Datenschutz

Datenschutz und Datenschutzgrundverordnung, was bedeutet das für Unternehmen und was ist zu tun? Die am 04.05.2016 veröffentlichte EU-Datenschutzgrundverordnung (EU-DSGVO) ist am 25.05.2018 nach zweijähriger Übergangsfrist in Kraft getreten. Die Datenschutzgrundverordnung (DSGVO) wirkt fortan in der kompletten EU unmittelbar. Anders als bei einer Richtlinie haben die einzelnen Länder bis auf wenige Ausnahmen keinen Spielraum bei der Auslegung der DSGVO. Die bedeute, dass das Bundesdatenschutzgesetz fortan nicht mehr anwendbar ist, außer dort wo die Datenschutzgrundverordnung (DSGVO) ausnahmsweise durch eine Öffnungsklausel weiterhin nationale Regelungen zulässt. Durch diese grundlegenden Änderungen entstehen besonders für Unternehmen erhebliche Neuerungen, die eine Anpassung erforderlich machen, weil die DSGVO ansonsten erheblichen Sanktionen vorsieht.
Ziel der Verordnung ist es, die Verarbeitung personenbezogener Daten für die gesamte Europäische Union zu vereinheitlichen. Dadurch soll auch der Binnenmarkt in der EU gestärkt werden. Außerdem sollen die Grundrechte und Grundfreiheiten von natürlichen Personen und insbesondere deren Recht auf Schutz personenbezogener Daten geschützt werden.

Die Grundsätze der DSGVO ergeben sich aus den Art. 5 bis Art. 11 DSGVO.

•  Verbot mit Erlaubnisvorbehalt
•  Treu und Glauben (Verhältnismäßigkeit)
•  Transparenz
•  Zweckbindung
•  Datenminimierung
•  Richtigkeit
•  Speicherbegrenzung
•  Integrität
•  Rechenschaftspflicht

Die Datenschutz gilt für die Verarbeitung personenbezogener Daten. Personenbezogene Daten, sind alle Informationen die sich auf eine identifizierbare natürliche Person beziehen (z.B.: Name, Wohnort, Geburtstag, Religionszugehörigkeit etc.)

Eine weitere Neuerung der  Datenschutzgrundverordnung (DSGVO) sind die drastischen Sanktionen im Vergleich zu dem bislang geltenden Bundesdatenschutzgesetz. So sind gemäß Art. 83 VI DSGVO Geldbußen von bis zu 20.000.000 € oder im Falle eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahrs möglich. Außerdem hat nach Art. 82 I DSGVO jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Konkrete Veränderungen

Durch die neue Datenschutzgrundverordnung (DSGVO) werden die Rechte der Nutzer durch Transparenz- und Informationspflichten gestärkt. Dadurch soll es den Betroffenen ermöglicht werden, selbst zu entscheiden was mit ihren Daten gemacht wird.

Verfahrensverzeichnis

Mit der Einführung der Datenschutzgrundverordnung (DSGVO) sind gemäß Art. 30 alle Verantwortlichen verpflichtet ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Verantwortlicher ist jeder, der mit personenbezogenen Daten umgeht.

Datenschutzfolgeabschätzung

Darüber hinaus müssen die Verantwortlichen insbesondere bei Verwendungen neuer Technologien nach Art 35 DSGVO eine Datenschutz-Folgeabschätzung vornehmen. Ein solche ist immer erforderlich, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffener besteht. Dies ist in der Regel der Fall:

•  bei der Datenerhebung zur Bewertung, zum Scoring oder zum Profiling.
•  Verarbeitung sensibler Daten (z.B.: Gesundheitsdaten)
•  zusammengeführte oder kombinierte Datensätze
•  Daten von Schutzbedürftigen (z.B.: Patienten, Kindern, Mitarbeitern etc.)
•  Datentransfers außerhalb der EU

Kupplungsverbot

Die neue Datenschutzgrundverordnung (DSGVO) stärkt außerdem das bereits in dem BDSG vorhandente Kupplungsverbot. In Art. 7 IV DSGVO ist geregelt, dass Einwilligungen nur gültig sind, wenn die Erfüllung des Vertrages nicht von der Einwilligung zur Datenerhebung abhängig ist. Dadurch darf z.B. die Teilnahme an einem Gewinnspiel nicht mehr an das Abonnement eines Newsletter gekoppelt werden.

Jugenschutz

In Art. 8 DSGVO ist erstmals eine ausdrückliche Sonderreglung für Jugendliche und Kinder vorgesehen. Demnach ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Ansonsten ist die Verarbeitung nur rechtmäßig, soweit eine Zustimmung der Eltern vorliegt.

Sanktionen

Wie bereits erwähnt, ist der Bußgeldrahmen bei Verstößen erheblich erhöht worden und kann bis zu 20.000.000 € betragen.

 

Anwendungsbereich

a) sachlicher Anwendungsbereich
Nach Art. 2 I DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dieser sehr weite Anwendungsbereich, wird durch die Ausnahmen in Art 2 II DSGVO beschränkt. Keine Anwendung findet die Verordnung z. B. auf die Verarbeitung personenbezogener Daten, durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 II c DSGVO), oder durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art. 2 II d DSGVO).

b) räumlicher Anwendungsbereich
Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig von der Verarbeitung. Außerdem kann die Verordnung nach § 3 II DSGVO auch für Verantwortliche außerhalb der EU gelten, wenn die Datenverarbeitung dazu dient betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten.

Verbot mit Erlaubnisvorbehalt

Wie bereits nach § 4 BDSG gilt bei der Erhebung von personenbezogenen Daten nach dem DSGVO das Prinzip des „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass solche Daten nur erhoben, gespeichert oder weitergegeben werden dürfen, wenn eine ausdrückliche Einwilligung vorliegt. Eine solche beinhaltet eine freiwillige, für den bestimmten Fall abgebende Willensbekundung. Hierbei muss die betroffene Person eindeutig darüber informiert werden, wer die Einwilligung haben möchte und für welchen konkreten Zweck die Daten verarbeitet werden sollen. Desweiten muss die betroffene Person darüber informiert werden, dass die Einwilligung jederzeit grundlos widerrufen werden kann.
Verarbeitet werden dürfen personenbezogene Daten außerdem, wenn dies gesetzlich vorgesehen ist, oder wenn dies zur Erfüllung des Vertragsverhältnis erforderlich ist.

 

 

Rechte der Betroffenen

Die Datenschutzgrundverordnung (DSGVO) stärkt die Rechte der betroffenen Personen. Die Unternehmen werden verpflichtet die Betroffenen aktiv über die von ihnen geplante Datenverarbeitung zu informieren und den gesamten Datenverarbeitungsprozess transparent zu gestalten.
Gemäß Art. 12 DSGVO müssen die betroffene Personen in leichter zugänglicher Form und in einer klaren und verständlichen Sprache über alle relevanten Information aufgeklärt werden.
Auf Antrag müssen die Unternehmen den Betroffenen folgende Informationen mitteilen:

•  Zweck der Verarbeitung
•  Speicherdauer
•  Empfänger der Daten
•  Hinweis auf sonstige Betroffenenrechte
•  Hinweis auf Beschwerdemöglichkeit bei der Aufsichtsbehörde

Für den Fall das falsche Daten erhoben wurden, steht den Betroffenen ein Berichtigungsanspruch nach Art. 16 DSGVO zu.
Außerdem hat der Betroffene ein Recht auf Vergessenwerden. Dadurch kann er nach Art 17 DSGVO von dem Verantwortlichen verlangen, dass die betreffenden Daten unverzüglich gelöscht werden.

 

Komplett neu ist das Recht auf Datenübertragbarkeit. Aus Art. 20 DSGVO ergibt sich der Anspruch, die betreffenden Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat, zu erhalten. Außerdem kann der Betroffene verlangen, dass die Daten einem anderen Verantwortlichen übermittelt werden.

 

Datenschutzbeauftragter

Gemäß Art. 37 DSGVO besteht die Verpflichtung zur Bestellung eines Datenschutzbeauftragten für Unternehmen, wenn die Kerntätigkeit aus Verarbeitungsvorgängen besteht, die Aufgrund ihrer Art, ihres Umfanges und bzw. oder ihrer Zwecke eine umfangreiche und regelmäßige Überwachung von Betroffene erfordern.
Außerdem muss ein Datenschutzbeauftragter nach Art. 37 DSGVO auf jeden Fall bestellt werden, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von sensitiven Daten i.S.v. Art. 9 und 10 DSGVO besteht.

Nach Art. 37 I DSGVO muss auf jeden Fall ein Datenschutzbeauftragter benannt werden, wenn
– die Verarbeitung von einer Behörde oder einer öffentlichen Stelle durchgeführt wird (Ausnahme: Gerichte)
– die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. (Dies ist immer der Fall, wenn mindestens zehn Personen mit der Verarbeitung der Daten vertraut sind)
– die Kerntätigkeit in der umfangreichen Verarbeitung von sensitiven Daten i.S.v. Art. 9 und 10 DSGVO besteht.

Auftragsverarbeitung

Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt. Auftragsverarbeitung liegt vor, wenn die Verarbeitung personenbezogener Daten ganz oder zum Teil von Dritten übernommen wird. Eine Auftragsverarbeitung ist zulässig, wenn die Datenverarbeitung „weisungsgebunden“ erfolgt. Der Verantwortliche muss vorher prüfen, ob der Auftragsverarbeiter hinreichend Garantie dafür biete, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Die Auftragsverarbeitung bedarf nach Art. 28 I DSGVO einen schriftlichen Vertrag zwischen dem Auftragsgeber und dem Auftragsverarbeiter. Beiden Parteien müssen zudem gemeinsam darauf hinwirken, dass technisch und organisatorisch ein angemessenes Schutzniveau gewährleiste ist.

Sanktionen

Wer gegen den Datenschutz und die  Datenschutzgrundverordnung (DSGVO) verstößt, muss mit weitreichenden Folgen rechnen. In den Art. 82 ff DSGVO sind die Bedingungen für Schadensersatz und Geldbußen geregelt. Demnach hat jeder Person, der wegen eines Verstoßes gegen die DSGVO einen Schaden entstanden ist, ein Anspruch auf Schadensersatz gegen den Verantwortlichen oder deren Auftragsverarbeiter zu. Hier sind besonders immaterielle Schäden, wie z.B. Ehrverletzung möglich, so dass schnell Schadensersatzsummen in Höhe von mehreren tausend EUro verhängt werden können.
Für Rechtsverstöße gegen die DSGVO sind im Extremfall Geldbußen bis zu 20 Mio. € möglich. Im Falle eines Unternehmens sind sogar Geldbußen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vorgesehen. Die Höhe der Geldbußen sind nicht festgelegt, sondern werden von der Aufsichtsbehörde im Einzelfall bestimmt.
Typische Verstöße die zu einer Sanktionierung führen können, sind:

•  öffentliche Krankheitslisten
•  wiederholtes Versenden von sensiblen Daten (z.B.: medizinische Daten) an falsche Empfänger
•  E-Mails versenden mit offenem Verteiler, sodass alle die anderen Empfänger sehen können, ohne dass es hierfür einen Grund gibt.

Hierbei steht es den Unternehmen frei, einen internen oder einen externen Datenschutzbeauftragten zu bestellen. Hier gilt es im Einzelfall die Vor- und die Nachteil gegeneinander abzuwägen. Aufgabe des Datenschutzbeauftragten ist es, das Unternehmen bei der Selbstkontrolle beim Datenschutz zu unterstützen.

Was müssen Unternehmen tun, um sich nicht hohen wirtschaftlichen Gefahren ausgesetzt zu sehen?

Wenn Sie sich mit dem Thema Datenschutz außerhalb einer Datenschutzerklärung in ihrem Unternehmen noch nicht beschäftigt haben, sollten Sie unmittelbar handeln und zum Beispiel eine Anwaltskanzlei beauftragen ihre Rechtstexte auf die Vereinbarkeit mit der Datenschutzgrundverordnung zu prüfen, und generell den Umgang mit Daten in Ihrem Unternehmen auf Vereinbarkeit mit der Datenschutzgrundverordnung zu befragen. Dabei geht es sowohl um rechtliche Anforderungen (z.B. Auftragsverarbeitungsverträge; Erstellung eines Verfahrensverzeichnisses; Datenschutz-Folgenabschätzung) als auch um praktische technische Fragestellungen was technisch unternommen werden muss, um die Daten zu schützen.

Reicht es nicht einen Datenschutzbeauftragten im Unternehmen zu haben?

Der Datenschutzbeauftragte soll Teile obiger Anforderungen übernehmen, aber nicht alle. Der Datenschutzbeauftragte nach der Datenschutzgrundverordnung ist streng genommen ein Unterrichter und Berater, Überwacher der Einhaltung des Datenschutzes, Zusammenarbeit mit der Aufsichtsbehörde und Pflicht zur risikoorientierten Tätigkeit. Das ist recht gut beschrieben in der GDD-Praxishilfe DS-GVO I. Selbstverständlich kann ein Datenschutzbeauftragter mehr Aufgaben an sich ziehen bzw. übernehmen – bei kleineren Unternehmen bis 20 Mitarbeitern ist das wohl sogar zwingend – und damit das Unternehmen und die Geschäftsführung stärken, der Datenschutzbeauftragte ist aber nicht allein für den Datenschutz zuständig.

Was kommen an Kosten auf ein Unternehmen durch den Datenschutz zu?

Wie bereits eingeführt gibt es zwei Kostenfaktoren: Erstens die Einrichtung eines akzeptablen Datenschutzniveaus samt Rechtstexten. Das wird üblicherweise durch eine spezialisierte Rechtsanwaltskanzlei durchgeführt. Die Kosten für die Einrichtung betragen bei uns mehrere tausend Euro, bereits mehrfach konnten wir bei unserer Prüfung andere Kostenquellen, die unnötig waren, schließen, etwa wenn die Auftragsdatenverarbeitungsverträge geprüft wurden, und sich dabei herausstellte, dass andere Anbieter ein besseres Datenschutzniveau anboten aber sogar günstiger waren.
Davon zu unterscheiden sind die Kosten eines Datenschutzbeauftragten, das Unternehmen kann entweder selber einen Datenschutzbeauftragten bestellen, oder einen sogenannten externen Datenschutzbeauftragten bestellen. Ein externer Datenschutzbeauftragter hat für das Unternehmen den Vorteil, dass dieser – anders als der Mitarbeiter – einfacher abberufen werden kann. Außerdem ist die Einarbeitung und Fortbildung sehr zeitintensiv, sodass je nach Größe des Unternehmens faktisch ein Mitarbeiter sich ausschließlich mit dem Thema Datenschutz beschäftigen muss. Wir offerieren über ein kooperierendes Unternehmen geschulte Volljuristen als externe Datenschutzbeauftragte. Sprechen Sie uns gern darauf an.

Wann muss ich tätig werden?

Sie sollten unmittelbar tätig werden, Abmahnungen und Bußgelder durch Behörden sind zu verhindern. Außerdem kann ein von Mitarbeitern gelebter Datenschutz auch dem Unternehmen selber erhebliche Vorteile bringen, als damit zu rechnen ist, dass geschulte Mitarbeiter generell kritischer und umsichtiger in ihrem Unternehmen mit Daten umgehen und damit das Risiko von Viren und sonstigen Hacker-Attacken sinkt.

Warum Dr. Wachs Rechtsanwälte zuerst kontaktieren?

Dr. Wachs Rechtsanwälte sind seit mehreren Jahren im stärker im Datenschutz involviert. Wir beraten und unterstützen zum Thema Datenschutz mehrere mittelständische Unternehmen, haben also die Erfahrung die Sie in diesem sensiblen Bereich benötigen. Wir arbeiten kosteneffizient aber gleichzeitig auf guten Datenschutz-Niveau. Durch den Umstand, dass unsere Datenschutz-Ansprechpartner alle auch Volljuristen sind, die bereits viele Jahre als Anwälte arbeiten, nutzen wir Synergie-Effekte. Wir helfen ihnen gern persönlich weit über die ersten Schritte im Datenschutz hinaus.