Wissenswertes

Die Datenschutz-Grundverordnung (DSGVO)

Kurztipps Ab dem 25.05.2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) als einheitliches Datenschutzrecht in der gesamten EU. Vor allem Unternehmen – egal welcher Größe – treffen weitreichende Änderungen. Unternehmen müssen die Verarbeitung personenbezogener Daten den neuen Regelungen anpassen, da ansonsten empfindliche Strafen drohen können, welche gerade für kleine Unternehmen existenzvernichtet sein können.

Was ist die DSGVO?

Die ab dem 25.05.2018 unmittelbar geltende die neue EU-Datenschutz-Grundverordnung (DSGVO) dient primär dem Schutz natürlicher Personen und der Verarbeitung personenbezogener Daten. Die Datenschutzgrundverordnung entfaltet dabei unmittelbare Wirkung in allen Mitgliedstaaten und somit auch für Unternehmen in Deutschland. Die Regelungen des bisher von Unternehmen zu beachtenden Bundesdatenschutzgesetzes (BDSG) werden weitgehend durch die Regelungen der Verordnung verdrängt.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für die Verarbeitung sog. personenbezogener Daten. „Verarbeiten“ umfasst das Erheben, Speichern, Ändern, Nutzen, Übermitteln etc. Der Anwendungsbereich der DSGVO ist also sehr weit. Die meisten Unternehmen dürften davon in irgendeiner Art betroffen sein. Ausreichend ist schon die Speicherung von Lieferantendaten, Nutzertracking auch oder die stets praktizierte Speicherung von Mitarbeiterdaten, die ebenfalls personenbezogen sind, sodass faktisch so gut wie jedes Unternehmen in den Anwendungsbereich der DSGVO fällt.

Die Größe des Unternehmens spielt dabei keine Rolle. Betroffen sind somit alle Unternehmen, egal ob großer Konzern, Arztpraxis, Freiberufler, Kfz-Werkstatt, Friseure, Obst- und Gemüsehändler, Schule und Kindergarten, Kleinunternehmer oder Ebaypowerseller.

Personenbezogene Daten?

Personenbezogene Daten sind nach Art. 4 der Verordnung „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Für die Identifizierbarkeit genügt es bereits, dass eine indirekte Zuordnung mittels Daten wie Name, Anschrift, Alter, E-Mail-Adresse oder Bankdaten möglich ist; aber auch Online-Daten wie die IP-Adresse sowie Kundendaten – wie z. B. aufgegebene Bestellungen – fallen unter den Begriff der personenbezogenen Daten. Die Definition ist demnach sehr weit gefasst und es sollte grds. davon ausgegangen werden, dass bei sämtlichen Datenverarbeitungsvorgängen personenbezogene Daten erfasst werden. Auch die Recherche dieser Daten fällt bereits unter den Verarbeitungsbegriff, eine Speicherung ist nicht erforderlich. Häufig ist gar nicht bekannt, in welchem Umfang und an welcher Stelle überhaupt Daten gespeichert werden. Dabei wachsen die Datenmengen im Zeichen der Digitalisierung stetig.

In Artikel 9 DSGVO werden darüber hinaus besonders sensible personenbezogene Daten aufgelistet, deren Verarbeitung grundsätzlich untersagt ist. Dies sind Daten, aus denen sich

  • die rassische und ethnische Herkunft,
  • die politische Meinungen,
  • oder religiöse oder weltanschauliche Überzeugungen hervorgeht, sowie

  • genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person und
  • Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Diese Daten dürfen nur unter den in Art. 9 Abs. 2 DSGVO genannten Voraussetzungen verarbeitet werden. Dies kann insbesondere Arztpraxen und (private) Schulen vor Probleme stellen.

Allgemeine Anforderungen

Sofern keiner der in Art. 6 DSGVO definierten Ausnahmefälle einer entbehrlichen Einwilligung vorliegt, ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn eine ausdrückliche Einwilligung vorliegt. Die Anforderungen an die Einwilligungshandlung wurden durch die DSGVO erhöht. Nach Art. 4 Nr. 11 DSGVO erfordert die Erteilung der Einwilligung eine freiwillige, spezifisch informierte und eindeutige Handlung. Auf einer Website stellt daher das bewusste Anklicken eines Kästchens und die Auswahl technischer Einstellungen bei Online-Diensten eine den Anforderungen entsprechende Einwilligung dar. Keine wirksame Einwilligung ist dabei ein stillschweigendes Einverständnis.

Unternehmen sollten außerdem Prozesse zum Widerruf der Einwilligung einführen. Die Einwilligung muss jederzeit und ohne Begründung widerrufbar sein (Art. 7 Abs. 3 DSGVO). Dabei sollten die Regelungen der DSGVO bei der Gestaltung von Webseiten, Apps und anderen digitalen Diensten beachtet werden.

Grundsätzlich muss nach Art. 30 DSGVO ein auch Verzeichnis über alle Verarbeitungstätigkeiten geführt werden. Unternehmen müssen also dokumentieren, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird. Darin sollte der Name und die Kontaktdaten des Datenschutzverantwortlichen, der Zweck der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern, denen die personenbezogenen Daten offen gelegt werden, vorgesehene Fristen für die Datenlöschung und eine Beschreibung über alle technischen und organisatorischen Maßnahmen zum Schutz der Datensicherheit aufgelistet werden.

Alle Unternehmen, die eine Webseite betreiben, müssen außerdem eine Datenschutzerklärung vorhalten. Hier ist insbesondere auf die Erhebung und Speicherung personenbezogener Daten hinzuwiesen, Analyse-Tools (z. B. Google Analytics) zu benennen, Social Media-Plug-ins (Facebook, Instagram, Twitter) darzustellen sowie die Betroffenenrechte darzulegen.

Datenschutzbeauftragter

Ab einer Unternehmensgröße von 10 Mitarbeitern, die personenbezogene Daten automatisiert verarbeiten, ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben. Bezieht sich die Kerntätigkeit auf besonders sensible Daten, ist in jedem Fall – unabhängig von der Unternehmensgröße – ein Datenschutzbeauftragter zu benennen. Art. 39 DSGVO definiert den Mindeststandard der Aufgaben des Datenschutzbeauftragten wie folgt:

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

  2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO; Zusammenarbeit mit der Aufsichtsbehörde;

  4. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen.

Je nach Größe des Unternehmens empfiehlt sich die Beauftragung eines externen Beauftragten, da interne Datenschutzbeauftragte nur unter sehr engen Voraussetzungen, mit sehr langen Fristen und aufgrund eines „wichtigen Grundes“ kündbar sind, von der Unternehmensführung per Gesetz weitgehende Unabhängigkeit genießen und mit zahlreichen Sonderrechten ausgestattet werden. Zudem gestaltet sich die Aufteilung zwischen übrigen Tätigkeiten und der Datenschutzaufsicht oftmals schwierig. Bei der Beauftragung externer Beauftragter hingegen wird das Haftungsrisiko nach außen getragen und Arbeitsprozesse werden entlastet.

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig zu bestellen, stellt gemäß § 43 Abs. 1 Nr. 2 BDSG bereits heute eine Ordnungswidrigkeit dar, die mit einem Bußgeld in Höhe von bis zu 50.000 € belegt werden kann.

Die DSGVO sieht sogar ein Bußgeld von bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

Rechtsanwalt Georgios Kolivas steht Ihrem Unternehmen gerne als externer Datenschutzbeauftragter zur Verfügung. Als Mitglied des COMPLIANCEBERATER.TEAMS steht Rechtsanwalt Kolivas ein starkes Netzwerk zur Verfügung, auf das bei Bedarf zurückgegriffen werden kann.

Strafen

Bei Verstößen drohen Bußgelder bis zur Höhe des vierfachen (weltweiten) Jahresumsatzes oder 20.000.000 €. Auch für natürliche Personen wie Geschäftsführer steigt das Haftungsrisiko, denn diese sind nach der Verordnung nicht von Sanktionsmöglichkeiten ausgenommen. Auch bezüglich der Melde- und Auskunftsfristen wurden die Anforderungen an die Unternehmen verschärft. So gelten kürzere Fristen für die Auskunft zu Anfragen natürlicher Personen und für die Auskunft an die zuständigen Behörden bei Verstößen. Ebenfalls verschärft werden Dokumentationspflichten. Aus Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO folgt zudem eine Rechenschaftspflicht und eine faktische Beweislastumkehr der Unternehmensleitung gegenüber der Aufsichtsbehörden, die jederzeit die Einhaltung der Vorschriften überprüfen können.

Datenschutzcompliance

Da sämtliche Unternehmen von der neuen Datenschutz-Grundverordnung betroffen sind, kann dieser Artikel lediglich allgemeine Informationen darüber geben. Sollten Sie konkrete Fragen haben oder ein auf Ihr Unternehmen zugeschnittenes Datenschutzkonzept benötigen, stehen wir Ihnen gerne zur Verfügung. Zögern Sie nicht uns zu kontaktieren.

Eine erste Analyse Ihres Unternehmens kann dabei regelmäßig zum Festpreis durchgeführt werden.