfen zudem (leider auch Abmahnern) bei der Identifizierung der Datenverarbeitungen, über die informiert werden muss, z. B. Web Privacy Check (https://webbkoll.dataskydd.net/en), PrivacyScore (https://privacyscore.org/), Securityheaders (https://securityheaders.com/).

Betroffenenrechte

Von den sog. Betroffenenrechten bereitet wohl am meisten Kopfzerbrechen die Pflicht, Betroffene über die sie betreffenden Datenverarbeitungen zu belehren. Auch für schwierige Situationen (Datenerhebungen am Telefon, Geschäftslokale) finden sich aber (ggf. unter Inkaufnahme eines Medienbruchs) Lösungen. Der Aufwand nimmt nach initialer Erstellung der Belehrungsmuster und -prozesse (etwa Datenschutzbelehrungen für Kunden und Mitarbeiter) stark ab; die notwendigen Angaben lassen sich Branchenempfehlungen und dem VVT entnehmen.

Löschpflicht

Über Löschpflichten kursieren wilde Gerüchte. Tatsächlich gibt es mehrere Fälle, in denen nicht gelöscht (ggf. aber eingeschränkt) werden muss, u. a.  wenn es eine gesetzliche Pflicht zur Aufbewahrung gibt oder wenn die Speicherung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient, jedenfalls also solange Verjährungs- und Gewährleistungsfristen von möglichen Gegenansprüchen laufen. Hier helfen branchenspezifischen Tabellen von Aufbewahrungsfristen (etwa KDSt, Aufbewahrungsfristen für Kommunalverwaltungen, Bericht Nr. 4/2006). Entsprechend muss ein Löschkonzept aufgestellt werden (am besten nach DIN 66398). Öffentliche Stellen müssen zudem die Archivierungspflicht beachten: Soweit öffentliche Stellen verpflichtet sind, Unterlagen z. B. dem Sächsischen Staatsarchiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung von Akten erst zulässig, nachdem die Unterlagen dem Archiv angeboten und von diesem als nicht archivwürdig bewertet worden sind (z.B. § 7 SächsDSDG).

Soweit Sie personenbezogene Daten anderen überlassen, müssen Sie prüfen, ob und ggf. welche Vereinbarungen zu schließen sind:

1) Bei Auftragsverarbeitern, zu denen wie früher auch IT-Wartungsunternehmen gehören, benötigen Sie eine Auftragsverarbeitungsvereinbarung (gute Muster von GDD und Bitkom erhältlich). Große Anbieter versuchen, hier über den gesetzlichen Pflichtenkatalog hinaus Regelungen zu platzieren, die nicht erforderlich sind (Haftungsfreistellungen, etc.). Sollten Sie ein gesetzlich zur Verschwiegenheit verpflichteter Berufsträger nach § 203 StGB sein (Ärzte, Apotheker, Rechtsanwälte, etc.), müssen Sie zusätzlich noch eine Verschwiegenheitsvereinbarung abschließen, sonst machen Sie sich strafbar, wenn der Auftragnehmer Geheimnisse offenbart. Steuerberater sind übrigens keine Auftragsverarbeiter und müssen auch keine Verschwiegenheitsvereinbarung abschließen, da sie von Gesetzes wegen hierzu verpflichtet sind.

2) Bei Unternehmen, die gelegentlich der Erbringung von Leistungen Kenntnis von personenbezogenen Daten erhalten könnten, benötigen Sie eine Verpflichtung auf den Datenschutz.

3) Gleiches gilt für Ihre Mitarbeiter (früher: Verpflichtung auf das Datengeheimnis).

Konzept für die Sicherheit

Wie nach altem Recht benötigen Sie ein Konzept für die Sicherheit der Ihnen anvertrauten personenbezogenen Daten. Listen Sie dabei die Maßnahmen auf, die Sie zur Gewährleistung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit ergriffen haben. Sie werden in etwa den Maßnahmen entsprechen, die Sie schon nach altem Recht ergreifen mussten. Eine gute Auflistung findet sich in § 64 Abs. 3 BDSG n.F. (obwohl die Vorschrift eigentlich nur Datenverarbeitungen im Anwendungsbereich der Datenschutz RL Justiz und Inneres (2016/680/EG) betrifft). Die Einhaltung der grundlegenden Sicherheitsvorkehrungen (etwa https-Verschlüsselung von Websites und Kontaktformularen) wird von Datenschutzbehörden gerne automatisiert überprüft.

Meldung von Datenschutzpannen

Stellen Sie einen Prozess zur Meldung von sog. Datenschutzpannen sicher. Die Datenschutzaufsichtsbehörde müssen Sie, anders als früher, bei jeder Datenschutzverletzung mit Risiko für betroffene Personen innerhalb von 72 Stunden informieren; dies hat zu einem deutlichen Anschwellen der Meldungen geführt, die angesichts begrenzter Ressourcen bei den Behörden allerdings kaum gesichtet werden dürften. Die Betroffenen selbst müssen nur bei Datenschutzverletzungen mit hohem Risiko für betroffene Personen informiert werden.

Datenschutzfolgeabschätzung

Es ist weiter damit zu rechnen, dass der Nachweis der Durchführung einer sog. Datenschutzfolgeabschätzung nach Art. 35 DS-GVO vor Einführung von Datenverarbeitungen mit hohem Risiko für die Betroffenen von den Datenschutzaufsichtsbehörden abgefragt wird. Alle Behörden haben inzwischen ähnliche sog. Blacklists von Verarbeitungstätigkeiten veröffentlicht (in Sachsen z. B. hier), bei denen ein solches Risiko unterstellt wird. Besondere formale Anforderungen ergeben sich aus dem Gesetz nicht; im Kern geht es darum, das Risiko anhand der Faktoren Eintrittswahrscheinlichkeit und Schwere des Schadens einzuschätzen und ggf. durch technisch-organisatorische Maßnahmen die Risikohöhe auf „begrenzt“ zu reduzieren. Die französische Datenschutzaufsicht CNIL hat zu diesem Zweck ein kostenloses Softwaretool (PIA) veröffentlicht, das auch in deutscher Sprache vorliegt.

Datenschutzbeauftragter

Beim Thema Datenschutzbeauftragter hat sich im Verhältnis zur alten Rechtslage nicht viel geändert. Versuche, im Rahmen eines Gesetzgebungsverfahrens die Bestellpflicht für KMUs abzuschaffen oder zumindest die Schwelle von 10 auf 50 Mitarbeiter anzuheben, sind wohl vom Tisch. Die Bestellpflicht greift übrigens unabhängig von der Zahl der Mitarbeiter immer dann, wenn das Unternehmen eine Datenschutzfolgenabschätzung erstellen muss, also z. B. bei Einführung einer Videoüberwachung.

Bußgelder

Spannend war schließlich die Frage, ob tatsächlich eine Lawine von Bußgeldern in Millionen-Höhe, Abmahnungen und Schadensersatzforderungen über Unternehmen und Behörden hereinbrechen würde. Dies ist klar zu verneinen.

Tatsächlich berichten einzelne Datenschutzbehörden von ersten Bußgeldern in 5-stelliger Höhe (etwa EUR 20.000 gegen eine gehackte Chat-Plattform, die Passwörter unverschlüsselt gespeichert hatte, oder EUR 80.000 gegen ein Unternehmen, bei dem Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen veröffentlicht wurden); das sind allerdings Beträge, die auch nach altem Recht verhängt werden konnten, von einer Welle kann keine Rede sein. Ein Grund dürfte neben einer unter der Hand gewährten Schonzeit Unsicherheit in der Auslegung der Normen und schlichte Überlastung sein. Einzelne Bundesländer leiten allerdings zunehmend Verfahren ein (etwa NRW, Bayern). Nur im Ausland machte man bisher von dem neuen hohen Bußgeldrahmen der DS-GVO Gebrauch (vgl. etwas das von der französischen Datenschutzaufsicht gegen Google verhängte Bußgeld in Höhe von EUR 50 Millionen).

Abmahnindustrie

Auch die Abmahnindustrie hat sich noch nicht recht aus der Deckung gewagt. Soweit ersichtlich betrafen erste Gerichtsentscheidungen dazu vor allem fehlende Datenschutzerklärungen (s. o.). Die Mehrzahl der Gerichte, u. a. das OLG Hamburg, bestätigte damit, dass die DS-GVO sehr wohl abmahnfähige Marktverhaltensregeln enthält (Vorsprung durch Rechtsbruch, § 3a UWG). Fehlende ausdrückliche vorherige Zustimmung zur E-Mail-Werbung wird allerdings schon seit der Reform 2008 durch das UWG als unzumutbare abmahnfähige Belästigung eingestuft; die Rechtslage hat sich durch die DS-GVO nicht verändert.

Die DS-GVO ist damit besser als ihr Ruf. Die schlimmsten Szenarien sind ausgeblieben (Abmahnungen, Bußgelder). Inhaltlich ist sie sogar großzügiger, als die alte Rechtslage. Das Gegengewicht hierzu bilden die hohen Transparenzpflichten und Betroffenenrechte. Diese scheinen im Detail nicht immer durchdacht und anpassungsbedürftig, aber keineswegs völlig undurchführbar. Vielen Branchen stehen viele kostenlose Muster und Anleitungen von Verbänden und Kammern zur Verfügung. Nach einem gewissen Initialaufwand hält sich der laufende Aufwand in Grenzen. Vorsicht ist allerdings bei Internetauftritten und elektronischer Kommunikation geboten. Hier ist die Abmahngefahr am größten.