Alle Unternehmer sind von den neuen Datenschutzvorschriften betroffen
Denn keine Unklarheit besteht in einem anderen Punkt: wer beruflich personenbezogene Daten erhebt und verabeitet, beispielsweise von Kunden oder Interessenten, festen oder freien Mitarbeitern, Schauspielern, Models, Komparsen usw. muß sich ab dem 25.5. an die Bestimmungen der DSGVO halten. Diese schreiben vor, wie mit Informationen, die sich auf eine identifizierbare, natürliche Person beziehen, umzugehen ist. Prinzipiell muß die Person der Verarbeitung ausdrücklich zustimmen, und zwar für einen oder mehrere bestimmte Zwecke. Aber nicht nur das: Die Person muß in leicht verständlicher Weise bei der Einwilligung darüber aufgeklärt werden, was genau wie lange gespeichert wird und wofür, dass ein Widerruf der Einwilligung jederzeit möglich ist und wie das Recht auf Auskunft oder Löschung funktioniert. Wer die Daten erhebt, muß eindeutig nachweisen können, jeweils eine solche gültige Einwilligung eingeholt zu haben. Jedoch auch ohne Einwilligung kann die Verarbeitung personenbezogener Daten rechtmäßig sein, etwa wenn sie zur Erfüllung eines Vertrages mit der betroffenen Person benötigt wird, oder "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich" ist -- letzteres birgt durchaus einen weiten Deutungsspielraum, wann welche Interessen oder Grundrechte überwiegen (Güterabwägung).
Die Einzelheiten der neuen Vorschriften sind zahlreich und ihre Auslegung und Implikationen teilweise noch unklar -- an dieser Stelle ist es nicht möglich, ausführliche und konkrete Ratschläge zu geben. Lediglich auf zwei Punkte sei noch hingewiesen: es muß, wenn personenbezogene Daten (regelmäßig) verarbeitet werden, zwingend ein sogenanntes Verarbeitungsverzeichnis geführt werden, in dem ua. spezifiziert wird, welche Art Daten erhoben werden und wozu, wer dafür verantwortlich ist und wie die Daten abgesichert werden. Und wer die Daten auch an Dritte weitergibt, etwa an ein Lohnbüro, muß sich außerdem vertraglich zusichern lassen, dass auch dort gesetzeskonform mit den Daten umgegangen wird (Stichwort Auftragsverarbeitung).
Leider ist es selbst für Kleinstunternehmer unerlässlich, sich über das Thema zu informieren und die eigene Praxis zu prüfen und ggf. anzupassen, denn wer gegen die DSGVO verstößt, muß sowohl mit empfindlichen Bußgeldern der Datenschutzaufsichtsbehörde als auch möglichen Schadensersatzansprüchen der Betroffenen rechnen. Da Zuwiderhandlungen nicht nur von den Betroffenen selbst, sondern auch von Dritten bei den Behörden gemeldet werden können, dürfte das Thema Datenschutz sicherlich auch im Marktrecht relevant werden: wer mit personenbezogenen Daten nicht korrekt umgeht, verschafft sich dadurch möglicherweise einen Vorteil gegenüber der Konkurrenz (unlauterer Wettbewerb). Es muß auch mit Abmahnwellen gerechnet werden.
Einen Einstieg ins Kleingedruckte bieten beispielsweise die Kurzpapiere der unabhängigen Datenschutzbehörden zur DS-GVO.
