Montag, Mai 21

Rechtstipp: Datenschutzgrundverordnung – Was auf die Autohäuser zukommt

Ab dem 25. Mai 2018 wird die bereits zwei Jahre zuvor in Kraft getretene EU-Datenschutz-Grundverordnung (DS-GVO) in Vollzug gesetzt. Die DS-GVO als EU-Verordnung gilt unmittelbar wie nationales Recht in jedem Mitgliedsstaat. Sie ersetzt die bisher für Unternehmen einschlägigen Regelungen des Bundesdatenschutzgesetzes (BDSG) und der Landesdatenschutzgesetze. Dem Autohandel sind solche EU-Verordnungen nicht unbekannt: Die bisherigen Gruppenfreistellungsverordnungen für den Kfz-Sektor waren ähnliche Rechtsgebilde, die von Gerichten unmittelbar angewendet werden konnten, um z. B. die Wirksamkeit von Händlerverträgen zu bemessen. Nun gilt auch im Datenschutz direkt das EU-Recht.

Die neue Verordnung knüpft im Wesentlichen an bekannte datenschutzrechtliche Grundsätze an, enthält jedoch auch einige signifikante Veränderungen, deren Einhaltung auch wegen deutlich höherer Sanktionen auf Einhaltung hin kontrolliert werden müssen. Mit Geldbußen von 4% des gesamten Jahresumsatzes eines Unternehmens pro Datenschutzrechtsverstoß bzw. maximal 20 Mio. Euro erlangt das Datenschutzmanagement im Betrieb eine andere Priorität.

  • Geblieben ist zunächst der Grundsatz, dass der Umgang mit personenbezogenen Daten verboten ist, solange er nicht durch einen gesetzlichen Erlaubnistatbestand aus der neuen DS-GVO oder Nebengesetzen wie Telekommunikationsgesetz (TKG) oder Telemediengesetz (TMG) erlaubt ist oder vom Betroffenen ausdrücklich gestattet wurde.
  • Ausdrücklich geregelt ist nun das Recht des Betroffenen auf „Vergessenwerden“. Dieses Recht hatte der Europäische Gerichtshof schon im Falle personenbezogener Suchergebnisse über EU-Bürger in Internet-Suchmaschinen vorgesehen. Nunmehr kann beansprucht werden, dass personenbezogene Daten vom Verantwortlichen gelöscht werden müssen, wenn für die Verwendung dieser Daten keine Berechtigung mehr besteht.
  • Neu ist auch das Recht auf Datenübertragbarkeit. Dieses Recht erlaubt es Betroffenen, seine Daten „mitzunehmen“ und diesen Datensatz auf einen anderen Datenverantwortlichen zu übertragen. Hauptanwendungsfall sind üblicherweise Anbieterwechsel bei Dienstleistern, z. B. Banken oder Telekommunikationsanbieter.

Erhöhter administrativer Aufwand

Für Autohäuser dürfte sich der administrative Aufwand in der Verarbeitung von personenbezogenen Daten dadurch erhöhen, dass die Dokumentations- und Nachweispflichten gegenüber dem Betroffenen und den Aufsichtsbehörden komplexer werden. So müssen Daten verarbeitende Unternehmen nachweisen, dass eine effektive Einwilligung vorgelegen hat, die etwa nicht auf standardmäßigen Voreinstellungen online bei Formularen beruht hat. Bei verschiedenen Datenverarbeitungsvorgängen muss im Zweifel in jeden einzelnen gesondert eingewilligt werden, da es sonst insgesamt an einer Freiwilligkeit fehlen kann. Bereits erteilte Einwilligungen können jederzeit und ohne Begründung widerrufen werden, ein Widerruf muss mindestens so einfach gestaltet sein wie die Abgabe.

Die erhöhten Anforderungen an die Transparenz gegenüber dem Betroffenen erfordern, dass Unternehmen zukünftig eine Reihe an weiterführenden Informationen bereitstellen. Dazu gehören u. a. Informationen zu der Rechtsgrundlage, auf die sie die Datenverarbeitung stützen und Angaben zur Dauer der Speicherung oder, falls dies nicht möglich ist, über die Kriterien zur Festlegung der Dauer. Hier gilt zugleich: Je sorgsamer die Dokumentation gegenüber dem Kunden ist, desto einfacher fällt auch der Nachweis der Einwilligung oder eines Erlaubnistatbestandes bei Abmahnungen, beispielsweise wegen unerlaubter Newsletter oder anderer Kontaktwege. Entwarnung gibt es allerdings bezüglich Einwilligungserklärungen, die von Kunden nach bisheriger Rechtslage eingeholt wurden. Diese werden nicht über Nacht unwirksam, sondern behalten ihre Gültigkeit. Ein schrittweiser Austausch unter Berücksichtigung der neuen ergänzten Rechtslage ist aber ratsam.

Die im Automobilhandel gängige Auftragsverarbeitung, wonach Hersteller als Auftragnehmer in der Verarbeitung von Kundendaten der Händler agierten, obwohl sie letztlich durch Händlerverträge den Partner erst in die Pflicht nahmen, Kundendaten zu erheben, wird um eine Haftung der Auftragsdatenverarbeiter erweitert. War hierbei bislang der Händler gegenüber dem Kunden verantwortlich, können bei Datenpannen auch Hersteller direkt vom Kunden in Anspruch genommen werden. Er hat darüber hinaus auch eigene Dokumentationspflichten.

Datenschutzbeauftragte werden unter bestimmten Voraussetzungen

Pflicht Wesentliche organisatorische Änderung für Unternehmen, die personenbezogene Daten verarbeiten, ist die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn mehr als zehn Personen im Unternehmen mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dies gilt bei Mehrmarkenhändlern nicht pro Marke, sondern pro Unternehmen. Unterhalb dieser Zahl trägt die Geschäftsleitung die Verantwortung der Einhaltung der Datenschutzbestimmungen. Dies kann ein Mitarbeiter oder ein externer Dienstleister sein. Bei Unternehmensgruppen kann ein zentraler Datenschutzbeauftragter bestellt werden, sofern davon die Erreichbarkeit nicht beeinflusst ist. Neben der fachlichen (datenschutzrechtlichen) Qualifikation sollten keine Interessenkonflikte mit leitenden Funktionen im Unternehmen bestehen. Alleine deshalb empfiehlt sich ein externer Datenschutzbeauftragter, dem neben der fachlichen Qualifikation das automobile Umfeld und die Prozesse eines Autohauses geläufig sein sollten.

Das heißt…

Es ist also mit Blick auf den nahenden 25. Mai 2018 unumgänglich, seine Datenschutzpraxis zu überprüfen und das Datenschutzmanagement an die Vorgaben der DS-GVO anzupassen und weiterzuentwickeln. Da hiervon alle Automobilhersteller betroffen sind und die Schnittstellen zum stationären Handel den Anforderungen genügen müssen, ist zumindest an den neu hinzutretenden Baustellen noch einiges an Arbeit zu verrichten. Da der Zeitraum bis zum 25. Mai 2018 nicht mehr allzu lang ist und zu erwarten ist, dass neben den Datenschutzbehörden auch Dritte die Einhaltung der DS-GVO überprüfen werden, besteht entsprechender Handlungsbedarf.

Georg Hilgers, Rechtsanwalt | Dr. Vogels Rechtsanwälte | Tel.: +49 221 979987-0