Hoffen auf die Gerichte
(Quelle: The European Data Protection Board)
Solange Uneinigkeit zwischen Aufsichtsbehörden bestehe, könnten sich keine allgemein gültigen Best Practices ausbilden, moniert Bitkom-Bereichsleiterin Weiß: „Das hemmt die Umsetzung der
DSGVO-Vorschriften und schadet deren Akzeptanz.“ Die unterschiedlichen Auslegungspraktiken laufen auch der erklärten Absicht der EU-Kommission zuwider, europaweit eine Harmonisierung bei der Verarbeitung personenbezogener Daten zu erreichen. „Es ist von entscheidender Bedeutung, dass die Datenschutzbehörden einen gemeinsamen EU-Ansatz entwickeln“, forderte die zuständige EU-Kommissarin Veˇra Jourová auf der „9th Annual European Data Protection & Data Privacy Conference“, die im März in Brüssel stattfand.
Das entspricht auch dem Geist der DSGVO. Kapitel 7 fordert die Zusammenarbeit zwischen den Aufsichtsbehörden untereinander und mit der Kommission, und der in Artikel 68 definierte Europäische Datenschutzausschuss, in den jedes Land einen Vertreter entsendet, soll Leitlinien und Empfehlungen für eine einheitliche Anwendung der DSGVO erarbeiten.
Diese Verständigungsprozesse allein bringen jedoch noch keine Rechtssicherheit, betont BayLDA-Präsident Kranig: „Selbst wenn sich alle Aufsichtsbehörden einig sind, heißt das noch lange nicht, dass die getroffenen Beschlüsse vor Gericht Bestand haben.“ Je mehr Prozesse es gebe, desto schneller komme es zur Klärung. „Unsere Aufgabe muss sein, noch viel mehr Anordnungen zu erlassen, die dann gerichtlich überprüft werden können“, sagt der Datenschützer. Weiß sieht das genauso: „Alle Verfahren, die höchstrichterlich entschieden werden, sind wichtige Bausteine für die Rechtssicherheit.“
DSGVO in der B2B-Kommunikation
Prinzipiell gelten alle Regeln der DSGVO auch für die Kommunikation mit Geschäftspartnern, Dienstleistern oder Business-Kunden. Es gibt allerdings einige Ausnahmen, die den Umgang mit geschäftsbezogenen Daten zumindest etwas erleichtern. Folgende Informationen dürfen im geschäftlichen Kontext ohne explizite Einwilligung des Betroffenen verarbeitet werden:
Allgemeine Firmenangaben: Gelten nicht als personenbezogene Daten. Anschrift, generische E-Mail-Adressen wie „info@firma.de“ oder zentrale Telefonnummern fallen daher nicht unter die DSGVO. Problematisch können E-Mail-Adressen wie „einkauf@firma.de“ oder Abteilungs-Durchwahlen sein, da nicht klar zu erkennen ist, ob sie einer bestimmten Person zuzuordnen sind oder von mehreren Mitarbeitern genutzt werden. Im Zweifel sollte man vom Personenbezug ausgehen.
Geschäftsführer, Vorstände und Prokuristen: Daten wie Name und Titel, Zugehörigkeit zum Unternehmen und weitere im Handelsregister veröffentlichte Informationen dürfen verarbeitet werden. Das Merkmal „Geburtsdatum“ sollte nur mit klarer Zweckbindung Verwendung finden. Für alle anderen personenbezogenen Merkmale dieser Personengruppe, die nicht im Register veröffentlicht wurden, gelten die Regelungen der DSGVO wie Erlaubnisvorbehalt, Zweckbindung, Datenminimierung und die Betroffenenrechte auf Auskunft, Berichtigung und Löschung.
Offensichtlich öffentliche Daten: Es spricht viel dafür, dass personenbezogene Informationen wie Name, E-Mail-Adresse und Durchwahl, die in Social-Media-Profilen, auf Kontakt- und Teamseiten von Unternehmen oder in Firmenpräsentationen und Pressemitteilungen veröffentlicht sind, verarbeitet werden dürfen. In diesen Fällen gehen Juristen von einer „Zulässigkeit der Datenverarbeitung auf Grundlage der Interessenabwägung“ (Art. 6 Abs.1 DSGVO) aus. Um Problemen vorzubeugen, sollte sorgfältig dokumentiert werden, wann und wo diese Informationen öffentlich aufzufinden waren. Aber: Infos über Haustiere, Hobbys, Ehepartner, Kinder und Urlaubsziele dürfen nicht ohne Weiteres gespeichert werden, auch wenn sie öffentlich zugänglich sind.
