Datenschutz – die neue Datenschutz-Grundverordnung DSGVO

Einige Hinweise zur DSGVO:

Am 25.05.2018 tritt die neue Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – DSGVO) in Kraft und löst das bisher geltende Bundesdatenschutzgesetz (BDSG-alt) und die Landesdatenschutzgesetze ab.

Die Verordnung ist unmittelbar geltendes Recht und darf durch deutsche Gesetze nur ergänzt, nicht aber wiederholt oder abgeändert werden, soweit nicht die Verordnung selbst eine Abweichen gestattet. Die DSGVO wird ergänzt durch das neue Bundesdatenschutzgesetz (BDSG-neu) und – sobald sie in Kraft getreten sind – neue Landesdatenschutzgesetze.

I. Was ist zu tun?

Aufgrund des unmittelbar bevorstehenden Inkrafttretens der Verordnung sind solche Vorgänge unbedingt vorzuziehen, deren Nichterfüllung von Außen erkennbar wäre. Diese sind in Reihenfolge abnehmender Wichtigkeit:

1. Internetauftritt / Datenschutzerklärung

Die Internetseite eines Unternehmens ist der erste Anlaufpunkt, dort sind die Informationen nach Art. 13 Abs. 1 DSGVO unbedingt rechtzeitig bereitzustellen:
– Name und Kontaktdaten des Verantwortlichen;
– ggf. die Kontaktdaten des Datenschutzbeauftragten;
– die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
– wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
– ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
– ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Punkt 3 bedeutet, dass auf der Internetseite eine aktuelle Datenschutzerklärung vorzuhalten ist.

2. Auftragsdatenverarbeitung

Wenn Dritte im Auftrag Ihres Unternehmens Daten für Sie verarbeiten, müssen Sie eine Vereinbarung über die Auftragsdatenverarbeitung mit dem Unternehmen abschließen. So z.B., wenn Sie „Cloud-Computing“ oder „Cloud-Storage“ einsetzen. Die Weitergabe der Daten zur Verarbeitung durch Dritte ist nur zulässig, wenn eine solche Erklärung vorliegt.

3. Kontaktdaten Datenschutzbeauftragter veröffentlichen

Soweit ein solcher bestellt werden muss, sind ab dem 25.05.2018 die Kontaktdaten des Datenschutzbeauftragten mitzuteilen.
Prozesse erarbeiten

4. Mitteilung an BfDI

Die Kontaktdaten des Datenschutzbeauftragten sind der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bis zum 25.05.2018 zu melden.

5. Mitarbeiterinformation

Aufgrund der hohen Sanktionen bei gravierenden Datenschutz-Verstößen sind Mitarbeiter rechtzeitig über die Änderungen zu informieren, die aus der DSGVO für Arbeitsabläufe und die Geheimhaltung von Daten folgen. Ziel sollte sein, ein Verständnis der Grundprinzipien der DSGVO zu vermitteln.

6. Es sind Prozesse für den Umgang mit Datenpannen, der Löschung von Daten und der Beantwortung von Auskunftsanfragen und den Umgang mit Widersprüchen zu entwickeln.
Datenpannen nimmt die DSGVO sehr ernst und ordnet an, dass binnen 72 Stunden eine Meldung durch den Verantwortlichen bei der Aufsichtsbehörde gemacht werden und die Betroffenen unverzüglich von der Verletzung zu informieren sind.

II. Was regelt die DSGVO?

Die DSGVO führt Prinzipien im Umgang mit Daten ein, die Grundlage jeder Bearbeitung von Daten sein müssen.

1. Rechtmäßigkeit – Art. 5 Abs. 1 a) / Art. 6 DSGVO
Datenverarbeitung darf nur stattfinden, wenn eine Rechtsgrundlage für die Verarbeitung besteht. Meist erfolgt die Verarbeitung zur Erfüllung eines Vertrags, gelegentlich aufgrund einer Einwilligung des Betroffenen. Wer aufgrund einer Einwilligung Daten verarbeiten möchte, muss die Betroffenen über ihre Widerspruchsrechte informieren. Weit praktischer ist deshalb die Datenverarbeitung zur Erfüllung des zwischen dem Verantwortlichen und dem Betroffenen geschlossenen Vertrags.

2. Zweckbindung – Art. 5. Abs. 1 b) DSGVO

Daten dürfen jeweils nur für den Zweck verarbeitet werden, zu dem sie ursprünglich erhoben worden sind. Nur in sehr engen Grenzen dürfen – unter Berücksichtigung von Informationspflichten Daten zu einem anderen Zweck weiterverwendet werden.

3. Datenminimierung – Art. 5 Abs. 1 c) DSGVO

Die Datenminimierung ist das Kernprinzip der DSGVO, welches sich in Zweckbindung und Rechtmäßigkeit fortsetzt: Die Datenverarbeitung ist auf das notwendige zu beschränken.

4. Richtigkeit – Art. 5 Abs. 1 d) DSGVO

Unrichtig (gewordene) Daten müssen unverzüglich gelöscht oder berichtig werden.

5. Speicherbegrenzung – Art. 5 Abs. 1 e) DSGVO

Daten dürfen nur solange vorgehalten werden, wie sie zur Erreichung des Zwecks benötigt werden.

6. Integrität / Vertraulichkeit – Art. 5 Abs. 1 f) DSGVO

Die DSGVO ordnet ein hohes technisches und organisatorisches Schutzniveau für personenbezogene Daten an.

7. Fazit:

Jede Datenverarbeitung muss unter dem Blickwinkel erfolgen, welche Daten dafür wie lange benötigt werden. Für jede Datenverarbeitung muss außerdem eine rechtliche Grundlage existieren und organisatorisch und technisch sichergestellt sein, dass die Daten richtig und sicher gespeichert sind und bei Fehlern unverzüglich Berichtigungen oder Löschungen vorgenommen werden können.

III. Was droht bei Verstößen gegen die DSGVO?

1.Hohe Bußgelder

Die DSGVO erlaubt nach Art. 83 die Verhängung von Bußgeldern, die wirksam, verhältnismäßig und abschreckend sein sollen. Diese Bußgelder können
– bei Verstößen gegen die Pflichten als Verantwortlicher einen Umfang von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahres Umsatzes,
– bei Verstößen gegen die Rechte Betroffener oder Anordnungen der Aufsichtsbehörden bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes
erreichen. Entscheidend ist jeweils der höhere Betrag.

2. Gravierende Nebenfolgen

Daneben ergeben sich unmittelbar aus der DSGVO Ansprüche auf Schadenersatz und es besteht eine gesamtschuldnerische Haftung von Verantwortlichen und Auftragsverarbeiten gegenüber den Betroffenen.

3. Behördliche Eingriffe

Aufsichtsbehörden dürfen neben Verwarnungen auch Maßnahmen bis hin zum Verbot der Datenverarbeitung aussprechen. Bei Zuwiderhandlungen drohen Bußgelder der höheren Kategorie.

4. Es ist im Moment unklar, ob Verstöße oder gegebenenfalls welche Verstöße gegen die DSGVO auch als Verstoß gegen Marktverhaltensregeln im Sinne des Gesetzes gegen den unlauteren Wettbewerb UWG gewertet werden können. Die Frage wird erst in Jahren durch die Rechtsprechung geklärt werden. Bis dahin ist mit einer größeren Anzahl Abmahnungen zu rechnen, die durch Wettbewerber und Verbraucherschutzverbände ausgesprochen werden. Solche Abmahnungen sollten keinesfalls ohne anwaltliche Überprüfung bleiben: Sie sind ernst zu nehmen und unbedingt rechtlich zu prüfen. Wenn eine Abmahnung ignoriert wird, droht eine gerichtliche einstweilige Verfügung, wenn ohne Prüfung eine Unterlassungserklärung unterzeichnet wird, löst diese auf jeden Fall Pflichten aus, die möglicherweise gar nicht bestanden.

IV. Risikobewertung:

1. Landesbeauftragte für den Datenschutz?

Die Landesbeauftragten für den Datenschutz werden in den ersten Monaten und vermutlich auch Jahren sehr stark be- bis überlastet sein. Von dieser Seite sind Risiken daher eher unwahrscheinlich, bei fortgesetzten Verstößen aber sind die Folgen gravierend. Insgesamt ergibt sich so ein durchaus ernstzunehmendes Risiko.

2. von Wettbewerbern / Verbänden?

Wahrscheinlicher ist eine Abmahnung durch wettbewerbsrechtliche Abmahnungen. Diese sind weit wahrscheinlicher, wenngleich die wirtschaftlichen Risiken eher geringer sind als die eines Einschreitens von öffentlicher Seite. Aber: Wenn auf Abmahnungen falsch reagiert wird, werden auch diese schnell zu einem bedrohlichen Risiko.

V. Datenschutzbeauftragte

1. Wer braucht einen Datenschutzbeauftragten?
Sind in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist nach § 38 BDSG-neu ein Datenschutzbeauftragter zu bestellen. Werden Verarbeitungen vorgenommen, die einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO unterliegen, oder verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben Sie auch mit weniger Mitarbeitern einen Datenschutzbeauftragten zu benennen.
2. Wann ist ein Datenschutzbeauftragter zu benennen?
Die Benennung von Datenschutzbeauftragten sollte zum 25.05.2018 spätestens erledigt sein, da dies neben dem Inhalt des Internetauftritts die erste Angriffsstelle für abmahnende Wettbewerber oder Verbände darstellen dürfte. Diese müssen nur wissen, dass Ihr Unternehmen geschäftsmäßig Daten übermittelt oder mit sensiblen Daten arbeitet oder schätzen können, dass mehr als 10 Personen ständig mit der Datenverarbeitung in Kontakt kommen.
3. Haftung trotz Bestellung eines Datenschutzbeauftragten?
Die Bestellung des Datenschutzbeauftragten entbindet nicht von der rechtlichen Verantwortung, erlaubt aber einen Rückgriff, wenn der Datenschutzbeauftragte ordnungsgemäß ausgewählt war und fehlerhaft gearbeitet hat.
4. Was macht ein Datenschutzbeauftragter?
Datenschutzbeauftragte sind die Schnittstelle einer Zusammenarbeit mit der Aufsichtsbehörde und überwachen die Einhaltung der Verordnung durch die Verantwortlichen, sie weisen auf Änderungsbedarf im Unternehmen hin.
Es empfiehlt sich, mit Datenschutzbeauftragten gemeinsam oder mit anwaltlicher Hilfe die Verarbeitungsverzeichnisse für die einzelnen Vorgänge im Unternehmen und die Datenschutzerklärung zu erstellen. Dies erfordert eine Anfangsinvestition, wird später aber nur überschaubaren Aufwand bei der Überarbeitung nach sich ziehen.
5. Wer kann Datenschutzbeauftragter sein?
Datenschutzbeauftragter können Mitarbeiter sein, die über entsprechende Qualifikationen und gegebenenfalls Fortbildungen verfügen. Nicht zum Datenschutzbeauftragten können verantwortliche Personen selbst bestellt werden, weshalb die Bestellung eines Geschäftsführers ausscheiden dürfte. Der Datenschutzbeauftragte erwirbt nach 38 DSGVO eine besondere Stellung, wegen der Erfüllung seiner Aufgaben sind eine Kündigung oder Benachteiligung in anderer Weiseunzulässig.
VII. Zusammenfassung:
Die DSGVO bringt einige neue Pflichten, ändert aber die grundlegende Idee des Datenschutzes nicht, sondern verhilft dem Datenschutz lediglich zu einem Rang, den er bereits hätte haben müssen, wenngleich um den Preis enormen bürokratischen Aufwands. Aufgrund der horrenden Sanktionen allerdings muss unverzüglich an den Bereichen mit Außenwirkung gearbeitet werden. Ein Stück weit entwarnt werden kann: Es wird behördlicherseits trotz des Vorlaufs zum Inkrafttreten nicht erwartet werden können, sämtlichen Anforderungen der DSGVO am 25.05.2018 vollständig zu entsprechen. UWG-Abmahnungen durch Wettbewerber allerdings könnten früher bereits anlaufen. Solche Abmahnungen sollte allerdings nur aussprechen, wer selbst absolut unangreifbar ist.

Rechtsanwalt Tilman Winkler

Rechtsanwalt Tilman Winkler

More In

Terminbericht Berufungsverfahren – L 13 R 4841/17 – 25.07.2018 – UPDATE

Landesrechtliche Pflichtmitgliedschaft auf Antrag als Verpflichtung im Sinne des § 6 I 1 Nr. 1 SGB VI?

Syndikusrechtsanwälte: Rückwirkende Befreiung ohne zurückliegende Mitgliedschaft im Versorgungswerk