Datenschutzgrundverordnung 2018

Was müssen Unternehmen beachten?

Ab dem 25.05.2018 ist die Datenschutzgrundverordnung (DS-GVO) unmittelbar anwendbar. Bis dahin müssen auch Unternehmen nachgeprüft haben, ob sie für die neuen Anforderungen der Verordnung vorbereitet sind.

Wichtig ist hierbei zunächst, dass die Unternehmen über alle Neuerungen informiert sind, die mit der DS-GVO einhergehen. Im nächsten Schritt muss dann intern dafür Sorge getragen werden, dass Unternehmen den Anforderungen der DS-GVO entsprechend organisiert sind.

Anwendungsbereich der Datenschutzgrundverordnung

Zunächst ist zu klären, welche Unternehmen von der Datenschutzgrundverordnung betroffen sind.

Sachlicher Anwendungsbereich: personenbezogene Daten

Vorweg: Die Verordnung betrifft nur die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von natürlichen Personen. Juristische Personen sind hiervon nicht betroffen. Keine Anwendung findet die Verordnung daher bei Unternehmen, die ausschließlich im B2B Bereich tätig sind und keine Daten von natürlichen Personen nutzen. Die DS-GVO gilt grundsätzlich sowohl für automatisierte wie auch für nichtautomatisierte - manuelle - Verarbeitungen von personenbezogenen Daten.

Unter personenbezogenen Daten versteht man hierbei Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Als bestimmbar gilt eine natürliche Person dann, wenn sie unmittelbar oder mittelbar von dem für die Datenverarbeitung Verantwortlichen identifiziert werden kann. Dies ist nach der Verordnung der Fall, wenn eine Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie z. B. einem Namen, einer Kennnummer, von Standortdaten, einer Online-Kennung, besonderen Merkmalen, die Ausdruck der Identität der natürlichen Person sind, identifiziert werden kann.

Räumlicher Anwendungsbereich: der Verantwortliche

Die DS-GVO gilt für jeden Unternehmer als Verantwortlichen bzw. nun auch den Auftragsverarbeiter (siehe hierzu die Ausführungen unter „Neuerungen“) der von einer Niederlassung in der EU aus agiert. Es spielt hierbei keine Rolle, ob die Verarbeitung der Daten dann an einem anderen Ort erfolgt oder die natürliche Person, deren Daten verarbeitet werden, ihren Arbeitsplatz oder Aufenthalt nicht innerhalb der EU hat Drittstaatsangehöriger hat ist. Des Weiteren gilt die DS-GVO auch für Datenverarbeitungen von Unternehmern die nicht in der EU, sondern in einem Drittstaat ansässig sind. Dient ihre Datenverarbeitung dazu, in der EU ansässigen Personen Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten und auszuwerten, unterliegen auch sie den Vorschriften der DSGVO.

Die Neuerungen der DS-GVO

Die Verordnung wird die bisherige europäische Datenschutzrichtlinie 95/46/EG sowie die darauf basierenden nationalen Datenschutzgesetze, insbesondere das Bundesdatenschutzgesetz, ablösen.

Konkret sieht die DS-GVO u.a. folgende Neuerungen vor:

Finanzielle Sanktionen

Art. 83 Abs. 4-6 DS-GVO erhöht den Bußgeldrahmen für Datenschutzverstöße und vereinheitlicht ihn europaweit.  In Art. 83 Abs. 4 DSGVO ist ein Bußgeldrahmen von bis zu € 10 Mio. vorgesehen; gemäß Art. 83 Abs. 5 und 6  bis zu € 20 Mio. oder 4% des weltweiten Jahresumsatzes.

Die Berechnung des Umsatzes knüpft dabei am Umsatz des Unternehmens an. Berücksichtigt werden die  Umsätze der gesamten Unternehmensgruppe. Maßgebliche Kriterien für die Höhe des Bußgeldes im Einzelfall sind gemäß Art. 83 Abs. 2 DS-GVO u.a. die Art, Schwere und Dauer des Verstoßes. Weiterhin spielt bei der Bemessung auch eine Rolle, ob der Verstoß vorsätzlich oder fahrlässig geschah.

Schadensersatzansprüche

Neben dem bereits bekannten Anspruch auf Schadensersatz für Datenschutzverletzungen gegen den Verantwortlichen kommt nun noch ein weiterer Anspruch hinzu: Aus Art. 82 Abs.1 DS-GVO ergibt sich ein Schadensersatzanspruch konkret gegen den Auftragsverarbeiter, also denjenigen, der auf Weisung des Verantwortlichen tätig wird. Der Auftragsverarbeiter wird nun stärker in die Pflicht genommen. Er ist nun zur Dokumentation verpflichtet. Ersetzt werden sowohl materielle als auch immaterielle Schäden. Das bedeutet, es werden sowohl Schadenspositionen finanzieller Art  ersetzt, die der Geschädigte dadurch erleidet, dass gegen die Datenschutzbestimmungen verstoßen wurde. Darüber hinaus wird aber auch Entschädigung bei einem ideellen/seelischen Schaden geleistet. Dies ist beispielsweise der Fall, wenn durch einen Verstoß gegen die DS-GVO Persönlichkeitsrechte verletzt werden. Wichtig ist, dass bei den Schadensersatzansprüchen ein Pflichtverstoß vermutet wird. Dies erleichtert die Beweisführung desjenigen, der Schadensersatz geltend macht. der Anspruchsgegner kann jedoch versuchen, diese Vermutung zu widerlegen. Gelingt dies, besteht der Anspruch nicht.

Aus der gesetzlichen Regelung, dass der Geschädigte sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter Schadensersatz fordern kann, folgt, dass derjenige, der den Schadensersatzanspruch geltend macht, ein Wahlrecht hat, von wem er den Schaden ersetzt haben möchte.

Anforderungen an die Einwilligung

Die Anforderungen an die Einwilligung wurden verschärft. Die Erteilung der Einwilligung erfordert eine freiwillige, spezifisch informierte und eindeutige Handlung. In Betracht kommt das Anklicken eines Kästchens auf einer Webseite und die Auswahl technischer Einstellungen bei Online-Diensten. Nicht ausreichend für eine wirksame Einwilligung ist ein stillschweigendes Einverständnis oder ein standardmäßig angekreuzte Kästchen. Des Weiteren fordert die DS-GVO, dass in verschiedene Datenverarbeitungsvorgänge jeweils separat eingewilligt werden muss. Andernfalls soll es an der Freiwilligkeit fehlen. Wichtig ist, dass die Unternehmen dann im Zweifelsfall verpflichtet sind, den Nachweis darüber zu erbringen, dass eine wirksame Einwilligung abgegeben wurde.

Die Hürden für den Widerruf einer erteilten Einwilligung wurden dagegen herabgesetzt.
Der Betroffene kann seine Einwilligung jederzeit und ohne Begründung widerrufen.

Stärkung des Widerspruchrechts

Der Betroffene muss über über sein Widerspruchsrecht deutlich und getrennt von anderen Information belehrt werden. Werden die Daten für Vorgänge wie Direktmarketing gespeichert, kann der Betroffene dem nun  widersprechen.

Verschärfung des Koppelungsverbotes

Untersagt wird nun, dass der Abschluss eines Vertrags von der Erteilung einer Einwilligung abhängig gemacht wird, obwohl dies für die Durchführung des Vertrags nicht erforderlich ist. Konkret hat dies voraussichtlich zur Folge, dass Unternehmen dann ggf. ihre Dienstleistungen einmal mit und einmal ohne Einwilligung anbieten müssen.

Ausweitung der Meldepflicht

Bislang war ein Unternehmen nach §42a BDSG zur Meldung von Datenschutzverstößen u.a. nur verpflichtet, wenn die Datenpanne besonders sensible Daten wie Kontodaten betraf und nur bei schwerwiegenden Beeinträchtigungen für den Betroffenen. Neu ist nun, dass die Meldepflicht auf jeden Vorfall, der ein Risiko  für die Rechte und Pflichten der Betroffenen darstellt erweitert wurde. Zeitlich muss diese Meldung  binnen 72 Stunden erfolgen. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie  voraussichtlich« zu einem hohen Risiko führt.

Erweiterung der Informations- und Auskunftspflichten

Künftig müssen  dem Betroffenen eine Reihe an weiteren Informationen bereitgestellt werden. Dazu gehören u.a. Informationen zu der Rechtsgrundlage, auf die die Datenverarbeitung gestützt wird  und Angaben zur Dauer der Speicherung oder, falls dies nicht möglich ist, über die Kriterien zur Festlegung der Dauer. Zudem müssen vor jeder Weiterverarbeitung der Daten zu einem anderen Zweck den Betroffenen erneute Informationen nach Art. 13 und 14 DS-GVO bereitgestellt werden.

Zudem gilt für Daten, die der Betroffene selbst zur Verfügung gestellt hat: Diese müssen in gängigem Format dem Betroffenen wiederum zur Verfügung gestellt werden und ggf. auf Wunsch an Dritte übermittelt werden.

Erweiterung der Löschfrist

Die Unternehmen sind verpflichtet, zu dokumentieren woher sie personenbezogene Daten haben und an wen diese Daten weitergegeben wurden.

Datenschutz-Folgenabschätzung

Für stark risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-Folgenabschätzung vorgeschrieben. Allerdings entfällt nun die Verpflichtung zur Meldung der Verfahren bei der Aufsichtsbehörde.

Datenschutz-Checkliste für Unternehmen

Um auf die neuen Anforderungen vorbereitet zu sein und im Hinblick auf mögliche Sanktionen müssen Unternehmen ihre bestehenden Prozesse überprüfen und ggf. anpassen. Konkret sollte überprüft werden:

  1. Gibt es ein Datenschutzkonzept?
  2. Gibt es einen Datenschutzbeauftragten? Ist er schon der zuständigen Aufsichtsbehörde gemeldet?
  3. Sind Kapazitäten und Organisationsstrukturen gesichert, die eine Einhaltung der fristgebundenen Benachrichtigung/allgemeiner Auskunftspflichten garantiert?
  4. Wie kann auf einen Verstoß gegen Datenschutzvorgaben reagiert werden?
  5. Verfügen Sie über alle erforderlichen Einwilligungen zur Verarbeitung personenbezogener Daten? Können Sie das Vorliegen der Einwilligung nachweisen? Gibt es für jede Verarbeitungstätigkeit Angaben, mit der Sie die Rechtmäßigkeit Ihrer Verarbeitung nachweisen können, z.B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern und/oder Löschfristen (Art. 5 Abs. 2 DS-GVO)?
  6. Haben Sie eine Methode zur Datenschutz-Folgeabschätzung erarbeitet?
  7. Haben Sie eine Übersicht über die Auftragsverarbeiter? Haben Sie mit allen Ihren Auftragsverarbeitern die erforderlichen Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?
  8. Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten gem. Art. 30 DS-GVO? Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design –Art. 25 DS-GVO).
  9. Haben Sie einen Datenschutzmanagementsystem installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß der DS-GVO erfolgt (Art 24 Abs. 1 DS-GVO)?
  10. Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DS-GVO angepasst?

Anmerkung: Eine detaillierte Übersicht über die Umsetzung der DS-GVO findet sich zudem unter www.lda.bayern.de/media/dsgvo_fragebogen.pdf

Übermittlung Ihrer Stimme...

Bewertungen: 5.0 von 5. 5 Stimme(n). Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.

Rechtsanwalt Karsten Gulden,
Fachanwalt für Urheber-und Medienrecht

Rechtsanwalt Gulden ist Gründer und Gesellschafter von gulden röttger | rechtsanwälte, Fachanwalt für Urheber- und Medienrecht seit 2009, Wahlfachprüfer beim Justizministerium Mainz/Rheinland-Pfalz, Blogger und YouTuber sowie Bergsportler in nahezu allen Varianten

Facebook | Google+ | Twitter

Kanzlei gulden röttger | rechtsanwälte
Jean-Pierre-Jungels-Str. 10
55126 Mainz

+496131240950

karsten.gulden@ggr-law.com