, , , , ,

Mandanteninformation zur Datenschutzgrundverordnung

DSGVO – Information für Mandanten

 

Ab dem 25. Mai 2018 gilt ohne (!) Übergangsfrist die neue europäische Datenschutz-Grundverordnung (DSGVO). Gleichzeitig erfährt das Bundesdatenschutzgesetz (BDSG) eine Änderung.

I. Grundsatz

Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Gemäß Art. 2 und Art. 4 DSGVO findet die Verordnung Anwendung für die ganz oder teilweise automatisierte Verarbeit-ung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung per-sonenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Umfasst sind das Erheben, die Organisation, das Ordnen, die Speicher-ung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Ver-wendung, die Offenlegung durch Über-mittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Personenbezogene Daten sind alle Infor-mationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Faktisch jede Verwendung von Infor-mationen zu einer natürlichen Person – auch von Onlinenamen, sofern einer Person zuzuordnen – fällt unter die neue DSGVO. Beachten Sie, dass dies auch für Daten von juristischen Personen gilt, wenn diese mit Daten einer natürlichen Person verknüpft sind.

Dies gilt sowohl im inner- (Mitarbeiter) als auch außerbetrieblichen Bereich (Kunden, Lieferanten, Geschäftspartner, etc.).

Die Verordnung gilt explizit auch für Kleinstunternehmer.

 

II. Grundprinzipien (Art. 5 DSGVO)

Die Datenverarbeitung unterliegt nach Art. 5 DSGVO mehreren Grundprinzipien:

 

  1. Datensparsamkeit

Privacy by Design und Privacy by Default: Zum Zeitpunkt der Verarbeitung müssen angemessene technische und organisatorische Maßnahmen zur Daten-sparsamkeit vorliegen. Weiterhin sollen die Standardeinstellungen von Systemen so ausgelegt sein, dass nur personen-bezogene Daten verarbeitet werden, die für den konkreten Zweck erforderlich sind.

 

Ist Ihre Datensparsamkeit auf das notwendige Maß beschränkt?

 

Erwägungsgrund 78 gibt vor, dass diesem Grundsatz auch bei öffentlichen Ausschreibungen Rechnung getragen werden soll.

 

  1. Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Diese finden sich in den Art. 6 – 9 DSGVO.

Für die Datenerfassung von Beschäftigtendaten gilt § 9 DSGVO erweitert um § 26 BDSG, welcher im Grundsatz den bisherigen gesetzlichen Regelungen ent-spricht.

 

Wir überprüfen gerne, ob Ihre Datenverarbeitung diesen Zwecken entspricht.

 

  1. Datensicherheit

Nach der DSGVO sollen personenbezogene Daten dem jeweiligen Stand der Technik entsprechend gesichert werden. Dies umfasst sowohl den phy-sischen Schutz (Sicherheitsschlösser, Key-Cards, u.a.) sowie den digitalen Schutz (Passwörter, Zugriffsbeschränkung, u.a.).

 

  1. Betroffenenrechte

Es werden nunmehr umfassende Betroffenenrechte normiert. Hierauf gehen wir unter Ziff. 4. detaillierter ein.

 

III. Pflichten des Verantwortlichen

 

  1. Datenschutzbeauftragter (Art 37 DSGVO i.V.m. § 38 BDSG)

Wenn in Ihrem Unternehmen ständig 10 oder mehr Personen mit personenbezog-enen Daten beschäftigt sind, ist ein Datenschutzbeauftragter (im Folgenden: DSB) zu bestellen und gegenüber der zuständigen Behörde zu benennen (in NRW: LDI NRW). Er dient dieser als Ansprechpartner.

Der DSB hat die Pflicht die Mitarbeiter des Unternehmens über den Datenschutz zu unterrichten und zu beraten, sowie die Überwachung und Einhaltung von DSGVO und BDSG in einem Unternehmen sicherzustellen.

Die Anforderungen an den DSB sind nicht genau vorgegeben, entsprechend aber grundsätzlich den bereits bestehenden gesetzlichen Verpflichtung-en. Er muss grundsätzlich in der Lage sein, die sich aus Art. 39 DSGVO ergebenden Verpflichtungen einzuhalten.

Somit ist ein Mindestmaß an technischem und rechtlichem Wissen zum Datenschutz erforderlich.

 

Sprechen Sie uns auf Schulungsmöglichkeiten an!

 

Stellt die Aufsichtsbehörde fest, dass ein unqualifizierter DSB beauftragt wurde, sind Strafen nicht auszuschließen.

Der Datenschutzbeauftragte ist auch offen für Dritte zu benennen, u.a. in der Datenschutzerklärung auf der Homepage und in AGB.

Nichts ist einfacher für Behörden und Mitbewerber zu kontrollieren und abzumahnen!

Achtung: Der Datenschutzbeauftragte genießt nach § 38 i.V.m. § 6 BDSG besonderen Kündigungsschutz bis ein Jahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter! Eine Kündigung ist nur aus wichtigem Grund möglich.

 

Gerne besprechen unsere Fachanwälte für Arbeitsrecht die daran anknüpfenden Voraussetzungen mit Ihnen.

 

  1. Datenschutzverzeichnis (Art. 30 DSGVO)

Nach Art. 30 DSGVO sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet ein Verzeichnis über die Verarbeitungstätigkeit zu führen.

Für kleinere Unternehmer ist dieses Verzeichnis zu führen, wenn die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (z.B. Scoring), die Verarbeitung nicht nur gelegentlich erfolgt oder es eine Verarbeitung besonderer Datenkate-gorien gemäß Artikel 9 Absatz 1 DSGVO (z.B. Gesundheitsdaten oder Daten über die Religionszugehörigkeit) bzw. die Verarbeitung von personenbezogenen Daten über straf-rechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO erfolgt.

Die Einschränkung „die Verarbeitung erfolgt nicht nur gelegentlich“, unterwirft bereits die meisten Unternehmen – auch unter 250 Mitarbeitern – wieder der Pflicht ein Verzeichnis führen zu müssen und die Kirchensteuer und damit verbundene Abfrage der Religions-zugehörigkeit nahezu ausnahmslos alle Arbeitgeber.

 

  1. Meldung von Datenschutzverletzungen (Art. 33 DSGVO)

Verletzungen (wie bspw. Datendiebstahl) des Schutzes personenbezogener Daten müssen unverzüglich, innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Aufsichtsbehörde gemeldet werden.

Es sei denn, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt.

Es kommt jeweils auf den Einzelfall an.

 

IV. Rechte der Betroffenen (Art. 12 ff. DSGVO)

Art. 13 und 14 DSGVO sieht Benachrichtigungspflichten vor, wenn Daten erhoben werden.

Dies umfasst unter anderem den Namen des Verantwortlichen, des Datenschutz-beauftragten, Zweck und Grundlage für die Datenverarbeitung die Speicherdauer der Daten und die Rechte des Betroffenen, wie das Auskunftsrecht (Art. 15 DSGVO) sowie das Widerrufsrecht zur Verarbeitung der Daten.

Weiterhin hat der Betroffene das Recht zur Berichtigung der Daten (Art. 16 DSGVO) sowie das Recht die Löschung der Daten zu Verlangen (Art. 17 DSGVO). Diesbezüglich besteht auch ein Recht auf „Vergessenwerden“, wenn die Daten öffentlich gemacht werden.

In den in Art. 18 DSGVO bestimmten Fällen kann der Betroffene auch die Beschränkung seiner Daten verlangen.

Neu ist das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) welches dem Betroffenen das Recht gibt unter gewissen Voraussetzungen eine Kopie der sie betreffenden Daten in einem maschinenlesbaren Datenformat zu erhalten.

Insbesondere für Arbeitgeber kann dies in der Zukunft zu vermehrtem Arbeitsaufwand führen.

 

Wir empfehlen mindestens eine Anpassung der AGB vorzunehmen und empfehlen darüber hinaus eine separate Erklärung erstellen zu lassen.

 

V. Sanktionen (Art. 58 und Art. 83 DSGVO)

Die Aufsichtsbehörden verfügen gemäß Art. 58 DSGVO über die Befugnisse Verstöße zu untersuchen (inklusive Zugang zu Geschäftsräumen) und Verstößen abzuhelfen.

Jede Aufsichtsbehörde soll sicherstellen, dass die Verhängung von Geldbußen für Verstöße gegen diese Verordnung in jedem Einzelfall wirksam, verhältnis-mäßig und abschreckend ist.

Bei Verstößen gegen Art. 8, 11, 25 bis 39 (s. III.), 42 und 43 Geldstrafen bis zu 10.000.000,- € oder 2 % des weltweiten Vorjahresumsatzes. Je nachdem welche Summe höher ist.

Im Übrigen, z.B. bei Verstößen gegen die Einwilligung, können Geldstrafen bis zu 20.000.000,- € oder 4 % des weltweiten Jahresumsatzes verhängt werden. Je nachdem welche Summe höher ist.

Das BDSG sieht weiterhin Freiheits-strafen für die unzulässige gewerbliche Verbreitung von personenbezogenen Daten vor.

 

Sorgen Sie mit uns dafür, dass Sie auf der sicheren Seite sind!

 

VI. Fazit

Der neue Datenschutz betrifft nahezu alle Unternehmen, unabhängig von ihrer Größe.

Die Pflichten der betroffenen Unternehmen sind weitreichend. Selbst für Unternehmen, die bisher dem nationalen Datenschutz Rechnung getragen haben, besteht Handlungsbedarf. Für diejenigen, die den Datenschutz bislang nicht allzu ernst genommen haben, besteht aufgrund der deutlichen und scharfen Sanktionierung zwingender und dringender Handlungsbedarf.

Die Gefahr von Sanktionen steigt mit der neuen Regelung erheblich, da die Rechte der Betroffenen gestärkt und den Datenschutzbehörden weitreichendere Befugnisse eingeräumt wurden.

 

Fachleute befürchten zudem bereits eine weitreichende Abmahnungs-welle.

 

Bei der Bewertung, welche Schritte noch zu unternehmen sind, kommt es jeweils auf den Einzelfall an. Diese Information ist nicht abschließend und erhebt keinen Anspruch auf Vollständigkeit

 

Sollten Sie noch Rückfragen haben oder eine Überprüfung Ihrer Datenschutzvorkehrungen, AGB, u.a. haben, kontak-tieren Sie uns gerne unter:

 

AIXLAW Rechtsanwälte

Goethestraße 5

52064 Aachen

Telefon: 0241/1602050

Fax: 0241/1620510

E-Mail: aachen@aixlaw.de

oder nutzen Sie unser Kontaktformular auf der Homepage:

Kontaktformular