Datenschutzrecht

DSGVO ist die neue, EU-weit geltende Datenschutzverordnung. Sie ist am 25. Mai 2018 in Kraft getreten und verstärkt in Teilen das in Deutschland geltende Datenschutzrecht. Vor allem dort, wo personenbezogene Daten erhoben und verarbeitet werden, haben Verbraucher durch die DSGVO nun mehr Informations- und Kontrollrechte.  

Auf dieser Seite bieten wir Ihnen einen kleinen Überblick über die Neuerungen. Die Fragen geben Ihnen die Möglichkeit, Bereiche in Ihrem Unternehmen zu identifizieren, in denen eventueller Handlungsbedarf besteht. Außerdem haben Sie so Anhaltspunkte, auf welche Bereiche Sie zukünftig Wert legen können. Die Texte wurden mit größtmöglicher Sorgfalt und nach bestem Wissen und Gewissen erstellt, erheben aber keinen Anspruch auf Vollständigkeit. Scheuen Sie sich nicht, uns bei aufkommenden Fragen anzurufen oder eine Nachricht zu schreiben. Wir sind gerne in einem persönlichen Gespräch für Sie erreichbar.

Was sind personenbezogene Daten?

Grundsätzlich handelt es sich bei personenbezogenen Daten um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei handelt es sich um alle Informationen, durch die ein Bezug zu einer Person hergestellt werden kann. Eindeutig ist dies bei Informationen wie Namen, Telefonnummern, Kontodaten, KFZ-Kennzeichen, IP-Adressen oder auch dem Aussehen. Ein Personenbezug kann jedoch auch viel weiter gehen. Der Europäische Gerichtshof geht davon aus, dass selbst die Arbeitszeiten dazu gehören. Außerdem gibt es Daten, die als besonders schützenswert gelten. Hierzu gehört die ethnische Herkunft, die politische Überzeugung oder etwa die Anzahl der Krankmeldungen eines Arbeitnehmers. Im Falle der besonderen personenbezogenen Daten sind einige Sonderregelungen für den Umgang und die Erhebung zu beachten. Daten über juristische Personen, etwa eine GmbH oder AG, sind nicht personenbezogen. Dies ist allerdings dann nicht der Fall, wenn die Informationen zu einer juristischen Person automatisch eine dahinterstehende natürliche Person treffen.

Was ist ein Drittland?

An die Übertragung von Daten in Drittländer werden besondere Anforderungen gestellt. Um ein Drittland handelt es sich, sobald dieses außerhalb der EU bzw. des Europäischen Wirtschaftsraum liegt. Übertragungen in Drittländer sind ohne weiteres zulässig, sofern das Empfängerland ein sicheres Drittland ist. Ein sicheres Drittland ist jedes Land, in dem ähnliche Datenschutzrichtlinien wie in der EU gelten. Die EU-Kommission spricht hier von der Angemessenheit des Datenschutzniveaus. Sollte es sich nicht um ein sicheres Drittland handeln, dann müssen zusätzlichen Garantien oder Vereinbarungen getroffenen werden. Relevant wird die Datenübertragung in ein Drittland beispielsweise bei der Speicherung von personenbezogenen Daten auf US-amerikanischen Servern. Die USA gelten seit der Safe-Harbour-Entscheidung des Europäischen Gerchtshofs zwar nicht als sicheres Drittland, jedoch können nun über den „Privacy Shield“ (Adäquanzbeschluss) Daten ohne weitere Voraussetzungen an US-Unternehmen übertragen werden, die nach dem Privacy Shield-Abkommen zertifiziert sind (Liste einsehbar unter www.privacyshield.gov/list).

Was ist das Verarbeitungsverzeichnis?

Zukünftig bedarf es eines sogenannten Verzeichnisses der Verarbeitungstätigkeiten. In dieses Verzeichnis müssen Sie alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, aufnehmen (Art.30 DSGVO). Nutzen Sie die Gelegenheit, um sich Gedanken zu machen, welche der von Ihnen verarbeiteten Informationen personenbezogene Daten sein können. In jedem Fall ist an die Daten Ihrer Beschäftigten, Kunden und Auftraggeber zu denken. Sie sollten sich auch überlegen, wer das Verzeichnis zukünftig fortführen soll, denn es muss regelmäßig aktualisiert werden.

Wan bedarf es einer Datenschutz-Folgenabschätzung?

Stellen Sie sich die Frage, ob Ihr Unternehmen eine Datenverarbeitung durchführt, die eventuell ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt (Art. 35 DSGVO). Dies gilt etwa dann, wenn es sich um eine umfangreiche Verarbeitung besonderer personenbezogener Daten handelt oder Verfahren wie Profiling, Kreditscoring angewendet werden. Auch die Nutzung einer Kamera zur Überwachung öffentlich zugänglicher Bereiche macht eine Datenschutz-Folgenabschätzung notwendig.
Die Datenschutz-Folgeabschätzung (DSFA) ist eigentlich nichts anderes als die bisher schon bekannte Vorabkontrolle. Immer wenn besonders sensible Daten verarbeitet werden, ist eine solche vorzunehmen. Dann müssen Sie, gegebenenfalls unter Einbeziehung des Datenschutzbeauftragten die besonderen Risiken für die Rechte und Freiheiten des Betroffenen prüfen und am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgeben. Genau wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung also der Bewertung von Risiken und deren möglichen Folgen für die Betroffenen.

Gibt es Änderungen bzgl. der Rechtsgrundlagen?

Wie zuvor auch, benötigen Sie für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage. Diese erhalten Sie entweder aus dem Gesetz oder Sie holen eine Einwilligung ein. Eine Einwilligung ist unter den Voraussetzungen von Art. 7 DSGVO und Art. 8 DSGVO möglich.

Beachten Sie hier insbesondere Art. 8 DSGVO. Hier wird beschrieben, dass zusätzliche Anforderungen an die Einwilligung eines Kindes gestellt werden. In § 26 II 2 BDSG (neu) finden Sie nähere Informationen zu einer Einwilligung in die Verarbeitung personenbezogener Daten von Beschäftigten.

In keinem Fall dürfen Sie die Erforderlichkeit einer Rechtsgrundlage sowie die hinreichende Dokumentation vernachlässigen.

Wann unterliege ich der Meldepflicht?

Art. 33 DSGVO sieht eine Meldepflicht für Datenschutzversöße gegenüber der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden innerhalb Ihres Unternehmens vor. In Anbetracht dieser kurzen Reaktionszeit empfiehlt es sich, bereits im Vorfeld zuständige Personen in Ihrem Unternehmen auszuwählen und – z.B. durch eine entsprechende Einweisung – sicher zu stellen, dass den Anforderungen (insbesondere nach Art. 33 III, V DSGVO) entsprochen wird. Nach Art. 37 VII DSGVO sind außerdem die Kontaktdaten des betrieblichen Datenschutzbeauftragten zu veröffentlichen und der (zuständigen) Aufsichtsbehörde mitzuteilen.

Was ändert sich bzgl. der Belehrung?

Reichte zuvor noch die Angabe der Identität der verantwortlichen Stelle aus, müssen nun auch die Kontaktdaten des Datenschutzbeauftragten angegeben werden. Auch die Rechtsgrundlage sowie das etwaige berechtigte Interesse müssen genannt werden. Zudem müssen auch die Empfänger der Daten mitgeteilt werden.
Eine Besonderheit ergibt sich aus der Informationspflicht bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Machen Sie sich bewusst, dass eine Übertragung bereits bei einer Sicherung der Daten in einer Cloud vorliegen kann, wenn die Server sich in einem unsicheren Drittland befinden. Bereits dann müssen die betroffenen Personen informiert werden. Zudem muss dargestellt werden, auf welche Maßnahmen die Übermittlung gestützt wird – also etwa Europäische Standardvertragsklauseln oder Binding Corporate Rules. Eventuell muss eine Kopie dieser ausgehändigt werden.

Wann muss ich eine Altersverfifizierung durchführen?

Verarbeiten Sie auch personenbezogene Daten von Kindern in Bezug auf Dienste der Informationsgesellschaft? Dienste der Informationsgesellschaft sind z.B. der Online-Verkauf von Waren, Video on Demand und auch der Beitritt zu sozialen Netzwerken. Wenn ja, dann müssen Sie zukünftig eine Altersverfizierung durchführen. Denn zur Verarbeitung von personenbezogenen Daten unter 16-Jähriger müssen die Eltern bzw. die Träger der elterlichen Verantwortung einbezogen werden.

Eine Interessenabwägung nach Art. 6 Abs. 1 DSGVO ist zudem besonders sorgfältig durchzuführen. Wie zuvor bei den Informationspflichten erwähnt, müssen diese nach Art. 12 Abs. 1 DSGVO kindgerecht aufbereitet sein.

Was versteht man unter Betroffenenrechten?

Betroffenenrechte sind die Rechte derer, die von einer Datenanwendung betroffen sind und bestehen gegenüber dem Verantwortlichen. Hier sind zwei unterschiedliche Stadien zu beachten, die Pflichten vor und die nach der Datenerhebung. Es gilt: Die betroffenen Personen sind über die Verarbeitung ihrer Daten zu informieren. Dies muss in einer verständlichen und leicht zugänglichen Form (klare und einfache Sprache) erfolgen (Art.12 DSGVO). Der Maßstab ist am Verständnisvermögen des Adressaten festzumachen.

Art. 13 DSGVO regelt hier Informationspflichten bei Erhebung personenbezogener Daten bei der betroffenen Person (z.B. bei einer Bestellung im Online-Shop). Art. 14 DSGVO hingegen legt die Informationspflichten fest, wenn die personenbezogenen Daten nicht bei der betroffenen Person selbst, sondern z.B. über Dritte wie etwa Adresshändler erhoben werden. Es ist auch denkbar, dass beide Konstellationen zusammenfallen, etwa wenn ein Kunde Daten bei der Bestellung angibt und dann weitere Daten im Rahmen einer Bonitätsprüfung ermittelt werden.
In der DSGVO sind die Rechte der Betroffenen nach der Erhebung geregelt. Im Rahmen von Art. 15 DSGVO muss nun auch das Recht auf Berichtigung, Sperrung und Löschung von Daten (Art. 16 ff. DSGVO) berücksichtigt werden. Bedenken sie, dass die Betroffenen auch über ihr Beschwerderecht informiert werden müssen und treffen Sie Vorkehrungen für den Fall einer Beschwerde.
Vor eine besondere Herausforderung werden einige Unternehmen vermutlich durch das Recht auf Datenübertragbarkeit gestellt, bei dessen Ausübung der Verantwortliche die personenbezogenen Daten in einer lesbaren elektronischen Form auf Wunsch an andere Unternehmen oder Konkurrenten übermitteln muss.

Folgend ein Überblick zu den Rechten:

  • Informationspflicht bei Erhebung
  • Informationspflicht, wenn Erhebung nicht bei den Betroffenen erfolgt
  • Auskunftsrecht
  • Berichtigungsrecht
  • Recht auf Löschung
  • Recht auf Datenübertragbarkeit
  • Recht auf Einschränkung der Verarbeitung
  • Widerspruchsrecht

Was ändert sich an den Dokumentations- und Nachweispflichten?

Die DSGVO führt zu erheblichen Dokumentations- und Nachweispflichten. Nach Art. 24 und Art. 32 DSGVO besteht nun die Pflicht, geeignete technische und organisatorische Maßnahmen einzusetzen, um sicherzustellen, dass eine Verarbeitung personenbezogener Daten mit den Vorgaben der DSGVO in Einklang steht.
Aus der Rechenschaftspflicht (vgl. insbesondere Art. 5 Abs. 2, Art. 24 Abs. 1 Satz 1 DSGVO) ergibt sich, dass die Einhaltung dieser und weiterer sich aus der DSGVO ergebender Pflichten durch den Verantwortlichen angemessen zu dokumentieren sind.
Darüber hinaus erfordert die Überprüfungs- und Aktualisierungspflicht, auch bestehende Verfahren regelmäßig in Augenschein zu nehmen, insbesondere im Hinblick auf geänderte Rechtsvorschriften, auf wesentliche Verfahrensänderungen, auf veränderte Zuständigkeiten sowie auch auf Weiterentwicklungen hinsichtlich des Standes der Technik.

Die insoweit durchgeführten Prüfungen müssen ebenfalls schriftlich dokumentiert werden. Es sollte daher frühzeitig geprüft werden, welche Maßnahmen im Einzelnen ergriffen werden müssen.

Benötige ich eine/n Datenschutzbeauftragte/n?

Für bestimmte Unternehmen besteht mit der DSGVO erstmals eine europaweit geltende Pflicht zur Bestellung eines Datenschutzbeauftragten. Zwar war dies in Deutschland für einige Unternehmen auch zuvor Pflicht. Allerdings macht die DSGVO die Aufgaben komplexer. Die DSGVO fordert in Art. 37 Abs. 5, dass der betriebliche Datenschutzbeauftragte eine gewisse Qualifikation haben muss. Dazu zählen das Fachwissen auf dem Gebiet des Datenschutzes, der Datenschutzpraxis und die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben. Die Rolle des Datenschutzbeauftragten können auch wir für Sie übernehmen.

Fragen sie uns!

Wir beraten sie gern.

Besonderer Kündigungsschutz des internen Datenschutzbeauftragten

Bei Unternehmen, die gesetzlich zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet sind, kann das Arbeitsverhältnis mit der bzw. dem Datenschutzbeauftragten nur gekündigt werden, wenn wichtige Gründe vorliegen, die die verantwortliche Stelle zu einer fristlosen Kündigung berechtigen. Eine Abberufung des betrieblichen Datenschutzbeauftragten ist ebenfalls nur unter den Voraussetzungen möglich, die im Arbeitsverhältnis eine fristlose Kündigung aus wichtigem Grund rechtfertigen würden. Der wichtige Grund muss sich immer aus einem Fehlverhalten bei der Tätigkeit als Datenschutzbeauftragter ergeben. Nach der Abberufung ist die Kündigung innerhalb eines Jahres unzulässig, es sei denn, die verantwortliche Stelle ist zur fristlosen Kündigung aus wichtigem Grund berechtigt. Die Besetzung dieser Stelle sollte daher auf keinen Fall unterschätzt werden, auch wenn grundsätzlich „jedermann“ benannt werden kann.

Was ist Privacy by Design und Privacy by Default?

Privacy by Design meint Datenschutz durch Technikgestaltung, Privacy by Default datenschutzfreundliche Voreinstellungen. Mit der DSGVO sind diese Prinzipien verbindlich umgesetzt. Das heißt, Sie müssen bereits in der Entwicklungsphase alle datenschutzrelevanten Vorgaben in ein Konzept einarbeiten, die Anwendungen datenschutzgerecht gestalten und datenschutzfreundliche Voreinstellungen treffen.
Hierbei ist stets eine Einzelfallbetrachtung erforderlich. Allgemeine Beispiele sind aber Anonymisierungs- bzw. Pseudonymisierungs- und Verschlüsselungsverfahren, aber auch bereits ein Rollen- und Berechtigungskonzept.

Was versteht man unter dem Kopplungsverbot?

Das Kopplungsverbot beseitigt die Wirksamkeit einer Einwilligungserklärung und erschwert das Geschäftsmodell „Dienstleistung gegen Daten“. Die Einwilligung in eine Datenverarbeitung ist unwirksam, wenn die Erfüllung des Vertrages von der Einwilligung in eine Datenverarbeitung abhängig gemacht wird. Sinn des Kopplungsverbots ist es, ein bestehendes Ungleichgewicht zwischen dem Anbieter einer (häufig kostenlosen) Dienstleistung und dem Nutzer, der für die Dienstleistung weitreichende personenbezogenen Daten preisgeben muss, auszugleichen.

Was sind Auftragsverarbeiter?

Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden oder andere Stellen, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten. So werden etwa im Rahmen der Cloud-Nutzung sowie der Verwendung von Google Analytics personenbezogene Daten wie etwa eine IP-Adresse im Auftrag verarbeitet.
Eine Übermittlung von personenbezogenen Daten an Auftragsverarbeiter ist nur zulässig, wenn ein Auftragsverarbeitungsvertrag geschlossen wird. Dieser muss zwecks Dokumentation schriftlich oder elektronisch aufbewahrt werden. Eventuell müssen Sie bestehende Verträge mit Auftragsverarbeitern – Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten – an die Regelungen der Art. 26 – 28 DSGVO anpassen. Daher sollten Sie diese Verträge prüfen. Denn als Auftraggeber müssen Sie die externe Datenverarbeitung anweisen und kontrollieren. Sie müssen die Weisungen und Sicherheitsvorfälle dokumentieren.

Was können die Folgen von Datenschutzverletzungen sein?

Gemäß Art. 82 Abs. 1 DSGVO muss der Verantwortliche bei Verstößen materiellen und immateriellen Schadensersatz leisten. Der Begriff „materieller Schaden“ umfasst Vermögensschäden. „Immaterieller Schaden“ ist das sogenannte Schmerzensgeld. Über die DSGVO kann nun auch Schmerzensgeld geltend gemacht werden. Dabei haftet auch der Auftragsverarbeiter, jedoch nur für die Verletzung seiner speziellen Pflichten sowie für Verstöße gegen rechtmäßige Weisungen des Verantwortlichen.
Darüber hinaus droht bei Verletzungen der DSGVO-Vorschriften ein Bußgeld von bis zu 20 Mio. Euro bzw. bis zu vier Prozent des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Die Aufsichtsbehörden werden diesen Rahmen jedoch selten vollständig ausschöpfen, sondern anhand von Kriterien eine angemessene Geldbuße berechnen. Zusätzlich drohen noch Verbandsklagen und vertragliche Regressansprüche.

Beiträge zum Datenschutzrecht