DSGVO - Rechtsgrundsätze, Verpflichtungen, Ansprüche und Sanktionen auf einen Blick
Am 25.5.2018 endete die zweijährige Schonfrist für das Inkrafttreten der DSGVO. Diese Übergangsfrist ist das Argument der Aufsichtsbehörden dafür, dass nun die neuen Vorgaben bekannt und umgesetzt sein müssten. Das Argument einiger Unternehmen und auch der Industrie- und Handelskammern, dass vor allem kleinere Unternehmen zunächst eine Schonzeit brauchen, in der sie helfende und keine strafende Aufsichtsbehörden benötigen, wollen die Behörden im Hinblick auf die bereits vergangene zweijährige Übergangsfrist zumindest nicht überall akzeptieren.
Gewerbliche Abmahner oder Konkurrenten sind zwar sogar Datenschützer ein Dorn im Auge, sind aber noch schneller aus den Startlöchern gewesen, als die personell sehr limitierten Datenschutzbehörden.
Einige Unternehmen haben die Übergangszeit der DSGVO nicht genutzt
Dennoch ist nicht zu übersehen, dass einige Unternehmen sich erst seit wenigen Wochen hektisch mit der für sie neuen Materie auseinandersetzen. Trotz der eindrucksvollen Sanktionsandrohungen besteht jedoch für Panik kein Anlass, angebracht ist aber eine fundierte, sachbezogene Auseinandersetzung mit dem Datenschutz und der im Unternehmen oder in der Kanzlei erforderlichen Maßnahmen. Dazu ist es unabdingbar, sich mit den von der DSGVO aufgestellten Grundsätzen des Datenschutzes vertraut zu machen.
Sachlicher Anwendungsbereich der DSGVO
Gemäß Art. 2 DSGVO gilt die Verordnung
- für jegliche ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten
- sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
- Dabei sind gemäß Art. 4 DSGVO personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Die für den Datenschutz verantwortlichen Personen
Für Unternehmen ist wichtig, dass grundsätzlich zunächst die Leitung des Unternehmens verantwortlich für die Umsetzung der Verordnung ist.
- Verantwortlicher im Unternehmen ist darüber hinaus jede Person des Unternehmens, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Ziff. 7 DSGVO.
- Die Benennung eines Datenschutzbeauftragten ist gemäß Art. 37 DSGVO nur in besonderen Fällen erforderlich (Datenspeicherung durch Behörden oder öffentliche Stellen, Speicherung besonderer Kategorien empfindlicher Daten).
- Zu beachten ist hier die Erweiterung der Verpflichtungen aus Art. 37 DSGVO durch die ebenfalls seit dem 25.5.2018 geltende Novellierung des § 38 BDSG, wonach ein Datenschutzbeauftragter auch dann zu benennen ist, wenn in einem Unternehmen - oder in einer Kanzlei - ständig mindestens zehn Personen mit der Speicherung persönlicher Daten beschäftigt sind.
Was bezweckt die DSGVO?
Die EU wollte mit der bereits seit zwei Jahren gültigen DSGVO eine europaweit einheitliche Grundlage schaffen, die allenthalben gespeicherten und verarbeiteten personenbezogenen Daten ihrer Bürger einem grundsätzlichen Schutz zu unterziehen und damit das Allgemeine Persönlichkeitsrecht ihrer Bürger zu stärken:
Art. 1 Abs. 2 DSGVO garantierte allen EU-Bürgern ein #Recht auf den #Schutz ihrer #personenbezogenen Daten.
Click to tweet
Die von der DSGVO geregelten Datenschutzgrundsätze
Art. 5 DSGVO zieht aus dem Recht der EU-Bürger die Konsequenz und fordert von jedem Datenverarbeiter, bei der Verarbeitung personenbezogener Daten rechtliche Grundsätze zu beachten wie
- den Grundsatz der Rechtmäßigkeit und Lauterkeit der Datenverarbeitung,
- das Prinzip der Einwilligung des Betroffenen,
- die umfassende Beachtung der Grundsätze von Treu und Glauben,
- die absolute Wahrung der Integrität und Vertraulichkeit der erhobenen Daten,
- die Bindung der Speicherung und Verarbeitung personenbezogener Daten an einen klar benannten Zweck,
- die Speicherung dieser Daten nur in dem Umfang, der zur Zweckerreichung erforderlich ist (= Grundsatz der Datenminimierung),
- den Grundsatz der Richtigkeit der erhobene Daten,
- die Pflicht des Datenerfassers zur Rechenschaftslegung über den Umfang der gespeicherten Daten sowie über die Dauer der Speicherung,
- die Verpflichtung, möglichen Pannen bei der Datenspeicherung vorzubeugen
- sowie eingetretene Pannen und/oder Gesetzesverstöße sofort zu melden.
Besonderer DSGVO-Schutz für besonders sensible Daten
Der Verordnungsgeber sieht bestimmte Arten der Datenspeicherung als besonders gefährlich für die Betroffenen an. Dazu gehört insbesondere die Speicherung von Daten zum Zweck des so genannten Profiling. Unter Profiling wird versteht der Verordnungsgeber die Bewertung personenbezogener Daten für besonders heikle Aspekte wie
- Arbeitsleistung,
- wirtschaftliche Lage,
- Gesundheit,
- persönliche Vorlieben, Interessen,
- Zuverlässigkeit
- oder allgemein künftig zu erwartendes Verhalten des Betroffenen, Art. 4 Nr. 4 DSGVO.
Für die Bearbeitung solcher besonderer Kategorien personenbezogener Daten sieht Art. 9 DSGVO besondere Voraussetzungen für die Erteilung einer Einwilligung und die Erforderlichkeit der Verarbeitung vor.
DSGVO statuiert dezidierte Auskunftsrechte
Gemäß Art. 15 DSGVO hat jeder Betroffene das Recht,
- von dem Datenschutzverantwortlichen eine Bestätigung darüber zu fordern, welche Daten zu welchem Zweck in welchem Umfang gespeichert wurden
- und wie lange die Speicherung der Daten dauern soll.
- Der Datenverantwortliche hat demgegenüber den Betroffenen darüber zu belehren, dass er ein Recht auf Berichtigung und gegebenenfalls auf Löschung hat
- und sich bei einer Aufsichtsbehörde beschweren kann, wenn er der Meinung ist, dass seine datenschutzrechtlichen Belange verletzt worden sind.
Das Recht auf Vergessen
Art. 17 der Verordnung gewährt jedem Betroffenen das Recht, seine Daten löschen zu lassen, wenn
- der Zweck der Speicherung der Daten erfüllt ist,
- er seine einmal gegebene Einwilligung widerruft (was er im Regelfall jederzeit kann),
- er gegen die Speicherung oder Verarbeitung Widerspruch gemäß Art. 21 DSGVO eingelegt hat, ohne dass vorrangige berechtigte Gründe für die Verarbeitung bestehen,
- wenn seine Daten in unrechtmäßiger Weise verarbeitet oder gespeichert wurden.
Regressansprüche bei Rechtsverstößen
Die Verletzung der #DSGVO-#Schutzbestimmungen kann weitreichende #Schadensersatzansprüche nach sich ziehen.
Click to tweet
Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den für den Verstoß Verantwortlichen bzw. gegen den Auftragsverarbeiter. Dieser Anspruch ist nicht zu unterschätzen.
Beispiele: Man denke nur daran, dass infolge eines rechtwidrig weitergegebenen Datensatzes, der Betroffene eine Arbeitsstelle nicht bekommt oder den Versicherungsschutz für ein bestimmtes Ereignis verliert. Da können schnell erhebliche Beträge zusammen kommen. |
Die Bemesseung der DSGVO-Sanktionen bei Verstößen
Art. 83 DSGVO regelt die möglichen Bußgelder bei Verstößen, für deren Bemessung verschiedene Faktoren,
- wie die Art und Schwere eines Verstoßes,
- die Empfindlichkeit der betroffenen Daten,
- die vorsätzliche oder fahrlässige Begehung
- sowie die Kooperation mit der Aufsichtsbehörde
eine entscheidende Rolle spielen können.
Umfang möglicher Sanktionen
Gemäß Art. 83 Abs. 4 DSGVO sind
- Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
- in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.
Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen. Jedes auch kleinere Unternehmen - und auch jede Anwaltskanzlei - ist also gut beraten, die von der DSGVO postulierten Anforderungen umgehend zu erfüllen, notfalls mithilfe einer qualifizierten, datenrechtlichen Beratung.
DSGVO: Praxisnahe Hinweise und Checklisten
Noch besser, als auf ausbleibende Abmahnungen zu hoffen, ist es natürlich, die jeweiligen Anforderungen der DSGVO umzusetzen. Für die vielen Klein- und Kleinstbetriebe, Website-Betreiber, Freiberufler oder auch Vereine, die sich von der Gesetzesänderung häufig überfordert fühlen, bietet dazu etwa Bayerische Landesamt für Datenschutzaufsicht einfache und praxisnahe Checklisten und Hinweise zur Umsetzung der Vorgaben für verschiedene Branchen an.
Downloads zur Vorbereitung
Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an.
-
Angemessene Beileidswünsche beim Tod von Mitarbeitern, Mandanten und Geschäftspartnern
1.3431
-
Anwalt darf die anwaltlich vertretene Gegenseite nicht direkt kontaktieren
1.236
-
Abschreibung: Gebrauchter PKW als Geschäftswagen sinnvoll?
869
-
Fristverlängerung bei Gericht beantragen - Fehlerquellen und Haftungsgefahren
811
-
Beziehung gescheitert, Geschenke zurück?
488
-
Drohung des Anwalts mit Mandatsniederlegung zur Unzeit
4762
-
Anwalt muss laut BGH auf Mandantenfrage unverzüglich antworten
4611
-
Wann macht eine Streitwertbeschwerde Sinn?
368
-
Nach der Trennung: Umgang mit dem Hund im Wechselmodell
341
-
Arbeitsüberlastung wegen Urlaub des Anwalts ist anerkannter Fristverlängerungsgrund
318
-
Ausschluss eines Rechtsanwalts aus der Partnergesellschaft
10.09.2024
-
Wer als Anwalt beigeordnet wird, hat Anspruch auf Vergütung
09.09.2024
-
Bußgeld für namenloses Schlauch-Paddelboot
06.09.2024
-
AGH bestätigt Rechtmäßigkeit der Zwangsgeldfestsetzung bei ignorierter Kammeranfrage
02.09.2024
-
Neuer US-Trend: Postings von Wahl-Selfies
01.09.2024
-
Beitragshöhe zum Versorgungswerk: Ehrenamtliche Einkünfte sind Teil der Gesamteinnahmen
28.08.2024
-
Internetbewertung von Anwälten ohne vorheriges Mandat
27.08.2024
-
BRAK beschließt neue Auslegungshinweise zum Geldwäschegesetz
13.08.2024
-
Anwaltliche Verschwiegenheitspflicht vom EuGH gestärkt
13.08.2024
-
OLG Frankfurt: Preiswerte Smartphones – teure Gratis-Kopfhörer
04.08.2024