Europäische Datenschutz-Grundverordnung (DSGVO)

Seit dem 25. Mai 2018 gilt die DSGVO verbindlich für alle Unternehmen und Unternehmer

Egal, ob Einzelhandel, Kindergarten, Arztpraxis, Hotel oder Kanzlei: Die Datenschutz-Grundverordnung ist für alle anzuwenden. Auch, wenn es keine Angestelten gibt, der Umsatz geringer als 17.500 € ist oder es sich um einen gemeinnützigen Verein handelt.

Bei der DSGVO handelt es sich um eine vom europäischen Gesetzgeber erlassene Verordnung. Diese ist bereits am 25.05.2016 in Kraft getreten. Wirksam wurden die neuen Regelungen jedoch erst nach einer zweijährigen Übergangsfrist zum 25.05.2018. Daher ist von Gerichten und Aufsichtsbehörden wenig Kulanz zu erwarten, wenn mit einer „gerade erst in Kraft getretenen Regelung“ argumentiert wird.

Da es sich um eine europäische Verordnung handelt, ist der darin formulierte Gesetzestext unmittelbar in allen EU-Mitgliedsstaaten anwendbar. Jeder Bürger der europäischen Union kann sich somit auf die ihm durch die DSGVO zustehenden Rechte berufen. Eine Umsetzung in nationales Recht (wie beispielsweise bei EU-Richtlinien, insb. der europäischen Datenschutzrichtlinie von 1995) ist nicht notwendig. Jedoch bietet auch die DSGVO die Möglichkeit, landesspezifische Sonderregelungen zu erlauben. Dies wird über so genannten Öffnungsklauseln erreicht. Da auch die Bundesrepublik Deutschland hiervor gebraucht gemacht hat, ist seit dem 25.05.2018 ebenfalls das Bundesdatenschutz in einer aktualisierten Fassung (BDSG-neu) gültig.

Hintergrund einer zentralisierten europäischen Gesetzgebung war der Wunsch, die innerhalb Europas stark unterschiedlichen nationalen Standards, Regularien und Gesetze zu harmonisieren. In Deutschland gibt es seit langem ein sehr restriktives und umfangreich formuliertes Datenschutzgesetz. Andere Staaten innerhalb der EU (insb. Irland sowie die südeuropäischen Länder) hatten ein vergleichsweise niedriges Datenschutzniveau sowie personell sehr schlecht ausgestattete Aufsichtsbehörden. So haben sich beispielsweise die Social-Media-Größen Facebook und Twitter bewusst in Irland niedergelassen. Neben den steuerlichen Vorteilen dort, waren die geringen Anforderungen an den Datenschutz sicherlich nicht von Nachteil.

Die wichtigsten Neuerungen

Deutschland hatte bereits vor dem Stichtag am 25.05.2018 ein umfassendes Datenschutzgesetz. Die Anforderungen an die Datenverarbeitung sind somit nicht grundlegen neu. Die wichtigsten und tiefgreifendensten Änderungen möchten wir Ihen im Folgenden Stichpunktartig zusammenfassen. Bei weiteren Fragen nehmen Sie gerne Kontakt zu uns auf.

VERARBEITUNGSVERZEICHNIS

Sämtliche Prozessen, bei denen personenbezogene Daten verarbeitet werden, müssen nach einem einheitlichen Schema dokumentiert und regelmäßig aktuallisiert werden. Die Gesamtheit der beschriebenen Verarbeitungsvorgänge (z.B. Lohnbuchhaltung, Führen eines Urlaubskalenders, Führen einer Kundenkartei, Onlinebanking) wird im Rahmen der DSGVO als Verzeichnis der Verarbeitungstätigkeiten genannt. Dieses Verzeichnis ist auf Verlangen der Aufsichtsbehörden umgehend vorzulegen. Hiermit wollen die Behörden sicherstellen, dass sämtliche Prozesse innerhalb der Unternehmen auf die diversen Kriterien der Datenverarbeitung (Datenminimierung, Weitergabekontrolle, Sicherstellung der Information der betroffenen Person) geprüft sind. Das Verzeichnis der Verarbeitungstätigkeiten ist ein Kernstück der DSGVO-Dokumentation. Wir helfen Ihnen gerne bei der Erstellung und Pflege Ihrer vollständigen Dokumentation!

Beispiel für eine Verfahrensdokumentation
INFORMATIONSPFLICHTEN

Von der Datenverarbeitung betroffene Personen sind darüber zu informieren, welche Daten zu welchem Zweck verarbeitet werden, wie lange diese gespeichert werden und an wen sie weitergegeben werden. Dies muss in einer verständlichen und transparenten Sprache geschehen. Wichtig ist hierbei vor allem, dass es nicht ausreichend ist, lediglich über Datenverarbeitung auf der eigenen Homepage aufzuklären. Es müssen ebenfalls Erklärungen und Informationen über alle relevanten Tätigkeiten, die Sie in Ihrem Unternehmen durchführen an geeigneter Stelle bereitgestellt werden. Dies ist insbesondere für Verarbeitungstätigkeiten „mit Außenwirkung“ extrem wichtig, da Verstöße durch betroffene Personen (Kunden) oder Konkurenten schnell bemerkt werden könne. Das Abmahnrisiko ist an dieser Stelle besonders groß.

Beispiel für eine Kundeninformation
TECHNISCH- ORGANISATORISCHE MAßNAHMEN

Neben dem Verzeichnis der Verarbeitungstätigkeiten ist die Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) eine Kernkomponente der DSGVO-Dokumentation. Hier wird beschrieben, welche Maßnahmen Sie ergreifen, um den Schutz der Ihnen anvertrauten Daten sicherzustellen. Dies sollte in einer strukturierten und nachvollziehbaren Form erfolgen und gewissen Prüfkriterien genügen. Somit erleichtern Sie Aufsichtsbehörden die Prüfung der Maßnahmen – und es ermöglicht Ihnen, sich gezielt vor Augen zu führen, was Sie genau tun und was Sie ggf. noch verbessern können.
Falls Sie Ihren Kunden Verträge für die Auftragsverarbeitung anbieten, müssen die TOMs ebenfalls als Anlage hierfür vorhanden sein.

RISIKOABSCHÄTZUNG

Auch, wenn Daten rechtmäßig und nach hohen Standards verarbeitet werden, besteht  immmer ein Risiko, dass Daten z.B. „in falsche Hände“ fallen. Sei es durch einen Cyber-Angriff, Unachtsamkeit von Mitarbeitern oder das Verlohrengehen eines Laptops oder Handys.
Um das damit verbundenen Risiko benennen zu können, ist eine Risikoabschätzung für alle durchgeführten Tätigkeiten notwendig. 
Sollten Sie Daten aus den so genannten besonderen Kategorien verarbeiten, ist auch immer eine Datenschutz-Folgeabschätzung notwendig. Da diese besonderen formalen Kriterien genügen sollte, raten wir dringed zu einer Beratung und Mitarbeit eines zertifizierten Datenschutzbeauftragten an einem solchen Dokument. Wir haben für Kunden aus dem Gesundheitssektor, der Finanzbranche und Einrichtungen mit Kinder und Jugendliche bereits umfangreiche Datenschutzfolgeabschätzungen erstellt. Gerne beraten wir auch Ihr Unternehmen bei diesem komplexen Thema.

MELDEPFLICHTEN

Von der Datenverarbeitung betroffene Personen sind darüber zu informieren, welche Daten zu welchem Zweck verarbeitet werden, wie lange diese gespeichert werden und an wen sie weitergegeben werden. Dies muss in einer verständlichen und transparenten Sprache geschehen. Wichtig ist hierbei vor allem, dass es nicht ausreichend ist, lediglich über Datenverarbeitung auf der eigenen Homeoage aufzuklören. Es müssen ebenfalls Erklärungen und Informationen über alle relevanten Tätigkeiten wie Lohnbuchhaltung, Führen einer Kundendatei,

HARTE SANKTIONEN & UNSCHULDSBEWEIS

Bei Verstößen gegen die DSGVO können gegen Unternehemn nun bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes als Strafe verhängt werden. Im Rahmen der mit der DSGVO eingeführten Beweislastumkehr müssen die für die Datenverarbeitung verantwortlichen (also die Unternehmen und somit die Geschäftsführer) nachweisen, dass sie die Regeln eingehalten haben. Bisher war es Aufgabe der zuständigen Behörden, die Verstöße nachzuweisen.

RECHT AUF DATENÜBERTRAGBARKEIT

Kunden und Nutzern von Dienstleistungen muss es ermöglicht werden, ihre persönlichen Daten einfach zu einem anderen Anbieter übertragen zu können. Hierfür dürfen keine künstlichen technischen oder  organisatorischen Hürden vorhanden sein. Art. 20 DSGVO

INFORMATIONSPFLICHTEN

Von der Datenverarbeitung betroffene Personen sind darüber zu informieren, welche Daten zu welchem Zweck verarbeitet werden, wie lange diese gespeichert werden und an wen sie weitergegeben werden. Dies muss in einer verständlichen und transparenten Sprache geschehen. Wichtig ist hierbei vor allem, dass es nicht ausreichend ist, lediglich über Datenverarbeitung auf der eigenen Homeoage aufzuklören. Es müssen ebenfalls Erklärungen und Informationen über alle relevanten Tätigkeiten wie Lohnbuchhaltung, Führen einer Kundendatei,

DATENSCHUTZBEAUFTRAGTER

In vielen Unternehmen und Einrichtungen besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Sollten beispielsweise mehr als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut sein, ist in jedem Fall ein DSB zu bestellen. Dieser (Art. 39 DSGVO): Den Datenschutzbeauftragten wird es jetzt EU-weit geben. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden. Den Schwellenwert aus dem BDSG, nach dem Unternehmen mit mehr als neun Beschäftigten einen Datenschutzbeauftragten bestellen müssen, gibt es in der Datenschutzgrundverodnung zwar nicht mehr, allerdings existiert eine Öffnungsklausel für nationale Regelungen. Für Deutschland wird davon ausgegangen, dass der Gesetzgeber über diese Öffnungsklausel die bisherige Rechtslage beibehält.

MARKTORTPRINZIP

Art. 3 DSGVO: Die DSGVO gilt für alle Unternehmen, die Waren oder Dienstleistungen im europäischen Wirtschaftsraum anbieten. Unabhängig davon, ob das Unternehmen seinen Sitz innerhalb der EU und wo die Datenverarbeitung statt findet. Somit sind alle Unternehmen verpflichtet, sich den Anforderungen der DSGVO zu unterwerfen, auch wenn der Sitz des Unternehmens außerhalb der EU ist und lediglich Waren über Onlineshops oder Marktplätze innerhalb der EU verkauft werden. Dies ist ein häufiger Abmahngrund und wird vermutlich in Zukunft für viele Bußgelder sorgen. 

Vereinbahren Sie jetzt einen kostenlosen Termin zur Erstberatung!

DIE KERNFRAGE!

Gilt die DSGVO auch für mich?

Die häufigste Frage, die wir in Erstgesprächen gestellt bekommen, ist ganz klar die „Geltungsfrage“. Und die häufigste Behauptung kommt gleich mit: „Die DSGVO gilt ja zum Glück nicht für mich!“
Ob die DSGVO nun Anwendung findet, hängt von zwei Kriterien ab: 1. Werden personenbezogene Daten verarbeitet? Und 2. gehört der Verarbeiter/die Verarbeiterin überhaupt zu dem Personenkreis, an den sich die DSGVO richtet?
Kurzfassung: Für jedes Unternehmen, jeden Verein (egal ob gemeinnützig oder nicht) und jede öffentliche Einrichtung gilt die DSGVO. 
Es gibt zwar Ausnahmen und Sonderregelungen. Diese greifen jedoch nur in sehr wenigen Fällen.

PERSONENBEZOGENE DATEN

Im Kontext der DSGVO werden personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ bezeichnet. Es reicht also aus, wenn die Information einer bestimmtern Person zugeordnet werden kann. Somit handelt es sich auch bei KFZ-Kennzeichen, Mitgliedsnummern, Telefonnummern oder IP-Adressen um personenbezogene Daten.

BETROFFENER PERSONENKREIS

Lorem ipsum dolor sit amet, consectetur adipisicing elit.

Die Grundsätze des Datenschutzrechts zusammengefasst

Die DSGVO ist mit insgesamt 99 Artikeln eine sehr umfangreiche Verordnung. Sie folgen alle einigen einfachen und nachvollziehbaren Grundsätzen. Um die Rechtmäßigkeit des eigenen Handelns auch ohne eine professionelle Datenschutzberatung oder die Verpflichtung eines externen Datenschutzbeauftragten einschätzen zu können, möchten wir Ihnen im Folgenden einige „Basics der DSGVO“ nahe bringen.

Die ersten beiden Kaptiel der Datenschutzgrundverordnung (Artikel 1 bis 11 der DSGVO) befassen sich mit den allgemeinen Bestimmungen und den Grundsätzen jeglicher Datenverarbeitung. In Artikel 5 der DSGVO sind wichtige, zentrale Punkte geregelt: das Verarbeitungsverbot mit Erlaubnisvorbehalt, der Zweckbestimmungsgrundsatz, der Grundsatz zur Datenminimierung sowie Grunsätze, die auf Faire Datenverarbeitung („Treu und Glauben“) abzielen. 

Verbot mit Erlaubnisvorbehalt

Ein Grundsätzliches Verbot der Datenverarbeitung personenbezogener Daten klingt zunächst drastisch und beinahe unüberwindbar.  Genaugenommen galt dieser Grundsatz bereits vor Inkrafttreten der DSGVO. Er besagt, das jegliche Verarbeitung personenbezogener Daten zunächst verboten ist. Es sei denn, ein so genannter Erlaubnistatbestand liegt vor. Da mit der DSGVO die Persönlichkeitsrechte des Einzelnen gestärkt und geschützt werden sollen, ist eine solche Regelung sinnvoll und nachvollziebar. Der Schutz der Persönlichkeitsrechte lässt sich plakativ herunterbrechen: Jede Person soll zu jeder Zeit wissen und kontrollieren können, wer welche Daten von ihr besitzt, verarbeitet und an wen weitergibt. 
Sollte es nun kein grundsätzliches Verarbeitungsverbot geben, wäre dies nicht realisierbar. Jeder könnte dann einfach so Daten horten, verarbeiten oder weitergeben.