DSGVO (Datenschutz - Grundverordnung)
Am 25.05.2018 endete die Umsetzungfrist der EG DSGVO (Datenschutz Grundverordnung). Am selben Tag tritt ein neues BDSG (Bundesdatenschutzgesetz) in Kraft.
Nach den neuen gesetzlichen Bestimmungen drohen hohe Bußgelder bei Verstössen. Nachfolgend einige kritische Punkte, die Sie unbedingt beachten müssen sowie Möglichkeiten, wie wir Sie hierbei unterstützen können.
Welche Pflichten ergeben sich für Gewerbetreibende, Selbständige oder Unternehmen?
Sie müssen im Rahmen Ihrer Geschäftstätigkeit Ihre Kunden aufklären, welche Daten Sie erheben, was mit den Daten passiert und welche Rechte die Kunden haben.
- Wir erarbeiten mit Ihnen eine aktualisierte Datenschutzerklärung, die den Maßgaben der DSGVO Rechnung trägt. Teil dieser Datenschutzerklärung sollte nicht nur der Umgang mit über die Onlinepräsenzen erfassten Daten sein, Ziel sollte es sein, die gesamte Geschäftsverbindung zu Ihren Kunden zu erfassen. Wir bereiten die nach der DSGVO notwendige Belehrung der Betroffenen über ihre Rechte vor.
Unter bestimmten Voraussetzungen ist ein Datenschutzbeauftragter zu benennen.
- Wir erörtern mit Ihnen die gesetzlichen Vorschriften und zeigen Ihnen die vom Gesetz angebotenen Möglichkeiten auf.
Sofern Sie Daten an Vertragspartner weitergeben müssen bestimmte Rechte und Pflichten vertraglich festgehalten werden ("Auftragsdatenverarbeitung").
- Wir analysieren mit Ihnen in welchen Fällen ein Vertrag zur Auftragsdatenverarbeitung vorliegt und erarbeiten entsprechende Verträge oder aber erarbeiten Vertragsmuster für Ihre Kunden.
Arbeitnehmer müssen darüber informiert werden, welche Ihrer Daten durch den Arbeitgeber gespeichert werden. Sie müssen zudem im Umgang mit den Daten der Kunden instruiert werden.
- Wir fertigen eine Belehrung für Ihre Arbeitnehmer und erarbeiten mit Ihnen Unterlagen, wie Arbeitnehmer zur Einhaltung der datenschutzrechtlichen Bestimmungen instruiert werden können.
Im Falle von Videoüberwachung treffen den Unternehmer besondere Pflichten, sofern Fotos oder Videoaufnahmen zu Werbezwecken veröffentlicht werden ist eine Erlaubnis des Betroffenen einzuholen.
- Wir fertigen eine rechtssichere Einverständniserklärung des Betroffenen mit der vom Gesetzgeber vorgesehenen Belehrung über die Rechte des Betroffenen.
Bei der Datenübermittlung in Drittländer (außerhalb der EU) muss dafür Sorge getragen werden, dass die Bestimmungen der DSGVO eingehalten werden.
- Wir erarbeiten mit Ihnen entsprechende vertragliche Bestimmungen, damit Sie Ihre Verpflichtungen nach der DSGVO einhalten können.
FAQ zur DSGVO:
Wen betrifft die DSGVO?
Die DSGVO betrifft jeden! Nicht nur Online-Händler oder Konzerne, Selbständige sind betroffen, in vielen Fällen auch Vereine und Einzelpersonen wie etwa Blogger. Betroffen ist jeder, der personenbezogene Daten speichert, im Web gehört dazu etwa bereits die IP Adresse.
Wie wird ein Verstoß gegen die DSGVO sanktioniert?
Aus bußgeldrechtlicher Sicht drohen bereits bei weniger gravierenden Verstössen erhebliche Ordnungsgelder. Großkonzernen drohen gar Bußgelder bis zur Höhe von 4% ihres Umsatzes. Zuständig für die Verfolgung derartiger Verstösse sind die "Aufsichtsbehörden". Dies sind in Deutschland die Datenschutzbeauftragten der einzelnen Bundesländer.
Unter zivilrechtlichen Gesichtspunkten können Verstösse gegen die DSGVO wohl auch mit wettbewerbsrechtlichen Abmahnungen geahndet werden. Dies bedeutet, dass ein Mitbewerber einen Konkurrenten, der sich nicht rechtskonform verhält, abmahnen kann, mit der Begründung, dass er sich so einen Wettbewerbsvorteil verschafft hat. In der obergerichtlichen Rechtsprechung ist es allerdings nach wie vor strittig, ob ein Verstoß gegen datenschutzrechtliche Bestimmungen überhaupt einen wettbewerbswidrigen Vorgang darstellt.
Nachsatz November 2018: Ob ein Verstoß gegen die Bestimmungen der DSGVO durch einen Mitbewerber abgemahnt werden kann ist immer noch umstritten. Das Landgericht Würzburg hat dies in einer Entscheidung vom 13.09.2018 bejaht und meint, Verstösse gegen die DSGVO würden auch Verstösse gegen das Wettbewerbsrecht darstellen, das Landgericht Bochum hat dies in einer Entscheidung vom 07.08.2018 verneint und damit begründet, dass Sanktionen gegen DSGVO Verstösse innerhalb der DSGVO geregelt seien.
Brauche ich eine Datenschutzerklärung?
Jeder Betreiber einer Website muss seine Besucher aufklären über Vorgänge bei welchen er personenbezogene Daten erhebt ("verarbeitet") oder an Dritte weitergibt. Nach der DSGVO sind hier eine Vielzahl von Angaben notwendig, etwa Angaben zu Verantwortlichen, ggf. Nennung eines Datenschutzbeauftragten, Darstellung der erhobenen Daten, Nennung der Auftragsverarbeitung (siehe dort) bis hin zur Belehrung der Betroffenen über ihre Rechte.
Was ist Auftragsverarbeitung oder Auftragsdatenverarbeitung?
Eine solche Konstellation liegt im Regelfall dann vor, wenn externe Dienstleister mit personenbezogenen Daten in Kontakt kommen. Mit dem Auftragsdatenverarbeiter muss eine vertragliche Regelung getroffen werden, in welcher er sich verpflichtet gemäß "den Weisungen des für die Verarbeitung Verantwortlichen" zu handeln. Dies gilt etwa für das Vertragsverhältnis zum Anbieter des Web-Speicherplatzes (Hoster), ausgelagerte Lohn- und Finanzbuchhaltung, Newsletterdienste, aber auch für Fernwartung durch IT Spezialisten. Verträge mit Auftragsdatenverarbeitern müssen auf Anfrage den Aufsichtsbehörden vorgelegt werden.
Brauche ich eine/n Datenschutzbeauftragte/n?
Werden besonders geschützte Daten verarbeitet oder sind mindestens zehn Personen mit der Datenbearbeitung beschäftigt, so muss zwingend ein/e Datenschutzbeauftragte/r benannt werden. Er soll die Geschäftsleitung beraten und Ansprechpartner für die Aufsichtsbehörden sein. Er muss außerdem in der Datenschutzerklärung als Ansprechpartner genannt werden, mindestens erforderlich ist die Angabe einer E-Mail Adresse.
Besteht eine Auskunftspflicht?
Ja, Verantwortliche müssen auf einen konkreten Antrag Auskünfte zu Nutzerdaten erteilen. Außer den Daten selbst soll auch der Zweck der Speicherung, die beabsichtigte Speicherdauer sowie eine Belehrung über Rechte des Betroffenen (z.B. Löschungsmöglichkeiten) in der Antwort enthalten sein.
Gibt es eine Meldepflicht?
Sofern eine Verletzung des Schutzes personenbezogener Daten erfolgt muss dies durch den Verantwortlichen der zuständigen Aufsichtsbehörde gemeldet werden. Dies gilt auch bei Datenlecks auf Seiten eines Auftragsdatenverarbeiters. Auch bei einer Verletzung dieser Meldepflicht drohen erhebliche Bußgelder. Unter Umständen muss die Verletzung sogar dem jeweils Betroffenen gemeldet werden, dann wenn den Inhabern der Daten ein "hohes Risiko für die persönlichen Rechte und Freiheiten" droht.
Was müssen Arbeitgeber beachten?
Hier gibt es zwei Gesichtspunkte:
- Arbeitnehmer müssen darüber belehrt werden, welche ihrer Daten der Arbeitgeber speichert, über die Rechtsgrundlage der Speicherung, sowie über die Rechte der Arbeitnehmer im Hinblick auf ihre Daten.
- Arbeitgeber müssen aber auch ihre Mitarbeiter zur Einhaltung der datenschutzrechtlichen Bestimmungen schulen und sie zur Einhaltung auch verpflichten. Der genaue Inhalt der Pflicht (Verschwiegenheit, aber auch Datensparsamkeit und systematische Löschung) hängt von der Art und der Brisanz der durch den jeweiligen Arbeitnehmer verarbeiteten Daten ab. Nur durch eine angemessene Dokumentation der Erfüllung dieser Pflichten kann sich der Arbeitgeber im Falle eines Datenlecks exkulpieren.