Die EU-Datenschutzgrundverordnung

Einfach und verständlich - die Top 7 Fragen zur DSGVO

Es sind Apotheken, Makler, Steuerberater, Anwaltskanzleien, Arztpraxen usw. betroffen. Dies ist ein Irrtum. Die DSGVO gilt für jede Person oder Organisation, die personenbezogene Daten automatisiert (PC, Notebook, Handy, Videokamera) oder nicht automatisiert in einer strukturierten Ablage (z.B. Papier-Karteikartensystem) verarbeitet oder weitergibt. Es ist jedes Unternehmen – unabhängig von der Größe und Branche – betroffen. Die Vorschriften sind von einem Einzelunternehmer genauso einzuhalten wie von einem Konzern.

Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO verantwortlich. Insoweit hat er die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten. Bestehen hinsichtlich einer bestimmten Verarbeitung mehrere Verantwortliche („gemeinsam Verantwortliche“), sind die Bestimmungen des Art. 26 DSGVO zu beachten. Nach Artikel 4 Abs. 7 ist der Verantwortliche die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. 

Die Haftung auf Schadenersatz nach Artikel 82 DSGVO trifft den Verantwortlichen und nicht den Datenschutzbeauftragten. Ein denkbarer Ansatzpunkt für die evtl. Haftung des Datenschutzbeauftragten kann in der evtl. Falschberatung oder dem nicht ordnungsgemäßen Ausüben der Überwachungsaufgabe des Datenschutzbeauftragten liegen.

Erweiterte Informationspflichten:

Die Kunden, Mandanten, Patienten usw. sind zu informieren ob und wie ihre Daten vom Unternehmen verarbeitet werden. Die Information hat nach Artikel 12 DSGVO in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erfolgen. 

Recht auf Datenübertragbarkeit:

Die neue Regelung soll dem Einzelnen einen Anspruch bieten, seine personenbezogenen Daten von einer verantwortlichen Stelle (Unternehmen) auf die andere zu übertragen. Der Gesetzgeber hatte wohl den Schutz des freien Verkehrs personenbezogener Daten und der besseren Kontrolle über die eigenen Daten vor Augen. Die betroffene Person soll nach Artikel 20 DSGVO seine Daten – wenn gewünscht - in einem „strukturierten, gängigen und maschinenlesbaren Format erhalten“.

Erweiterte Dokumentations- und Nachweispflichten:

In Art. 5 Abs. 2 DSGVO ist vorgeschrieben, dass das Unternehmen die Einhaltung der Datenschutzgrundsätze nachweisen können muss. Mit Art. 24 Abs. 1 DSGVO wurde die Nachweisverpflichtung auf die gesamte DSGVO-konforme Datenverarbeitung ausgeweitet. Die erforderlichen Maßnahmen sind zu überprüfen und kontrollieren. Bei zukünftigen Streitfällen wird die Nachweisverpflichtung zur Beweislastumkehr führen. D.h. der verantwortliche Unternehmer hat nachzuweisen, dass die datenschutzrechtlichen Regeln eingehalten wurden.

Risikoorientierter Datenschutz:

An mehreren Stellen der DSGVO werden Maßnahmen in Abhängigkeit zu den Risiken die eine Datenverarbeitung für die betroffenen Personen haben kann gefordert. Insoweit und aufgrund der gestiegenen Bußgeldrisiken sollte ein Datenschutz-Management-System in den Unternehmen eingeführt werden.

Datenschutzfolgenabschätzung:

Eine Datenschutzfolgenabschätzung ist durchzuführen, wenn eine Datenverarbeitung voraussichtlich zu hohen Risiken für die betroffenen Personen führt. Indizien hierfür sind z.B.: neue Technologien, große Datenmengen, besonders sensible Daten wie z.B. Gesundheitsdaten, Profiling, öffentliche Überwachung durch Videoanlagen. Zusätzlich ist eine von den Datenschutzaufsichtsbehörden veröffentlichte Liste mit relevanten Verarbeitungstätigkeiten zu berücksichtigen. Die evtl. erforderliche Datenschutzfolgenabschätzung hat folgendes zu enthalten:

1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
3. Risikobewertung
4. Geplante Maßnahmen zur Risikoreduzierung
5. Bei hohem Restrisiko ist die Datenschutzaufsichtsbehörde zu konsultieren

Privacy by Design (Datenschutz durch Technikgestaltung):

Der Datenschutz ist zu jedem Zeitpunkt zu gewährleisten. Die entsprechenden technischen und organisatorischen Schutzmaßnahmen sind bereits bei der Entwicklung von Produkten und IT-Anwendungen zu berücksichtigen.

Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellung):

Ziel ist es, die personenbezogene Daten durch Voreinstellungen bzw. Werkseinstellungen automatisch zu schützen, ohne dass der Betroffene aktiv entsprechende Einstellungen vornehmen muss. Es ist insbesondere der Grundsatz der Datensparsamkeit zu berücksichtigen.

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen:

Nach Art. 4 Nr. 12 liegt eine Datenschutzverletzung vor, wenn der Sachverhalt u.a. zur Vernichtung, zum Verlust oder zur Veränderung, oder zur unbefugten Weitergabe von personenbezogenen Daten führt. Das verantwortliche Unternehmen hat die Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde zu melden.

Höhere Bußgelder:

Der Bußgeldrahmen hat sich mit bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes erhöht. Die DSGVO enthält Kriterien zur Bußgeldbemessung. Hieran sollten sich die Unternehmen bei der Umsetzung der datenschutzrechtlichen Anforderungen orientieren.

Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter (Dienstleister):

Die DSGVO sieht in Artikel 82 deutlich weitergehende Schadenersatzansprüche vor, inkl.  Nennung sowohl materieller als auch immaterieller Schäden. 

Insgesamt entsteht durch die DSGVO ein erheblicher Mehraufwand für die Unternehmen, da neue Prozesse und Dokumentationen erforderlich sind.

Personenbezogene Daten sind z.B.:

  • Vertragsdaten
  • Abrechnungs- /Leistungsdaten
  • Bankdaten
  • Mitarbeiterdaten (Gehalt, Beurteilungen)
  • Videoaufzeichnungen
  • Gesundheitsdaten bzw. Rezeptdaten

Aber auch Daten mit denen eine Person identifiziert werden kann, wie:

  • Telefon-Nr.
  • Kunden-Nr.
  • Mitarbeiter-Nr.
  • E-Mail-Adresse
  • IP-Nummer
  • Versicherungs-Nr.

Die Voraussetzungen, wann ein Datenschutzbeauftragter zu benennen ist, sind sowohl in der DSGVO als im neuen Bundesdatenschutzgesetz geregelt. Insoweit ist grundsätzlich ein Datenschutzbeauftragter zu benennen, wenn

  • mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Zahl der Köpfe und nicht der Stellen ist entscheidend. Teilzeitkräfte werden „voll“ mit berücksichtigt. 
  • eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO vorgenommen werden muss
  • personenbezogene Daten für die Markt- oder Meinungsforschung verarbeitet werden
  • die Kerntätigkeit in der Verarbeitung von besonderen Datenkategorien (z.B. Gesundheitsdaten) liegt. Z.B. Hörgeräteakustiker und Optiker.
  • die Kerntätigkeit des Verantwortlichen (z.B. Unternehmen) oder Auftragsverarbeiters (Dienstleister) in der Durchführung von umfangreichen, regelmäßigen und systematischen Überwachung von Personen liegt (z.B. Überwachungsfirmen, Auskunfteien)

In den 4 letztgenannten Fällen ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu benennen. Aber auch ohne Pflicht zur Benennung eines Datenschutzbeauftragten begrüßt die Datenschutzaufsichtsbehörde NRW die freiwillige Benennung. Schließlich sind die Datenschutzanforderungen unabhängig von der Anzahl der Beschäftigten umzusetzen. Ohne Datenschutzbeauftragten fehlt es den Unternehmen häufig an der erforderlichen fachlichen Unterstützung.

Die Datenschutzaufsichtsbehörden sind ihr Personal weiter am ausbauen. Aber auch die betroffenen Personen (Kunden, Mandanten, Patienten, Mitarbeiter usw.) werden aufgrund der DSGVO konkreter über die Datenverarbeitungen informiert. Zu den Informationspflichten gehört auch die Angabe eines Beschwerderechts bei der Datenschutzaufsichtsbehörde. Unzufriedene Kunden und Mitarbeiter werden erfahrungsgemäß von dieser Beschwerdemöglichkeit Gebrauch machen. Die Datenschutzaufsichtsbehörden gehen jeder Beschwerde nach und werden insoweit die Unternehmen kontrollieren. Die Anzahl der Beschwerden ist nach Auskunft der Datenschutzaufsichtsbehörde Bayern bereits im ersten Halbjahr 2018 im Vergleich zum Vorjahr um ca. das vierfache gestiegen.

Und die Landesbeauftragte für den Datenschutz Niedersachsen hat in 2018 bereits 50 Unternehmen angeschrieben m.d.B. einen Fragebogen auszufüllen. Neben der Bewusstseinsbildung für Datenschutz sollen auch gezielt Vor-Ort-Prüfungen in den Unternehmen durchgeführt werden.

Sie haben weitere Fragen? Sprechen Sie mich jetzt an:

Telefon: 02251 9299520
E-Mail: info@datapro.de

Ihr Helmut Häck

DSGVO selbst umsetzen

Sie möchten die DSGVO in Eigenregie umsetzen?

Melden Sie sich jetzt für unseren Newsletter an und erhalten Sie kostenlos den Leitfaden: In 10 Schritten zur Umsetzung der DSGVO