DSGVO Datenschutzbeauftragter: Externen Datenschutzbeauftragten bestellen

Die Bestellung eines Datenschutzbeauftragen ist bereits seit Einführung des Bundesdatenschutzgesetzes (BDSG) verpflichtend für einige Unternehmen. Mit dem Inkrafttreten der EU-DSGVO werden die Anforderungen an den Datenschutzbeauftragten sowie die Sanktionen bei Missachtung, drastisch erhöht. Spätestens ab dem 25.05.2018 sollten Unternehmen, die mehr als zehn Mitarbeiter haben und automatisiert Daten verarbeiten, einen Datenschutzbeauftragten einstellen. Wenn Sie es noch nicht getan haben, sollten Sie schnellstmöglich einen Datenschutzbeauftragten benennen.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Allgemein gefasst soll der Datenschutzbeauftragte dafür sorgen, dass alle datenschutzrechtlichen Anforderungen an ein Unternehmen eingehalten werden, während es personenbezogene Daten verarbeitet.

Obwohl Unternehmen ihn selbst bestellen und bezahlen müssen, soll er als unabhängiges Kontrollorgan fungieren. Er überprüft die Prozesse, welche die personenbezogenen Daten verarbeiten. Stellt er Verstöße gegen das Bundesdatenschutzgesetz (BDSG) oder die EU-DSGVO fest, so muss er Maßnahmen entwickeln, um diesen Umstand zu beseitigen.

Insbesondere erfüllt er folgende Aufgaben:

• Pflicht zur Kontrolle und Überwachung: Dem Datenschutzbeauftragten obliegt die gesamtheitliche Pflicht zur Einhaltung des Datenschutzes. Er dient als allgemeiner Ansprechpartner und intellektueller Kopf des Datenschutzes eines Unternehmens. Um seine Arbeit ausführen zu dürfen, muss er akkreditiert sein und regelmäßig Fort- und Weiterbildungen besuchen. Alle Prozesse und Personen, die mit personenbezogenen Daten in Berührung kommen, muss er überwachen und die Einhaltung der Datenschutzgesetze.
• Aufbau der Datenschutzorganisation: Als Datenschutzverantwortlicher muss er die Organisation des Datenschutzes aufbauen, regelmäßig überprüfen und kontinuierlich den gesetzlichen Änderungen anpassen. Dazu gehört die Bekanntmachung von Änderungen gegenüber dem beteiligten Personal.
• Zusammenarbeit mit der Datenschutzbehörde: Die Datenschutzbehörde hat neben der Überwachung auch eine beratende Funktion. In bestimmten Szenarien hat der Datenschutzbeauftragte bei der Aufsichtsbehörde Meldung zu machen oder sich fragend an sie zu wenden.
• Ansprechpartner zum Thema Datenschutz: Für externen oder internen Fragen bei jeglichen datenschutzrechtlichen Anliegen ist er der Ansprechpartner.
• Planung datenschutzrechtlicher Anforderungen neuer Unternehmensprozesse: Plant das Unternehmen eine Änderung von Prozessen, welche die personenbezogenen Daten betreffen, hat die Geschäftsführung dem Datenschutzbeauftragen dies vorzeitig mitzuteilen. Seine Aufgabe ist es, die neuen Prozesse so mitzugestalten, dass sie im Einklang mit den anzuwendenden Datenschutzgesetzen sind.
• Schulung der Mitarbeiter: Da er die Umsetzung und Organisation des Datenschutzes eines Unternehmens zwar planen, aber nicht alleine umsetzen kann, muss er die Mitarbeiter so schulen und sensibilisieren, dass die Anforderungen der Gesetze erfüllt werden.
• Vorabkontrolle bei Erhebung personenbezogener Daten: In bestimmten Situationen, ist eine Vorabkontrolle vor der eigentlichen Erhebung notwendig, wenn es sich um sensible Daten handelt.
• Verfügung über Verfahrensverzeichnisse: Als Gesamtverantwortlicher hat der Datenschutzbeauftragte einen kontinuierlichen Überblick über alle Verfahrensverzeichnisse zu haben. Auf Antrag muss er berechtigten Personen diese zur Verfügung stellen.
• Überwachung der Entsorgung und Löschung von Daten: Die rechtmäßige Entsorgung und Löschung personenbezogener Daten muss er ebenso ü Den verantwortlichen Mitarbeitern hat er Methoden zur Erfüllung dieser Pflichten zur Verfügung zu stellen.
• Pflicht zu Verschwiegenheit Der Datenschutzbeauftragte unterliegt der Verschwiegenheitspflicht.

Arten des Datenschutzbeauftragten

Es gibt unterschiedliche Arten von Datenschutzbeauftragten. Zunächst kann zwischen der Organisation unterschieden werden, für die er tätig ist. Behörden müssen Datenschutzbeauftragte ebenso bestellen, wie Unternehmen.

Die grundlegende Frage, die sich Unternehmen stellt ist, ob ein Angestellter als Datenschutzbeauftragter ausgebildet oder ein externer Datenschutzbeauftragter bestellt wird.

Interner oder externer Datenschutzbeauftragter – Was ist wirtschaftlicher?

Das Gesetz lässt Unternehmern freie Hand, ob sie einen internen Mitarbeiter zum Datenschutzbeauftragten ausbilden oder einen externen Dienstleister beauftragen. Da die Umschulung zum Fachmann des Datenschutzes enorme zeitliche und finanzielle Ressourcen in Anspruch nimmt und zudem der Mitarbeiter aus anderen Aufgabenbereichen abgezogen werden muss, empfiehlt sich fast immer die Bestellung eines externen Datenschutzbeauftragten. Beide bringen Vor- und Nachteile mit sich.

Angestellter Datenschutzbeauftragter

Die Bestellung eines angestellten Datenschutzbeauftragten hat zum Vorteil, dass keine Einarbeitung in die internen Prozesse notwendig ist. Er ist im Optimalfall schon länger im Unternehmen tätig und vor allem mit den Tätigkeiten vertraut, in dessen Rahmen personenbezogene Daten erhoben werden. Handelt es sich hierbei um komplexe technische Prozesse, die etwa in aufwendiger Programmierarbeit aufgesetzt wurden, wäre ein interner ITler für die Aufgabe prädestiniert. #

Andererseits muss der Umfang der Fortbildungsmaßnahmen verstanden werden, die notwendig sind, um den Mitarbeiter zur Überwachung und Umsetzung aller Anforderungen der komplexen Datenschutzgesetze zu befähigen. Zudem ist auch nachteilhaft, dass der interne Mitarbeiter von seinen eigentlichen Aufgaben zumindest teilweise entbunden werden muss. Da eine anteilige Zusammenarbeit bei Bestellung eines externen Datenschutzbeauftragten ohnehin vorgesehen wäre, ist die Bestellung eines externen Mitarbeiters wahrscheinlich günstiger, als die Umschulung und Bestellung von fähigem Fachpersonal aus dem operativen Betrieb.

Externer Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter hat den Vorteil, dass er keiner Weiterbildung bedarf, die vom Unternehmen finanziert werden muss. Sie beauftragen einen akkreditierten und erfahrenen Datenschutzexperten, der die erforderlichen Schulungsmaßnahmen bereits abgeschlossen und tiefgründige juristische Erfahrungen hat. Zudem fungiert er mit hoher Wahrscheinlichkeit in mehreren Unternehmen als Datenschutzbeauftragter.

Auch wenn er zur Verschwiegenheit verpflichtet ist, hat er für die gängigen Prozesse ähnlicher Unternehmen bereits eine passende Lösung entwickelt und kann das Wissen legal einbringen. Ausschließlich Organisationen, die mit technischen Prozessen personenbezogene Daten verarbeiten und dafür spezialisiertes technisches Fachwissen benötigen, könnten in Erwägung ziehen, einen internen Mitarbeiter zu schulen.

Allerdings wird lediglich ein kleiner geringer Bruchteil diese Anforderungen erfüllen. Der absolute Großteil der Unternehmen arbeitet wirtschaftlicher, indem ein externer Datenschutzbeauftragter bestellt wird.

Neue Anforderungen für Datenschutzbeauftragte ab dem 25. Mai 2018

Den Medien zufolge sowie den Gerüchten und Unwissenheit, die im Internet kursieren, erwarten Datenschutzbeauftragten deutscher Unternehmen ab dem 25. Mai 2018 deutlich höhere Anforderungen. Dem ist allerdings nicht der Fall. Unternehmen müssen nur deshalb reagieren, weil einerseits Abmahnungen von Wettbewerbern sowie deutlich drastischere Sanktionen zu erwarten sind.

Geringe Änderung der Anforderungen, deutlich höhere Sanktionen

Mit dem Inkrafttreten der EU-DSGVO müssen die Kontaktdaten des Datenschutzbeauftragten öffentlich einsehbar sein. Werden beispielsweise über die Webseite personenbezogene Daten erhoben, so ist eine Darstellung der Daten dort verpflichtend. Interne Mitarbeiter müssen ebenfalls Zugriff haben, um den Beauftragten kontaktieren zu können. Zudem ist eine Übermittlung der Kontaktdaten an die Datenschutzbehörde vorgesehen.

Aufgabenfeld auf Überwachung ausgeweitet

Vor der DSGVO war es die Aufgabe des Datenschutzbeauftragten, zu beraten. Nun wird das Aufgabenfeld ausgeweitet. Eine Überwachung der Strukturen und Prozesse ist notwendig. Sein Verantwortungsbereich wurde ausgedehnt. Finden Datenschutzverstöße statt, etwa mutwillig durch die oberste Management-Ebene, so muss er mit Nachdruck zur Abänderung drängen.

Bündelung bei Holding möglich

Zusammengeschlossene Unternehmensgruppen können einen gemeinsamen Datenschutzbeauftragten benennen. Voraussetzung für die Bündelung der Verantwortung ist eine einfache Erreichbarkeit für alle Mitarbeiter (Art. 37 Abs. 2 DSGVO). Außerdem muss die Verarbeitung der Daten vorher gemeinsam erfolgt sein.

Drastische Erhöhung des Strafmaßes

Letztendlich ist die Erhöhung des Strafmaßes bei Datenschutzverstößen eine wichtige Erneuerung im Datenschutzrecht. Das Risiko der Tätigkeit als Datenschutzbeauftragter hat somit enorm zugenommen. Direkte Klagen sind neben den erhöhten Geldbußen, auch gegenüber Unternehmen möglich.

Grundsätzlich wird zwischen dem Datenschutzbeauftragen für öffentliche Stellen und nichtöffentliche Stellen unterschieden. Öffentliche Stellen müssen einen behördlichen Datenschutzbeauftragen anmelden.

Nichtöffentliche Stellen, wozu alle Unternehmen und Vereine zählen, haben einen Datenschutzbeauftragen zu beauftragen, sobald die Anforderungen des § 38 BDSG erfüllt sind. Unterschieden wird zwischen drei unterschiedlichen Konstellationen.

• Es werden mindestens neun Mitarbeiter beschäftigt sowie personenbezogene Daten automatisiert verarbeitet. Die Art der Mitarbeiter ist dafür irrelevant. Eine Vollbeschäftigung oder Festanstellung sind nicht erforderlich, um als Mitarbeiter eingesetzt zu werden. Die Automatisierung ist bereits dann erfüllt, wenn die Verarbeitung am Computer vollzogen wird ( 4f Abs. 1 Satz 3 BDSG).
• Die automatisierte Erhebung und Verarbeitung von personenbezogenen Daten gehört zum Geschäftsmodell des Unternehmens. Typische Beispiele sind die Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Bei dieser Art von Geschäftsmodell ist die Anzahl der Mitarbeiter irrelevant ( 4f Abs. 1 Satz 5 BDSG).
• Jedes Unternehmen, dass sensible personenbezogene Daten verarbeitet, muss einen Datenschutzbeauftragten bestellen. Die Sensibilität liegt vor, wenn etwa Daten zur Bonität oder Gesundheit einer Person verarbeitet werden ( 4f. Abs. 1 Satz 5 BDSG).

 

Unternehmen, die generell aufgrund ihrer Größe, ihres Geschäftsmodells oder ihrer Verarbeitung von personenbezogenen Daten zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, benötigen genau betrachtet schon seit Längerem einen Datenschutzbeauftragten. In vielen Betrieben hat der Datenschutz allerdings bisher nur eine untergeordnete Rolle gespielt. Die Einführung der EU-Datenschutz-Grundverordnung soll diesen Umstand beseitigen und Unternehmen zur Compliance bewegen.

Deutlich höhere Bußgelder drohen

Wurde ab dem Stichtag des endgültigen Inkrafttreten der DSGVO kein Datenschutzbeauftrager bei der zuständigen Datenschutzbehörde angemeldet, so laufen Unternehmen Gefahr Subjekt der drastischen Sanktionen der DSGVO zu werden. Es können Bußgelder bei Missachtung der Vorschriften in Höhe bis zu 20 Mio. € verhängt werden.

Stichtag ist der 25.05.2018

Ab dem 25.05.2018 tritt die EU-DSGVO endgültig in Kraft. Wer bis zu diesem Datum noch keinen DSB beauftragt hat, sollte dies schnellstmöglich nachholen, um Bußgelder zu vermeiden.

Die Bestellung bezeichnet im Endeffekt nichts anderes als die Benennung eines Datenschutzbeauftragten. Durch die offizielle Ernennung werden die Pflichten und Verantwortungen an die Person juristisch übertragen. Fortan ist er dazu verpflichtet, die Aufgaben vollumfassend zu erfüllen und die Datenschutzgesetze im Unternehmen durchzusetzen.

Wie bereits eingangs erwähnt, muss der Datenschutzbeauftragte nicht aus dem Unternehmen selbst stammen. Die Bestellung eines externen Datenschutzbeauftragten ist möglich. Die interne Bestellung eines Datenschutzbeauftragten bedeutet, dass der Mitarbeiter geschult werden muss. Ein externer Beauftragter ist bereits ausgebildet. Er muss lediglich mit den Prozessen vertraut gemacht werden.

Bestellung wird durch Urkunde festgehalten

Da dem Datenschutzbeauftragten anspruchsvolle und juristisch-relevante Aufgaben übertragen werden, sollte die Bestellung offiziell durch eine Urkunde festgehalten werden.

Die Frage nach der Geeignetheit bei interner Bestellung
Entscheiden Sie sich für die Bestellung eines internen Datenschutzbeauftragten, ist die Frage der Geeignetheit von enormer Bedeutung. Als unabhängiges Kontrollorgan ist der Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt und erhält vorzugsweise Einblicke in die Planung des operativen Betriebs. Er muss geeignet sein, die anstehenden Schulungsmaßnahmen eigenverantwortlich durchzuführen und die fachliche Kenntnis zu erwerben. Im Optimalfall besteht bereits eine juristische Vorkenntnis, insbesondere mit Hinsicht auf Datenschutzgesetze.

Umfangreiche Lernbereitschaft nötig

Einen internen Mitarbeiter zum Datenschutzbeauftragten umzuschulen, verlangt die Eignung und die Bereitschaft des Mitarbeiters. Zukünftig wird sein Aufgabenfeld durch neue Tätigkeiten erweitert und das bisherige Aufgabenfeld eventuell drastisch beschränkt. In jedem Fall muss die Bereitschaft vorliegen, die enorme Verantwortung zu übernehmen. Schließlich kann ein Verstoß gegen das Datenschutzgesetz zu einer Geldbuße in Millionenhöhe für das Unternehmen führen.

Überblick über geschäftliche Prozesse vorausgesetzt

Zudem muss der Mitarbeiter einen Überblick über die internen Datenverarbeitungsprozesse haben. Einen Mitarbeiter zu schulen, der weder die Prozesse kennt, noch datenschutzrechtliche Kenntnisse hat, ist doppelt unwirtschaftlich. Ein externer Beauftragter hat bereits die juristischen Fähigkeiten und muss lediglich an die Prozesse der Datenverarbeitung im Unternehmen herangeführt werden.

Kommunikationsfähigkeiten von großer Bedeutung

Neben den fachlichen Kenntnissen, benötigt Ihr Mitarbeiter Kommunikationsfähigkeiten. Er ist für die Umsetzung der Anforderungen, Einhaltung der Richtlinien und Schulung der Mitarbeiter erforderlich. Dadurch steht er sowohl mit der Geschäftsführung als auch mit einzelnen Mitarbeitern im Kontakt. Ein externer Datenschutzbeauftragter erfüllt bereits alle Anforderungen. Zudem fällt kein Mitarbeiter für den alltäglichen operativen Geschäftsbetrieb weg.

Erlernen der Datenschutzanforderungen umfangreicher als Einarbeitung in interne Prozesse

Ein externer Datenschutzbeauftragter ist nur selten in einem einzelnen Unternehmen tätig. Häufig organisiert er den Datenschutz in zahlreichen ähnlichen Unternehmen. Auch wenn jedes Unternehmen individuelle Prozesse und Strukturen hat, ist die technische Varianz der datenverarbeitenden Prozesse nicht besonders groß. Die individuellen Anforderungen der Überwachung der Prozesse, die personenbezogene Daten verarbeiten, sind geringfügiger, als die komplette Einarbeitung in den Themenkomplex Datenschutz. Da Datenschutzbeauftragte es gewohnt sind in unterschiedlichen Unternehmen mit unterschiedlichen Prozessen zu arbeiten, ist diese Einarbeitung deutlich weniger zeitintensiv als die komplette Umstellung.

Bestellung eines externen Datenschutzbeauftragten meist wirtschaftlicher

In der überwiegenden Mehrheit der Fälle ist es für Unternehmen deutlich wirtschaftlicher, einen externen Datenschutzbeauftragten zu bestellen. Nur ein Bruchteil der Unternehmen verarbeitet personenbezogene Daten in derart technisch-komplizierter Weise, dass ein externer Datenschutzbeauftragter sich nicht einarbeiten kann. In diesem Szenario sollten Unternehmen einen internen Datenschutzbeauftragten finden.

Jedes Unternehmen, das

• Personenbezogene Daten automatisiert verarbeitet und mehr als zehn Personen beschäftigt oder
• Besonders sensible personenbezogene Daten verarbeitet, die etwa über Gesundheit, Bonität, Sexualleben, Religion oder politischer Meinung einer Personen Auskunft geben könnten oder
• Dessen Kerngeschäft aus der Verarbeitung personenbezogener Daten besteht

 muss einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der EU-DSGVO werden die Pflichten dieser Person deutlich ausgeweitet.

Doch alle Unternehmen, die personenbezogene Daten verarbeiten, werden von der DSGVO erfasst. Das Datenschutzrecht wird deutlich erweitert und umfasst zahlreiche Neuerungen.

Stärkere Nutzerrechte für gespeicherte Daten

Für deutsche Unternehmen galt bereits vor der EU-DSGVO das BDSG, welches Rechte von Nutzern und Kunden bereits definiert hat. Während zahlreiche Neuerung die Nutzer mit neuen Rechten ausstattet, wurden bestehende Rechte erweitert. Unternehmen müssen ihre datenverarbeitenden Prozesse so einrichten, dass die betroffenen Personen ihre Rechte geltend machen können.

• Auskunftsrecht: 34 BDSG hat den Betroffen dazu befähigt, Auskunft darüber zu erlangen, zu welchem Zweck welche Daten wie gespeichert wurden. Art. 15 DSGVO wird das Auskunftsrecht deutlich erweitern. Neben den bereits Informationen kann der Betroffene:
  • Den Verarbeitungszweck,
  • Die Kategorien der verarbeiteten Daten,
  • Die Empfänger oder Kategorien von Empfängern der erhobenen Daten,
  • Die geplante Speicherdauer der Daten,
  • Die Existenz eines Berichtigungs- oder Löschungsrechts der erhobenen Daten,
  • Das Bestehen eines Beschwerderechts,
  • über die Herkunft der Daten
  • Sowie das Bestehen eines „Profiling“-Systems sowie die Arbeitsweise dieser Logik

zu erfragen.

• Löschrecht: Schon nach 35 BDSG haben Betroffene das Recht auf Berichtigung oder Löschung ihrer personenbezogenen Daten. Mit Art. 16 DSGVO wurde das Löschrecht ausgedehnt. So kann eine Löschung der Daten beantragt werden, wenn:
  • Der Zweck der Datenerhebung erreicht wurde und die personenbezogenen Daten nicht mehr gespeichert werden mü
  • Der Betroffene seine Einwilligung widerrufen hat und keine andere Rechtsgrundlage für die Verarbeitung gegeben ist (Art. 6 Abs. 1 lit.) b-f DSGVO).
  • Der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat
  • Die Daten unrechtsmäßig erhoben wurden (Art. 6 DSGVO)
  • Der Betroffene zur Erhebung als minderjähriger nach Art. 8 DSGVO eingewilligt hat und nun widerrufen mö

Allerdings kann dem Löschgesuch widersprochen werden, wenn der Weiternutzung der Daten ein berechtigtes Interesse zugrunde liegt. Dies ist besonders dann der Fall, wenn die Daten zu Geltendmachung eines Rechtsanspruchs benötigt werden.

• Berichtigungsrecht: Nach Art. 16 DSGVO hat der Betroffene das Recht, seine Daten berichtigen zu lassen, falls diese unvollständig oder unkorrekt sind.

• Recht auf Einschränkung: Das Recht auf Einschränkung der Verarbeitung weitet die Sperrung aus 35 Abs. 3 BDSG durch Art. 18 DSGVO auf den gesamten europäischen Raum aus. Der Betroffene hat nun das Recht, die Weiterverarbeitung der Daten einzuschränken, wenn er dies verlangt und zudem.
  • Die Richtigkeit der Daten von ihm bestritten wird. Die Weiterverarbeitung wird für den Zeitraum der Überprüfung der Richtigkeit eingeschrä
  • Die Verarbeitung unrechtsmäßig ist. Der Betroffene möchte die Daten nicht löschen, aber die Weiterverarbeitung einschrä
  • Die Daten nicht mehr zur Verarbeitung benötigt werden, doch gespeichert werden müssen, um Rechtsansprüche geltend zu machen.
  • Widerspruch gegen die Verarbeitung eingelegt wurde (Art. 21 Abs. 1 DSGVO). Die Verarbeitung wird für den Zeitraum der Überprüfung der berechtigten Gründe eingestellt.

• Recht auf Datenübertragbarkeit: Gänzlich neu ist das Recht der Datenübertragbarkeit der erhobenen Daten nach Art. 20 DSGVO. So können Betroffene von datenerhebenden Unternehmen verlangen, die Daten auf Aufforderung an Dritte zu übertragen. Dafür darf keine erneute Eingabe der Daten erforderlich sein. Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format ausgegeben werden (Art. 20 Abs. 1 DSGVO). Die verantwortlichen Unternehmen dürfen diesen Umstand nicht unterbinden. Auch die direkte Übermittlung an die gewünschte dritte Partei ist vorgesehen (Art. 20 Abs. 2 DSGVO). Das Recht auf Datenübertragbarkeit ist jedoch auf folgende Fälle begrenzt, um schützenswerte Interessen des herausgabepflichten verantwortlichen Unternehmens zu schützen:
  • Für die ursprüngliche Verarbeitung war eine Einwilligung erforderlich oder die Daten konnten ohne Einwilligung erhoben werden, da sie zur Entstehung eines Vertragsverhältnisses erhoben werden mü
  • Die Datenverarbeitung ist mithilfe automatisierter Verfahren erfolgt.

• Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen: Durch berechtigte Interessen gibt es die Möglichkeit für Unternehmen, personenbezogene Daten ohne Einwilligung des Betroffenen zu erheben. Der Betroffene hat jedoch die Möglichkeit hiergegen Einspruch zu erheben (Art. 21 DSGVO). Dem Einspruch kann nur stattgegeben werden, wenn persönliche Versagungsgründe vorliegen, die dem berechtigten Interesse ü Insbesondere Onlineshops und Webseiten, die automatisiert Daten erheben, werden hierdurch gezwungen werden, Widerspruchssysteme einzurichten (Stichwort: Opt-in /Opt-out).

• Recht auf Unbetroffenheit von rechtsverbindlichen Entscheidungen bei automatisierten Datenprozessen:

 

 Umfangreichere Pflichten für datenverarbeitende Organisationen

Neben dem Eingehen auf die neuen Rechte der betroffenen Personen, müssen Unternehmen und Organisationen kürzere Bearbeitungs- und Reaktionsfristen realisieren. So hat der Verantwortliche innerhalb eines Monats nach Eingang des Antrags des Betroffenen zu reagieren oder Stellung zu nehmen (Art. 12 Abs. 3 DSGVO).

Datenverarbeitung erst ab 16 Jahren

Bis zum Inkrafttreten der EU-DSGVO können in den meisten Ländern Kinder und Jugendliche ab 13 Jahren zur Verarbeitung ihrer personenbezogenen Daten einwilligen. Die DSGVO sieht allerdings ein Mindestalter von 16 Jahren vor. Somit könnte jüngeren Internetnutzern der Zugang zu Plattformen erschwert werden, die eben solche Daten erheben. Dazu gehören Social Media-Riesen wie Facebook oder Instagram.

Unternehmen außerhalb der EU ebenfalls erfasst

Die DSGVO zielt auch auf eine Durchsetzung des Datenschutzes gegenüber internationalen oder US-Firmen ab. Es genügt aus, Daten von Personen aus dem EU-Raum zu erheben, um von den Anforderungen der DSGVO erfasst zu werden. Der Wirkungsraum der DSGVO reicht somit weit über de Grenzen der EU hinaus.

Höhe Sanktionen vorgesehen

Bei Verstößen gegen die DSGVO sieht das Gesetz deutlich höhere Sanktionen vor, als Unternehmen es zuvor gewohnt waren. Es können Geldstrafen von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden. Bei Großkonzernen kann sich die Strafe somit im Milliardenbereich bewegen.

So setzen Sie die DSGVO um

Jedes Unternehmen, dass personenbezogene Daten erhebt, muss sich den Anforderungen der DSGVO stellen und diese bis zum 25. Mai umsetzen, um hohe Bußgelder zu vermeiden.

Um DSGVO-compliant zu werden, müssen folgende Maßnahmen ergriffen werden.

1. Datenschutzbeauftragten bestellen, wenn notwendig

Unterliegen Unternehmen den Voraussetzungen, muss ein Datenschutzbeauftragter bestellt werden. Dies ist nach der EU-DSGVGO der Fall, wenn:

• Das Unternehmen mehr als zehn Mitarbeiter beschäftigt und personenbezogene Daten automatisiert erhebt (Etwa durch den Einsatz von Computern).
• Das Unternehmen besonders sensible Informationen verarbeitet, die etwa die Bonität und Gesundheit betreffen.
• Die automatisierte Datenverarbeitung ein maßgeblicher Bestandteil des Geschäftsmodells ist.

Fällt Ihr Unternehmen in keine der drei genannten Kategorien fällt, muss es dennoch den Anforderungen der DSGVGO gerecht werden, indem diese ohne einen Datenschutzbeauftragten umgesetzt werden. Andernfalls ist die Frage nach der Bestellung eines internen oder externen Datenschutzbeauftragten zu beantworten.

2. Verzeichnis der Verarbeitungstätigkeiten erstellen

Unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten, muss jedes Unternehmen ein „Verzeichnis der Verarbeitungstätigkeiten“ erstellt werden (Art. 30 DSGVO).  Letztendlich handelt es sich dabei um eine Tabelle, die alle Daten listet, die vom Unternehmen erhoben werden. Insbesondere wird aufgeführt:

• Welche Daten,
• Warum,
• Wann und
• Wie

erhoben wurden.

Im Detail könnten folgende Aspekte erfasst werden:

• Verantwortlicher
• Zweck
• Betroffener
• Wer hat Zugriff auf die Daten?
• Datenkategorie
• Übermittlung an Drittstatten?
• Löschfrist
• Rechtsgrundlage
• Einwilligung des Betroffenen

Außerdem ist festzuhalten, welchen Weg die Daten gehen. Werden Sie etwa auf einer Webseite erhoben und letztendlich in einem Buchungssystem gespeichert, so sind die einzelnen Schritte festzuhalten.

Ein Verfahrensverzeichnis ist schon nach dem BDSG vorgesehen, wurde von den meisten Unternehmen jedoch ignoriert.

3. Prozesse kreieren und Prozesshandbuch anfertigen

Alle Prozesse, die personenbezogene Daten erheben, müssen dokumentiert werden. Sind die Prozesse nicht konform mit der DSGVO, so sind diese anzupassen. Die Dokumentation hat im Prozesshandbuch zu erfolgen. Folgende Aspekte könnten in einem Prozesshandbuch behandelt werden:

• Was passiert mit den Daten, sobald das Ziel der Datenerhebung erreicht ist?
• Wie werden Kunden über die Datenerhebung informiert?
• Welche Schulungsmaßnahmen werden für die Mitarbeiter vorgenommen?
• Was passiert, wenn es zu einem Datenleck kommt, etwa durch einen Hackerangriff?

4. Datenschutzfolgeabschätzung vornehmen, wenn notwendig

Unternehmen, die besonders sensible Daten verarbeiten, wie etwa Arztpraxen, Versicherungsmakler oder Auskunfteien, bedürfen einer Datenschutzfolgeabschätzung. Die Sensibilität ist dann gegeben, wenn anhand der Daten eine Kategorisierung und Identifizierung der Personen nach sensiblen Themen, wie dem Gesundheitszustand, den Finanzen, der Sexualität, der politischen Einstellung und der ethnischen Herkunft möglich ist. Hier besteht ein besonders hohes Risiko bei der Datenverarbeitung, denn beim missbräuchlichen Umgang mit diesen Daten könnte für den Betroffenen ein erheblicher Schaden entstehen. Langfristig sollen die regionalen Datenschutzbehörden eine Liste zur Einordnung der Daten hinsichtlich einer Datenschutzfolgeabschätzung herausgeben, was momentan noch nicht passiert ist. Somit bedarf es einer Einzelfallbetrachtung.

5. Alle ergriffenen Maßnahmen dokumentieren

Alle Unternehmen sollten jegliche Maßnahmen, die aufgrund des Datenschutzes ergriffen werden, ausreichend dokumentieren. Mit einer vollständigen Dokumentation lässt sich belegen, dass erforderliche Maßnahmen ergriffen wurden. Sollte ein Datenleck oder ein Verstoß vorliegen, kann die Dokumentation dafür Sorge tragen, dass kein Bußgeld verhängt wird.

Das neue europäische Datenschutzgesetz, die EU-DSGVO, möchte Einzelpersonen mit mehr Rechten zur Kontrolle der eigenen Daten ausstatten. Um die neuen strengeren Anforderungen an datenverarbeitende Unternehmen durchzusetzen, wurde die Einführung drastischer Strafen und Bußgelder beschlossen. Die Höhe der Sanktionen wurde derart ausgestaltet, dass die Verhängung eines Bußgeldes mitunter die Existenz eines Unternehmens bedrohen kann.

Rechtliche Grundlage der Sanktionen

Die rechtliche Grundlage für Geldbußen finden sich in Art. 83, 84 DSGVO. Darüber hinaus bestimmen die einzelnen Mitgliedsstaaten die strafrechtlichen Sanktionen selbst.

Sanktionen betreffen Unternehmen

Die DSGVO sieht vor, dass alle Unternehmen Gegenstand einer datenschutzrechtlicheren Sanktion werden können, die entweder:

• Ihren Hauptsitz in der Europäischen Union haben oder
• Personenbezogene Daten von Personen erheben, die in der EU ansässig sind, wenn der europäische Markt bedient wird.

Begriff Unternehmen in DSGVO weiter gefasst

Das bisher in Deutschland geltende Datenschutzrecht wurde hauptsächlich durch das BDSG geregelt. Das deutsche Gesetz zielt dabei logischerweise auf den herkömmlichen Unternehmensbegriff des deutschen Rechts ab. Eine Kapitalgesellschaft, eine Personengesellschaft oder ein Einzelunternehmer wurde als eigenständige Einheit betrachtet, die selbst für die Umsetzung der Datenschutzgesetze verantwortlich ist. Es gab keine Konzernhaftung.

Unternehmensbegriff der DSGVO fasst Konzerne zusammen

Das europäische Recht sieht eine andere Definition vor. So wurde nach EuGH Rechtsprechung nicht die juristische Definition, sondern eher eine betriebswirtschaftliche Betrachtung herangezogen. Unternehmen werden als wirtschaftliche anstatt als juristische Einheiten betrachtet. Somit kann ein Konzern als Unternehmen verstanden werden. Der Konzern haftet für Verstöße einzelner Tochterunternehmen.

Deutlich höhere Sanktion nach der EU-DSGVO

Die DSGVO zielt darauf ab, das Thema Datenschutz zum wichtigen Bestandteil jeglicher unternehmerischen Tätigkeiten werden zu lassen. Daher wurden die Sanktionen und Geldbußen drastisch verschärft. Bei Verstößen können von Datenschutzbehörden Geldbußen von maximal 20 Mio. Euro oder bis zu 4% des weltweiten Konzernumsatzes verhängt werden. Die abschreckende Wirkung der Sanktionen soll das Bewusstsein dafür stärken, dass Verstöße gegen das Datenschutzrecht, Verletzungen der Grundrechte der Europäischen Union sind.

Bemessung des Bußgeldes nach Stärke des Verstoßes

Die Bemessung der Bußgelder erfolgt anhand der Kriterien des Bußgeldkatalogs aus Art. 83 Abs. 2 (a) bis (k) DSGVGO.:

• Art, Schwere und Zeitraum des Verstoßes
• Vorsätzliches oder fahrlässiges Handeln
• Maßnahmen zur Minderung des Schadens
• Verantwortungsgrad in Hinsicht auf bereits getroffene Maßnahmen zur Verhinderung
• Vorliegen älterer Verstöße
• Kooperation mit den Datenschutzbehörden, um den Verstoß zu mindern
• Art des Bekanntwerdens des Verstoßes – Selbstanzeige oder Anzeige
• Früheres Kooperationsverhalten bei angeordneten Maßnahmen
• Einhaltung von Verhaltensregeln oder genehmigten Zertifizierungsverfahren (Art. 40, 42 DSGVO)
• Vorliegen anderweitiger mildernder Umstä

Weitere Sanktionen neben Bußgeldern möglich

Neben der Verhängung von Bußgeldern sind auch weitere Strafmittel möglich. So kann eine Gewinnabschöpfung vorgenommen oder ein Unternehmen aufgrund eines Datenschutzverstoßes gerügt werden, während ein Zeitraum zur Beseitigung des Verstoßes eingeräumt wird.

Zusätzliche Strafen durch einzelne Mitgliedsstaaten

Neben den vorgesehenen Strafmitteln der EU, können auch einzelne Mitgliedsstaaten zusätzliche Strafen verhängen. Art. 84 DSGVO sieht zudem vor, dass EU-Staaten die Möglichkeit haben, weitere strafrechtliche Sanktionen einzuführen.

Ob auch Behörden und öffentliche Einrichtung Subjekt der Sanktionierung werden können, obliegt dabei ebenfalls den einzelnen Mitgliedsstaaten.

Sanktionen werden durch nationale Aufsichtsbehörden verhängt

Nach Art. 55 DSGVO haben die nationalen Datenschutzaufsichtsbehörden der Mitgliedsstaaten die Verantwortung für die Verhängung der Sanktion gegenüber den Unternehmen in ihrem Hoheitsgebiet. Für internationalen Datentransfer existiert eine federführende transnationale Behörde nach Art. 56, 60 DSGVO.

Anzeige von Verstößen aus vielen Richtungen möglich

Begeht ein Unternehmen einen Verstoß gegen das Datenschutzrecht, besteht die Gefahr der Anzeige gegenüber der zuständigen Datenschutzbehörde. Jeder kann Verstöße anzeigen, weshalb für Unternehmen dies insbesondere durch folgende Akteure denkbar ist:

• Durch Datenschutzbehörden im Rahmen einer Routineüberprü
• Durch unzufriedene Mitarbeiter, die den Verstoß
• Durch Kunden oder potenzielle Kunden, die einen Verstoß bemerkt haben.
• Durch Selbstanzeige.
• Durch Investigativ-Journalisten oder Presse im Allgemeinen.

Bestellung eines Datenschutzbeauftragten das beste Mittel zum Vorbeugen

Die Bestellung eines Datenschutzbeauftragten ist das beste Mittel, um den strengen Anforderungen der neuen Datenschutzgesetze gerecht zu werden. Nur durch vollständige und einheitliche Compliance können die drastischen Bußgelder vermieden werden. Langfristig wird der Datenschutz ein zentrales Thema jedes Unternehmens spielen müssen, anstatt nur eine unliebsame Nebenerscheinung zu sein.

Die Gefahr eines wirtschaftlichen Schadens bei Nichteinhaltung der Vorgaben der EU-DSGVO droht nicht nur von Datenschutzbehörden und deren Bußgelder. Diese haben überwiegend eine Beratungsfunktion und vergeben nach eigener Aussage zunächst eine Verwarnung, bevor sie von dem drastischen Bußgeldkatalog Gebrauch machen. Die größere Gefahr geht von Abmahnungen auf nationaler Ebene aus, die ebenfalls von unterschiedlichen Akteuren erfolgen können.

Abmahnungen möglich bei wettbewerbsrechtlich relevanten Datenschutzverstößen

Datenschutzrechtliche Abmahnungen werden dann versendet, wenn der Verstoß gegen das Datenschutzgesetz dem Unternehmen einen wettbewerblichen Vorteil verschafft hat. Werden etwa Daten von Webseitenbesuchern erhoben, ohne Einwilligung oder entsprechende Erklärung, und dadurch ein Vorteil gegenüber der Konkurrenz erzielt, ist eine Abmahnung naheliegend.

Abmahnungen durch Wettbewerber und Verbände

Im Gegensatz zu vielen anderen EU-Ländern, hat Deutschland ein Verbandsklagerecht bei Datenschutzverstößen durchgeführt. Somit besteht nicht nur für direkte Wettbewerber, sondern auch für Verbraucherschutz- oder Wettbewerbsverbände ein Recht zur Abmahnung.

Risiko der Abmahnung höher als Geldbuße durch Datenschutzbehörde

Die Gefahr aufgrund eines Datenschutzverstoßes abgemahnt zu werden, ist deutlich höher, als Subjekt einer Geldbuße zu werden. Während die Datenschutzbehörden auch als Ansprechpartner und Berater zum Thema Datenschutz verstanden werden, liegt der Fokus der entsprechenden Verbände hauptsächlich auf der Verfolgung der Verstöße. Zudem verfügen die meisten Verbände über das entsprechende Budget, um den juristischen Weg bis zum Gerichtsverfahren zu bestreiten. Da die Verbände jedoch kein Zutrittsrecht zu Unternehmen haben, anders als die Datenschutzbehörden, können sie nur Verstöße abmahnen, die von außen sichtbar sind.

Abmahnungen nach dem Unterlassungsklagengesetz (UKlaG)

Seit der Erneuerung des § 2 Abs. 2 UKlaG am 24.04.2016 können nun auch Verbraucherschutzverbände wegen datenschutzrechtlichen Verstößen abmahnen und gegen die rechtsverletzende Partei einen Unterlassungsanspruch geltend machen. Die Neuerung sieht hierfür eine Zulässigkeit vor, wenn personenbezogene Daten eines Verbrauchers erhoben, verarbeitet oder genutzt werden aufgrund von:

• Werbezwecken,
• Marktforschungen,
• Dem Betrieb einer Auskunftei,
• Der Erstellung von Persönlichkeits- und Nutzungsprofilen,
• Dem Adresshandel oder
• Dem sonstigen Datenhandel.

Zulässig ist die Abmahnung durch Verbraucherschutzverbände auch bei vergleichbaren, profitorientierten Zwecken.

Abmahnungen nach dem Gesetz gegen unlauteren Wettbewerb (UWG)

Zudem sind Abmahnungen aufgrund des UWG möglich. Die Abmahnung aufgrund eines datenrechtlichen Verstoßes ist vor allem dann gegeben, wenn der datenschutzrechtliche Verstoß ein Verstoß gegen eine Marktverhaltensregelung i.S.d § 3a UWG darstellt. Zudem kann auch abgemahnt werden, wenn der Verstoß einen Fall der Irreführung darstellt (§ 5 UWG) oder unverlangte Werbung versendet wurde (§ 7 UWG).

Welche Datenschutznormen der DSGVO als Markenverhaltensregelung ausgelegt werden können, wird in Zukunft erst die gerichtliche Rechtsprechung zeigen. Bisher scheiden sich hier die Geister.

Es wird auf eine Einzelprüfung der betroffenen Norm ankommen. Bisher wurden folgende Datenschutzvorschriften als Marktverhaltensregelungen kategorisiert und sind daher wettbewerbsrechtlich für Abmahnungen relevant:

• Datenschutzhinweis nach 13 Abs. 1 TMG.
• Datenverarbeitung für Werbezwecke ohne Einwilligung, 28 Abs. 3 BDSG.
• Verwendung der personenbezogenen Daten außerhalb des eingewilligten Zwecks, 28 Abs. 1 BDSG.

Neue Abmahngefahr nach Einführung der DSGVO

Welche Normen der DSGVO wettbewerbsrechtlich relevant werden, lässt sich aktuell nur schwer feststellen. Der BGH hat dazu entschieden, dass der Verstoß gegen eine derartige Ordnungsvorschrift i.S.d. Art. 24 ff. DSGVO nicht nur objektiv feststellbar, sondern subjektiv planmäßig und bewusst durchgeführt worden sein müsste. Eine derartige Subjektivität lässt sich allerdings nur schwer feststellen. Es ist jedoch gerade die Unsicherheit und Unkenntnis über die rechtliche Lage, die von abmahnenden Parteien genutzt wird.

Folgen einer Abmahnung

Die DSGVO eröffnet Abmahnern die Türen. Sollte tatsächlich ein wettbewerbsrechtlicher Datenschutzverstoß vorliegen und die Abmahnung somit berechtigt sein, so müssen abgemahnte Unternehmen mit kostspieligen Folgen rechnen.

Bußgelder aufgrund eines Datenschutzverstoßes werden von Datenschutzbehörden verhängt. Bei Abmahnungen hingegen droht der Zwang zum Unterschreiben einer Unterlassungserklärung, die Begleichung der Rechtskosten des Abmahners, die Zahlung von Schadensersatz (§ 9 UWG) oder im schlimmsten Fall die Gewinnabschöpfung der Gewinne, die der Verantwortliche durch die Missachtung der Datenschutzanforderungen erwirtschaftet hat.

Korrektes Verhalten beim Erhalt einer Abmahnung

Anwälte und Juristen warnen vor einer Abmahnwelle, mit der Unternehmen nach Inkrafttreten der DSGVO rechnen müssen. Ob dies wirklich der Fall sein wird, wird sich ab dem 25. Mai 2018 zeigen. Eine besondere Gefahr geht vor allem von den Abmahnungen aus, die sich durch die Unsicherheit und die allgemeine Unrechtssicherheit zur DSGVO-Umsetzung in den praktischen Betriebsalltag ergeben.

Entsprechende Kanzleien oder Verbraucherverbände könnten genau diese Unsicherheit nutzen und Unternehmen zu vorschneller Einlenkung der Abmahnung bewegen. Tatsächlich sollten Abgemahnte in einem datenschutzrechtlichen Zusammenhang stärker als sonst prüfen lassen, ob die Abmahnung gerechtfertigt ist. Es ist mit zahlreichen Gerichtsverfahren zu rechnen.

Kein voreiliges Schuldeingeständnis

Unternehmen, die eine Abmahnung erhalten, sollten die folgenden Schritte durchführen, um eine DSGVO-Abmahnung abzuwehren.

1. Unterlassungserklärung nicht ungeprüft unterschreiben

Die DSGVO und deren wettbewerbsrechtliche Bedeutung ist komplettes Neuland. In vielen Fällen werden Unternehmen eine ungerechtfertigte Abmahnung erhalten, die gleichzeitig deutlich teuer ist als angemessen.

2. Nicht mit dem Abmahner in Kontakt treten

Wenn Sie voreilig mit dem Abmahner in Kontakt treten, könnte dies wie ein Schuldgeständnis wirken. Vermeiden Sie daher die Kontaktaufnahme in jedem Fall.

3. Nehmen Sie Kontakt zu einem Anwalt auf

Lassen Sie die Abmahnung anwaltlich prüfen und bereiten Sie sich unter Umständen auf entsprechende Gegenmaßnahmen vor.

	Extern	Intern
Fachwissen	Der externe Datenschutzbeauftragte ist bereits ausgebildet und akkreditiert. Er verfügt über die Erfahrung im Umsetzen von Datenschutzgesetzen. Zudem hat er juristische Vorerfahrung.	Ein interner Datenschutzbeauftragter muss sich einer umfangreichen Umschulung unterziehen. Gleichzeitig muss er zumindest teilweise von seinen gewöhnlichen Aufgaben entbunden werden. Überlastung droht.
Integration	Ein externer DSB muss sich in die Prozesse des Unternehmens einarbeiten. Allerdings gehört die reibungslose Integration zu seinem Tagesgeschäft. Die objektive Betrachtung und die Einblicke in zahlreiche Unternehmen helfen bei einer wirtschaftlichen Anpassung an die DSGVO.	Der interne DSB kennt die Prozesse des Unternehmens bereits und ist persönlich in das Mitarbeiterumfeld integriert. Er wird von den Mitarbeitern nicht als „Fremdkörper“ wahrgenommen.
Kommunikation	Der externe DSB erhält in der Regel qualifizierte Antworten, da er direkt der Geschäftsführung untersteht und somit eher eine autoritäre Rolle spielt. Zudem finden seine Darstellungen eher gehör beim Betriebsrat. Allerdings bedarf die Kommunikation mit Mitarbeitern mehr „Vorarbeit“.	Ein interner DSB ist bereits in den Betrieb eingebunden und somit täglich in die Kommunikation involviert. Daher fällt die Kontaktaufnahme leichter. Allerdings steht er mit anderen Mitarbeitern in einer Konkurrenzsituation, was die Umsetzung behindern könnte.
Haftung	Der externe DSB ist selbstständig oder arbeitet im Auftrag eines Dritten. Daher haftet er oder sein Arbeitgeber selbst vollumfassend für Schäden, die er zumindest fahrlässig verursacht hat. Ihr Unternehmen ist von der Haftung vollständig entbunden.	Als Arbeitnehmer kommt der interne DSB in den Genuss des „innerbetrieblichen Schadensausgleichs“, weshalb das Unternehmen selbst haftet. Nur bei grober oder mittlerer Fahrlässigkeit kommt es zu einer (Teil)-Haftung.
Aufwand & Kosten	Die Kosten für den externen Datenschutzbeauftragten im Rahmen unserer Datenschutzberatung sind kalkulierbar. Ihre Mitarbeiter werden weitmöglichst entlastet und können sich auf Ihre Kernaufgaben fokussieren.	Da kein zusätzlicher Mitarbeiter eingestellt wird, bleiben die direkten Kosten gleich. Nicht kalkulierbar sind die Kosten, die dadurch entstehen, dass der interne Mitarbeiter von seinen sonstigen Aufgaben teilweise entbunden werden muss.
Interessenkonflikt	Ein externer Datenschutzbeauftragte steht in keinem wirtschaftlichen Interessenkonflikt. Sein Ziel ist die Compliance mit der DSGVO und dessen Überwachung.	Der interne DSB kann schnell in einem Interessenkonflikt aus DSGVO-Compliance und internen Unternehmensprozessen gelangen.

Die Bestellung eines internen oder externen Datenschutzbeauftragten muss abgewogen werden. In der Regel ist eine externe Lösung unternehmerisch-sinnvoller. Ein externer DSB fungiert als außenstehender Beratungs- und Kontrollorgan. Die fachlichen Anforderungen an einen DSB sind hoch. Um die Aktualität zu wahren bedarf es kontinuierlicher Fort- und Weiterbildungen, was mit hohen Kosten einhergeht. Externe DSB verfügen über diese Kenntnisse von Haus aus und treten als spezialisierter Dienstleister in Ihrem Unternehmen auf.

 

Welche Besonderheiten gelten für den Datenschutzbeauftragten im Unternehmen (Art. 38 DSGVO)?

Durch die DSGVO wird der Verantwortungsbereich des Datenschutzbeauftragten ausgeweitet und seine Stellung im Unternehmen an die neuen Herausforderungen angepasst. Generell untersteht der Datenschutzbeauftragte der Geschäftsführung, ist allerdings nicht weisungsgebunden und hat kein Weisungsrecht gegenüber Mitarbeitern. Er ist somit als ein weiteres unabhängiges Kontrollorgan im Betrieb zu verstehen. Eine Missachtung dieser Stellung im Unternehmen durch die Geschäftsführung kann in einem Bußgeld münden.

Unabhängig davon, ob ein interner oder externer Datenschutzbeauftragter bestellt wurde, hat die Geschäftsführung ihn bei der Erfüllung seiner Aufgaben im folgenden Maße zu unterstützen:

• Bereitstellung der notwendigen Ressourcen.
• Beteiligung an der Planung betrieblicher Prozesse.
• Unterstützung in allen Anliegen zur Erfüllung seiner Aufgaben.
• Offenbarung von Kontaktdaten.
• Offenbarung aller innerbetrieblichen Prozesse (auch Geschäftsgeheimnisse).
• Weisungsfreiheit im Handeln.

Gleichzeitig unterliegt der Datenschutzbeauftragte einer Geheimhaltungspflicht.

Wurde ein interner Mitarbeiter als Datenschutzbeauftragter erwählt, so gelten für ihn außerdem:

• Ein Abberufungsschutz und ein Benachteiligungsverbot: Die Tätigkeit eines Datenschutzbeauftragten ist auf lange Sicht ausgelegt. Ein Mitarbeiter darf somit nicht zu dieser Aufgabe ernannt und kurze Zeit später abberufen werden. Zudem darf er aufgrund seiner Aufgabe nicht benachteiligt werden.
• Kündigungsschutz: Aus 38 BDSG-neu geht hervor, dass der Datenschutzbeauftragte einen umfassenden Kündigungsschutz genießt. Lediglich eine fristlose Kündigung aus einem wichtigen Grund ist zulässig.
• Einbindung, Fortbildung und Schutz: Ein interner Datenschutzbeauftragter muss in die Planung der Prozesse eingebunden werden. Zudem obliegt es der Verantwortung der Geschäftsführung, dass er entsprechend kontinuierlich fortgebildet wird, um über das notwendige Fachwissen zu verfü Seine Interessen müssen geschützt werden.
• Kein Interessenkonflikt: Nach Art. 38 Abs. 6 DSGVO darf der Datenschutzbeauftragte nicht aufgrund anderer Tätigkeiten im Unternehmen in einem Interessenkonflikt zwischen dem Datenschutz und seiner Tätigkeit stehen.

 

Externen Datenschutzbeauftragter bestellen häufig unkomplizierter

Die aufgeführte gesetzliche Stellung des Datenschutzbeauftragten im Unternehmen nach Art. 38 DSGVO zeigt klar auf, dass bei der Wahl eines internen Datenschutzbeauftragten nicht jeder Mitarbeiter in Frage kommt. Zu dem bedarf ein interner DSB größerer Aufmerksamkeit und Aufwendung von Ressourcen, da er einerseits von Teilen seiner sonstigen Tätigkeiten entbunden werden muss, in keinem Interessenkonflikt stehen darf und fachlich ausgebildet werden muss.

Das Bundesamt für Wirtschaft und Ausführkontrolle fördert die Unternehmensberatung von Startups und etablierten Unternehmen für das Bundesministerium für Wirtschaft. Hinsichtlich des Datenschutzes und der neuen DSGVO bestehen umfangreiche Fördermöglichkeiten, um die Umstellung zu einem gesetzeskonformen Umgang mit Daten vergünstigt durchzuführen.

Staatliche Förderung des Datenschutzes

Die Datenschutzbeauftragten, die wir Ihnen im Rahmen unserer Datenschutzberatung zuteilen, erfüllen die Anforderungen der staatlichen Förderungen. Erfüllt Ihr Unternehmen die Voraussetzungen, ist eine Förderung für Sie möglich. Wir unterstützen Sie bei der Erstellung des Antrags.

Unterschiedliche Unternehmen antragsberechtigt

Der Beratungszuschuss zur „Förderung unternehmerischen Knowhows“ wird über die BAFA organisiert. Neue Beratungsrichtlinien wurden 2016 erlassen, sodass seitdem folgende Unternehmen antragsberechtigt sind:

• Startups: Nicht älter als zwei Jahre
• Etablierte Unternehmen: Im dritten Bestandsjahr
• Unternehmen in Schwierigkeiten: Finanzielle schwierige Situation

Um von der Förderung zu profitieren, muss der Sitzes Unternehmens innerhalb der BRD sein. Zudem zielt die Förderung auf kleine und mittelständische Unternehmen ab, die dem Bild der EU-Mittelstandsdefinition entsprechen.

Juristische, öffentliche und insolvente Unternehmen sind ausgeschlossen

Freiberufler und Unternehmen, die als Unternehmens-, Wirtschafts- oder Steuerberatung oder anderweitig im Rechtswesen oder der Insolvenzverwaltung tätig sind, sind von der Förderung ausgeschlossen. Dasselbe gilt, wenn Beteiligungen religiöser Gemeinschaften, juristischer Personen öffentlichen Rechts oder zu deren Betriebe bestehen. Vereine und gemeinnützige Unternehmen sind ebenfalls von der Förderung ausgeschlossen.

Höhe der Förderung abhängig von Region und Unternehmensart

Die Förderung erfolgt in Form eines Zuschusses zu den Beratungskosten. Er wird aus der maximal förderbaren Summe in Abhängigkeit des Unternehmensstandortes ermittelt. Neue Bundesländer erhalten den Zuschuss in Höhe von 80% (außer Berlin und Leipzig), die Region Lüneburg 60% und die sonstigen Regionen 50%. Unternehmen in schwierigen finanziellen Situation können mit 90% gefördert werden. Die Summe für Startups beträgt maximal 4.000 €, für etablierte Unternehmen 3.000 € und für Unternehmen in Schwierigkeiten ebenfalls 3.000 €.

Umfangreiche Beratung zur Förderung und Antragsstellung

Im Rahmen unserer Datenschutzberatung können wir Sie umfangreich zur Förderbarkeit Ihres Unternehmens beraten. Wir helfen Ihnen bei der Vorbereitung des Antrags sowie der Erstellung der notwendigen Unterlagen.

Die EU-DSGVO räumt Verbrauchern und Kunden von Unternehmen umfangreiche Rechte zur Kontrolle ihrer Daten ein. Die meisten Unternehmen und Freiberufler werden mindestens an einer Stelle von den gesetzlichen Änderungen berührt. Rechten der Betroffenen münden in zahlreichen Pflichten zum Datenschutz gegenüber Kunden.

Auskunftsrecht nach Art. 15 DSGVO

Ein Auskunftsrecht von Kunden gegenüber Unternehmen bezüglich ihrer personenbezogenen Daten bestand schon vor dem Inkrafttreten der DSGVO durch §57 BDSG. Es wird jedoch durch Art. 15 DSGVO deutlich ausgedehnt.

Inhalt des Auskunftsrechts

Der Kunde hat nach Art. 15 Abs. 1 DSGVO das Recht bei Unternehmen zu erfragen, ob es personenbezogene Daten über ihn gespeichert hat. Ist dies geschehen, so hat das Unternehmen dem betroffenen Kunden Auskunft über die Daten sowie Informationen über die Verarbeitung dieser Daten zukommen zulassen.

Auskunftsrecht in zwei Stufen gegliedert

Die erste Stufe des Auskunftsrechts betrifft somit die Frage, ob personenbezogene Daten gespeichert wurden. Dem Kunden ist dazu eine Auskunft zu geben, auch wenn keine Daten gespeichert wurden. Ist dies jedoch der Fall, so kann der Kunde weiterführende Informationen verlangen:

• Der Zweck der Verarbeitung der Daten.
• Die Kategorien der verarbeiteten, personenbezogenen Daten.
• Die Empfänger und die Kategorien der Empfänger der Daten.
• Die geplante Speicherdauer.
• Herkunft der Daten.
• Ob ein System zum „Profiling“ des Kunden anhand der Daten besteht.
• Bei Übermittlung in Drittländer, ob die Datenübermittlung in Form des Standards von Art. 46 DSGVO geschehen ist.

Vorschriften zur Form und Frist der Auskunftserteilung

Art. 12 Abs. 1 DSGVO sieht vor, dass Kunden ihre Auskunft auf schriftlichem, elektronischem oder mündlichen Wege erteilt bekommen. Ein Identitätsnachweis ist jedoch vorausgesetzt. Wird das Auskunftsersuchen auf elektronischem Wege angestrebt, ist die Antwort als PDF zu übermitteln (Art. 15 Abs. 3 DSGVO). In der Regel ist die Auskunft nach Art. 12 Abs. 3 DSGVO sofort, aber spätestens nach einem Monat zu erteilen. Für die Auskunft dürfen dem Kunden keine Kosten entstehen.

Schranken bezüglich der Häufigkeit und Kosten

Lediglich die einmalige Auskunft ist kostenlos zu erteilen. Verlangt der Kunde weitere Kopien, so kann ein Entgelt in Höhe der Verwaltungskosten verlangt werden (Art. 15 Abs. 3 DSGVO). Bei unbegründete oder exzessiven Anfragen kann ebenfalls ein Entgelt verlangt oder die Auskunft gänzlich verweigert werden. Das Unternehmen ist dann in der Pflicht einen Nachweis über die mangelnde Begründung des Antrags zu erbringen und den Kunden darüber zu informieren (Art. 12 Abs. 4 DSGVO).

Ausnahmen

Unternehmen können Kunden unter bestimmten Voraussetzungen die Auskunft verweigern, etwa wenn der Kunde exzessiv oder unbegründet von seinem Auskunftsrecht Gebrauch machen will. Liegt eine große Datenmenge über den Kunden vor, so hat das Unternehmen das Recht das Auskunftsersuchen präzisieren zu lassen. Zudem kann die Auskunft verweigert werden, wenn dadurch Rechte und Freiheiten anderer Personen eingeschränkt würden (Art. 15 Abs. 4 DSGVO).

Recht auf Datenportabilität

Mit der Einführung der DSGVO haben Kunden erstmals das Recht auf Datenportabilität (Art. 20 DSGVO). Kunden wird somit die Möglichkeit eingeräumt, ihre Daten von einem Anbieter zum nächsten zu übertragen. Durch die Einführung der Datenportabilität soll der Wechsel zu einem Anbieter mit besseren Bedingungen gewährleistet werden, denn häufig ist Kunden dieser Prozess zu aufwendig, aufgrund der schlechten Übertragbarkeit der Daten.

Bisher keine konkreten Lösungen

Wie genau die Datenportabilität in der Praxis umgesetzt werden soll, ist derweilen noch unklar. Die DSGVO spricht von einem „strukturierten, gängigen und maschinenlesbaren Format“. Somit müssen alle Unternehmen die Daten im selben Format weitergeben, was die Entwicklung eines einheitlichen Systems erfordert.

Recht auf Löschung (auf Vergessenwerden) Art. 17 DSGVO

Schon das BDSG sah das Recht auf Löschung von personenbezogenen Daten vor. Die DSGVO hingegen dehnt das Recht auf Löschung nochmals aus (Art. 17 DSGVO).

Inhalt des Löschrechts

Der Begriff „Löschen“ wird von der DSGVO nicht direkt aufgegriffen. Vielmehr meint Art. 17 DSGVO einen Zustand, der eine Widerherstellung der Daten ohne unverhältnismäßigen Aufwand ermöglicht. Dazu kann entweder:

• Der Datenträger zerstört,
• Die Programmierung gelöscht oder
• Eine Löschsoftware bei wiederbeschreibbaren Datenträgern eingesetzt werden.

Unverzügliche Löschung der Daten unter bestimmten Voraussetzungen

Sind die Voraussetzungen von Art. 17 Abs. 1 DSGVO gegeben, so sind die Daten unverzüglich zu löschen:

• Der Zweck der Datenerhebung wurde erreicht.
• Der Kunde hat seine Einwilligung widerrufen.
• Der Kunde hat Widerspruch eingelegt.
• Die Daten wurden unrechtsmäßig verarbeitet.
• Die Löschung der Daten ist nach EU-Recht oder nationalem Recht erforderlich.
• Die Daten stammen von einem Kind unter 16 Jahren.

Löschung im Anschluss an Auskunft

Um den Löschanspruch geltend machen zu können, muss zunächst Kenntnis über personenbezogene erhobene Daten vorliegen. Dafür bedarf es eines Auskunftsersuches nach Art. 15 DSGVO. Sind Daten erhoben worden, kann ein Antrag auf Löschung gestellt werden. Eine bestimmte Form ist dafür nicht vorgesehen, obwohl die schriftliche Form oder per Mail empfohlen wird. Notwendig für den Löschantrag ist der Nachweis der Identität. Andernfalls kann das Unternehmen weitere Informationen anfordern (Art. 12 Abs. 6 DSGVO) oder die Löschung sogar verweigern (Art. 12 Abs. 2 DSGVO). Die Verweigerung muss allerdings begründet und gleichzeitig muss auf die Möglichkeit zur Beschwerde bei einer Datenschutzbehörde hingewiesen werden.

Sofortige Löschung ohne schuldhaftes Verzögern

Ist der Löschantrag beim Unternehmen eingegangen und liegt ein berechtigter Löschgrund vor, ist die Löschung sofort „ohne schuldhaftes Verzögern“ vorzunehmen. Somit steht nicht mehr Zeit zur Verfügung, als für die Prüfung des Löschgrundes notwendig ist. Gleichzeitig muss der Kunde innerhalb eines Monats über die Löschung informiert oder ihm ein Grund für die Versagung der Löschung genannt werden.

Mitteilungspflicht bei Löschung

Besteht ein Löschungsgrund der erhobenen Daten nach Art. 17 Abs. 1 DSGVO, so müssen alle Betroffenen über die Löschung informiert werden (Art. 19 DSGVO). Somit wird durch die DSGVO eine umfassende Mitteilungspflicht normiert.

Ausnahmen des Löschrechts

Unter bestimmten Voraussetzungen kann das Unternehmen die Löschung verweigern. Dies gilt insbesondere, wenn die fortlaufende Verarbeitung notwendig ist, um:

• Das Recht auf freie Meinungsäußerung und Information zu gewährleisten,
• Zur Erfüllung einer Rechtspflicht oder anderweitiger öffentlicher Interessen, etwa im Bereich der öffentlichen Gesundheit, Forschung, Archivierung oder Statistik oder
• Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprü

 Einwilligungserklärung

Nach Art. 7 der EU-DSGVO müssen Kunden die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilt haben. Will ein Unternehmen die Daten verarbeiten, so hat es nachzuweisen, dass die Einwilligung erfolgt ist.

Eindeutigkeit der Einwilligungserklärung ist maßgebend

Die Einwilligungserklärung muss von Kunden eindeutig als solche erkennbar sein. Daher unterliegt sie strengen Anforderungen an die Formulierung. Unpräzise Beschreibungen sind unzulässig. Beispiele für klare Formulierungen sind folgende:

• „Ich bin damit einverstanden, dass…“
• „Ich willige hiermit ein, dass…“
• „Mit meiner Unterschrift willige ich ein, dass…“

Verständliche und einfache Sprache vorgesehen

Art. 7 Abs. 2 DSGVO bezeichnet eindeutig, dass die Sprache der Einwilligungserklärung so gehalten sein muss, dass sie verständlich ist. Zudem ist eine Form vorgesehen, die einen leichten Zugang ermöglicht.

Möglichkeit zum Widerruf muss gegeben sein

Kunden müssen die Möglichkeit haben, ihre Einwilligung jederzeit zurückzuziehen. Dieser Umstand muss in der Einwilligungserklärung klar kommuniziert werden. Die Form kann dabei von der Form der Einwilligungserklärung abweichen. Es dürfen keine zusätzlichen Hürden bestehen, die den Widerruf beschweren.

Prinzip der Freiwilligkeit

Die Einwilligungserklärung muss darauf hinweisen, dass der Kunde darauf verzichten kann, seine Einwilligung abzugeben (Art. 7 Abs. 4 DSGVO). Es dürfen ihm keine Nachteile entstehen.

Dadurch wird der Zwang zur Einwilligung in vielen alltäglichen Situationen entschärft werden. Die Unfreiwilligkeit kann nämlich schon dann gegeben sein, wenn durch Entsagen der Einwilligung indirekt Nachteile entstehen. Verweigert sich ein Kunde gegenüber einem Wohnungsmakler zur Freigabe seiner Daten und wird deshalb beim Auswahlverfahren benachteiligt, handelt der Makler rechtswidrig, sogar wenn die Einwilligung im Zuge dessen abgegeben wird.

Zustand der Informiertheit

Bevor der Kunde seine Einwilligung zur Verarbeitung der personenbezogenen Daten abgibt, muss er sich im Zustand der Informiertheit befinden. Das bedeutet, dass ihm ganzheitlich bewusst sein muss, welche Daten, wie und wofür erhoben werden. Ob eine Weitergabe an Dritte vorgesehen ist, muss ihm ebenfalls bewusst sein. Der Hinweis dazu muss deutlich erkennbar und darf nicht unter erschwerten Bedingungen zugänglich sein. Eine Zurverfügungstellung eines Links auf die Datenschutzerklärung oder die Allgemeinen Geschäftsbedingungen ist ausreichend, um einen einfachen Zugang zu ermöglichen.

Einwilligung nur für eigene Daten

Darüber hinaus dürfen Kunde die Einwilligung nur über ihre eigenen persönlichen Daten abgeben. Jede Person muss eigenständig einwilligen.

Bei Missbrauch drohen hohe Strafen

Nach Art. 82 Abs. 5 lit.) a DSGVO drohen Geldbußen in Höhe von bis zu 20 Mio. € oder 4% des globalen Umsatzes im Falle eines Konzerns. Der Korrektheit der Einwilligungserklärung zur Verarbeitung personenbezogener Daten sollte somit ernstgenommen werden. Dem erhebenden Unternehmen trifft die volle Beweislast (Art. 7 Abs. 1 DSGVO) für den Nachweis der gesetzeskonformen Datenerhebung.

Datenschutzerklärung

Die Datenschutzerklärung ist für alle Unternehmen oder Freiberufler einer der wichtigsten Aspekte der DSGVO-Compliance. Wird keine oder eine unzureichende Datenschutzerklärung zur Verfügung gestellt, liegt ein wettbewerbsrechtlicher Verstoß vor, sodass Abmahnungen die Tür geöffnet wird.

Personenbezogene Daten sind maßgebend

Welche Systeme oder „Plugins“ in der Datenschutzerklärung erwähnt werden müssen, hängt davon ab, ob dadurch personenbezogene Daten erhoben werden. Personenbezogen sind Daten dann, wenn durch die Informationen Rückschlüsse auf die Person geführt werden können. Gängige personenbezogene Daten im Internet sind die IP-Adresse, der Name und die Wohnadresse.

Zudem sieht Art. 4 DSGVO vor, dass dazu auch Angaben zu persönlichen oder sachlichen Verhältnissen einer Person gehören. Zusätzliche Kategorien der personenbezogenen Daten sieht Art. 9 DSGVO vor. Dazu gehören etwa politische oder religiöse Weltanschauung, Daten zur Gesundheit oder Sexualität, ethnische Herkunft, Gewerkschaftszugehörigkeit oder biometrische Daten. Werden Daten dieser Art gespeichert, muss dies ausdrücklich in der Datenschutzerklärung erwähnt werden.

Datenschutzerklärung für die meisten Unternehmen erforderlich

So ziemlich jedes Unternehmen benötigt personenbezogene Daten, um seine Geschäfte tätigen zu können. Rein regionale Betriebe oder Geschäfte, wie etwa ein Kiosk oder eine Fahrradwerkstatt, kommen ohne personenbezogene Daten aus. Bietet ein Unternehmen allerdings Lieferungen oder den Kauf auf Rechnung an, ist eine Datenschutzerklärung erforderlich.

Jede Webseite benötigt eine Datenschutzerklärung

Jede Webseite benötigt eine Datenschutzerklärung. Der Link dazu muss von jeder Unterseite der Webseite erreichbar sein. Im Optimalfall wird der Link unten im „Footer“-Bereich platziert. Ob die Seite mit einer Gewinnerzielungsabsicht erstellt wurde, ist dafür nicht mehr relevant.

Datenschutzerklärung in Abhängigkeit vom Aufbau der Webseite

Die Datenschutzerklärungen sind modular aufgebaut. Je nachdem, welche Daten über die Webseite erhoben und verarbeitet, muss die Erklärung individuell angepasst werden. Alle eingebundenen Dienste, die über die Webseite Daten erheben, wie etwa Facebook oder andere Social Media-Plattformen, Nutzeranalyse durch Tracking oder Retargeting, müssen in der Datenschutzerklärung erwähnt werden.

Personenbezogene Daten werden im Web immer erhoben

Webseiten erheben in der Regel personenbezogene Daten von jedem Besucher. Dies ist auch der Fall, wenn keine Daten über die Webseitenoberfläche erhoben werden. Selbst wenn alle technischen Vorrichtungen zur Datenerhebung ausgeschaltet sind, so erhebt der Host Daten.

Die sogenannten „Server-Logfiles“ protokollieren in der Regel die besuchte Webseite, den Zeitpunkt des Zugriffs, die Menge der versendeten Daten, die Quelle, die den Besucher auf die Seite weitergeleitet hat, den verwendeten Browser, das Betriebssystem und die IP-Adresse. Wird Ihre Seite nicht selbst gehostet, so muss Ihr Datenschutzbeauftragter eine Auftragsdatenverarbeitung mit Ihrem Host abschließen.

Pflicht zur Sichtbarkeit und klaren Sprache

Die Datenschutzerklärung muss für Kunden, die Ihre Angebot in Anspruch nehmen, klar sichtbar sein. Zudem besteht eine Pflicht zu einer verständlichen und leichten Sprache. Jede Methode der Datenerhebung muss einzeln aufgelistet werden. An je mehr Stellen Daten erhoben werden, umso länger fällt die Datenschutzerklärung aus.

Stetige Aktualisierung notwendig

Da sich technische Prozesse zur Datenerhebung in Unternehmen häufig ändern oder angepasst werden, muss die Datenschutzerklärung dementsprechend aktualisiert werden.

Datenschutzerklärung im Verantwortungsbereich des Datenschutzbeauftragten

Die Datenschutzerklärung stellt für die meisten Unternehmen das größte Abmahnrisiko dar. Ihre Rechtskonformität unterliegt dem Verantwortungsbereich des Datenschutzbeauftragten. Die technischen Details der DSGVO-Konformität machen deutlich, dass Sie einen fachlich und technisch kompetenten Datenschutzbeauftragten finden müssen.

E-Mail  

Der E-Mail-Verkehr hat den schriftlichen Briefverkehr in vielen Teilen der Geschäftswelt ersetzt. Sogar vor Gericht geltend E-Mails als Schriftform. Für das digitale Marketing ist der Email-Verkehr einer der wichtigsten Bestandteile einer ganzheitlichen Strategie.

Auch wenn die EU-DSGVO sich größtenteils an den bisherigen Regelungen des BDSG orientiert, kommen mit der endgültigen Einführung des EU-Gesetzes einige Änderungen auf Unternehmen zu, die Kunden per Mail kontaktieren oder E-Mail-Marketing betreiben.

Werbung per E-Mail ist ein legitimes Interesse

Die DSGVO erkennt das E-Mail-Marketing als legitimes Interesse der Unternehmen an (Art. 47 DSGVO). Das BDSG hat bisher eher einen unklaren Rahmen für die Nutzung von Daten für Direktwerbung geschaffen. Die DSGVO erlaubt dies grundsätzlich. Es wird allerdings unterschieden, ob bereits ein vorheriger Kontakt mit dem Betroffenen bestand oder der Erstkontakt per Mail hergestellt wird.

E-Mail-Marketing unter bestimmten Voraussetzungen ohne explizite Einwilligung zulässig

Für Unternehmen wird die Nutzung von E-Mail-Werbung vorteilhafterweise vereinfacht, auch wenn bei Missbrauch höhere Strafen drohen. Somit ist nach der DSGVO die Werbung per Mail ohne vorherige Zustimmung unter gewissen Voraussetzungen erlaubt:

• Der Kunde muss bereits zuvor ähnliche Produkte erworben haben und
• Auf die Speicherung seiner Mail-Adresse zu Werbezwecken hingewiesen werden.

Dennoch ist eine Protokollierung der Erhebung notwendig, um einen Nachweis zu ermöglichen.

Generell ist die Durchsetzung eines berechtigten Interesses für E-Mail-Direktwerbung einfacher durchzusetzen. Der Hinweis in „kleingedruckter“ Form ist ausreichend.

 Allgemein Einwilligung erforderlich

Werden im Rahmen des E-Mail-Marketings im klassischen Sinne E-Mail-Listen gesammelt, so bedarf es einer expliziten Einwilligung des Betroffenen. Die Einwilligung darf kein Bestandteil einer vorformulierten Vertragsbedingung sein, sondern muss individuell erfolgen. Um einen rechtssicheren Nachweis über die Einwilligung zu erbringen, ist auch nach der Einführung der DSGVO das „Double-Opt-in“-Verfahren zulässig, dass schon durch das BDSG notwendig ist. Der Sinn ist hierbei sicherzustellen, dass tatsächlich der Inhaber der Mail-Adresse die Eintragung vorgenommen hat.

Nach wie vor: Bei Widerspruch unzulässig

Erfolgt nach Einwilligung oder Bestehen der Voraussetzung zum E-Mail-Marketing ohne Einwilligung ein Widerspruch des Betroffenen, so ist das darauffolgende Versenden einer Werbemail unzulässig. Bei Verstößen drohen Bußgelder nach DSGVO.

Höhere Bußgelder drohen

Grundsätzlich erleichtert die DSGVO, entgegen der allgemeinen Auffassung unter Nicht-Juristen, das E-Mail-Marketing. Dennoch drohen bei Verstößen deutlich höhere Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes. Durch die Bestellung eines externen Datenschutzbeauftragten wird das Haftungsrisiko minimiert.

Webseite           

Ein durchdachter Internet-Auftritt gehört zum Standard eines jeden etablierten Unternehmens. Der Großteil der Unternehmen verlässt sich auf eine Webseite. Da mutmaßlich jede Webseite personenbezogene Daten erhebt, werden sie Bestandteil der Regulierung durch die EU-DSGVO.

Datenschutzerklärung ist Pflicht

Selbst wenn es sich um eine sparsame Webseite handelt, die lediglich Inhalte wiedergibt und keine Interaktionsflächen bietet, auf denen Daten erhoben werden, so erhebt meistens der Host personenbezogene Daten. In jedem Fall benötigt jede Webseite eine umfangreiche Datenschutzerklärung, die von jeder Unterseite erreicht werden kann. Ob die Seite zur Gewinnerwirtschaftung verwendet wird, ist dabei irrelevant.

Plugins erhöhen die Anforderungen

Umso mehr Plugins in eine Webseite eingebunden werden, umso höher werden die Anforderungen an die Datenschutzerklärung. Jede Stelle, an der personenbezogene Daten erhoben werden, bedarf einer expliziten Erwähnung. Besonders heikel sind Social Media-Plugins, da diese bei Weiterleitung generell Daten erheben, über dessen fortlaufende Verwendung der Seitenbetreiber keinen Einfluss hat.

SSL-Verschlüsselung wird Standard

Spätestens zum Inkrafttreten der DSGVO benötigt jede Webseite eine SSL-Verschlüsselung. Dies ist insbesondere geboten, wenn auf der Webseite Anmeldungen vorgesehen sind, etwa um einen Kommentar zu hinterlassen. Zudem sichert die SSL-Verschlüsselung einen Datenmissbrauch ab, da die Datenkommunikation von außen nicht zu entschlüsseln ist. Alleine aus Gründen des Vertrauensaufbaus gegenüber Kunden, sollte ein SSL-Zertifikat in jedem Fall erworben werden.

Webtracking wird komplizierter

Um das Kundenerlebnis zu optimieren und die Inhalte an die Wünsche der Besucher anzupassen, arbeiten die meisten Unternehmen mit Webtracking, wie etwa mit Google Analytics. Um diese Methoden weiterhin nutzen zu dürfen, müssen die IP-Adressen anonymisiert werden. Zudem muss dem Kunden eine Möglichkeit zum „Opt-Out“, also zum Austragen aus der Erfassung geboten werden. Letztendlich sollte jede Form des Webtrackings in der Datenschutzerklärung erwähnt werden. Wir behandeln das Thema Webtracking ausführlich an anderer Stelle (Link).

Folgen der Missachtung

Neben den Sanktionen der Datenschutzbehörden drohen bei Missachtung der Anforderungen Abmahnungen von Wettbewerbern oder entsprechenden Verbänden. In der Regel liegt bei der Missachtung ein wettbewerbsrechtlicher Verstoß vor. Wenn Sie einen externen Datenschutzbeauftragten anmelden, übertragen Sie die Verantwortung.

Webtracking

Das Webtracking ist ein essenzieller Bestandteil des professionellen Online-Marketings. Die Überwachung des Nutzerverhaltens sowie dessen Auswertung dienen der Optimierung des Kundenerlebnisses auf Ihrer Internetseite. Ohne das Webtracking wäre der Standard der Internetinhalte nicht dort, wo er heute ist. Wer nach dem Inkrafttreten der EU-DSGVO noch weiter das Verhalten der Besucher seiner Webseite analysieren möchte, muss sich umfangreichen Anforderungen stellen.

Fokus auf Anonymisierung der Daten

Häufig werden beim Webtracking personenbezogene Daten erhoben, wie etwa die IP-Adresse. Für die Auswertung des Nutzerverhaltens ist die Personenbezogenheit jedoch nicht nötig. Um den Anforderungen der DSGVO gerecht zu werden, sollten also Maßnahmen ergriffen werden, um ein anonymen Tracking-Zustand herzustellen.

Grundsätzlich stehen dafür zwei Methoden zur Auswahl:

1. Die Anonymisierung
2. Die Pseudonymisierung

Die Anonymisierung sieht eine vollständige Trennung der Daten und der Person vor. Es werden keine Daten erhoben, die einen Bezug zur Person herstellen können. Somit können Datum, Uhrzeit, aufgerufene Seiten und Nutzerverhalten getrackt werden. Die IP-Adresse gilt als anonym, wenn sie in gekürzter Form gespeichert wird.

Die Pseudonymisierung sieht die Erhebung personenbezogener Daten vor, allerdings werden die personenbezogenen Informationen pseudonymisiert. Dabei wird ein Profil erstellt und anstelle eines Namens in Pseudonym, etwa eine Buchstaben- und Zahlenfolge, eingefügt.

Einwilligung vorausgesetzt

Mit der Einführung der DSGVO bedarf es einer Einwilligung zur Erhebung personenbezogener Daten. Dabei wird kein Unterschied gemacht, ob es sich um pseudonymisierte oder orthonomierte Daten handelt. Werden somit Daten erhoben, die nicht vollständig anonymisiert sind, bedarf es einer ausdrücklichen Einwilligung zum Tracking (Opt-In).

Hier verbirgt sich eines der größten Konfliktpotenziale der DSGVO, denn die Einwilligung des Trackings muss von jedem Besucher theoretisch dokumentiert werden. Der daraus resultierende Dokumentationsaufwand ist praktisch kaum umsetzbar.

Berechtigtes Interesse könnte Abhilfe schaffen

Die Ausnahmeregelung für die Anforderungen der DSGVO findet sich in der Formulierung des „berechtigten Interesses“ aus Art. 6 Abs. 1 lit.) f DSGVO. Das berechtigte Interesse gestattet die Erhebung personenbezogener Daten ohne Einwilligung der Kunden, wenn das Unternehmen ein berechtigtes Interesse daran hätte. Die Einschätzung, ob ein Interesse berechtigt ist oder nicht, wird unter Abwägung der Einschränkung der Grundrechte des Kunden getroffen.

Für viele Online-Unternehmen, etwa Onlineshops, ist das Tracking und platzieren von Cookies jedoch unverzichtbar. Ohne das Platzieren von Cookies im Onlineshop lässt sich nicht speichern, welche Produkte der Kunde im Warenkorb platziert hat. Der Begriff des berechtigten Interesses wird somit für Konfliktpotenzial sorgen, was in einer Klärung der Einzelfälle im Rahmen eines Gerichtsverfahrens münden wird.

Ob und wie fern das Webtracking als berechtigtes Interesse verstanden werden kann, bedarf einer gerichtlichen Einzelklärung und lässt sich bis dahin juristisch nicht genau festlegen.

Juristischer Beratung dringend empfohlen

Aufgrund der Komplexität des Themas, das juristisches Neuland ist, wird die Bestellung eines fachmännischen Datenschutzbeauftragten dringend empfohlen. Im Rahmen unserer Datenschutzberatung analysieren wir Ihre Webseite und legen Ihnen glasklare Handlungsempfehlungen zum Umgang fürs Webtracking zur Hand.

Soziale Netzwerke

Social Media Marketing gehört zu jeder ganzheitlichen Online-Strategie etablierter Unternehmen. Der Großteil der Unternehmen ist in mindestens einem sozialen Netzwerk vertreten. Da auch hier personenbezogene Daten von Kunden erhoben werden können, muss DSGVO-konform gehandelt werden. Betroffen sind vor allem das Social Media Monitoring und das Social Media Listening.

Selbe Grundsätze wie auf einer Webseite

Da bei beiden Praktiken personenbezogene Daten erhoben werden, bedarf es auch hier einer Einwilligung der betroffenen Kunden. Es gibt jedoch eine Ausnahme, die mit der DSGVO eingeführt wird. Personenbezogene Daten dürfen zu Werbezwecken verwendet werden, wenn diese öffentlich zugänglich sind.

Das könnten entweder Listen, Verzeichnisse oder eben öffentliche Social Media-Profile sein. Es bedarf allerdings auch hier eines berechtigten Interesses. Wird eine Werbekampagne geplant, sollte zunächst eine Interessenabwägung zwischen unternehmerischen Interesse und den Persönlichkeitsrechten der Kunden durchgeführt werden.

Einwilligung bei Profileinstellung

Ob das Social Media Monitoring und Listening rechtskonform ist, hängt von der Privatsphäreneinstellung der Nutzer ab. Ist das Profil auf „öffentlich“ eingestellt, so handelt es sich um öffentlich einsehbare Daten, die zu Werbezwecken verwendet werden dürfen. Dennoch unterliegt die Methode der Informationspflicht aus Art. 14 DSGVO.

Werden die öffentlich zugänglichen Daten abgespeichert, ist der Nutzer darüber zu informieren. Nach Art. 33 DSGVO können die Daten erhoben werden, sofern die Verarbeitung nicht ausschließlich auf einer automatisierten Entscheidung beruht und den Kunden nicht erheblich beeinträchtigt. Für die Zulässigkeit gibt es allerdings Ausnahmen. In Erwägungsgrund 71 DSGVO sind Fälle für die Unzulässigkeit dieser Argumentation zu finden.

Anonymisierung bietet Ausweg

Die Pflicht zur Einwilligung kann umgangen werden, indem die erhoben Daten anonymisiert werden. Dadurch können dennoch Meinungstrends o.ä. erfasst werden, ohne die Persönlichkeitsrechte der Kunden zu verletzen, die ihre Social Media-Einstellungen privatisiert haben.

Berechtigtes Interesse bietet Konfliktpotenzial

Das berechtigte Interesse könnte Unternehmen, deren Geschäftsmodell größtenteils auf der Erhebung personenbezogener Daten basiert, die Möglichkeit einräumen, diese Daten ohne Einwilligung zu erheben. In welchen Rahmen das berechtigte Interesse aus Art. 6 DSGVO hierfür angebracht ist, wird durch künftige Rechtsprechung entschieden. Daher ist die Bestellung eines fachmännischen Datenschutzbeauftragten für dieses Anliegen unumgänglich.

Facebook

73% aller deutschen Unternehmen führen eine Facebook-Seite und die dazugehörigen Funktionen zu Werbe- und Kundebindungszwecken. Mit seinen präzisen Targetierungs-Möglichkeiten ist Facebook eines der mächtigsten Online-Werbeinstrumente. Da die DSGVO einen starken Fokus auf die Regulierung der großen amerikanischen Internetkonzerne und deren Umgang mit Daten legt, müssen Unternehmen sich auf strenge Anforderungen einstellen.

Impressumpflicht

Schon vor der der Einführung der DSGVO waren Unternehmen durch das Telemediengesetz verpflichtet, auf der Facebook-Seite ein Impressum zu führen. Da das Telemediengesetz und das alte Bundesdatenschutzgesetz durch die DSGVO abgelöst werden, wodurch die Pflicht zum Impressum europaweit standardisiert wird. Empfehlenswert ist es, dasselbe Impressum der Unternehmenswebseite zu verwenden oder direkt auf das Impressum der Seite zu verlinken.

Einbindung von Facebook Like-Button

Auch Social Media Plugins, wie der Facebook Like Button, waren zu vor schon ein umstrittenes Thema. Da die Verordnung das Thema nicht implizit aufgreift, gibt es aktuell noch keine rechtssichere Lösung zur Einbindung. Unter Juristen herrschen unterschiedliche Meinungen. Es sind diese Unklarheiten, die Unternehmen dazu anhalten sollten, einen Datenschutzbeauftragten zu bestellen. Bis zur endgültigen Lösung sollten von der Unternehmenswebseite auf Social Media-Profile lediglich in Form eines reinen Textlinks verwiesen werden. Andernfalls besteht die Gefahr der Erhebung von personenbezogenen Daten. In Kürze ist mit der Veröffentlichung datenschutzkonformer Plugins zu rechnen.

Nutzung von Facebook-Pixel

Der Facebook Pixel ist ein potentes Tracking-Instrument von Facebook. Durch die Einbindung eines Skripts auf der Webseite kann das Facebook-Nutzerprofil des Kunden gesichert und später mit gezielten Werbeanzeigen bespielt werden. Allerdings war dies schon nach geltendem Recht nicht gesetzeskonform und abmahnwürdig. Mittlerweile gibt es technische Lösung, die eine Einwilligung für die Erhebung des Facebook-Profils vorsehen. Ihr Datenschutzbeauftragter wird eine passende technische Lösung für Ihre Marketing-Strategie entwickeln.

 Reichlich Rechtsunsicherheit

Wie bei vielen anderen Thematiken gibt es noch keine eindeutige Rechtssicherheit bei der Verwendung der personenbezogenen Facebook-Daten Ihrer Kunden. Der expliziten Einwilligung steht das berechtigte Interesse gegenüber. Um mit den juristischen Entscheidungen der Gerichte nach Inkrafttreten der DSGVO Schritt zu halten, sollten Sie einen externen Datenschutzbeauftragten bestellen.

Google

Google hat sich als Marktführer der Suchmaschinen fest etabliert. Mittlerweile gibt es kein Unternehmen mit einer digitalen Marketingstrategie, das um Google herumkommt. Da die DSGVO gerade auf Internetkonzerne wie Google abzielt, müssen umfangreiche Anpassungen im Umgang mit den Google-Produkten erwartet werden.

AdSense

AdSense ist ein beliebtes Instrument zur Monetarisierung für Publisher. Webseitenbesuchern wird eine personalisierte Werbeanzeige eingespielt. Klickt ein User auf die Anzeige, verdient das Unternehmen einen kleinen Geldbetrag. Dafür wird eine Partnerschaft mit Google geschlossen. Da Google für die Ausspielung der Anzeigen bereits personenbezogene Daten erhoben hat, sollte die Verantwortung für die Einwilligung bei Google selbst liegen.

Allerdings benötigen Unternehmen eine explizite Einwilligung für die Erhebung von personenbezogenen Daten über die Unternehmenswebseite. Google plant Webmaster mit in die Verantwortung zu ziehen. Sollten User die Einwilligung verweigern, dürfte nur noch eine neutrale Werbeanzeige ohne Personalisierung eingebracht werden. Dadurch sind jedoch erhebliche Einnahmeneinbrüche für Publisher zu erwarten.

Die rechtskonforme Behandlung von Google AdSense ist ein Fall für einen fachmännischen Datenschutzbeauftragten. Mit Inkrafttreten der DSGVO am 25. Mai 2018 besteht für alle Publisher, die Google AdSense verwenden, ein rechtliches Risiko.

AdWords

AdWords ist ein effektives Instrument für das Ausliefern bezahlter Werbeanzeigen in den Suchergebnissen. Da Google jedoch die Anzeigen selbst ausspielt, gibt es für Unternehmen gegenüber Kunden hier keinen datenschutzrechtlichen Handlungsbedarf.

Analytics

Google Analytics ist ein beliebtes Instrument des User Trackings und wird auf vielen Webseiten eingesetzt. Es dient der Auswertung des Nutzerverhaltens und der Optimierung der Inhalte. Da Google Analytics personenbezogene Daten bezieht, bedarf es entweder einer expliziten Zustimmung des Nutzers oder einer Anonymisierung der Daten. Es gibt somit zwei Möglichkeiten:

1. Anonymisierung der IP-Adresse

Durch das Einfügen eines bestimmten Codes in das Skript von Google Analytics können die IP-Adressen der Nutzer anonymisiert werden.

2. Anbieten eines Opt-Ins / Opt-Outs

Bisher ist noch nicht klar, in welchem Format die Einwilligung des Nutzers eingeholt werden muss. Fachleute aus der Branche und Juristen streiten sich darüber, ob der Nutzer explizit einwilligen muss (Opt-In) oder ihm eine Möglichkeit zum Austragen gegeben werden muss (Opt-Out). Ihr Datenschutzbeauftragter wird die juristische Entwicklung verfolgen und entsprechende Maßnahmen treffen.

Erwähnung in der Datenschutzerklärung

In jedem Fall bedarf es einer expliziten Erwähnung der Nutzung von Google Analytics in der Datenschutzerklärung. Je nachdem, wie Google Analytics genutzt wird, muss die Erklärung angepasst werden.

Auftragsverarbeitung mit Google abschließen

Eine Auftragsdatenverarbeitung war schon vor Inkrafttreten der DSGVO zu schließen. Dieser Prozess wird glücklicherweise vereinfacht, denn der Vertrag bedarf keiner schriftlichen Form mehr, sondern kann im elektronischen Format abgeschlossen werden.

Google Fonts und DSVGO

Viele Webseiten verwenden die beliebten Google Fonts. Leider wird bei jedem Aufruf der Schriften die IP-Adresse des Nutzers dem Google Server kommuniziert. Die Lösung liegt in der lokalen Einbindung der Fonts und dem Blockieren der Google Anfragen.

Einbindung von YouTube-Videos

YouTube-Videos einzubinden ist eine gängige Methode, um den Content der Webseite zu optimieren. Ob nun fremde oder eigene Videos eingebunden werden, Sie bewegen sich in einer rechtlichen Grauzone. Für die rechtskonforme Einbindung muss ein kompetenter Datenschutzbeauftragter gefunden werden.

Cookies werden bei Aufruf platziert

Ruft ein Nutzer eine Unterseite Ihrer Webseite auf, auf der sich ein eingebettetes YouTube Video befindet, begehen Sie bereits einen Verstoß gegen die DSGVO. YouTube platziert automatisch einen Cookie, was als personenbezogener Datensatz der expliziten Einwilligung bedarf. Es gibt zwei Methoden, um diesen Umstand zu vermeiden.

Erweiterten Datenschutzmodus aktivieren

YouTube bietet die Möglichkeit einen erweiterten Datenschutzmodus zu aktivieren. Wird der Link des Videos von der Plattform kopiert, besteht die Möglichkeit den Modus zu aktivieren. Es werden somit keine Cookies gespeichert.

2-Klick-Lösung implementieren

Eine zweite Lösung ist die Implementierung der „2-Klick-Lösung“. Dabei wird das Video erst geladen, wenn der User auf den Play-Button klickt. Es findet keine automatisierte Platzierung von Cookies statt.

 Social Media + Plugins

Ähnlich wie bei Facebook, stellt die Einbettung des Googles Social Buttons eine datenschutzrechtliche Schwierigkeit dar. Google leitet schon bei Besuch der Seite personenbezogene Daten Ihrer Kunden an die eigenen Server weiter. Bisher ist keine rechtskonforme Lösung vorhanden, weshalb Ihr Datenschutzbeauftragter sich aufmerksam mit dem Thema beschäftigen wird.

Google als Problemkind für den Datenschutz

Google gibt sich als Monopolist widerspenstig, was den Datenschutz betrifft. Bisher ist nicht klar, ob der Internetriese sich selbst an die EU-DSGVO anpasst oder Webmastern die Verantwortung für die Umsetzung der Anforderungen überlässt. In jedem Fall bedarf es einer ausführlichen Analyse und eines stichhaltigen Datenschutzkonzeptes, um den Umgang mit Googles Produkten rechtskonform zu gestalten. Wenn Sie Ihren externen Datenschutzbeauftragten bestellen, wird er Sie umfassend auf die Problematik vorbereiten und entsprechende Lösungen konzipieren.  

Die Einführung der DSGVO beschränkt sich nicht nur auf den Umgang der personenbezogenen Daten von Kunden. Unternehmen müssen auch intern umfangreiche Anpassungen vornehmen, um hohe Bußgeldern oder Abmahnungen zu umgehen. Das Aufgabenfeld eines Datenschutzbeauftragten beschränkt sich nicht nur auf den externen Umgang, sondern auch auf interne Prozesse der Datenverarbeitung.

Mit der DSGVO drohen höhere Bußgelder

Schon vor Inkrafttreten der DSGVO müssen sich Unternehmen umfangreichen Datenschutzanforderungen stellen. Viele Unternehmen haben dieses Anliegen mit geringer Priorität behandelt. Nun allerdings können bei Missachtung hohe Bußgelder von bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes verhängt werden. Spätestens ab dem 25.05.2018 sollte der Datenschutz in Unternehmen mehr als eine untergeordnete Rolle spielen, um die existenzbedrohenden Risiken zu vermeiden.

Arbeitnehmerdatenschutz

Die Persönlichkeitsrechte der Arbeitnehmer sind ebenso zu wahren, wie die der Kunden. Wenn Sie noch kein rechtskonformes Datenschutzkonzept für den Umgang mit den Daten Ihrer Mitarbeiter implementiert haben, sollten Sie spätestens jetzt damit beginnen. Mit der DSGVO werden deutlich höhere Bußgelder fällig, wenn Verstöße aufgedeckt werden. Das Risiko, dass ein unzufriedener Mitarbeiter Verstöße des missbräuchlichen Umgangs mit Daten meldet, ist dabei nicht gering.

Rechtsgrundlage oder explizite Einwilligung notwendig

Alle personenbezogenen Daten bedürfen der expliziten Einwilligung des Arbeitnehmers oder aber eines berechtigten Interesses (Art. 6 DSGVO). Die explizite Einwilligung kann in Form einer rechtskonformen Datenschutzerklärung beim Unterzeichnen des Arbeitsvertrages eingeholt werden. Allerdings haben Arbeitnehmer jederzeit die Möglichkeit, die Löschung oder Auskunft über die Dokumentation zu beantragen. Liegt allerdings ein berechtigtes Interesse vor, kann auf die Einwilligung verzichtet oder ein Löschersuchen abgelehnt werden.

Für welche personenbezogenen Daten besteht ein berechtigtes Interesse?

Art. 6 Abs. 1 DSGVO zählt Szenarien des berechtigten Interesses auf. Für Arbeitgeber sind vor allem Art. 6 Abs. 1 lit.) b), die Erfüllung eines Vertrages, sowie Art. 6 Abs. 1 lit.) e.), die Wahrnehmung einer Aufgabe im öffentlichen Interesse, passend. Einerseits benötigen Arbeitgeber die Daten zur Erfüllung des Arbeitsvertrages, zweitens werden steuerliche Daten benötigt, um Krankenversicherungsbeiträge und Sozialabgaben abzuführen. Dazu gehören vor allem Name, Adresse und steuerrechtliche Daten.

Nur das Nötigste speichern

Arbeitnehmer können den Aufwand drastisch reduzieren, indem eben nur solche Daten gespeichert werden, die im Rahmen des berechtigten Interesses zulässig sind. Das allgemeine Risiko eines Datenschutzverstoßes wird somit drastisch reduziert.

Beweislast liegt bei Unternehmen

Neben der rechtskonformen Erhebung der Daten müssen Arbeitnehmer strikt auf die Dokumentations- und Informationspflichten achten. Wird ein datenschutzrechtlicher Verstoß gemeldet, sind Unternehmen in der Beweispflicht, den rechtskonformen Umgang zu beweisen.

Zahlreiche Stolpersteine vorhanden

Neben der Speicherung personenbezogener Daten, existieren zahlreiche rechtliche Stolpersteine im Umgang mit Arbeitnehmern. Dies betrifft insbesondere den Umgang mit personenbezogenen Daten, die im Rahmen der Tätigkeit des Arbeitnehmers im Betrieb entstehen. Für die rechtskonforme Abwicklung der individuellen Anforderungen eines Unternehmens, sollte ein externer Datenschutzbeauftragter beauftragt werden, der ein individuelles Datenschutzkonzept erstellt.

Datenschutz am Arbeitsplatz

Die Datenerhebung gegenüber Mitarbeitern endet nur selten bei den verwaltungstechnisch relevanten Daten. Durch die Einbindung in digitale Prozesse erheben die meisten Arbeitgeber automatisch personenbezogene Daten, die über das berechtigte Interesse hinausgehen. Beispielsweise bei der Nutzung eines personalisierten E-Mail-Accounts.

Herrschende Rechtsunsicherheit erfordert Eigeninitiative

Viele Aspekte der DSGVO im Bezug auf Arbeitnehmerdatenschutz bleiben unklar. Bis eine rechtssichere und anerkannte Lösung besteht, können Jahre vergehen. So sieht ist nach § 26 BDSG (neu), der die Datenverarbeitung für die Zwecke des Beschäftigungsverhältnisses reguliert, noch unklar, welche Daten für die Beschäftigung erforderlich sind. Der rechtlichen Unsicherheit sollte im Rahmen eines durchdachten Datenschutzkonzeptes eine klare Vereinbarung geschaffen und eine explizite Einwilligung ermöglicht werden.

Überwachung am Arbeitsplatz ist unzulässig

Manche Unternehmen bedienen sich einer Keylogging-Software, um die Tätigkeiten und Produktivität der Mitarbeiter zu überwachen. Eine Generalüberwachung der Arbeitnehmer wird nur schwer mit dem berechtigten Interesse aus Art. 6 DSGVO vereinbar sein. Dennoch besagt der „2017 IT Risks Report“, dass das größte Risiko von Innentätern ausgehen. Wo wird also im Sinne der DSGVO die Grenze zu ziehen sein?

Überwachung nur bei konkreten Verdachtsmomenten einer Straftat oder schweren Fehlverhaltens

Die DSGVO gilt als europäische Verordnung direkt. Sollten Sie nicht im Einklang mit den nationalen Datenschutzgesetzen stehen, so ist das nationale Recht zu vernachlässigen. Ob der § 26 BDSG-neu im Einklang mit der DSGVO steht, wurde bereits angezweifelt. Somit sind gerichtliche Entscheidungen abzuwarten.

Allerdings hat das BAG am 27.07.2017 entschieden, dass Keylogging-Software nur eingesetzt werden darf, wenn konkrete Tatsachen begründen, dass der Arbeitnehmer eine Straftat oder schweres schädliches Fehlverhalten zu verschulden hat. Eine derartige Schadensbegrenzung könnte auch im Sinne des Art. 6 DSGVO, des berechtigten Interesses, zu rechtfertigen sein. Von einer Generalüberwachung sollten Arbeitnehmer unverzüglich Abstand nehmen. Die Entwicklung eines Datenschutzkonzeptes zur Schadensbegrenzung nach der Bestellung eines externen Datenschutzbeauftragten ist dringend zu empfehlen.

Datenschutz endet nicht nach Ausscheidung

Weitere Datenschutzkonflikte können sich ergeben, wenn der Arbeitnehmer aus dem Arbeitsverhältnis ausscheidet. Wurde etwa für das Diensthandy oder der E-Mail-Account eine private Nutzung gestattet, so stehen zwei berechtigte Interessen gegenüber. Einerseits benötigt der Arbeitgeber Zugriff auf die geschäftlichen Daten, um einen reibungslosen Geschäftsbetrieb zu gewährleisten, andererseits könnte das allgemeine Persönlichkeitsrecht des Arbeitnehmers verletzt werden. Eine individuelle Lösung für Ihren Geschäftsbetrieb dieser und ähnlicher Szenarien steht auf der Agenda Ihres Datenschutzbeauftragten.

Datenschutzkonzept durch Datenschutzbeauftragten zwingend erforderlich

Die Gestaltung des Datenschutzes am Arbeitsplatz hängt stark von der Art Ihres Unternehmens ab. Eine allgemeine Zusammenfassung würde den Rahmen des Artikels sprengen. Wichtig ist, dass Unternehmen spätestens mit dem Inkrafttreten der DSGVO das Thema Datenschutz am Arbeitsplatz zu einem übergeordneten Maßstab der Betriebsabläufe machen. Um die empfindlichen Bußgelder zu vermeiden, sollte ein fachmännischer Datenschutzbeauftragter bestellt werden.

Datenschutz in der Cloud

Deutsche Unternehmen verlassen sich zunehmend auf die Flexibilität der Datenspeicherung in der Cloud. Das hat der Cloud Monitor 2017 von KPMG und Bitkom bewiesen. Gleichzeitig besagt die eco-Studie zur IT-Sicherheit, dass IT-Sicherheit durch Cloudnutzung bei mehr als der Hälfte der Unternehmen verschlechtert wird. Auch wenn Unternehmen die Datensicherheit durch Cloudnutzung in die Hände eines Dritten abgeben, obliegt eine Verantwortung als Mittelsmann bei Ihnen bzw. Ihrem Datenschutzbeauftragten.

Fokus auf Dokumentations- und Informationspflicht

Die DSGVO rückt die Dokumentations- und Informationspflicht in den Fokus der unternehmerischen Pflichten zum Datenschutz. Somit sollte mit dem Cloud-Anbieter eine Vereinbarung zur Auftragsverarbeitung und sonstigen DSGVO-Compliance vertraglich abschließen. Der Service-Anbieter ist dazu verpflichtet, die Datenverarbeitung zu dokumentieren und festzuhalten.

Unternehmen hingegen, die Cloud-Dienste in Anspruch nehmen, müssen ihrerseits in ihrer Dokumentation festhalten, wo und wie die Daten verarbeitet werden. Ersuchen Betroffene eine Auskunft, so ist aufgrund der Informationspflicht mitzuteilen, wo die Daten gespeichert sind. In jedem Fall unterliegt die Cloud-Nutzung der Dokumentations- und Informationspflicht und sollte Bestandteil des Datenschutzkonzeptes sein.

Verschlüsselung wird zur Pflicht

Die Datenübermittlung an den Cloud-Anbieter muss in verschlüsselter Form erfolgen. Datenverschlüsselung ist ein zentrales Element der DSGVO und muss über einen Datenschutzbeauftragten implementiert werden.

Meldung an Datenschutzbehörde

Ein Datenleck ist ein gängiges Risiko bei der Nutzung von Cloud-Diensten. Aufmerksamkeitserregende Skandale, wie bei Yahoo, haben Unternehmen für die Wahrnehmung dieses Risikos sensibilisiert. Werden Sie selbst Opfer eines Datenlecks, so muss der Vorfall innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden (Art. 33 DSGVO), um Bußgelder zu vermeiden.

Augen auf bei der Cloud-Anbieterwahl

Neben der Dokumentation und Überwachung der Daten in Cloud-Diensten, obliegt es der Verantwortung des Datenschutzbeauftragten Ihres Unternehmens, einen Cloud-Anbieter auszuwählen, der mit der DSGVO konform ist.

Dies betrifft insbesondere Art. 28 DSGVO, der vorsieht, dass Unternehmen mit Cloud-Anbietern zusammenarbeiten, die technische und organisatorische Maßnahmen treffen, welche die Anforderung der DSGVO erfüllen und den Datenschutz der betroffenen Person gewährleisten. Als Nachweis dient ein Datenschutzzertifikat (Art. 42 DSGVO).

Zudem gelten besondere Regelungen für den Standort. Hat der Cloud-Anbieter seinen Standort außerhalb der EU, so ist die Rechtsmäßigkeit der Verwendung nur gegeben, wenn der Standort in einem Staat liegt, der aufgrund einer innerstaatlichen Regelung oder anderweitiger internationaler Verpflichtungen ein Datenschutzniveau gewährleisten kann, dass dem der DSGVO gleichwertig ist.

Erwähnung in der Datenschutzerklärung

Die Erwähnung in der Datenschutzerklärung wird vorausgesetzt. Wie jeder datenerhebende Dienst muss er explizit gegenüber den Betroffenen erwähnt werden. Werden Daten von Kunden in der Cloud gespeichert, so ist dies ebenso erforderlich, wie eine Speicherung der Mitarbeiterdaten.

Fachkundiger Datenschutzbeauftragter aufgrund der Komplexität erforderlich

Die DSGVO sieht nach Art. 32 DSGVO vor, dass der Datenschutz und das Sicherheitsniveau laufend verbessert und auf dem neusten Stand der Technik ist. Die strategische Umsetzung der Cloud-Nutzung mit einem Datenschutzbeauftragten ist verpflichtend, um den hohen Anforderungen der DSGVO gerecht zu werden und hohe Bußgelder zu vermeiden.

Datenschutz am Computer

So ziemlich jedes Unternehmen verarbeitet personenbezogene Daten am Computer, ob von Kunden oder Mitarbeitern. Damit wird der Umgang mit dem Computer zum DSGVO-Thema. Abgesehen von der rechtskonformen Einwilligung, Information und Dokumentation, bedarf es eines sicheren Umgangs, um den Datenschutz zu gewährleisten. Mit der Einführung der DSGVO kann Fehlverhalten von Mitarbeitern einem Unternehmen teuer zu stehen kommen. Art. 32 DSGVO sieht vor, dass technisch organisatorische Maßnahmen getroffen werden, um die Datenschutzziele zu erreichen.

Thema: Genereller Datenschutz am Computer

Unternehmen sollten sich generell fixe Verhaltensregeln für den Umgang mit Computern aneignen. Die Rechtskonformität wird durch ein fachmännisches Datenschutzkonzept hergestellt.

Pflicht zur Absicherung von Datenlecks

Explizit bedeutet dies, dass Unternehmen Mitarbeiter im korrekten Umgang mit EDV schulen müssen, um Datenlecks oder Hackerangriffen in organisatorischer Weise vorzubeugen. Die Praxis zeigt, dass die meisten Unternehmen grundlegende Verhaltensweisen ignorieren, die für jeglichen Computergebrauch im Sinne eines nachhaltigen Datenschutzes angemessen wären.

Klassische Problemfelder zum Datenschutz bei Computern in Unternehmen

1. Sicherheit der Passwörter

Die einfachste Methode zum Datenschutz ist die Wahl eines sicheren Passwortes. Im Optimalfall wird ein Passwortgenerator verwendet, der ein kryptografisches Passwort aus Zahlen, Zeichen und Buchstaben herstellt. Es sollte darauf verzichtet werden, dass Passwort in physischer Form auf dem Schreibtisch oder als Textdatei auf dem Computer zu speichern.

2. Virenprogramme

Gängiger Schadsoftware aus dem Netz kann ein professionelles Virenprogramm entgegengesetzt werden. Eine Installation auf jeden Computer gehört zum Standard.

3. Einrichtung einer Firewall

Zusätzlich zur Virenprogramm sollte eine Firewall installiert werden, um die Verteidigung gegen Schadsoftware aus dem Netz zu gewährleisten.

4. Updates der Software

Mangelnde oder verspätete Software-Updates öffnen Schadsoftware und Hackern die Tür. Stellen Sie also sicher, dass die Wartung und Updates Ihrer Software ein fester Bestandteil Ihres Datenschutzkonzeptes wird.

5. Downloads & Installationen

Die Installation von Programmen sollte nur in Abstimmung mit dem Datenschutzbeauftragten vorgenommen werden. Überflüssige Downloads privater Bilder und Videos aus dem Netz erhöhen die Gefahr eines Datenlecks.

6. E-Mail-Postfach

Nicht nur über den Browser, sondern auch über das E-Mail-Postfach können Betrüger und Datendiebe an personenbezogene Daten gelangen. Schon das alte BDSG sah vor, dass E-Mails mit personenbezogenen Daten verschlüsselt werden sollten. Zudem wird Ihre Datenschutzbeauftragter Mitarbeiter in der Erkennung von Phishing-Mails schulen.

Datenschutz und Cookies

Cookie sind ein heißdiskutiertes Thema im Zusammenhang mit der DSGVO. Die kleinen Datenstücke sind für viele Bereiche des eCommerce und des Online-Marketings fundamental. Wer Cookies auch nach Inkrafttreten der DSGVO einsetzen möchte, muss sich den neuen Anforderungen stellen.

Keine Cookies ohne explizite Einwilligung

Da es sich bei Cookies um personenbezogene Daten handelt, bedarf es einer expliziten Einwilligung des Betroffenen (Art. 6 DSGVO). Strittig ist bisher, ob es einer eindeutigen Einwilligung (Opt-In) oder einer Möglichkeit zur Austragung (Opt-Out) bedarf. Beide Lösungen sind technisch aufwendig und sollten von Ihrem Datenschutzbeauftragten berücksichtigt werden. Die DSGVO sieht vor, dass Betroffenen die Verweigerung der Datenabgabe nicht zum Nachteil werden darf. Eine verpflichtende Einwilligung zum Nutzen von Internetinhalten ist daher nicht zulässig.

Berechtigtes Interesse als Türöffner

Bestimmte Online-Unternehmen kommen ohne den Einsatz von Cookies nicht aus. So können Onlineshops ohne den Einsatz von Cookies nicht nachvollziehen, welche Produkte von Kunden im Warenkorb platziert wurden. Wenn der Einsatz von Cookies ein elementarer Bestandteil Ihres Geschäftsmodells ist, könnte ein berechtigtes Interesse vorliegen (Art. 6 DSGVO). Ob dies der Fall ist, bedarf einer Einzelfallbetrachtung in Zusammenarbeit mit Ihrem Datenschutzbeauftragten.

Anonymisierung als Alternative

Cookies sind personenbezogene Daten. Im Rahmen des Webtrackings und der Verhaltensanalyse von Webseitennutzern können Sie allerdings anonymisiert werden. Dadurch fällt die Eigenschaft der Personenbezogenheit weg und es bedarf faktisch keiner Einwilligung durch den Betroffenen. Ihr Datenschutzbeauftragter sollte prüfen, in welchem Rahmen der Einsatz von Cookies in Ihrem Falle durch Anonymisierung modifizierbar ist.

Cookies als zukünftiges Konfliktthema

Bis es zu einer eindeutigen Regelung zum Einsatz von Cookies kommt, wird es noch einige Zeit dauern. Die DSGVO ist in vieler Hinsicht weit auslegbar, sodass die Rechtsprechung Grundsätze für den Praxiseinsatz herstellen wird.

Datenschutzberatung durch Datenschutzbeauftragten unausweichlich

Für die meisten Unternehmen, die einen Internetauftritt oder digitale Vermarktung als strategischen Bestandteil ihrer Marketingstrategie verstehen, ist der Einsatz von Cookies ein Konfliktfeld für die DSGVO-Compliance. Die bisher herrschende Rechtsunsicherheit und die Notwendigkeit der Einzelfallabwägung eines berechtigten Interesses, beruft Unternehmen zum Einsatz eines fachmännischen Datenschutzbeauftragten, der die juristische Entwicklung mitverfolgt und in Ihren Geschäftsbetrieb rechtskonform implementiert

Datenschutz und Datensicherung

Die Datensicherung ist eines der relevantesten Themen der IT-Sicherheit für Unternehmen. Der Verlust größerer Mengen von Daten, ob personenbezogen oder rein unternehmensintern, bedeutet einen enormen wirtschaftlichen Schaden. Es verwundert also nicht, dass die Unternehmen auf die Datensicherung einen besonderen Fokus legen. Werden personenbezogene Daten gesichert, was meistens der Fall ist, wird die Datensicherung zum relevanten Thema der DSGVO-Compliance.

Daten müssen verfügbar und belastbar sein (Art. 32 DSGVO)

Art. 32 DSGVO sieht vor, dass gespeicherte personenbezogene Daten verfügbar und belastbar sein müssen. Kommt es zu einem physischen Schaden, darf dies nicht in einem Datenverlust münden. Die Verfügbarkeit und Belastbarkeit muss auf Dauer sichergestellt sein, was eine nachhaltige Datensicherung erfordert.

Gleichzeitig Anmaßung zur Speicherbegrenzung (Art. 5 DSGVO)

Art. 5 DSGVO maßt Unternehmen zur Speicherbegrenzung. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des Zwecks der Datenerhebung notwendig ist. Für den Fall, dass eine betroffene Person die Löschung beantragt, bedarf es eines simultanen Systems, dass die gleichzeitige Löschung aus dem Hauptspeicherort und der Datensicherung ermöglicht.

Konkrete Vorgaben aus Erwägungsgrund 28

Der Erwägungsgrund 28 aus Art. 32 DSGVO sieht konkrete Maßnahmen für die Sicherung personenbezogener Daten vor:

• Datenschutzfreundliche Voreinstellungen
• Minimale Verarbeitung der personenbezogenen Daten
• Pseudonymisierung und Verschlüsselung der Daten
• Transparenz der Verarbeitung
• Überwachung der Verarbeitung
• Sicherheitsfunktionen auf den neuen Stand
• Stetige Verbesserung des Systems
• Regelmäßige Prüfung und Bewertung der Maßnahmen
• Zertifizierung nah Art. 42 DSGVO

Wie die Datensicherung im Falle Ihres Unternehmens auszusehen hat, lässt sich nicht pauschal beantworten. Feststeht, dass die Datensicherung ein komplexes juristisches Themenfeld ist, dass ab dem 25. Mai. 2018 zwingend zum Aufgabengebiet Ihres Datenschutzbeauftragten gehört. Die erforderliche Professionalität für das Vorgehen, begünstigst die Entscheidung für einen externen Datenschutzbeauftragten.

Daten Schreddern und Aktenvernichtung

Die meisten Unternehmer denken bei Datenschutz an digitale Datenverarbeitung. Dabei wird häufig vergessen, dass der Verarbeitung von personenbezogenen Daten ebenso viel Aufmerksamkeit gewidmet werden sollte.

Pflicht zur Löschung greift auch für Daten auf Papier

Nach Art. 6 DSGVO dürfen personenbezogene Daten nur gespeichert werden, wenn eine explizite Einwilligung des Betroffenen vorliegt oder ein berechtigtes Interesse besteht. Ist der Zweck der Datenerhebung erfüllt und besteht kein gesetzlicher Zwang zur Aufbewahrung oder hat der Betroffene von seinem Löschungsrecht gebrauch gemacht (Art. 17 DSGVO), so sind auch Daten auf Papier zu entsorgen.

Allerdings darf einem Dritten der Zugang zu diesen Daten nicht ermöglicht werden. Eine einfache Entsorgung im Müll reicht somit nicht aus. Es bedarf des Einsatzes eines Datenschredders zur endgültigen Unkenntlichmachung.

Anforderung an eingesetzten Aktenvernichter

Eine verbindliche Aktenvernichtung im Sinne der DSGVO, kann durch einen Aktenvernichter der Norm DIN 66399 realisiert werden.

Besondere Anforderungen bei Vernichtung durch Dritte

Viele Unternehmen verlassen sich bei der Datenentsorgung auf professionelle Unternehmen. Machen Sie von dieser Maßnahme aktuell Gebrauch oder planen dies für Ihre DSGVO-Compliance so wird die Geschäftsbeziehung zum Dienstleister Regulierungsfeld der DSGVO.

Zunächst ist eine Auftragsdatenverarbeitung notwendig (Art. 28 Abs. 3 DSGVO). Allerdings wird das Unternehmen durch die Beauftragung nicht von seiner Sorgfaltspflicht entbunden. Der Verantwortliche, falls für Ihr Unternehmen erforderlich, der Datenschutzbeauftragte, muss weiterhin die DSGVO-konforme Aktenvernichtung gewährleisten (Art. 24 DSGVO). Zudem müssen organisatorische und technische Maßnahmen eingerichtet werden, um die Rechtskonformität des Dienstleisters zu überwachen.

Ein externer Datenschutzbeauftragter berät Sie rechtskonform

Ein professioneller externer Datenschutzbeauftragter verfügt bereits über eine fachgerechte Lösung und kann Sie unkompliziert zum Thema beraten. Empfehlenswert ist die Inanspruchnahme eines fachmännischen Beistands aufgrund der hohen Bußgelder der DSGVO, die in einer Höhe von bis zu 20 Mio. Euro angesetzt werden können.

Datenschutz in der Arztpraxis unter DSGVO-Compliance hat in jüngster Vergangenheit für Furore in den Medien gesorgt. Da nach Art. 13 Abs. 1 und 2 DSGVO zur Zeitpunkt der Erhebung der Patientendaten bereits eine Informationspflicht besteht, hätte mündlich die komplette Datenschutzerklärung mitgeteilt werden müssen. Glücklicherweise haben Datenschutzbehörden diese unrealistische Mutmaßung bereits widerlegt. Somit reicht es, wenn Arztpraxen ihrer Informationspflicht in einem „zeitlichen Zusammenhang“ nachkommen. Praktisch würde dadurch ein Informationspapier beim Besuch einer Arztpraxis ausreichend.

Patientendaten sind besonders sensibel

Die DSGVO sieht vor, dass besonders sensible Daten besonders schutzbedürftig sind (Art. 9 DSGVO). Da Ärzte in der Regel Daten von Personen bearbeiten, die Rückschlüsse auf den Gesundheitszustand einer Person zulassen, wird der Datenschutz in der Arztpraxis von dieser gesonderten Schutzbedürftigkeit erfasst. Generell ist die Verarbeitung derartiger Daten untersagt (Art. 9 Abs. 1 DSGVO), es sei denn der Betroffene hat eingewilligt (Art. 9 Abs. 2 lit.) a DSGVO).

Datenschutzfolgeabschätzung erforderlich

Durch die besondere Sensibilität der Daten sind Ärzte zu einer Datenschutz-Folgeabschätzung verpflichtet (Art. 35 DSGVO). Dabei werden voraussichtliche Risiken bei der Verarbeitung der sensiblen Daten abgeschätzt, um geeignete Maßnahmen zu treffen. Die Konzeption dieser Maßnahmen erfolgt mit dem Datenschutzbeauftragten in Zusammenarbeit mit der zuständigen Datenschutzbehörde.

Benötigen Ärzte einen Datenschutzbeauftragten?

Wie alle verantwortlichen Stellen benötigen Arztpraxen einen Datenschutzbeauftragten. Es kann ein interner oder externer Datenschutzbeauftragter bestellt werden. Die Anforderungen entsprechen denen aller verantwortlichen Stellen. Er ist somit zu bestellen, wenn die Arztpraxis mehr als zehn Personen beschäftigt. Es gilt dabei die erweiterte Fassung der DSGVO, die auch Aushilfskräfte und Mini-Jobber als Mitarbeiter kategorisiert.

Des Weiteren Anforderungen, wie an alle Unternehmen

Bis auf die eingangs erwähnte Anpassung der Einwilligung, unterliegt der Datenschutz in der Arztpraxis den gewöhnlichen Anforderungen aller Unternehmen. Für die Risikofolgeabschätzung stehen neben der Datenschutzbehörde auch die Ärztekammer beratend zur Seite.

Überblick über das deutsche und europäische Datenschutzrecht

Das deutsche und europäische Datenschutzrecht reguliert den Umgang mit Daten von Privatpersonen und Unternehmen für Behörden, Unternehmen und Organisationen. Als Unternehmen ist der Umgang mit Daten von Kunden, Mitarbeitern oder internen Auswertungen unverzichtbar. Spätestens mit Inkrafttreten der DSGVO rückt das Thema Datenschutz in den Mittelpunkt einer jeden Unternehmenstätigkeit. An dieser stelle behandeln wir explizit die Grundlagen und wichtigsten Aspekte des Datenschutzrechts für Unternehmen. Insbesondere betrachten wir:

• Den Begriff Datenschutz
• Den Begriff Persönlichkeitsrecht
• Rechte und Pflichten für Betroffene und Unternehmen
• Die EU-DSGVO
• Das deutsche BDSG
• Den Begriff personenbezogene Daten
• Datenverarbeitung und DSGVO
• Datenweitergabe und DSGVO
• Auftragsdatenverarbeitung
• Datenschutzkonzept

Mit zunehmender Technologisierung wurde der Datenschutz in der zweiten Hälfte das 20. Jahrhunderts zum öffentlichen Interesse. Durch zunehmende Ansammlung von personenbezogenen Daten, entstand das Bedürfnis nach mehr Regulierung im Umgang mit Daten, um Datenmissbrauch, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts oder Schutz an der Privatsphäre zu gewährleisten.

Entstehung des Datenschutzes in Deutschland

Interessanterweise ist der Datenschutz ein deutsches Konzept. Im Jahr 1970 verabschiedete Hessen das erste Datenschutzgesetz weltweit. Im Jahr 1977 wurde das deutsche Bundesdatenschutzgesetz (BDSG) eingeführt. Es sah erstmals die Einführung eines Datenschutzbeauftragten für Unternehmen vor. Das Konzept wurde als Vorlage für die neue EU-Datenschutzgrundverordnung (DSGVO) verwendet. Seitdem gab es zwei Novellierungen, 2001, 2006 und 2009. Mit Inkrafttreten der EU-DSGVO am 25. Mai 2018 wird das bestehende BDSG abgelöst und durch das BDSG-neu ersetzt.

Letzteres stellt eine Umsetzung der DSGVO in deutsches Recht dar. Während die DSGVO in vielen europäischen Mitgliedsstaaten erstmals Datenschutz gesetzlich mit derartiger Strenge reguliert, hat sich der Gesetzgeber in Teilen am deutschen BDSG orientiert.

Wer hat Recht auf Datenschutz?

Das Datenschutzrecht gewährleistet die informationelle Selbstbestimmung und rechtlich geschützte Geheimnisse, wie das Telekommunikationsgeheimnis. Jede private Person hat ein Recht auf den Schutz seiner personenbezogenen Daten. Es dient somit des Ausgleichs des Datenschutzes und des berechtigten Interesses der Öffentlichkeit sowie staatlicher oder privat-(wirtschaftlicher) Datenverarbeiter.

Prinzipien des Datenschutzes

Die EU-DSGVO orientiert sich stark an dem bereits bestehendem deutschen BDSG. Die grundlegenden Prinzipien werden übernommen:

• Das Verbot mit Erlaubnisvorbehalt: Ohne explizite Einwilligung oder gesetzliche Grundlage dürfen keine personenbezogenen Daten des Betroffenen vereinbart werden.
• Datensparsamkeit und Datenvermeidung: Es werden nur die Daten gesammelt, die für die Erreichung des jeweiligen Zweckes notwendig sind. Überflüssige Daten werden nicht gespeichert.
• Erforderlichkeit: Die Datenerhebung muss geeignet sein, um den jeweiligen Zweck zu erreichen und ist gleichzeitig das mildeste Mittel.
• Zweckbindung: Die Daten dürfen nur für den Zweck verwendet werden, der bei der Erhebung angegeben wurde.

Kontrolle des Datenschutzes

Schon durch das BDSG, aber auch durch die neue DSGVO, werden Datenaufsichtsbehörden mit umfangreichen Kontrollrechten ausgestattet.

Für die Einhaltung des Datenschutzrechtes im öffentlichen Sektor ist

• Der Bundesbeauftragte für Datenschutz für die Bundesbehö
• Der Landesbeauftragte für Datenschutz für die Landesbehö
• Die Datenschutzbeauftragten in besonderen öffentlichen Körperschaften, Anstalten oder Stiftungen

Und im privatwirtschaftlichen Bereich:

• Der Datenschutzbeauftragte

Zuständig.

Der Datenschutz ist ein Persönlichkeitsrecht und damit ein schutzwürdiges Interesse einer jeden Einzelperson. Es räumt jeder Person die Möglichkeit ein, selbst zu entscheiden, was mit den eigenen personenbezogenen Daten passiert und zu welchem Zweck sie verarbeitet werden dürfen.

Datenschutz ist ein Grundrecht

Das allgemeine Persönlichkeitsrecht ist das Recht auf Achtung und Entfaltung der Persönlichkeit. Im Jahr 1954 wurde es vom BGH durch Rechtsprechung gebildet und basiert auf dem Art. 2 Abs. 1 GG, dem Recht auf freie Entfaltung der Persönlichkeit und Art. 1 Abs. 1 GG, dem Recht zum Schutz der Menschenwürde.

Durch ein Urteil im Jahr 1983 hat das Bundesverfassungsgericht entschieden, dass das Recht auf informationelle Selbstbestimmung ein Grundrecht ist. Seitdem hat jeder Betroffene (Einzelperson), das Recht auf Selbstbestimmung bezüglich einer Weitergabe und Verwendung der eigenen personenbezogenen Daten.

Datenschutz ist ein recht junges Rechtsgebiet

Hessen hat als deutsches Bundesland im Jahr 1970 das erste Datenschutzgesetz weltweit eingeführt. Damit ist das gesamte Rechtsgebiet noch recht jung. Allerdings steigt die Notwendigkeit einer einheitlichen Regulierung mit zunehmender Digitalisierung im privaten und geschäftlichen Bereich enorm. Die DSGVO nimmt sich das deutsche Bundesdatenschutzgesetz als Vorbild, weitet es aus und versetzt somit den Datenschutz in den Mittelpunkt einer jeder unternehmerischen Tätigkeit.

Dank DSGVO einheitlicher Schutz des Persönlichkeitsrechts

Auch wenn die DSGVO für viele Unternehmen einen nicht unerheblichen Aufwand bedeutet und eventuell sogar manche Geschäftsmodelle zerstört, ist die europaweite Vereinheitlichung des Datenschutzes ein Schritt in die richtige Richtung. Einzelpersonen erhalten mehr Macht über ihre eigenen Daten und das nicht nur gegenüber Unternehmen, sondern auch Behörden. Es wird ein europaweites Instrument zur Wahrnehmung eines menschlichen Grundrechts geschaffen.

Unternehmen sollten das Thema als Chance begreifen und sich durch eine rechtzeitige und umfangreiche Adaption der neuen Herausforderung stellen. Eine vorrangige Positionierung gegenüber der Konkurrenz in Sachen Datenschutz kann Ihnen einen Marktvorteil beschaffen. Besprechen Sie mit Ihrem Datenschutzbeauftragten, welche Möglichkeiten sich Ihnen bieten.

Abwägung zwischen berechtigtem Interesse und Persönlichkeitsrecht

Dennoch sollte grundsätzlich eine Abwägung zwischen Persönlichkeitsrecht und dem berechtigten Interesse der Behörden und Unternehmen vorgenommen werden. Ein zu engstirniger Datenschutz schadet dem Geschäftsbetrieb und lähmt somit den gesamtwirtschaftlichen Fortschritt. Die genaue Umsetzung der DSGVO und des neuen Datenschutzes in die unternehmerische Praxis wird erst durch Rechtsprechung geregelt werden.

Die EU-DSGVO räumt Betroffenen (Privatpersonen) umfangreiche Rechte zur Kontrolle ihrer personenbezogenen Daten ein. Auch wenn einige dieser Rechte schon im BDSG verankert sind, werden sie durch die DSGVO konkretisiert und neue Rechte hinzugefügt. Gleichzeitig müssen Unternehmen sich höheren Pflichtanforderungen im Umgang mit personenbezogenen Daten stellen. Neben der Ausweitung, kommen vor allem drastischere Sanktionen hinzu, die Unternehmen zu einer genaueren Umsetzung anleiten.

Rechte für Betroffene

Im datenschutzrechtlichen Sinne versteht man unter dem Betroffenen eine Privatperson, dessen personenbezogene Daten erhoben wurden. Durch die Erhebung der Daten erhält der Betroffene einige Rechte, die für Verantwortliche, in diesem Falle Unternehmen, die Entstehung von Pflichten bedeutet.

Auskunftsrecht (Art. 15 DSGVO): Schon das BDSG-alt, das bisher gilt, räumt den Betroffenen nach Datenerhebung ein Auskunftsrecht ein. Das neue Auskunftsrecht der DSGVO wird das Maß des alten BDSG allerdings bei Weitem überschreiten. So kann der Betroffene Auskunft zu folgenden Details der Datenerhebung verlangen, unabhängig davon, ob diese durch Einwilligung oder gesetzliche Grundlage erhoben wurden:

• Zweck der Verarbeitung
• Kategorien der Daten
• Empfänger oder Kategorien von Empfängern
• Geplante Dauer oder Kriterien für die Festlegung der Dauer
• Bestehen eines Rechts zur Löschung oder Berichtigung
• Bestehen eines Beschwerderechts bei Auskunftsbehörden
• Falls nicht vom Verantwortlichen erhoben, die Herkunft der Daten
• Bestehen einer automatisierten Entscheidungsfindung (Profiling)

Die Verantwortliche hingegen hat die Informationen innerhalb eines Monats bereitzustellen (Art. 15 Abs. 3 DSGVO). Um sie in vernünftigerweise darstellen zu können, sollte der Betroffene ein Verfahrensverzeichnis führen.

Berichtigungs- und Löschungsrecht (Art. 16, 17 DSGVO): Der Betroffene hat jederzeit die Möglichkeit, eine Berichtigungs- oder Löschanfrage an den Verantwortlichen zu stellen. Die Berichtigung muss durchgeführt werden, wenn unrichtige Daten erhoben wurden. Der Löschanfrage hingegen ist Rechnung zu tragen, sobald

• der Zweck der Datenverarbeitung erreicht wurde und die Speicherung nicht mehr erforderlich ist.
• Die Einwilligung zur Erhebung widerrufen wurde.
• Der Betroffene Widerspruch eingelegt hat (Art. 21 DSGVO)
• Die Daten unrechtsmäßig erhoben wurden, also die Erhebung nicht von Art. 6 DSGVO gedeckt wurde.
• Der Betroffene die Daten als Minderjähriger abgegeben hat (Art. 8 DSGVO)

Recht auf Einschränkung der Verarbeitung: Die DSGVO räumt neuerdings mit Art. 18 DSGVO dem Betroffenen das Recht ein, die Verarbeitung der Daten einzuschränken. Diesem Recht ist stattzugeben, sobald die Rechnung sobald der Betroffene die Einschränkung verlangt und zudem:

• Die Richtigkeit der Daten bestritten wird.
• Die Verarbeitung unrechtsmäßig erfolgt ist.
• Die Daten für den vereinbarten Zweck nicht mehr benötigt werden.
• Widerspruch gegen die Verarbeitung im Sinne des Art. 21 Abs. 1 DSGVO eingelegt hat.

Recht auf Datenübertragbarkeit: Mit Art. 20 DSGVO entsteht das Recht auf Datenübertragbarkeit. Damit soll dem Betroffenen die Möglichkeit eingeräumt werden, beispielsweise seine Daten von einem Anbieter zu einem anderen übertragen zu lassen. In der Praxis wurde die fehlende Möglichkeit als Wettbewerbshindernis wahrgenommen, da viele Verbraucher aufgrund des Aufwands der Datenübertragung nicht zu einem günstigeren Anbieter wechseln.

Der Betroffene kann verlangen, dass seine Daten in einem Format ausgegeben werden, das die Übertragbarkeit der Daten begünstigt. Die direkte Übermittlung an einen Dritten kann ebenfalls verlangt werden. Allerdings wird die Pflicht zur Übertragbarkeit auf die Momente beschränkt, in denen die Daten durch Einwilligung erhoben wurden, keine Einwilligung erforderlich war oder die Einwilligung automatisch erfolgt ist.

Widerspruchsrecht: Durch Art. 21 DSGVO wird dem Betroffenen das Recht eingeräumt, gegen Datenerhebungen, die aufgrund einer gesetzlichen Grundlage oder des Vorliegens eines berechtigten Interesses ohne Einwilligung erfolgen kann, Widerspruch einzulegen. Für den Besuch von Internetseiten wird dies vor allem bedeuten, dass Nutzern die Möglichkeit zum Austragen von Cookie-Sammlungen zu Marketingzwecken ermöglicht werden muss.

Hier wird die Rechtsprechung zeigen, welcher Cookie-Einsatz unter berechtigtes Interesse (Opt-Out) fällt und daher eines Widerspruchs bedarf und welcher eine explizite Einwilligung benötigt (Opt-In).

Recht auf Unbetroffenheit: Ein dem BDSG-alt unbekanntes Datenschutzrecht räumt Art. 22 DSGVO Betroffenen ein. Es betrifft insbesondere die Einbeziehung von Auskunfteien in die Entscheidung, ob ein Rechtsverhältnis zwischen einem Betroffenen und einem Unternehmen zustande kommt. So würde nach Art. 22 Abs. 1 DSGVO ein Verbot für einen automatischen Verarbeitungsprozess als Entscheidungsgrundlage bestehen, wenn dieser aufgrund der erhobenen Daten eine Entscheidung für oder gegen ein Vertragsverhältnis besteht.

Somit dürfen etwa Banken oder Online-Händler nicht mehr aufgrund einer automatisierten Bonitätsprüfung einem Kredit oder einem Kaufvertrag ab- oder zusagen. Ist die Entscheidung allerdings für die Vertragsverfüllung erforderlich, besteht kein Recht auf Unbetroffenheit. Welche Verträge hiervon eingeschlossen sind, wird die zukünftige Rechtsprechung zeigen.

Pflichten für Unternehmen

Neben den personenbezogenen Rechten von Betroffenen, welche die Unternehmen simultan zur Pflichterfüllung anweist, existieren weitere Unternehmenspflichten. Sie entstehen nicht durch datenschutzrechtliche Beziehungen zu Kunden (Betroffenen), sondern werden durch die DSGVO oder teilweise schon durch das BDSG-alt, Unternehmen direkt auferlegt.  

Was ist ein Verantwortlicher?

Ein Verantwortlicher im Sinne der DSGVO bezeichnet eine juristische Person, wie ein Unternehmen, eine Behörde, eine Einrichtung, eine Personengesellschaft oder eine Einzelperson, die personenbezogene Daten erhält und über die Zwecke und Mittel entscheidet, die dazu eingesetzt werden. Im Folgenden werden wir uns auf die Datenschutzpflichten für Unternehmen fokussieren.

DSGVO-Datenschutzbeauftragter

Jedes Unternehmen benötigt in Zukunft einen Datenschutzbeauftragten. Ob dies eine explizite Person sein muss oder ob der Geschäftsführer selber als Verantwortlicher verstanden werden kann, hängt von der Größe und Art des Betriebes ab.

• Unternehmen, die neun Mitarbeiter beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Er kann ein interner oder externer Datenschutzbeauftragter sein. Es reicht der Einsatz eines Computers, um die Anforderungen der Automatisierung zu erfü
• Unternehmen, die automatisiert personenbezogene Daten als großer Bestandteil ihres Geschäftsmodells erheben. Dazu gehören Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Die Zahl der Mitarbeiter ist irrelevant.
• Unternehmen, die als Bestandteil ihres Geschäftsmodells mit sensiblen Daten von Privatpersonen hantieren. Solche Daten können beispielsweise die Gesundheit, die politische Meinung, die Bonität oder die Sexualität einer Person betreffen.

Technischer Datenschutz

Ein weiteres Gebiet des Datenschutzes, mit denen sich Unternehmen spätestens jetzt auseinandersetzen müssen, ist der technische Datenschutz. Nach Art. 24 DSGVO sind Unternehmen dazu verpflichtet geeignete technische und organisatorische Maßnahmen zu treffen, um die Persönlichkeitsrechte der Betroffenen nach Datenerhebung zu gewährleisten. Ab dem 25. Mai. 2018 müssen Unternehmen sich auf neue Anforderungen an den technischen Datenschutz nach der DSGVO und dem BDSG-Neu einstellen.

Keine konkreten Maßnahmen aber Schutzziele

Die DSGVO formuliert Schutzziele für den technischen Datenschutz, die maßgebend für die technischen und organisatorischen Maßnahmen sein sollen:

• Pseudonymisierung und Verschlüsselung (Statt Klarnamen, Zeichenfolgen)
• Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten technischen Systeme (Moderne Sicherheitsstandards)
• Verfahren zur Wiederherstellung der Verfügbarkeit bei physischen oder technischen Zwischenfällen (Datensicherung)
• Regelmäßige Überprüfung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maß

Die genaue Umsetzung der Maßnahmen fällt in den Aufgabenbereich Ihres Datenschutzbeauftragten und ist stark abhängig von der Ausrichtung Ihres Betriebs. Die Bestellung eines externen Datenschutzbeauftragten garantiert das Einbringen eines Fachmanns, der sich kontinuierlich hauptberuflich zum Thema weiterbildet und die juristischen Entwicklungen verfolgt.

Auftragsdatenverarbeitung (Art. 28 DSGVO)

Datenerhebende Unternehmen werden in vielen Fällen mit einem externen Dienstleister zusammenarbeiten, der Zugriff auf diese Daten hat und sie selbst verarbeitet. Dies könnte beispielsweise ein Host oder ein Dienstleister zur Vernichtung von Akten sein. Der Verantwortliche, hier das Unternehmen, wird dazu angemaßt, mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung abzuschließen (Art. 28 DSGVO).

Durch den Vertrag garantiert der Dienstleister, dass er die weitergeleiteten Daten im Sinne des verantwortlichen Auftraggebers verarbeitet und auch dazu technische und organisatorische Maßnahmen trifft, um die Pflichten des Verantwortlichen im Sinne der DSGVO zu wahren.  Der Dienstleister darf die Verarbeitung nur auf Weisung des Verantwortlichen verarbeiten (Art. 29 DSGVO).

Inhaltsanforderungen an die Auftragsdatenverarbeitung bleibt unverändert

Faktisch herrscht bereits jetzt durch das BDSG der Zwang zum Abschluss eines Vertrags über die Auftragsdatenverarbeitung. Aufgrund der nun drohenden höheren Sanktionen beschäftigen sich viele Unternehmen jetzt eindringlicher mit dem Thema. Die Anforderungen aus dem Inhalt ergeben sich aus Art. 28 Abs. 3 EU-DSGVO:

• Form und Zweck der Datenverarbeitung
• Umfang der Weisungsbefugnisse
• Sicherstellung der technischen & organisatorischen Maßnahmen
• Vertraulichkeitsverpflichtung der beteiligten Personen
• Regulierung bei weiteren Subunternehmern
• Unterstützung bei datenschutzrechtlich-relevanten Anfragen
• Rückgabe oder Löschung der Daten
• Kontrollrechte des Verantwortlichen gegenüber dem Dienstleister
• Informationspflicht bei Datenschutzverstößen gegenüber dem Verantwortlichen

Die genaue Ausarbeitung des Vertrags zur Auftragsdatenverarbeitung ist ein Fall für den Datenschutzbeauftragten. Aufgrund der hohen Unterschiedlichkeit und Ausprägung der externen Datenverarbeitung in der Praxis, würde eine tiefgründigere Beschreibung den Rahmen des Artikels sprengen.

Neben den typischen Beispielen des Hostings oder des Aktenvernichtungsdienstleisters, fällt für die meisten Unternehmen wohl eine Pflicht zur vertraglichen Regelung der Auftragsdatenverarbeitung mit Google an.

Wer haftet bei externer Auftragsdatenverarbeitung?

Mit der DSGVO verschärft sich die potenzielle Haftung bei Verstößen für den Dienstleister. Art. 83 DSGVO sieht vor, dass nicht nur mehr der Verantwortliche, sondern auch der Auftragsverarbeiter zur Rechenschaft gezogen werden kann, wenn aus dem Verstoß materielle oder moralische Schäden entstehen.

Zusätzliche Pflichten für Auftragsverarbeiter

Zusätzlich werden auch Auftragsverarbeiten Pflichten auferlegt, wenn sie im Auftrag eines Verantwortlichen tätig sind. Nach Art. 30 Abs. 2 DSGVO müssen auch sie ein Verfahrensverzeichnis führen, was nach dem alten BDSG nur für Auftraggeber (Verantwortliche) notwendig war.

Zwang des nachträglichen Vertragsabschlusses

Spätestens bis zum Inkrafttreten der DSGVO sollten Unternehmen auch mit ihren bisherigen Datenverarbeitungsdienstleistern einen Vertrag zur Auftragsdatenverarbeitung abschließen (Art. 30 Abs. 3 DSGVO). Die Schriftform ist nicht mehr zwingend dafür erforderlich, sondern es genügt die digitale Form.

Datenschutzfolgeabschätzung

Verantwortliche Unternehmen und Organisationen, die mit besonders sensiblen Daten hantieren, müssen eine Datenschutzfolgeabschätzung erstellen (Art. 35 EU-DSGVO). Auch beim Einsatz neuartiger Technologien entsteht diese Pflicht. Allgemein zusammengefasst, bedarf es einer Datenschutzfolgeabschätzung, wenn für die erhobenen Daten ein erhöhtes Risiko besteht. Die Folgeabschätzung kann als eine Art Vorabkontrolle verstanden werden.

Welche neuen Technologien und Daten sind erfasst?

Die Datenschutzfolgeabschätzung beim Einsatz bestimmter Technologien verpflichtend. Nach dem Wortlaut der DSGVO gehören dazu:

• Systeme zur Bewertung persönlicher Aspekte einer natürlichen Person durch automatische Verarbeitung.
• Verarbeitung besonders sensibler Kategorien von personenbezogenen Daten oder Daten über strafrechtliche Anliegen einer Person.
• Systeme zur flächendeckenden Überwachung öffentlicher Orte.

 

Mindestanforderungen nach Art. 35 Abs. 7 DSGVO

Die strukturierte Risikoanalyse und deren Aufbau im Detail ist stark abhängig von der jeweiligen Datenverarbeitung in Ihrem Betrieb. Art. 35 Abs. 7 DSGVO sieht allerdings allgemeine Mindestanforderungen vor:

• Beschreibung der Verarbeitungsvorgänge sowie deren Zweck und berechtigten Interessen.
• Die Notwendigkeit und Verhältnismäßigkeit der Maß
• Die Risiken sowie die beschnittenen Freiheiten und Rechte der Betroffenen.
• Abhilfemaßnahmen zur Eindämmung der Risiken und Beschneidung der Rechte.

Ein komplexes Aufgabenfeld für Datenschutzbeauftragte

Die Datenschutz-Risikofolgeabschätzung ist eines der komplexesten Themen bei der Umsetzung eines DSGVO-konformen Datenschutzprinzips. Sie behandelt die riskanten Themen des Datenschutzes sensibler Daten und umstrittener Technologien. Ohne einen fachmännischen externen Datenschutzbeauftragten ist die rechtskonforme Umsetzung nur schwer zu realisieren. Sollte die juristische Datenschutzprüfung etwa ergeben, dass die angestrebten Maßnahmen enorm riskant sind, so ist die Datenschutzbehörde zu konsultieren (Art. 36 DSGVO). Durch die Ernennung eines externen Datenschutzbeauftragten, delegieren Sie dieses Aufgabenfeld an einen Fachmann.

Verarbeitungsverzeichnis

Ein Verfahrensverzeichnis bezeichnet die Dokumentation aller Tätigkeiten, die personenbezogene Daten von Personen verarbeiteten.

Schon nach dem bisherigen Datenschutzecht benötigen Unternehmen ein Verfahrensverzeichnis für die datenschutzrelevanten Anliegen. Durch Art. 30 DSGVO wird die bisherige Regelung ersetzt und die Anforderungen an das Verzeichnis konkretisieret.

Wer muss ein Verfahrensverzeichnis führen?

Nach Art. 30 DSGVO muss jeder Verantwortliche eine Dokumentation über seine datenverarbeitenden Tätigkeiten führen. Generell ist damit jede Stelle gemeint. Aus Art. 30 Abs. 5 DSGVO ergeben sich allerdings Erleichterungen. So können Betriebe mit weniger als 250 Mitarbeitern auf die Verzeichnisführung verzichten, wenn von der Verarbeitung der personenbezogenen Daten

• keine Risiken für die Rechte und Freiheiten des Betroffenen ausgehen,
• die Erhebung nur gelegentlich erfolgt oder
• keine sensiblen Daten nach Art. 9 Abs. 1 u. 10 DSGVO betroffen sind.

Rechtliche Anforderungen an den Aufbau

Die rechtlichen Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten ähnelt stark denen der Anforderungen des BDSG. Unterschieden wird nur zwischen dem Verzeichnis des Verantwortlichen oder eines beauftragten Dienstleisters, dem Auftragsverarbeiter. Beide Verzeichnisse bedürfen der Beschreibung aller technischen und organisatorischen Maßnahmen zur Art. 32 Abs. 1 DSGVO. Der Verantwortliche muss darüber hinaus den Zweck der Verarbeitung, die Datenkategorien, den Kreis der betroffenen Personen und den Datenempfänger auflisten.

Hohe Bußgelder drohen

Unternehmen sollten dem Verarbeitungsverzeichnis Aufmerksamkeit widmen und die Umsetzung mit einem fachmännischen Datenschutzbeauftragten durchführen. Mit Einführung der DSGVO werden die Bußgelder für derartige Verstöße deutlich angehoben. Während zuvor ein maximaler Verstoß von 350.000 € möglich war, können nun Bußgelder bis zu 20 Mio. Euro verhängt werden. Mit uns müssen Sie keine Aufwendungen betreiben, um den richtigen Datenschutzbeauftragten zu finden.

Informations- und Dokumentationspflicht

Die DGSVO sieht für Unternehmen eine umfangreiche Informations- und Dokumentationspflicht nach Art. 13, 14 DSGVO vor.  Sowohl die Datenerhebung, als auch die Löschungen (Art. 17 DSGVO) sind zu dokumentieren.

Einwilligung bei Datenerhebung

Schon jetzt bedarf es der Einwilligung oder einer gesetzlichen Vorschrift nach § 4 BDSG-alt, um die Erhebung von personenbezogenen Daten rechtskonform durchzuführen. Die DSGVO erweitert die Informationspflichten für Verantwortliche jedoch drastisch. Generell wird zwischen der Informationspflicht bei Erhebung personenbezogener Daten (Art. 13 DSGVO) und der Erhebung, die nicht direkt beim Betroffenen stattfindet, unterschieden.

Informationspflichten bei direkter Erhebung (Art. 13 DSGVO)

Findet eine Datenerhebung im direkten Kontakt mit dem Betroffenen statt, etwa beim Besuch einer Webseite oder bei einem Kaufvertrag, so fallen folgende Pflichten an:

• Identität des Verantwortlichen: Hier muss der Datenschutzbeauftragte explizit erwähnt werden (Art. 27 DSGVO).
• Kontaktdaten des Verantwortlichen: Der Betroffene muss direkten Kontakt zum DSB aufnehmen kö
• Rechtliche Grundlage und Zweck der Verarbeitung: Der Verantwortliche hat den Betroffenen bei Erhebung über den Sinn der Datenerhebung und die rechtliche Grundlage, bzw. dem genauen Erlaubnistatbestand nach Art. 6 DSGVO zu informieren.
• Bei bestehen eines berechtigten Interesses ist faktisch keine Einwilligung erforderlich. Dennoch muss der der Verantwortliche den Betroffenen über das berechtigte Interesse in Kenntnis setzen.
• Bei Übermittlung der Daten an Drittstaaten müssen Betroffene darüber explizit informiert werden. Zudem muss kommuniziert werden, ob der Auftragsverarbeiter im Drittland ein Datenschutzniveau herstellen kann, dass dem der DSGVO angemessen ist.

Außerdem müssen Informationen übermittelt werden, die kommunizieren, dass die Verarbeitung im Rahmen der notwendigen Fairness und Transparenz stattfindet (Art. 13 Abs. 2 DSGVO):

• Die geplante Dauer der Speicherung
• Das Rechte des Betroffenen
• Die Möglichkeit zum Widerruf
• Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
• Bestehen einer Verpflichtung des Verantwortlichen der Bereitstellung der Daten gegenüber Betroffenen
• Vorliegen einer automatisierten Entscheidungsfindung

Informationspflichten bei indirekter Erhebung personenbezogener Daten (Art. 14 DSGVO)

Unter Umständen können personenbezogene Daten erhoben werden, ohne direkten Kontakt zum Betroffenen zu haben, etwa wenn ein Kreditinstitut sich bei einer Auskunftei über die Bonität eines Kunden informiert. Im Prinzip fallen hier dieselben Informationspflichten an. Zudem muss der Betroffene jedoch darüber informiert werden, woher die Daten stammen und ob es sich um eine öffentliche Quelle handelt.

Die Form der Bereitstellung von Informationen

Art. 12 DSGVO sieht vor, dass die Informationen dem Betroffenen in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form übermittelt werden. Sowohl die schriftliche als auch die elektronische Form ist dabei zulässig.

Zeitpunkt der Übermittlung der Informationen

Nach Art. 13 Abs. 1 DSGVO ist der Betroffene zum Zeitpunkt der Erhebung zu informieren. Findet die Erhebung nicht direkt beim Betroffenen statt, so besteht ein Zwang zur Erfüllung der Informationspflicht innerhalb eines Monats (Art. 14 Abs. 3 DSGVO).

Grenzen der Informationspflicht

Die Informationspflicht bei der direkten Erhebung gilt uneingeschränkt. Bei indirekter Erhebung (Art. 14 Abs. 5 DSGVO) ist der Betroffene nicht zu informieren, wenn:

• Die Mitteilung unmöglich oder unverhältnismäßig aufwendig ist.
• Die Erhebung gesetzlich vorgeschrieben ist.
• Ein Berufsgeheimnis oder eine sonstige Geheimhaltungspflicht dagegenspricht.

Sensibles und zentrales Thema der DSGVO

Die Informationspflichten sind ein zentrales Thema der DSGVO und sollten von Verantwortlichen ernstgenommen werden. Aufgrund der stetigen Verpflichtung zur Informierung über die Datenerhebung, ist die mangelnde Informationspflicht eine einfache Angriffsstelle bei Unternehmen. Betroffene können Datenschutzverstöße direkt an die Datenschutzbehörde oder an Verbraucherverbände melden, die entweder Sanktionen verhängen oder abmahnen können.

Die individuelle Erfüllung der Informationspflichten variiert stark von der Art des Geschäftsbetriebs und der Form der Datenerhebung. In der Praxis könnte ihr durch eine Cookie-Erklärung auf einer Webseite oder durch einen schriftlichen Vertrag nachgekommen werden.

Ihr Datenschutzbeauftragter wird die Informations- und Dokumentationspflicht zu einem wichtigen Element Ihres Datenschutzkonzeptes machen. Hier droht besondere Gefahr des Verstoßes. Da die genaue Ausgestaltung in der Praxis durch die Rechtsprechung rechtssicher gemacht wird, wird Ihr DSB dem Thema in den nächsten Monaten Aufmerksamkeit widmen.

Meldepflicht (Art. 33 DSGVO)

Schon im bisherigen Datenschutzrecht müssen Unternehmen bei Verletzungen des Schutzrechtes der Betroffenen, etwa bei einem Hacker-Angriff oder einen sonstigen Datenleck, eine Meldung bei der zuständigen Datenschutzbehörde tätigen (§ 42a BDSG). Mit Art. 33 DSGVO wurden die Kategorien der Ereignisse ausgeweitet, die eine Meldung erforderlich machen.

Meldung innerhalb von 72 Stunden

Ist dem verantwortlichen Unternehmen ein Verstoß bekannt, der durchaus auch aufgrund eines internen Fehlers im Datenschutzkonzept entstanden ist, muss dieser innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden. Kann die Frist nicht eingehalten werden, muss eine zusätzliche Erklärung geliefert werden.

Meldepflicht auch für Auftragsverarbeiter

Unterläuft dem Auftragsverarbeiter des Verantwortlichen ein datenschutzrechtlicher Verstoß, so hat er den Verstoß an den Verantwortlichen zu melden. Die Gesamtverantwortung obliegt weiterhin dem verantwortlichen Unternehmen, das seinerseits den Verstoß an die Datenschutzbehörde zu melden hat.

Inhaltliche Anforderungen

Nach Art. 33 Abs. 1 DSGVO unterliegt die Meldung des Verstoßes bestimmten inhaltlichen Anforderungen. In jedem Fall muss die Erklärung:

• Eine Beschreibung der Art der Schutzverletzung gegenüber der Betroffenen Person,
• Der Name und die Kontaktdaten des Datenschutzbeauftragten,
• Eine Einschätzung möglicher Folgen,
• Eine Beschreibung der ergriffenen Maßnahmen oder Vorschläge zum Ergreifen von Maßnahmen zur Behebung oder Milderung der schädlichen Auswirkungen

Enthalten.

Bei sensiblen Daten Meldung an betroffene Einzelpersonen erforderlich

Zudem sieht Art. 34 DSGVO vor, dass eine Meldung an die betroffenen Einzelpersonen zu erfolgen hat, wenn durch die „Datenpanne“ deren persönliche Rechten und Freiheiten betroffen sind.

Einrichtung eines Notfallplans angemessen

Ein Verstoß gegen das Datenschutzrecht in dieser Form ist durchaus durch Fremdverschuldung möglich. Die jüngste Datenpanne von Yahoo ist ein praktisches Beispiel dafür. Ihr Datenschutzbeauftragter wird im Rahmen der Ausarbeitung Ihres Datenschutzkonzeptes die Risiken Ihrer Datenverarbeitung analysieren und bereits im Voraus einen geeigneten Plan zur Umsetzung der erforderlichen Maßnahmen entwickeln.  

Die EU-Datenschutz-Grundverordnung

Die EU-Datenschutzgrundverordnung, die auch als

• DSGVO
• GDPR
• EU-DSGVO

Bekannt ist, ist eine europarechtliche Verordnung zur Regulierung und Vereinheitlichung des Datenschutzes von Behörden und Unternehmen gegenüber Privatpersonen. Durch die Einführung soll einerseits der Schutz der Persönlichkeitsrechte einzelner Personen gestärkt und andererseits der freie Datenverkehr in der EU harmonisiert und gewährleistet werden.

Gilt unmittelbar

Da es sich bei der DSGVO um eine Verordnung handelt, gilt sie direkt als europäisches Recht. Es bedarf keiner Einführung zusätzlicher Gesetze der einzelnen Mitgliedsstaaten, um die Anforderungen der EU umzusetzen. Zeitgleich ersetzt sie die national geltenden Datenschutzgesetze. Auch wenn sie in Ansätzen dem alten deutschen Bundesdatenschutzgesetz entspricht, greift sie durchaus weiter. In Deutschland wird die DSGVO auch durch die Einführung des neuen BDSG übersetzt, das zeitgleich am 25. Mai 2018 in Kraft tritt.

 Inhalt der DSGVO

Die DSGVO besteht aus insgesamt 99 Artikel und 11 Kapiteln:

• Kapitel 1: Allgemeine Bestimmungen und Ziele
• Kapitel 2: Grundsätze und Rechtsmäßigkeit
• Kapitel 3: Rechte der Betroffenen
• Kapitel 4: Pflichten der Verantwortlichen und Auftragsverarbeiter
• Kapital 5: Übermittlung der personenbezogenen Daten
• Kapital 6: Unabhängige Aufsichtsbehörden
• Kapital 7: Zusammenarbeit und Kohärenz
• Kapital 8: Rechtsbehelfe, Haftung und Sanktionen
• Kapital 9: Vorschriften für besondere Verarbeitungssituationen
• Kapital 10: Relegierte Rechtsakte und Durchführungsrechtsakte
• Kapital 11: Schlussbestimmungen

Juristen stellen fest, dass die DSGVO neben einzelnen konkreten Vorschriften allgemein gehalten ist. Dies dient einerseits der Möglichkeit der Anpassung an technische Entwicklungen, andererseits räumt es nationalen Gerichten die Möglichkeit ein, die Anforderungen durch Rechtsprechung an den praktischen Alltag der Unternehmen anzupassen.

Erneuerungen der DSGVO

Viele Bereiche der DSGVO sind bereits im aktuell geltenden BDSG enthalten. Insgesamt ist festzustellen, dass die Rechte der Betroffenen ausgeweitet und einzelne Begriffe weiter gefasst sind. Zudem werden deutlich strengere Sanktionen eingeführt, die nun anstatt maximal 350.000 € bis zu 20 Mio. € oder 4 % des weltweiten Konzernumsatzes betragen können.

Das Bundesdatenschutzgesetz wurde erstmals im Jahr 1977 eingeführt und bereits mehrmals novelliert. Bemerkenswert ist, dass es sich beim BDSG um eines der ersten Datenschutzgesetze weltweit handelt. Ab dem 25. Mai 2018 wird das alte BDSG durch die DSGVO und das neue BDSG abgelöst.

In vielen Teilen stimmt das alte BDSG bereits mit der DSGVO überein. In Zukunft werden viele Bereiche jedoch weiter gefasst. Die Rechte der Betroffenen und die Pflichten der Verantwortlichen werden ausgeweitet. Mit Inkrafttreten der DSGVO wird das BDSG-alt abgelöst. Es tritt das BDSG-neu in Kraft, dass an die Anforderungen der DSGVO angepasst wurde.

Personenbezogene Daten sind ein zentraler Begriff der DSGVO und allgemein des Datenschutzes. Ob bei einer Datenerhebung personenbezogene Daten verarbeitet werden, entscheidet über den Anwendungsbereich der DSGVO.

Typische personenbezogene Daten

Personenbezogene Daten im Sinne der DSGVO sind alle Datensätze, die eine Personifizierung der dahinterstehenden Person eindeutig zulassen. Klassisch im Internet wäre das eine IP-Adresse, aber auch Name, Geburtsdatum und Wohnort sind unter dem Begriff erfasst. Doch auch ethnische Herkunft, Beruf, politische Meinung oder Gesundheitszustand würden eine Identifikation ermöglichen.

Anonymisierung oder Pseudonymisierung

Werden personenbezogene Daten bei der Erhebung anonymisiert, so können sie von den Anforderungen der DSGVO ausgeschlossen werden. Praktisch ist eine derartige Anonymisierung nur schwer umsetzbar, außer bei Erhebungen, bei denen zur Erreichung des Zweckes keine Personenbezogenheit notwendig ist. Dazu würde etwa das Webtracking zählen. Die Pseudonymisierung ist ein berechtigtes Schutzziel der DSGVO und nach der Erhebung der Daten, wenn möglich, erforderlich.

 

Der Begriff „Datenverarbeitung“ wird offiziell in der DSGVO definiert. Liegt sie vor, fällt die Tätigkeit offiziell in den Regulierungsbereich der DSGVO. Art. 4 Abs. 2 DSGVO sieht vor, dass jeder Vorgang der personenbezogene Daten

• erhebt,
• erfasst,
• organisiert,
• ordnet,
• speichert,
• anpasst,
• verändert,
• ausliest,
• abfragt,
• verwendet,
• offenlegt
• übermittelt,
• verbreitet,
• oder in anderer Form bereitstellt, abgleicht, verknüpft, einschränkt, löscht oder vernichtet

unter der offiziellen Definition der Datenverarbeitung der DSGVO erfasst ist und damit einer DSGVO-Compliance bedarf.

Der Datenschutz und die Pflichten der Unternehmen enden allerdings nicht mit der Erhebung der Daten. Die meisten Unternehmen werden in einer Form an einer Datenweitergabe beteiligt sein. Dazu reichen bereits unscheinbare Prozesse, wie das Hosten der Webseite auf einem externen Server. Auch hierbei werden personenbezogene Daten gespeichert, wie etwa die IP-Adresse oder die Verweildauer.

Unternehmen müssen allerdings beachten, dass mit externen Dienstleistern ein Vertrag zur Auftragsdatenverarbeitung zu schließen ist. Der Vertrag ist ebenfalls Gegenstand der DSGVO und muss gesetzlichen Anforderungen entsprechen. Damit gewährleistet das verantwortliche Unternehmen, dass es den Datenschutz auch bei Datenweitergabe garantieren kann. Auch wenn Datenauftragsverarbeiter besondere Pflichten zu Teil werden, bleibt die Gesamtverantwortung beim erhebenden Unternehmen.

Die Auftragsdatenverarbeitung wurde bereits oben in diesem Artikel ausführlich behandelt. Sie ist ein wichtiger Aspekt des Datenschutzes der DSGVO. Die wichtigsten Fakten sind die folgenden:

• Die Auftragsdatenverarbeitung muss auch nachträglich mit Dienstleistern geschlossen werden, die bereits vor Inkrafttreten der DSGVO personenbezogene Daten des Verantwortlichen erhalten und verarbeitet haben.
• Die Haftung liegt trotz ADV beim auch beim Verantwortlichen.
• Der Inhalt und die Form der ADV sind in Art. 28 Abs. 3 DSGVO geregelt.
• Eine Missachtung zur Pflicht der Auftragsdatenverarbeitung kann zu Bußgeldern führen.

In Art. 5 Abs. 2 DSGVO wird das Prinzip zur Rechenschaftspflicht erwähnt. Jedes verantwortliche Unternehmen muss ggf. den Datenschutzbehörden eine Zusammenfassung der Datenschutzstrategie vorlegen. Zudem muss das Konzept ständig überprüft und weiterentwickelt werden.

So müssen Unternehmen, die personenbezogene Daten verarbeiten, ein Gesamtverfahren entwickeln, dass die Wirksamkeit des Datenschutzes und der Datensicherheit sowie die dafür ergriffenen Maßnahmen kontinuierlich kontrolliert und evaluiert.

Wer benötigt ein Datenschutzkonzept?

Jedes Unternehmen, dass personenbezogene Daten verarbeitet, bedarf eines Datenschutzkonzeptes.

Erforderliche Inhalte

Die erforderlichen Inhalte sind mitunter:

• Die Art der Dokumentation
• Eine Auflistung aller technischen und organisatorischen Maßnahmen
• Organisatorische Mindeststandards
• Rechtliche Rahmenbedingungen im Unternehmen
• Datenschutzpolitik und verantwortliche Personen (Datenschutzbeauftragter)

Gemeinsam mit Datenschutzbeauftragten entwickeln

Das Datenschutzkonzept ist ein umfangreiches Dokument, dass gemeinsam mit dem Datenschutzbeauftragten entwickelt wird. Es kann als zentrales Kontrolldokument aller datenschutzrechtlichen Vorgänge verstanden werden. Durch die Bestellung eines externen Datenschutzbeauftragten begegnen Sie den neuen gesetzlichen Anforderungen mit angemessener Professionalität. Durch die Auslagerung der komplexen DSGVO-Compliance, minimieren Sie den Aufwand der Anpassung und können sich weiterhin auf das operative Tagesgeschäft konzentrieren. Wir übernehmen den aufwendigen Part für Sie. Mit uns finden Sie den richtigen Datenschutzbeauftragten für Ihr Unternehmen.

Betreiber einer Website sind nach Telemediengesetz (TMG) verpflichtet, neben einem Impressum eine Datenschutzerklärung einzubinden (§ 13 TMG). Der Diensteanbieter sollte darin den Nutzer seiner Website zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.

Form der Datenschurzerklärung

Die Datenschutzerklärung sollte jederzeit abrufbar sein muss. Dazu bietet es sich an, die Datenschutzerklärung wie das Impressum in einem eigenen Reiter als feste Seite zu implementieren.

Darüber hinaus muss die Datenschutzerklärung allgemein verständlich sein. Technische oder juristische Fachbegriffe und Formulierungen werden deshalb bei Ihrer erstellung vermieder werden.

Inhalt der Datenschutzerklärung

Die Datenschutzerklärung muss die Information enthalten, welche Daten von den Seitenbesuchern erhoben werden und zu welchem Zweck sie verwendet werden. Bei der Erstellung oder Prüfung einer Datenschutzerklärung beachten wir deshalb insbesondere die folgenden Kriterien:

• Gewinnspiele
• Newsletter-Abos
• Kontaktformulare
• Weitergabe der Daten an Paketdienste
• Weitergabe der Daten an Wirtschaftsauskunfteien
• Datenverarbeitung von Kreditkarteninformationen
• Nutzung von Tracking-Tools wie Google Analytics oder Piwik
• Nutzung von Social Media Plugins wie Facebook, Twitter, Google+ etc.

Muster-Datenschutzerklärung

Eine Muster-Datenschutzerklärung kann es wegen der vielen Unterschiede bei Onlineshops und sonstigen Internetseiten nicht geben. Eine rechtssichere Datenschutzerklärung wird jeweils an das Geschäftsmodell eines Mandanten individuell angepasst.

Folge bei Verstößen

Werden Besucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, besteht eine Ordnungswidrigkeit (§ 16 TMG), die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Darüber hinaus ist eine Datenerhebung ohne eine ausreichende Datenschutzerklärung ein Verstoß gegen Wettbewerbsrecht (§ 4 Nr. 11 UWG) und kann damit abgemahnt werden (OLG Hamburg, Urteil vom 27.06.2013, 3 U 26/12).

Lesen Sie mehr in unserem weiterführenden Artikel zu Impressum, Widerrufsbelehrung und Datenschutzerklärung