Die Eingriffsmöglichkeiten der Aufsichtsbehörden sind durch den auf bis zu 20 Millionen Euro erweiterten Bußgeldrahmen sehr umfassend geworden. Das Interesse, vor allem die hartnäckigen Datenschutzverweigerer zur Einhaltung der DGSVO zu bewegen, wird bei der Höhe des Bußgeldes groß sein.

Bei der Bemessung der Höhe des Bußgeldes wird es auch darum gehen, wie die Behörde von einem etwaigen Missbrauchsfall Kenntnis erlangt hat, wie die Verantwortlichen in den Firmen reagieren und wie insgesamt der Umsetzungsstand im Datenschutz in den Unternehmen ist. Deshalb ist die Schaffung einer datenschutzfreundlichen Umwelt in den Unternehmen so wichtig.

Eine erste Auskunft können die Aufsichtsbehörden schon bekommen, bevor sie das erste Mal an die Unternehmen schreiben. Hat das Unternehmen einen Datenschutzbeauftragten benannt oder nicht? Abgesehen davon, dass der Datenschutzbeauftragte auf der Webseite in der eigenen Datenschutzerklärung zu nennen ist, muss dieser auch bei der Aufsichtsbehörde angemeldet werden. Diese Anmeldung erfolgt durch den Verantwortlichen (oder durch den Datenschutzbeauftragten) bei der Aufsichtsbehörde. Es muss der Zeitpunkt der Benennung angegeben werden. In einigen Bundesländern wird zusätzlich die Dauer der Bestellung abgefragt, sodass automatisch ausgelesen werden kann, wenn eine Erneuerung dieser Nennung an die Aufsichtsbehörden ausbleibt.

Ohne Datenschutzbeauftragten droht Bußgeld ab Ende August

Aktuell haben mehrere Bundesländer angegeben, dass sie bis Ende August 2018 keine Bußgelder verhängen werden, wenn die Benennung des Datenschutzbeauftragten an die Behörden verspätet erfolgt. Im Umkehrschluss bedeutet dies, dass danach Bußgelder verhängt werden, wenn die Benennung unterbleibt. Dies alles wird in die Gesamtbemessung eines Bußgeldes Eingang finden, wenn eine Untersuchung stattfindet. Handlungsbedarf ist also bei Firmen geboten, bei denen die Benennung noch nicht erfolgt ist oder bei denen die Bestellung des Datenschutzbeauftragten noch erfolgen muss.

Die wichtigsten Pflichten aus der DSGVO im Überblick

1. Rechtmäßigkeit der Verarbeitung von Daten erforderlich – Art. 5/6/7 DSGVO

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn diese Verarbeitung rechtmäßig erfolgt. Das sind: gesetzliche Verpflichtung zur Verarbeitung der Daten (etwa das Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten, Makler- und Bauträger-VO) – Art. 6 Abs. 1 Satz 1 Buchst. c), vorvertragliche oder vertragliche Maßnahmen – Art. 6 Abs. 1 Satz 1 Buchst. b), ausdrückliche Einwilligung – Art. 6 Abs. 1 Satz 1 Buchst. a), Verarbeitung der Daten im öffentlichen Interesse (etwa Gerichtsgutachten) – Art. 6 Abs. 1 Satz 1 Buchst. e), oder Werbezwecke – Art. 6 Abs. 1 Satz 1 Buchst. f) DSGVO.

2. Informationspflicht bei Datenerhebung – Art. 13 DSGVO

Immobilienfirmen müssen ihre Kunden von sich aus darüber informieren, dass sie personenbezogene Daten verarbeiten.

3. Auskunftsrecht des Kunden, welche Daten gespeichert sind – Art. 15 DSGVO

Jede betroffene Person hat das Recht zu erfragen, welche Daten von den Immobilienfirmen gespeichert sind und verarbeitet werden.

4. Recht zur Berichtigung der verarbeiteten Daten – Art. 16 DSGVO

Sind die Daten nicht korrekt, kann verlangt werden, dass diese korrigiert werden.

5. Recht zum Löschen von Daten – Art. 17 DSGVO

Werden Daten verarbeitet und die betroffene Person ist damit nicht einverstanden, kann diese die Löschung der Daten (rückstandsfreie Vernichtung von elektronischen und Papierakten) verlangen.

6. Berücksichtigung Datenschutz bei neuen Maßnahmen – Art. 25 DSGVO

Bei allen neuen Maßnahmen in Unternehmen muss der Datenschutz „mitgedacht“ werden.

7. Die Bestellung des Datenschutzbeauftragten – Art. 37/38/39 DSGVO

In Immobilienfirmen, in denen mehr als neun Personen Zugriff auf personenbezogene Daten haben, muss von Gesetzes wegen ein Datenschutzbeauftragter erstellt werden.

8. Sicherungsmaßnahmen einhalten – Art. 32 DSGVO

Dazu zählen die Verschlüsselung von Daten bei der Sicherung und Übertragung, die Pseudonymisierung von Datensätzen u. a. Alle Maßnahmen werden als sog. TOMs „Technische und organisatorische Maßnahmen“ zusammengefasst.

9. Meldepflicht bei Datenschutzverletzungen – Art. 33 DSGVO

Innerhalb von 72 Stunden muss bei einer Datenschutzverletzung die Meldung an die zuständige Aufsichtsbehörde erfolgen, z. B. bei Einbruchdiebstahl von Server, PCs, Festplatten usw., bei Phishing von Daten, Verlust von größeren Daten, einem Hackerangriff usw.

10. Verarbeitungsverzeichnis führen – Art. 28 DSGVO

Die wichtigsten Verarbeitungstätigkeiten werden in diesem Verzeichnis beschrieben.

11. Datenschutzfolgeabschätzung – Art. 35 DSGVO

Bei künftigen Maßnahmen, die Auswirkungen auf Rechte und Freiheiten von Personen haben, muss eine Datenschutzfolgeabschätzung vorgenommen werden. Wann ist das der Fall? Das werden die Aufsichtsbehörden demnächst kommunizieren.

12. Datenschutzfreundliche Grundeinstellungen

Es gilt der Grundsatz der datenschutzfreundlichen Grundeinstellungen, wonach z. B. keine Voreinstellungen in Kontaktformularen o. Ä. gesetzt sein dürfen. Alle Erklärungen müssen von der betroffenen Person allein ausgehen.