Was ist ein Datenschutzbeauftragter?
Die Bestellung eines Datenschutzbeauftragen ist bereits seit Einführung des Bundesdatenschutzgesetzes (BDSG) verpflichtend für einige Unternehmen. Mit dem Inkrafttreten der EU-DSGVO wurden die Anforderungen an den Datenschutzbeauftragten sowie die Sanktionen bei Missachtung drastisch erhöht. Unternehmen, die mehr als zehn Mitarbeiter haben und automatisiert Daten verarbeiten, haben einen Datenschutzbeauftragten einzustellen. Wenn Sie es noch nicht getan haben, sollten Sie schnellstmöglich einen Datenschutzbeauftragten benennen.
Aufgaben und Arten von Datenschutzbeauftragten
Allgemein gefasst soll der Datenschutzbeauftragte dafür sorgen, dass alle datenschutzrechtlichen Anforderungen an ein Unternehmen eingehalten werden, während es personenbezogene Daten verarbeitet. Obwohl Unternehmen ihn selbst bestellen und bezahlen müssen, soll er als unabhängiges Kontrollorgan fungieren. Er überprüft die Prozesse der Verarbeitung personenbezogener Daten. Stellt er Verstöße gegen das Bundesdatenschutzgesetz (BDSG) oder die EU-DSGVO fest, so muss er Maßnahmen entwickeln, um Abhilfe zu schaffen.
Es gibt unterschiedliche Arten von Datenschutzbeauftragten. Zunächst kann zwischen der Organisation unterschieden werden, für die er tätig ist. Behörden müssen Datenschutzbeauftragte ebenso bestellen wie Unternehmen.
Die grundlegende Frage, die sich für Unternehmen stellt, ist zudem, ob ein Angestellter als Datenschutzbeauftragter ausgebildet oder ein externer Datenschutzbeauftragter bestellt wird.
Datenschutzbeauftragten bestellen mit Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Datenschutzbeauftragter Pflicht: Wer braucht einen DSB?
Grundsätzlich wird zwischen dem Datenschutzbeauftragen für öffentliche und nichtöffentliche Stellen unterschieden. Öffentliche Stellen müssen einen behördlichen Datenschutzbeauftragen anmelden.
Nichtöffentliche Stellen, wozu Unternehmen und Vereine zählen, haben einen Datenschutzbeauftragen zu beauftragen, sobald die Voraussetzungen des § 38 BDSG erfüllt sind. Unterschieden wird zwischen drei unterschiedlichen Konstellationen:
- Es werden mindestens neun Mitarbeiter beschäftigt und personenbezogene Daten automatisiert verarbeitet. Die Art der Mitarbeiter ist dafür irrelevant. Eine Vollbeschäftigung oder Festanstellung sind nicht erforderlich, um als Mitarbeiter eingestuft zu werden. Die Automatisierung ist bereits dann erfüllt, wenn die Verarbeitung am Computer vollzogen wird ( 4f Abs. 1 Satz 3 BDSG).
- Die automatisierte Erhebung und Verarbeitung von personenbezogenen Daten gehört zum Geschäftsmodell des Unternehmens. Typische Beispiele sind Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Bei dieser Art von Geschäftsmodell ist die Anzahl der Mitarbeiter irrelevant ( 4f Abs. 1 Satz 5 BDSG).
- Jedes Unternehmen, das sensible personenbezogene Daten verarbeitet, muss einen Datenschutzbeauftragten bestellen. Die Sensibilität liegt vor, wenn etwa Daten bezüglich der Bonität oder Gesundheit einer Person verarbeitet werden ( 4f. Abs. 1 Satz 5 BDSG).
Ab wann wird ein Datenschutzbeauftragter benötigt?
Unternehmen, die generell aufgrund ihrer Größe, ihres Geschäftsmodells oder ihrer Verarbeitung von personenbezogenen Daten zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, benötigen genau betrachtet schon seit Längerem einen solchen. In vielen Betrieben hat der Datenschutz allerdings bisher nur eine untergeordnete Rolle gespielt. Die Einführung der EU-Datenschutz-Grundverordnung soll diesen Umstand beseitigen und Unternehmen zur Compliance bewegen.
Deutlich höhere Bußgelder drohen
Wurde ab dem Stichtag des endgültigen Inkrafttretens der DSGVO kein Datenschutzbeauftragter bei der zuständigen Datenschutzbehörde angemeldet, so laufen Unternehmen Gefahr, Subjekt von drastischen Sanktionen der DSGVO zu werden. Es können bei Missachtung der Vorschriften Bußgelder in Höhe bis zu 20 Mio. € verhängt werden.
Datenschutzbeauftragten bestellen mit Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Bestellung des Datenschutzbeauftragten
Die Bestellung bezeichnet im Endeffekt nichts anderes als die Benennung eines Datenschutzbeauftragten. Durch die offizielle Ernennung werden die Pflichten und Verantwortungen an diese Person juristisch übertragen. Fortan ist der Datenschutzbeauftragte dazu verpflichtet, die Aufgaben vollumfassend zu erfüllen und die Datenschutzgesetze im Unternehmen durchzusetzen.
Wie bereits eingangs erwähnt, muss er nicht aus dem Unternehmen selbst stammen. Die Bestellung eines externen Datenschutzbeauftragten ist möglich. Die interne Bestellung hat zur Folge, dass der Mitarbeiter geschult werden muss. Ein externer Beauftragter ist bereits ausgebildet. Er muss lediglich mit den Prozessen im Betrieb vertraut gemacht werden.
Bestellung wird durch Urkunde festgehalten
Da dem Datenschutzbeauftragten anspruchsvolle und juristisch relevante Aufgaben übertragen werden, sollte die Bestellung offiziell durch eine Urkunde festgehalten werden.
Die Frage nach der Geeignetheit bei interner Bestellung
Entscheiden Sie sich für die Bestellung eines internen Datenschutzbeauftragten, ist die Frage der Geeignetheit von enormer Bedeutung. Als unabhängiges Kontrollorgan ist der Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt und erhält Einblicke in die Planung des operativen Betriebs. Er muss geeignet sein, die anstehenden Schulungsmaßnahmen eigenverantwortlich zu durchlaufen und die fachlichen Kenntnisse zu erwerben. Im Optimalfall besteht bereits eine juristische Vorbildung, insbesondere im Hinlick auf Datenschutzgesetze.
Umfangreiche Lernbereitschaft nötig
Einen internen Mitarbeiter zum Datenschutzbeauftragten umzuschulen verlangt die Eignung und die Bereitschaft des Mitarbeiters. Zukünftig wird sein Aufgabenfeld durch neue Tätigkeiten erweitert und das bisherige Aufgabenfeld eventuell drastisch beschränkt. In jedem Fall muss die Bereitschaft vorliegen, die enorme Verantwortung zu übernehmen. Schließlich kann ein Verstoß gegen das Datenschutzgesetz zu einer Geldbuße in Millionenhöhe für das Unternehmen führen.
Überblick über geschäftliche Prozesse vorausgesetzt
Zudem muss der Mitarbeiter einen Überblick über die internen Datenverarbeitungsprozesse haben. Einen Mitarbeiter zu schulen, der weder die Prozesse kennt noch datenschutzrechtliche Kenntnisse hat, ist doppelt unwirtschaftlich. Ein externer Beauftragter hat bereits die juristischen Fähigkeiten und muss lediglich an die Prozesse der Datenverarbeitung im Unternehmen herangeführt werden.
Kommunikationsfähigkeiten von großer Bedeutung
Neben den fachlichen Kenntnissen benötigt Ihr Mitarbeiter Kommunikationsfähigkeiten. Er ist für die Umsetzung der Anforderungen, Einhaltung der Richtlinien und Schulung der Mitarbeiter verantwortlich. Dadurch steht er sowohl mit der Geschäftsführung als auch mit einzelnen Mitarbeitern im Kontakt. Ein externer Datenschutzbeauftragter erfüllt bereits alle Anforderungen. Zudem fällt dann kein interner Mitarbeiter für den alltäglichen operativen Geschäftsbetrieb weg.
Erlernen der Datenschutzanforderungen umfangreicher als Einarbeitung in interne Prozesse
Ein externer Datenschutzbeauftragter ist nur selten in einem einzelnen Unternehmen tätig. Häufig organisiert er den Datenschutz in zahlreichen ähnlichen Betrieben. Auch wenn jedes Unternehmen individuelle Prozesse und Strukturen hat, ist die technische Varianz der datenverarbeitenden Prozesse nicht besonders groß. Da externe Datenschutzbeauftragte es gewohnt sind, in unterschiedlichen Unternehmen mit unterschiedlichen Prozessen zu arbeiten, ist ihre Einarbeitung deutlich weniger zeitintensiv als die komplette Schulung eines Internen im Hinblick auf den Themenkomplex Datenschutz.
Bestellung eines externen Datenschutzbeauftragten meist wirtschaftlicher
In der überwiegenden Mehrheit der Fälle ist es für Unternehmen deutlich wirtschaftlicher, einen externen Datenschutzbeauftragten zu bestellen. Nur ein Bruchteil der Unternehmen verarbeitet personenbezogene Daten in derart technisch-komplizierter Weise, dass ein externer Datenschutzbeauftragter sich nicht einarbeiten kann. Lediglich in diesem Szenario sollten Unternehmen einen internen Datenschutzbeauftragten suchen.
Datenschutzbeauftragten bestellen mit Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Strafen, Bußgelder und Abmahnungen
Sanktionen
Um die neuen strengeren Anforderungen der DSGVO an datenverarbeitende Unternehmen durchzusetzen, wurde die Einführung drastischer Bußgelder beschlossen. Die Höhe der Sanktionen wurde derart ausgestaltet, dass die Verhängung eines Bußgeldes sogar die Existenz eines Unternehmens bedrohen kann.
Die rechtliche Grundlage für Geldbußen finden sich in Art. 83, 84 DSGVO. Darüber hinaus bestimmen die einzelnen Mitgliedsstaaten die strafrechtlichen Sanktionen selbst.
Begeht ein Unternehmen einen Verstoß gegen das Datenschutzrecht, besteht die Gefahr der Anzeige gegenüber der zuständigen Datenschutzbehörde. Jeder kann Verstöße anzeigen, u.a. Datenschutzbehörden, Mitarbeiter oder Kunden.
Abmahnungen
Gefahr droht nicht nur von Datenschutzbehörden. Sie haben überwiegend eine Beratungsfunktion und vergeben nach eigener Aussage zunächst eine Verwarnung, bevor sie von dem drastischen Bußgeldkatalog Gebrauch machen. Die größere Gefahr geht von Abmahnungen auf nationaler Ebene aus, die ebenfalls von unterschiedlichen Akteuren erfolgen können.
Datenschutzrechtliche Abmahnungen werden dann versendet, wenn der Verstoß gegen das Datenschutzgesetz dem Unternehmen einen wettbewerblichen Vorteil verschafft hat.
Im Gegensatz zu vielen anderen EU-Ländern, hat Deutschland ein Verbandsklagerecht bei Datenschutzverstößen durchgeführt. Somit besteht nicht nur für direkte Wettbewerber, sondern auch für Verbraucherschutz- oder Wettbewerbsverbände ein Recht zur Abmahnung.
Sollte tatsächlich ein wettbewerbsrechtlicher Datenschutzverstoß vorliegen und die Abmahnung somit berechtigt sein, so müssen abgemahnte Unternehmen mit teuren Folgen rechnen. Bei Abmahnungen droht der Zwang zum Unterschreiben einer Unterlassungserklärung, die Begleichung der Rechtskosten des Abmahners, die Zahlung von Schadensersatz (§ 9 UWG) oder im schlimmsten Fall die Gewinnabschöpfung der Gewinne, die der Verantwortliche durch die Missachtung der Datenschutzanforderungen erwirtschaftet hat.
Wir helfen Ihnen, sich gegen drohende Bußgelder, Strafen und Abmahnungen zu wehren.
Datenschutzbeauftragten bestellen mit Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Förderung der Datenschutzberatung
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) fördert die Unternehmensberatung von Startups und etablierten Unternehmen im Auftrag des Bundesministeriums für Wirtschaft (BMWi). Hinsichtlich des Datenschutzes und der neuen DSGVO bestehen umfangreiche Fördermöglichkeiten, um die Umstellung zu einem gesetzeskonformen Umgang mit Daten vergünstigt durchzuführen. Teile der Leistungen in den Bereichen Datenschutz und Datensicherheit sind förderfähig.
Staatliche Förderung des Datenschutzes
Die Datenschutzbeauftragten, die wir Ihnen im Rahmen unserer Datenschutzberatung zuteilen, erfüllen die Anforderungen an die staatlichen Förderungen. Erfüllt Ihr Unternehmen die Voraussetzungen, ist eine Förderung für Sie möglich. Wir unterstützen Sie bei der Antragsstellung.
Unterschiedliche Unternehmen antragsberechtigt
Der Beratungszuschuss zur „Förderung unternehmerischen Knowhows“ wird über die BAFA organisiert. Beratungsrichtlinien dazu wurden 2016 erlassen, sodass seitdem folgende Unternehmen antragsberechtigt sind:
- Startups: Nicht älter als zwei Jahre
- Etablierte Unternehmen: Im dritten Bestandsjahr
- Unternehmen in Schwierigkeiten: Finanzielle schwierige Situation
Um von der Förderung zu profitieren, muss der Sitz des Unternehmens innerhalb der Bundesrepublik liegen. Zudem zielt die Förderung auf kleine und mittelständische Unternehmen ab, die dem Bild der EU-Mittelstandsdefinition entsprechen.
Juristische, öffentliche und insolvente Unternehmen sind ausgeschlossen
Freiberufler und Unternehmen, die als Unternehmens-, Wirtschafts- oder Steuerberatung oder anderweitig im Rechtswesen oder der Insolvenzverwaltung tätig sind, sind von der Förderung ausgeschlossen. Dasselbe gilt für Unternehmen, die sich im Insolvenzverfahren befinden oder die Voraussetzungen zur Eröffnung erfüllen sowie für Unternehmen, die an religiösen Gemeinschaften, juristischen Personen öffentlichen Rechts oder deren Eigenbetrieben beteiligt sind. Vereine und gemeinnützige Unternehmen sind ebenfalls von der Förderung ausgeschlossen.
Höhe der Förderung abhängig von Region und Unternehmensart
Die Förderung erfolgt in Form eines Zuschusses zu den Beratungskosten. Er wird aus der maximal förderbaren Summe in Abhängigkeit vom Unternehmensstandort ermittelt. Die Bemessungsgrundlage für Startups beträgt maximal 4.000 €, für etablierte Unternehmen 3.000 € und für Unternehmen in Schwierigkeiten ebenfalls 3.000 €. Unternehmen in den neuen Bundesländern erhalten dabei den Zuschuss in Höhe von 80% (außer Berlin und Leipzig), also maximal 3,200 Euro. Betriebe der Region Lüneburg in Höhe von 60% und in den sonstigen Regionen in Höhe von 50%. Unternehmen in schwierigen finanziellen Situation können unabhängig vom Standort mit 90% gefördert werden.
Umfangreiche Beratung zur Förderung und Antragsstellung
Im Rahmen unserer Datenschutzberatung können wir Sie umfangreich zur Förderbarkeit Ihres Unternehmens beraten. Wir helfen Ihnen bei der Vorbereitung des Antrags sowie der Erstellung der notwendigen Unterlagen.
Datenschutzbeauftragten bestellen mit Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Rechte und Pflichten
Die EU-DSGVO räumt Betroffenen umfangreiche Rechte zur Kontrolle ihrer personenbezogenen Daten ein. Auch wenn einige dieser Rechte schon im BDSG verankert waren, werden sie durch die DSGVO konkretisiert und neue Rechte hinzugefügt. Gleichzeitig müssen Unternehmen sich höheren Pflichtanforderungen im Umgang mit personenbezogenen Daten stellen. Neben der Ausweitung der Rechte kommen vor allem drastischere Sanktionen hinzu, die Unternehmen zu einer genauen Umsetzung anhalten sollen.
Rechte für Betroffene
Im datenschutzrechtlichen Sinne versteht man unter dem Betroffenen eine Privatperson, deren personenbezogene Daten erhoben wurden. Durch die Erhebung der Daten erhält der Betroffene einige Rechte, die für Verantwortliche, in diesem Falle Unternehmen, die Entstehung von Pflichten zur Folge haben.
Auskunftsrecht (Art. 15 DSGVO): Schon das BDSG-alt, räumte den Betroffenen nach Datenerhebung ein Auskunftsrecht ein. Das neue Auskunftsrecht der DSGVO übersteigt das Maß des alten BDSG allerdings bei Weitem. So kann der Betroffene Auskunft zu folgenden Details der Datenerhebung verlangen, unabhängig davon, ob diese nach Einwilligung oder auf gesetzlicher Grundlage erhoben wurden:
- Zweck der Verarbeitung
- Kategorien der Daten
- Empfänger oder Kategorien von Empfängern
- Geplante Dauer oder Kriterien für die Festlegung der Dauer
- Bestehen eines Rechts zur Löschung oder Berichtigung
- Bestehen eines Beschwerderechts bei Auskunftsbehörden
- Falls nicht vom Verantwortlichen erhoben, die Herkunft der Daten
- Bestehen einer automatisierten Entscheidungsfindung (Profiling)
Der Verantwortliche hat die Informationen innerhalb eines Monats bereitzustellen (Art. 15 Abs. 3 DSGVO). Um sie auf angemessene Weise darstellen zu können, sollte ein Verfahrensverzeichnis geführt werden.
Berichtigungs- und Löschungsrecht (Art. 16, 17 DSGVO): Der Betroffene hat jederzeit die Möglichkeit, eine Berichtigungs- oder Löschanfrage an den Verantwortlichen zu stellen. Die Berichtigung muss durchgeführt werden, wenn unrichtige Daten erhoben wurden. Der Löschanfrage hingegen ist Rechnung zu tragen, sobald
- der Zweck der Datenverarbeitung erreicht wurde und die Speicherung nicht mehr erforderlich ist
- die Einwilligung zur Erhebung widerrufen wurde
- der Betroffene Widerspruch eingelegt hat (Art. 21 DSGVO)
- die Daten unrechtsmäßig erhoben wurden, also die Erhebung nicht von Art. 6 DSGVO gedeckt war
- der Betroffene die Daten als Minderjähriger abgegeben hat (Art. 8 DSGVO).
Recht auf Einschränkung der Verarbeitung: Die DSGVO räumt neuerdings mit Art. 18 DSGVO dem Betroffenen das Recht ein, die Verarbeitung der Daten einzuschränken. Dies kommt in Frage wenn:
- die Richtigkeit der Daten bestritten wird
- die Verarbeitung unrechtsmäßig erfolgt is.
- die Daten für den vereinbarten Zweck nicht mehr benötigt werden
- Widerspruch gegen die Verarbeitung im Sinne des Art. 21 Abs. 1 DSGVO eingelegt wurde.
Recht auf Datenübertragbarkeit: Mit Art. 20 DSGVO entsteht das Recht auf Datenübertragbarkeit. Damit soll dem Betroffenen die Möglichkeit eingeräumt werden, beispielsweise seine Daten von einem Anbieter zu einem anderen übertragen zu lassen. In der Praxis wurde die fehlende Möglichkeit vorher oft als Wettbewerbshindernis wahrgenommen, da viele Verbraucher aufgrund des Aufwands der Datenübertragung nicht zu einem günstigeren Anbieter wechselten.
Der Betroffene kann verlangen, dass seine Daten in einem Format ausgegeben werden, das die Übertragbarkeit begünstigt. Die direkte Übermittlung an einen Dritten kann ebenfalls verlangt werden. Allerdings wird die Pflicht zur Übertragbarkeit auf die Fälle beschränkt, in denen die Daten durch Einwilligung erhoben wurden, keine Einwilligung erforderlich war oder die Einwilligung automatisch erfolgt ist.
Widerspruchsrecht: Durch Art. 21 DSGVO wird dem Betroffenen das Recht eingeräumt, gegen Datenerhebungen, die aufgrund einer gesetzlichen Grundlage oder des Vorliegens eines berechtigten Interesses ohne Einwilligung erfolgt, Widerspruch einzulegen. Für den Besuch von Internetseiten bedeutet dies vor allem, dass Nutzern die Möglichkeit zum Austragen aus Cookie-Sammlungen zu Marketingzwecken gegeben werden muss.
Hier wird die Rechtsprechung zeigen, welcher Cookie-Einsatz unter berechtigtes Interesse fällt und daher eines Widerspruchs (Opt-Out) bedarf und welcher eine explizite Einwilligung benötigt (Opt-In).
Recht auf Unbetroffenheit: Ein dem BDSG-alt unbekanntes Recht räumt Art. 22 DSGVO Betroffenen ein. Es betrifft insbesondere die Einbeziehung von Auskunfteien in die Entscheidung, ob ein Rechtsverhältnis zwischen einem Betroffenen und einem Unternehmen zustande kommt. So würde nach Art. 22 Abs. 1 DSGVO ein Verbot für einen automatischen Verarbeitungsprozess als Entscheidungsgrundlage bestehen, wenn dieser aufgrund der erhobenen Daten eine Entscheidung für oder gegen einen Vertragsschluss träfe.
Somit dürfen etwa Banken oder Online-Händler nicht mehr aufgrund einer automatisierten Bonitätsprüfung einem Kredit oder einem Kaufvertrag ab- oder zusagen. Ist die Entscheidung allerdings für die Vertragsverfüllung erforderlich, besteht kein Recht auf Unbetroffenheit. Welche Verträge hiervon erfasst sind, wird die zukünftige Rechtsprechung zeigen.
Pflichten für Unternehmen
Neben den personenbezogenen Rechten von Betroffenen, welche für die Unternehmen mit Pflichterfüllungen einhergehen, existieren weitere Unternehmenspflichten. Sie entstehen nicht durch datenschutzrechtliche Beziehungen zu Kunden (Betroffenen), sondern werden durch die DSGVO oder teilweise schon durch das BDSG-alt, Unternehmen direkt auferlegt.
Was ist ein Verantwortlicher?
Verantwortlicher im Sinne der DSGVO bezeichnet eine juristische Person, wie ein Unternehmen, eine Behörde, eine Einrichtung, eine Personengesellschaft oder eine Einzelperson, die personenbezogene Daten erhält und über die Zwecke und Mittel entscheidet, die dazu eingesetzt werden. Im Folgenden werden wir uns auf die Datenschutzpflichten für Unternehmen fokussieren.
DSGVO-Datenschutzbeauftragter
Jedes Unternehmen benötigt in Zukunft einen Datenschutzbeauftragten. Ob dies eine besonders eigesetzte Person sein muss oder ob der Geschäftsführer selber als Verantwortlicher verstanden werden kann, hängt von der Größe und Art des Betriebes ab.
- Unternehmen, die neun Mitarbeiter beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Er kann ein interner oder externer Datenschutzbeauftragter sein. Es reicht der Einsatz eines Computers, um die Anforderungen der Automatisierung zu erfüllen.
- Unternehmen, die automatisiert personenbezogene Daten als großen Bestandteil ihres Geschäftsmodells erheben, müssen einen Datenschutzbeauftragten bestellen. Dazu gehören Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Die Zahl der Mitarbeiter ist hier irrelevant.
- Unternehmen, die als Bestandteil ihres Geschäftsmodells mit sensiblen Daten von Privatpersonen umgehen. Solche Daten können beispielsweise die Gesundheit, die politische Meinung, die Bonität oder die sexuelle Orientierung einer Person betreffen.
Technischer Datenschutz
Ein weiteres Gebiet des Datenschutzes, mit dem sich Unternehmen auseinandersetzen müssen, ist der technische Datenschutz. Nach Art. 24 DSGVO sind Unternehmen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die Persönlichkeitsrechte der Betroffenen nach Datenerhebung zu gewährleisten. Seit 2018 müssen Unternehmen sich auf neue Anforderungen an den technischen Datenschutz nach der DSGVO und dem BDSG-Neu einstellen.
Keine konkreten Maßnahmen aber Schutzziele
Die DSGVO formuliert Schutzziele für den technischen Datenschutz, die maßgebend für die technischen und organisatorischen Maßnahmen sein sollen:
- Pseudonymisierung und Verschlüsselung (statt Klarnamen, Zeichenfolgen)
- Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten technischen Systeme (moderne Sicherheitsstandards)
- Verfahren zur Wiederherstellung der Verfügbarkeit bei physischen oder technischen Zwischenfällen (Datensicherung)
- Regelmäßige Überprüfung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Die genaue Umsetzung der Maßnahmen fällt in den Aufgabenbereich Ihres Datenschutzbeauftragten und ist stark abhängig von der Ausrichtung Ihres Betriebs. Die Bestellung eines externen Datenschutzbeauftragten garantiert das Einbringen eines Fachmanns, der sich kontinuierlich hauptberuflich zum Thema weiterbildet und die juristischen Entwicklungen verfolgt.
Auftragsdatenverarbeitung (Art. 28 DSGVO)
Datenerhebende Unternehmen werden in vielen Fällen mit einem externen Dienstleister zusammenarbeiten, der Zugriff auf die Daten hat und sie selbst verarbeitet. Dies könnte beispielsweise ein Host oder ein Dienstleister zur Vernichtung von Akten sein. Der Verantwortliche, hier das Unternehmen, ist dazu angehalten, mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung abzuschließen (Art. 28 DSGVO).
Durch den Vertrag garantiert der Dienstleister, dass er die weitergeleiteten Daten im Sinne des verantwortlichen Auftraggebers verarbeitet und auch dazu technische und organisatorische Maßnahmen trifft, um die Pflichten des Verantwortlichen im Sinne der DSGVO zu wahren. Der Dienstleister darf die Verarbeitung nur auf Weisung des Verantwortlichen verarbeiten (Art. 29 DSGVO).
Inhaltsanforderungen an die Auftragsdatenverarbeitung bleibt unverändert
Faktisch herrscht bereits jetzt durch das BDSG der Zwang zum Abschluss eines Vertrags über die Auftragsdatenverarbeitung. Aufgrund der nun drohenden höheren Sanktionen beschäftigen sich viele Unternehmen jetzt eindringlicher mit dem Thema. Die Anforderungen aus dem Inhalt ergeben sich aus Art. 28 Abs. 3 EU-DSGVO:
- Form und Zweck der Datenverarbeitung
- Umfang der Weisungsbefugnisse
- Sicherstellung der technischen & organisatorischen Maßnahmen
- Vertraulichkeitsverpflichtung der beteiligten Personen
- Regulierung bei weiteren Subunternehmern
- Unterstützung bei datenschutzrechtlich-relevanten Anfragen
- Rückgabe oder Löschung der Daten
- Kontrollrechte des Verantwortlichen gegenüber dem Dienstleister
- Informationspflicht bei Datenschutzverstößen gegenüber dem Verantwortlichen
Die genaue Ausarbeitung des Vertrags zur Auftragsdatenverarbeitung ist ein Fall für den Datenschutzbeauftragten. Aufgrund der hohen Unterschiedlichkeit und Ausprägung der externen Datenverarbeitung in der Praxis, würde eine tiefergehende Beschreibung den Rahmen dieses Artikels sprengen.
Neben den typischen Beispielen des Hostings oder des Aktenvernichtungsdienstleisters, fällt für die meisten Unternehmen wohl eine Pflicht zur vertraglichen Regelung der Auftragsdatenverarbeitung mit Google an.
Wer haftet bei externer Auftragsdatenverarbeitung?
Mit der DSGVO verschärft sich die potenzielle Haftung bei Verstößen für den Dienstleister. Art. 83 DSGVO sieht vor, dass nicht nur mehr der Verantwortliche, sondern auch der Auftragsverarbeiter zur Rechenschaft gezogen werden kann, wenn aus dem Verstoß materielle oder moralische Schäden entstehen.
Zusätzliche Pflichten für Auftragsverarbeiter
Zusätzlich werden auch Auftragsverarbeitern Pflichten auferlegt, wenn sie im Auftrag eines Verantwortlichen tätig sind. Nach Art. 30 Abs. 2 DSGVO müssen auch sie ein Verfahrensverzeichnis führen, was nach dem alten BDSG nur für Auftraggeber (Verantwortliche) notwendig war.
Zwang des nachträglichen Vertragsabschlusses
Unternehmen sollten auch mit ihren bisherigen Datenverarbeitungsdienstleistern einen Vertrag zur Auftragsdatenverarbeitung abschließen (Art. 30 Abs. 3 DSGVO). Die Schriftform ist nicht mehr zwingend dafür erforderlich, sondern es genügt die digitale Form.
Datenschutzfolgeabschätzung
Verantwortliche Unternehmen und Organisationen, die mit besonders sensiblen Daten umgehen, müssen eine Datenschutzfolgeabschätzung erstellen (Art. 35 EU-DSGVO). Auch beim Einsatz neuartiger Technologien entsteht diese Pflicht. Allgemein zusammengefasst, bedarf es einer Datenschutzfolgeabschätzung, wenn für die erhobenen Daten ein erhöhtes Risiko besteht. Die Folgeabschätzung kann als eine Art Vorabkontrolle verstanden werden.
Welche neuen Technologien und Daten sind erfasst?
Die Datenschutzfolgeabschätzung ist beim Einsatz bestimmter Technologien verpflichtend. Nach dem Wortlaut der DSGVO gehören dazu:
- Systeme zur Bewertung persönlicher Aspekte einer natürlichen Person durch automatische Verarbeitung.
- Verarbeitung besonders sensibler Kategorien von personenbezogenen Daten oder Daten über strafrechtliche Anliegen einer Person.
- Systeme zur flächendeckenden Überwachung öffentlicher Orte.
Mindestanforderungen nach Art. 35 Abs. 7 DSGVO
Die strukturierte Risikoanalyse und deren Aufbau im Detail ist stark abhängig von der jeweiligen Datenverarbeitung in Ihrem Betrieb. Art. 35 Abs. 7 DSGVO sieht allerdings allgemeine Mindestanforderungen vor:
- Beschreibung der Verarbeitungsvorgänge sowie deren Zweck und berechtigte Interessen.
- Notwendigkeit und Verhältnismäßigkeit der Maßnahmen
- Risiken sowie die beschnittenen Freiheiten und Rechte der Betroffenen.
- Abhilfemaßnahmen zur Eindämmung der Risiken und Beschneidung der Rechte.
Ein komplexes Aufgabenfeld für Datenschutzbeauftragte
Die Datenschutz-Risikofolgeabschätzung ist eines der komplexesten Themen bei der Umsetzung eines DSGVO-konformen Datenschutzprinzips. Sie behandelt die riskanten Themen des Schutzes sensibler Daten und umstrittener Technologien. Ohne einen fachmännischen externen Datenschutzbeauftragten ist die rechtskonforme Umsetzung nur schwer zu realisieren. Sollte die juristische Datenschutzprüfung etwa ergeben, dass die angestrebten Maßnahmen enorm riskant sind, so ist die Datenschutzbehörde zu konsultieren (Art. 36 DSGVO). Durch die Ernennung eines externen Datenschutzbeauftragten delegieren Sie dieses Aufgabenfeld an einen Fachmann.
Verarbeitungsverzeichnis
Ein Verfahrensverzeichnis bezeichnet die Dokumentation aller Tätigkeiten, die personenbezogene Daten von Personen verarbeiteten.
Schon nach dem bisherigen Datenschutzrecht benötigten Unternehmen ein Verfahrensverzeichnis für die datenschutzrelevanten Anliegen. Durch Art. 30 DSGVO wurde die bisherige Regelung ersetzt und die Anforderungen an das Verzeichnis konkretisieret.
Wer muss ein Verfahrensverzeichnis führen?
Nach Art. 30 DSGVO muss jeder Verantwortliche eine Dokumentation über seine datenverarbeitenden Tätigkeiten führen. Generell ist damit jede Stelle gemeint. Aus Art. 30 Abs. 5 DSGVO ergeben sich allerdings Erleichterungen. So können Betriebe mit weniger als 250 Mitarbeitern auf die Verzeichnisführung verzichten, wenn von der Verarbeitung der personenbezogenen Daten
- keine Risiken für die Rechte und Freiheiten des Betroffenen ausgehen,
- die Erhebung nur gelegentlich erfolgt oder
- keine sensiblen Daten nach Art. 9 Abs. 1 u. 10 DSGVO betroffen sind.
Rechtliche Anforderungen an den Aufbau
Die rechtlichen Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten ähneln stark denen der Anforderungen des BDSG. Unterschieden wird nur zwischen dem Verzeichnis des Verantwortlichen oder eines beauftragten Dienstleisters, dem Auftragsverarbeiter. Beide Verzeichnisse bedürfen der Beschreibung aller technischen und organisatorischen Maßnahmen zu Art. 32 Abs. 1 DSGVO. Der Verantwortliche muss darüber hinaus den Zweck der Verarbeitung, die Datenkategorien, den Kreis der betroffenen Personen und den Datenempfänger auflisten.
Hohe Bußgelder drohen
Unternehmen sollten dem Verarbeitungsverzeichnis Aufmerksamkeit widmen und die Umsetzung mit einem fachmännischen Datenschutzbeauftragten durchführen. Mit Einführung der DSGVO wurden die Bußgelder für derartige Verstöße deutlich angehoben. Während zuvor ein maximaler Verstoß von 350.000 € möglich war, können nun Bußgelder bis zu 20 Mio. Euro verhängt werden. Mit uns müssen Sie keinen Aufwand betreiben, um den richtigen Datenschutzbeauftragten zu finden.
Informations- und Dokumentationspflicht
Die DGSVO sieht für Unternehmen eine umfangreiche Informations- und Dokumentationspflicht nach Art. 13, 14 DSGVO vor. Sowohl die Datenerhebung als auch die Löschungen (Art. 17 DSGVO) sind zu dokumentieren.
Einwilligung bei Datenerhebung
Schon vorher bedurfte es der Einwilligung oder einer gesetzlichen Vorschrift nach § 4 BDSG-alt, um die Erhebung von personenbezogenen Daten rechtskonform durchzuführen. Die DSGVO erweitert die Informationspflichten für Verantwortliche jedoch drastisch. Generell wird zwischen der Informationspflicht bei Erhebung personenbezogener Daten (Art. 13 DSGVO) und der Erhebung, die nicht direkt beim Betroffenen stattfindet, unterschieden.
Informationspflichten bei direkter Erhebung (Art. 13 DSGVO)
Findet eine Datenerhebung im direkten Kontakt mit dem Betroffenen statt, etwa beim Besuch einer Webseite oder bei einem Kaufvertrag, so fallen folgende Pflichten an:
- Identität des Verantwortlichen: Hier muss der Datenschutzbeauftragte explizit erwähnt werden (Art. 27 DSGVO).
- Kontaktdaten des Verantwortlichen: Der Betroffene muss direkten Kontakt zum DSB aufnehmen können
- Rechtliche Grundlage und Zweck der Verarbeitung: Der Verantwortliche hat den Betroffenen bei Erhebung über den Sinn der Datenerhebung und die rechtliche Grundlage, bzw. dem genauen Erlaubnistatbestand nach Art. 6 DSGVO zu informieren.
- Bei bestehen eines berechtigten Interesses ist faktisch keine Einwilligung erforderlich. Dennoch muss der der Verantwortliche den Betroffenen über das berechtigte Interesse in Kenntnis setzen.
- Bei Übermittlung der Daten an Drittstaaten müssen Betroffene darüber explizit informiert werden. Zudem muss kommuniziert werden, ob der Auftragsverarbeiter im Drittland ein Datenschutzniveau herstellen kann, das dem der DSGVO angemessen ist.
Außerdem müssen Informationen übermittelt werden, die kommunizieren, dass die Verarbeitung im Rahmen der notwendigen Fairness und Transparenz stattfindet (Art. 13 Abs. 2 DSGVO):
- Die geplante Dauer der Speicherung
- Das Rechte des Betroffenen
- Die Möglichkeit zum Widerruf
- Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
- Bestehen einer Verpflichtung des Verantwortlichen der Bereitstellung der Daten gegenüber Betroffenen
- Vorliegen einer automatisierten Entscheidungsfindung
Informationspflichten bei indirekter Erhebung personenbezogener Daten (Art. 14 DSGVO)
Unter Umständen können personenbezogene Daten erhoben werden, ohne direkten Kontakt zum Betroffenen zu haben, etwa wenn ein Kreditinstitut sich bei einer Auskunftei über die Bonität eines Kunden informiert. Im Prinzip fallen hier dieselben Informationspflichten an. Zudem muss der Betroffene jedoch darüber informiert werden, woher die Daten stammen und ob es sich um eine öffentliche Quelle handelt.
Die Form der Bereitstellung von Informationen
Art. 12 DSGVO sieht vor, dass die Informationen dem Betroffenen in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form übermittelt werden. Sowohl die schriftliche als auch die elektronische Form ist dabei zulässig.
Zeitpunkt der Übermittlung der Informationen
Nach Art. 13 Abs. 1 DSGVO ist der Betroffene zum Zeitpunkt der Erhebung zu informieren. Findet die Erhebung nicht direkt beim Betroffenen statt, so besteht ein Zwang zur Erfüllung der Informationspflicht innerhalb eines Monats (Art. 14 Abs. 3 DSGVO).
Grenzen der Informationspflicht
Die Informationspflicht bei der direkten Erhebung gilt uneingeschränkt. Bei indirekter Erhebung (Art. 14 Abs. 5 DSGVO) ist der Betroffene nicht zu informieren, wenn:
- die Mitteilung unmöglich oder unverhältnismäßig aufwendig ist.
- die Erhebung gesetzlich vorgeschrieben ist.
- ein Berufsgeheimnis oder eine sonstige Geheimhaltungspflicht dagegenspricht.
Sensibles und zentrales Thema der DSGVO
Die Informationspflichten sind ein zentrales Thema der DSGVO und sollten von Verantwortlichen ernstgenommen werden. Aufgrund der stetigen Verpflichtung zum Informieren über die Datenerhebung, ist die mangelnde Informationspflicht eine einfache Angriffsstelle bei Unternehmen. Betroffene können Datenschutzverstöße direkt an die Datenschutzbehörde oder an Verbraucherverbände melden, die entweder Sanktionen verhängen oder abmahnen können.
Die individuelle Erfüllung der Informationspflichten variiert stark nach der Art des Geschäftsbetriebs und der Form der Datenerhebung. In der Praxis könnte ihr durch eine Cookie-Erklärung auf einer Webseite oder durch einen schriftlichen Vertrag nachgekommen werden.
Ihr Datenschutzbeauftragter wird die Informations- und Dokumentationspflicht zu einem wichtigen Element Ihres Datenschutzkonzeptes machen. Hier droht besondere Gefahr des Verstoßes. Da die genaue Ausgestaltung in der Praxis durch die Rechtsprechung rechtssicher gemacht wird, wird Ihr DSB dem Thema kontinuierlich Aufmerksamkeit widmen.
Meldepflicht (Art. 33 DSGVO)
Schon nach alten Datenschutzrecht mussten Unternehmen bei Verletzungen des Schutzrechtes der Betroffenen, etwa bei einem Hacker-Angriff oder einen sonstigen Datenleck, eine Meldung bei der zuständigen Datenschutzbehörde tätigen (§ 42a BDSG). Mit Art. 33 DSGVO wurden die Kategorien der Ereignisse ausgeweitet, die eine Meldung erforderlich machen.
Meldung innerhalb von 72 Stunden
Ist dem verantwortlichen Unternehmen ein Verstoß bekannt, der durchaus auch aufgrund eines internen Fehlers im Datenschutzkonzept entstanden sein kann, muss dieser innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden. Kann die Frist nicht eingehalten werden, muss eine zusätzliche Erklärung geliefert werden.
Meldepflicht auch für Auftragsverarbeiter
Unterläuft dem Auftragsverarbeiter des Verantwortlichen ein datenschutzrechtlicher Verstoß, so hat er den Verstoß an den Verantwortlichen zu melden. Die Gesamtverantwortung obliegt weiterhin dem verantwortlichen Unternehmen, das seinerseits den Verstoß an die Datenschutzbehörde zu melden hat.
Inhaltliche Anforderungen
Nach Art. 33 Abs. 1 DSGVO unterliegt die Meldung des Verstoßes bestimmten inhaltlichen Anforderungen. In jedem Fall muss die Erklärung:
- eine Beschreibung der Art der Schutzverletzung gegenüber der Betroffenen Person,
- Namen und Kontaktdaten des Datenschutzbeauftragten,
- eine Einschätzung möglicher Folgen,
- eine Beschreibung der ergriffenen Maßnahmen oder Vorschläge zum Ergreifen von Maßnahmen zur Behebung oder Milderung der schädlichen Auswirkungen
enthalten.
Bei sensiblen Daten Meldung an betroffene Einzelpersonen erforderlich
Zudem sieht Art. 34 DSGVO vor, dass eine Meldung an die betroffenen Einzelpersonen zu erfolgen hat, wenn durch die „Datenpanne“ deren persönliche Rechten und Freiheiten betroffen sind.
Einrichtung eines Notfallplans angemessen
Ein Verstoß gegen das Datenschutzrecht in dieser Form ist durchaus durch Fremdverschulden möglich. Die jüngste Datenpanne von Yahoo ist ein praktisches Beispiel dafür. Ihr Datenschutzbeauftragter wird im Rahmen der Ausarbeitung Ihres Datenschutzkonzeptes die Risiken Ihrer Datenverarbeitung analysieren und bereits im Voraus einen geeigneten Plan zur Umsetzung der erforderlichen Maßnahmen entwickeln.
Datenschutzbeauftragten bestellen mit Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Datenschutzerklärung
Betreiber einer Website sind nach Telemediengesetz (TMG) verpflichtet, neben einem Impressum eine Datenschutzerklärung einzubinden (§ 13 TMG). Der Diensteanbieter sollte darin den Nutzer seiner Website zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.
Form der Datenschutzerklärung
Die Datenschutzerklärung sollte jederzeit abrufbar sein muss. Dazu bietet es sich an, die Datenschutzerklärung – wie das Impressum – in einem eigenen Reiter als feste Seite zu implementieren.
Darüber hinaus muss die Datenschutzerklärung allgemein verständlich sein. Technische oder juristische Fachbegriffe und Formulierungen sollten vermieden werden.
Inhalt der Datenschutzerklärung
Die Datenschutzerklärung muss die Information enthalten, welche Daten von den Seitenbesuchern erhoben werden und zu welchem Zweck sie verwendet werden. Bei der Erstellung oder Prüfung einer Datenschutzerklärung legen wir deshalb besonderes Augenmerk auf:
- Gewinnspiele
- Newsletter-Abos
- Kontaktformulare
- Weitergabe der Daten an Paketdienste
- Weitergabe der Daten an Wirtschaftsauskunfteien
- Datenverarbeitung von Kreditkarteninformationen
- Nutzung von Tracking-Tools wie Google Analytics oder Piwik
- Nutzung von Social Media Plugins wie Facebook, Twitter, Google+ etc.
Muster-Datenschutzerklärung
Eine universelle Muster-Datenschutzerklärung kann es wegen der vielen Unterschiede bei Onlineshops und sonstigen Internetseiten nicht geben. Eine rechtssichere Datenschutzerklärung wird jeweils an das Geschäftsmodell eines Mandanten individuell angepasst.
Folge bei Verstößen
Werden Besucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, liegt darin eine Ordnungswidrigkeit (§ 16 TMG), die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Darüber hinaus ist eine Datenerhebung ohne eine ausreichende Datenschutzerklärung ein Verstoß gegen Wettbewerbsrecht (§ 4 Nr. 11 UWG) und kann damit abgemahnt werden (OLG Hamburg, Urteil vom 27.06.2013, 3 U 26/12).
Lesen Sie mehr in unserem weiterführenden Artikel zu Impressum, Widerrufsbelehrung und Datenschutzerklärung
Datenschutzbeauftragten bestellen mit Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Ihr Unternehmensrechtsteam
Andre Kraus
Fachanwalt für Insolvenzrecht
Ahaliya Kapilan
Rechtsanwältin
Oksana Enns
Dipl. Wirtschaftsjuristin
Sara Garcia Corraliza
Rechtsanwältin
und ein Team
von juristischen Beratern, Diplom Juristen und weiteren Rechtsanwälten
Sie haben eine Frage zum Thema? Wir beantworten sie hier gerne!
Unsere Mandanten vertrauen uns auch in folgenden Fachgebieten
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!