Auf der Mitgliederversammlung des bvse-Fachverbandes Akten- und Datenträgervernichtung berichtete Rechtsanwalt Stefan Sander rund 5 Monate nach Inkrafttreten der EU-Datenschutzgrundverordnung über den Status quo und die Bemühungen deutscher Datenschutzbehörden, Rechtssicherheit für die nach wie vor verunsicherten verantwortlichen Verarbeiter personenbezogener Daten zu schaffen.

Seit dem 25. Mai 2018 bildet die neue EU-Datenschutzgrundverordnung den Datenschutzrahmen in der Europäischen Union. Befürchtungen zu hohen Bußgeldern sowie einer Abmahnwelle und Schadensersatzklagen begleiteten das neue Gesetz. Auch wenn eine Abmahnwelle bisher ausgeblieben ist, herrscht nach wie vor bei Unternehmen und Privatpersonen eine enorme Verunsicherung, da viele unbestimmte Rechtsbegriffe einen großen Auslegungsspielraum eröffnen. 

Öffentlichkeitswirksame Gerichtsentscheidungen einerseits, wie das des EUGH, das entschieden hat, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher seiner Seite verantwortlich sind und somit bei Verstößen auch gemeinsam belangt werden können, und Urteile andererseits, nach dem Material aus offenen Videoüberwachungen- oder Dashcam-Aufnahmen als Beweismittel in Prozessen im Einzelfall auf eine Verwertungserlaubnis zu prüfen sind, machen die Entscheidungsfindung zur Datenerhebung und -verarbeitung nicht leichter.

Am 26. April 2018 hatte die 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder die erste Version des sogenannten Standard-Datenschutzmodells (SDM) verabschiedet. Das Modell soll nach dem Willen der Datenschutzinstitutionen einen wesentlichen Beitrag dazu leisten, einen an Grundrechten orientierten Datenschutz durchzusetzen. Konkret verweist das SDM im „Baustein 60 – Löschen und Vernichten“ auf die DIN 66399‐2 hin. Hier könnten Hinweise zur Auswahl technischer Systeme zur Vernichtung von Datenträgern entnommen werden. Für das Löschen personenbezogener Daten werden Empfehlungen gegeben, welche Sicherheitsstufen anwendbar sind. Diese seien jedoch noch nicht mit der Datenschutzkommission abgestimmt worden und schießen allem Anschein nach über das Ziel hinaus. Der bvse-Fachverband wird sich dementsprechend in die Fachdiskussion einbringen, denn das Datenschutzmodell befindet sich derzeit noch in der Erprobungsphase. 

Darüber hinaus setzen Datenschutzbehörden auf das aktive Feedback der Datenverarbeiter über deren Erfahrungen bei der Anwendung in der Praxis, damit Anpassungen und eine Weiterentwicklung des Maßnahmenkatalogs zum SDM vorangetrieben werden können. Einzelne Bausteine des Katalogs werden sukzessive veröffentlicht und zur Anwendung freigegeben. Ein Newsletter der Unterarbeitsgruppe „SDM-Bausteine“, in der sich verschiedene Datenschutzbehörden an der Erarbeitung des Maßnahmenkatalogs beteiligen, informiert über Neuerungen, erklärte Sander (Anmeldung unter: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell).

Für Berufsgeheimnisträger hat sich die Rechtslage indes geändert, erklärte der Fachanwalt für IT-Recht. Der neue Absatz 3 in § 203 StGB stellt klar, dass fremde Geheimnisse gegenüber Dienstleistern offenbart werden dürfen soweit es für ihre und die Tätigkeit sonstiger mitwirkender Personen erforderlich ist. Nach altem Recht war hierfür neben einem Vertrag zur Auftragsverarbeitung zusätzlich eine Entbindung von der Schweigepflicht von jedem einzelnen Mandanten oder Patienten erforderlich.

Parallel dazu wurde jedoch in Absatz 4 die Strafbarkeit ausgeweitet. Berufsgeheimnisträger stehen nun in der Pflicht, die von ihnen beauftragten Personen zur Geheimhaltung zu verpflichten, die darüber hinaus nun auch in die Strafbarkeit mit einbezogen werden.