Andrea Schweizer, Rechtsanwältin "Grundsätzlich ist weiterhin die Geschäftsleitung für die Einhaltung der Datenschutzvorschriften verantwortlich"

Rechtsanwältin Andrea Schweizer (Bild: Wolf Heider-Sawall)

marktforschung.de: Die EU-Datenschutz-Grundverordnung gilt ab dem 25. Mai 2018. Wen betrifft die neue Regelung?

Andrea Schweizer: Die EU-Datenschutz-Grundverordnung ist am 25. Mai 2016 in Kraft getreten und gilt ab dem 25. Mai 2018 in allen Mitgliedstaaten der EU (Art. 99 EU-DSGVO). Sachlich ist die EU-DSGVO grundsätzlich – Ausnahmen sind in Art. 2 Absatz 2 EU-DSGVO geregelt –  für die zumindest teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, anwendbar (Art. 2 Absatz 1 EU-DSGVO). Räumlich ist die EU-DSGVO auf die Verarbeitung personenbezogener Daten anwendbar, soweit diese im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung selbst in der Union stattfindet (Art. 3 Absatz 1 EU-DSGVO). Zusätzlich gibt es eine wichtige Neuerung: Die EU-DSGVO ist auch auf die Verarbeitung personenbezogener Daten von betroffenen Personen durch Unternehmen außerhalb der EU anwendbar, wenn betroffenen Personen in der Union Waren oder Dienstleistungen angeboten werden oder das Verhalten von betroffenen Personen in der Union beobachtet wird (sogenanntes Marktortprinzip, Art. 3 Absatz 2 EU-DSGVO).

marktforschung.de: Ist das Bundesdatenschutzgesetz (BDSG) in Zukunft nur noch gültig, wenn die EU-Verordnung nicht etwas anderes vorschreibt oder wird es auch eine Neuauflage des BDSG geben?

Andrea Schweizer: Nach dem Grundsatz des Anwendungsvorrangs des Europarechts haben die nationalen Behörden und Gerichte die Vorschriften des Unionsrechts anzuwenden, auch wenn eine nationale Regelung entgegensteht. Das bedeutet, dass Regelungen in deutschen Gesetzen von den deutschen Behörden und Gerichten nicht mehr angewendet werden dürfen, wenn diese den Regelungen der EU-DSGVO widersprechen. Soweit deutsche Gesetze der Verordnung widersprechen sind die Normen zwar weiterhin gültig, sie dürfen jedoch nicht mehr von den Behörden und Gerichten angewendet werden. Um diese Rechtsunsicherheit möglichst zu vermeiden, hat der deutsche Gesetzgeber, durch das “Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU), ein neues Bundesdatenschutzgesetz (BDSG-neu) geschaffen, das am 25. Mai 2018 in Kraft tritt und das derzeitige Bundesdatenschutzgesetz ablöst. Auch datenschutzrechtliche Vorschriften in anderen Gesetzen können vom Anwendungsvorrang und der EU-DSGVO betroffen sein. Unter anderem auch die Landesdatenschutzgesetze und die Sozialgesetzbücher. Die Änderungen in den Sozialgesetzbüchern in Bezug auf die EU-DSGVO wurden durch das “Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften“ bereits beschlossen und treten am 25. Mai 2018 in Kraft. Die Änderungen der weiteren Gesetze wird noch Zeit beanspruchen. Aber auch wenn diese Gesetze noch nicht bis zum 25. Mai 2018 geändert worden sein sollten, gilt die EU-DSGVO und hat Anwendungsvorrang vor den noch nicht geänderten und der EU-DSGVO widersprechenden Normen.

marktforschung.de: In der Marktforschung gehört der Umgang mit personenbezogenen Daten meist zum Alltag. Was ist Ihrer Meinung nach die größte Veränderung, die durch die Verordnung und speziell im Hinblick auf die Marktforschungsbranche in Kraft tritt?

Andrea Schweizer: Meines Erachtens hat die Markt- und Sozialforschungsbranche eine sehr viel bessere Grundlage zur Umstellung auf die EU-DSGVO als viele andere Branchen, da der Datenschutz bereits jetzt in den meisten Unternehmen der Branche gepflegt wird. Der Umgang mit personenbezogenen Daten gehört schon bislang zum Alltag, ein Datenschutzbeauftragter muss bereits jetzt bestellt sein und die Standesregeln legen schon immer einen zum Teil über das geltende Gesetz hinausgehenden Schutz fest.

Die wichtigste Rechtsgrundlage für die Markt- und Sozialforschung findet sich in der Generalklausel des Art. 6 Absatz 1 Satz 1 Buchst. f) EU-DSGVO. Nach dieser Norm müssen für die Rechtmäßigkeit die Interessen des Verantwortlichen, also unter anderem des Auftraggebers oder des Markt- und Sozialforschers und des Betroffenen, also insbesondere der Personen, deren Daten betroffen sind, abgewogen werden. Aus Erwägungsgrund 47 der EU-DSGVO ergibt sich, dass selbst die Direktwerbung und damit erst recht die Markt- und Sozialforschung grundsätzlich ein berechtigtes Interesse darstellt und damit rechtmäßig ist (argumentum a maiore ad minus). Für die Abwägung sind insbesondere auch die geringe Belästigung und die strenge Standesordnung (insbesondere zur Anonymisierung, Pseudonymisierung, Zweckbindung) relevant. Neben dieser Rechtsgrundlage gibt es auch weiterhin die Möglichkeit, personenbezogene Daten auf der Grundlage einer Einwilligung (Art. 6 Absatz 1 Satz 1 Buchst. a) EU-DSGVO) zu verarbeiten.

Was sich gravierend ändert, ist der Dokumentationsaufwand, der aber nicht nur die Markt- und Sozialforschungsbranche trifft. Nach Art. 5 Absatz 2 EU-DSGVO besteht eine Rechenschaftspflicht: “Der Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze des Datenschutzes] verantwortlich und muss dessen Einhaltung nachweisen können (“Rechenschaftspflicht“)“. Das bedeutet, dass der Verantwortliche, nachweispflichtig ist, und er im Zweifel nachweisen muss, dass er alle Regelungen der Datenschutzgrundverordnung eingehalten hat. In Art. 82 Absatz 3 EU-DSGVO (Schadensersatz gegenüber Personen) wird die Beweislast dem Verantwortlichen auferlegt. Das Verschulden des Verantwortlichen und des Auftragsverarbeiters werden vermutet, sofern er nicht nachweist, “dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“ (Art. 82 Absatz 3 EU-DSGVO).

Auch die Informations- und Transparenzpflichten gegenüber den betroffenen Personen wurden ausgeweitet (Art. 12 ff. EU-DSGVO).

marktforschung.de: Im Mai haben wir Datenschutzverantwortliche gefragt, mit welchen Auswirkungen sie aufgrund der neuen Verordnung rechnen. Unter anderem war von großer Verunsicherung und einem regelrechten Verwaltungschaos in Unternehmen die Rede. Haben Sie ähnliche Erwartungen?

Andrea Schweizer: Ich erwarte kein Verwaltungschaos, aber einen erhöhten Verwaltungs- und Dokumentationsaufwand und es wird weiterhin Verunsicherung geben. Ein wesentlicher Grund ist: Entgegen der bisherigen Rechtslage, kommt es nicht mehr auf die Auslegung des deutschen Rechts durch Gerichte, Behörden und Kommentatoren an, sondern auf die Auslegung europäischen Rechts. Das bedeutet, dass letztendlich, erst in frühestens ein paar Jahren, zu problematischen Themen etwas mehr Rechtssicherheit durch Entscheidungen des Europäischen Gerichtshofs geschaffen wird. Dies gilt insbesondere für die Auslegung unbestimmter Rechtsbegriffe wie “berechtigte Interessen“.

marktforschung.de: Unsere Befragten zeigen hohen Respekt vor den “drakonischen Strafen“, die bei Verstößen fällig werden. Einigen scheint nicht klar, wie man sich in Zukunft rechtssicher verhält. Müssen Arbeitgeber durch das hohe Risiko bei Verstößen um Ihre Existenz fürchten?  

Andrea Schweizer: Die Geldbußen sollen in jeden Einzelfall “wirksam, verhältnismäßig und abschreckend“ (Art. 83 EU-DSGVO) sein. Abhängig von der Art des Verstoßes können Bußgelder von bis zu 10.000.000 beziehungsweise 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 beziehungsweise 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden (Art. 83 Absatz 4 bis 6 EU-DSGVO). Die Höchstgrenze ist der jeweils höhere Betrag. Bei der Festsetzung des Bußgeldes sollen verschiedene Aspekte berücksichtigt werden (Art. 83 Absatz 2 EU-DSGVO). Zum Beispiel: Die Art, Schwere und Dauer des Verstoßes, die Art des Verschuldens (Vorsatz/Fahrlässigkeit), die finanziellen Vorteile aus dem Verstoß, Zertifizierungen nach Art. 42 EU-DSGVO. Im Rahmen der Verhältnismäßigkeit muss zum Beispiel auch die Größe des Betriebs berücksichtigt werden. Wie sich hier die Rechtsprechung entwickeln wird, muss beobachtet werden. Mit diesen Bußgeldvorschriften ist jedenfalls die Grundlage dafür geschaffen worden, dass empfindliche Bußgelder verhängt werden können, mit denen insbesondere auch große Unternehmen und “Datenkraken“ eher unter Druck gesetzt werden können als bisher. 

Ihre Frage verdeutlicht auch, wie stark die Markt- und Sozialforscher im Vorhinein darauf achten müssen, gut und nachweisbar den Datenschutz und die Datensicherheit zu organisieren; auch personell. Es wurde schon erwähnt, dass es, wenn rechtswidrig gehandelt wurde, auf Einzelheiten ankommt. So etwa im Hinblick auf die “Art, Schwere und Dauer des Verstoßes“ und insbesondere auf “die Art und Dauer des Verschuldens“. Wer ein Institut leitet, wird ohnehin auch im Rahmen seines Compliance Management-Systems sorgfältig organisieren; wie schon erwähnt, auch in der personellen Besetzung der für den Datenschutz und die Sicherheit zuständigen Mitarbeiterinnen und Mitarbeiter. 

marktforschung.de: Positive Aspekte sehen einige der Befragten lediglich hinsichtlich der Rechtssituation für die Befragungsteilnehmer. Welche Vorteile für Befragte könnten aus ihrer Sicht auftreten und sehen Sie auch positive Aspekte oder Vereinfachungen aus Unternehmenssicht?

Andrea Schweizer: Die Vorteile für die Befragten ergeben sich insbesondere aus der Stärkung der Betroffenenrechte sowie durch eine Ausweitung der Informations- und Transparenzpflichten. Aber auch für deutsche Unternehmen ergeben sich meines Erachtens positive Aspekte. Zum einen wird das Datenschutzniveau innerhalb der Union grundsätzlich vereinheitlicht, wenn auch nicht vollharmonisiert (siehe oben). Zum anderen können sich positive Aspekte aus dem Marktortprinzip ergeben. Zwar muss beobachtet werden, wie sich das Marktortprinzip entwickelt, aber grundsätzlich sehe ich gerade darin positive Aspekte aus Unternehmenssicht: Durch das Marktortprinzip sollen gleiche Wettbewerbsbedingungen, auch in Bezug auf Unternehmen, die ihre Waren und Dienstleistungen in der Europäischen Union erbringen, aber keinen Sitz in der Union haben, erreicht werden. 

Positive Aspekte können sich auch aus den Erleichterungen für die wissenschaftliche Forschung (Art. 89 EU-DSGVO) ergeben. Bei der Markt- und Sozialforschung, wie sie in Deutschland gehandhabt wird, handelt es sich nach der bisher veröffentlichten Literatur um wissenschaftliche Forschung im Sinne der DSGVO. Unter anderem gilt eine Weiterverarbeitung personenbezogener Daten für wissenschaftliche Zwecke nicht als unvereinbar mit dem ursprünglichen Zweck (Art. 5 Abs. 1 lit. b EU-DSGVO).

marktforschung.de: Kann man noch von einer Harmonisierung sprechen, wenn alle Länder ohnehin zahlreiche nationale Öffnungsklauseln festlegen können? Oder sind die nationalen Anpassungsmöglichkeiten stark begrenzt? 

Andrea Schweizer: Die EU-DSGVO wird zu einer Harmonisierung des Datenschutzrechts in Europa führen, jedoch nicht in allen Themenbereichen zu einer Vollharmonisierung. Durch die Öffnungs- beziehungsweise Spezifizierungsklauseln wird nicht voll harmonisiert Auf der anderen Seite ist jedoch zu berücksichtigen, dass nationale Regelungen nur im Rahmen der Öffnungsklauseln erlassen werden können.

marktforschung.de: Bei unserer Befragung haben mehr als die Hälfte der Ansprechpartner für Datenschutz angegeben, dass sie sich noch kaum oder gar nicht mit den Auswirkungen der EU-DSGVO beschäftigt haben. Welche Ratschläge würden Sie Datenschutzverantwortlichen in Unternehmen zur Vorbereitung erteilen? 

Andrea Schweizer: Das Wichtigste vorab: Wer verantwortlich ist und sich noch nicht mit den Auswirkungen der EU-DSGVO beschäftigt hat, sollte jetzt unbedingt damit beginnen. Unabhängig von der Größe des Unternehmens sind Änderungen erforderlich und diese Änderungen müssen identifiziert werden. Sie können meist nicht innerhalb von ein paar Tagen umgesetzt werden. Es sollte ein Maßnahmenplan mit Aufgaben aufgesetzt werden, in dem insbesondere Zuständigkeiten und Termine festgelegt werden. Bei diesem Prozess wird kein Verantwortlicher darauf verzichten dürfen, den Datenschutzbeauftragten miteinzubeziehen.

Nach Art. 37 EU-DSGVO in Verbindung mit § 38 BDSG-neu ist die Benennung eines Datenschutzbeauftragten für Markt- und Sozialforschungsinstitute weiterhin erforderlich: Unabhängig von den mit der Verarbeitung von personenbezogenen Daten beschäftigten Personen ist ein Datenschutzbeauftragter zu benennen, das steht ausdrücklich im Gesetz, wenn personenbezogene Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 EU-DSGVO. Neu ist unter anderem die Formulierung in Absatz 1 Buchst. b): “Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union beziehungsweise der Mitgliedstaaten“. Bisher war geregelt, dass der Beauftragte für den Datenschutz auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz “hinwirkt“ (§ 4g Absatz 1 BDSG alt). Wie genau sich diese Änderung auswirkt, ist noch nicht sicher. Es kann jedoch bereits jetzt festgestellt werden, dass weiterhin die Geschäftsleitung für die Einhaltung der Datenschutzvorschriften grundsätzlich verantwortlich ist und nicht der Datenschutzbeauftragte, da der Datenschutzbeauftragte keine Entscheidungen der Geschäftsleitung treffen kann. Für den Datenschutzbeauftragten ist es in diesem Zusammenhang jedoch noch wichtiger, dass er seine Tätigkeit und Hinweise/Stellungnahmen an die Geschäftsleitung ausführlich dokumentiert, sodass – im Sinne eines Compliance-Management-Systems – er nachweisen kann, dass er alles Erforderliche getan hat, um die Einhaltung der Verordnung zu überwachen.

Abschließend: Gerade aufgrund der Rechenschafts- und Nachweispflicht ist es sehr wichtig, dass die Zeit bis zum 25. Mai 2018 genutzt wird, um zu prüfen, welche Daten es im Unternehmen gibt, wie und ob diese gesetzeskonform verarbeitet werden und welche Änderungen möglicherweise umgesetzt werden müssen. Als Grundlage eignet sich hier insbesondere das Erstellen und Führen eines ausführlichen Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 EU-DSGVO).  Es ist auch – wie erwähnt – dringend anzuraten, ein Datenschutz-Management-System, eine Compliance-Struktur zu schaffen, um die Anforderungen der EU-DSGVO und insbesondere auch die gesetzeskonforme Verarbeitung von personenbezogenen Daten zu überwachen, um die Dokumentationspflichten und die erforderlichen Prozesse, wie zum Beispiel auch die Datenschutz-Folgeabschätzung (Art. 35 EU-DSGVO), umzusetzen und regelmäßig zu überprüfen.

Das Interview führte Matthias Richter.

Zur Person:

Andrea Schweizer ist Rechtsanwältin und geschäftsführende Gesellschafterin der Kanzlei Prof. Schweizer Rechtsanwaltsgesellschaft mbH in München. Sie hat an der LMU, München, und am University College, London, Jura studiert. Frau Schweizer ist zertifizierte Datenschutzbeauftrage (DSB-TÜV) und zertifizierte Datenschutzauditorin (DSA-TÜV). Sie ist insbesondere auf den folgenden Gebieten tätig: Datenschutzrecht, IT-Recht, Vertragsrecht, Recht der Markt- und Sozialforschung sowie der Markt- und Sozialforschung für das Recht, Europarecht, Verbraucherrecht, Arbeits- und Sozialrecht sowie Presse- und Medienrecht.