Seit dem 25. Mai ist die DSGVO EU-weit unmittelbar geltendes Recht. Sie gilt für Behörden, Unternehmen und Freiberufler, für Konzerne ebenso wie für KMU-Betriebe. Werden ihre Datenschutzbestimmungen verletzt, drohen empfindliche Sanktionen der Datenschutzbehörden, aktuell aber auch Abmahnungen gewerblicher Abmahner oder von der Konkurrenz. Gute Gründe für eine sachkundige Umsetzung der hier zusammengefassten Vorgaben.

Am 25.5.2018 endete die zweijährige Schonfrist für das Inkrafttreten der DSGVO. Diese Übergangsfrist ist das Argument der Aufsichtsbehörden dafür, dass nun die neuen Vorgaben bekannt und umgesetzt sein müssten. Das Argument einiger Unternehmen und auch der Industrie- und Handelskammern, dass vor allem kleinere Unternehmen zunächst eine Schonzeit brauchen, in der sie helfende und keine strafende Aufsichtsbehörden benötigen, wollen die Behörden im Hinblick auf die bereits vergangene zweijährige Übergangsfrist zumindest nicht überall akzeptieren.

Gewerbliche Abmahner oder Konkurrenten sind zwar sogar Datenschützer ein Dorn im Auge, sind aber noch schneller aus den Startlöchern gewesen, als die personell sehr limitierten Datenschutzbehörden.

( -> Personalmangel bei den Datenschutzbehörden behindert Durchsetzung der DSGVO)

Einige Unternehmen haben die Übergangszeit der DSGVO nicht genutzt

Dennoch ist nicht zu übersehen, dass einige Unternehmen sich erst seit wenigen Wochen hektisch mit der für sie neuen Materie auseinandersetzen. Trotz der eindrucksvollen Sanktionsandrohungen besteht jedoch für Panik kein Anlass, angebracht ist aber eine fundierte, sachbezogene Auseinandersetzung mit dem Datenschutz und der im Unternehmen oder in der Kanzlei erforderlichen Maßnahmen. Dazu ist es unabdingbar, sich mit den von der DSGVO aufgestellten Grundsätzen des Datenschutzes vertraut zu machen.

Sachlicher Anwendungsbereich der DSGVO

Gemäß Art. 2 DSGVO gilt die Verordnung

  • für jegliche ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten
  • sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  • Dabei sind gemäß Art. 4 DSGVO personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 

Die für den Datenschutz verantwortlichen Personen

Für Unternehmen ist wichtig, dass grundsätzlich zunächst die Leitung des Unternehmens verantwortlich für die Umsetzung der Verordnung ist.

  • Verantwortlicher im Unternehmen ist darüber hinaus jede Person des Unternehmens, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Ziff. 7 DSGVO.
  • Die Benennung eines Datenschutzbeauftragten ist gemäß Art. 37 DSGVO nur in besonderen Fällen erforderlich (Datenspeicherung durch Behörden oder öffentliche Stellen, Speicherung besonderer Kategorien empfindlicher Daten).
  • Zu beachten ist hier die Erweiterung der Verpflichtungen aus Art. 37 DSGVO durch die ebenfalls seit dem 25.5.2018 geltende Novellierung des § 38 BDSG, wonach ein Datenschutzbeauftragter auch dann zu benennen ist, wenn in einem Unternehmen - oder in einer Kanzlei - ständig mindestens zehn Personen mit der Speicherung persönlicher Daten beschäftigt sind.

Was bezweckt die DSGVO?

Die EU wollte mit der bereits seit zwei Jahren gültigen DSGVO eine europaweit einheitliche Grundlage schaffen, die allenthalben gespeicherten und verarbeiteten personenbezogenen  Daten ihrer Bürger einem grundsätzlichen Schutz zu unterziehen und damit das Allgemeine Persönlichkeitsrecht ihrer Bürger zu stärken:

Click to tweet

Die von der DSGVO geregelten Datenschutzgrundsätze

Art. 5 DSGVO zieht aus dem Recht der EU-Bürger die Konsequenz und fordert von jedem Datenverarbeiter, bei der Verarbeitung personenbezogener Daten rechtliche Grundsätze zu beachten wie

  • den Grundsatz der Rechtmäßigkeit und Lauterkeit der Datenverarbeitung,
  • das Prinzip der Einwilligung des Betroffenen,
  • die umfassende Beachtung der Grundsätze von Treu und Glauben,
  • die absolute Wahrung der Integrität und Vertraulichkeit der erhobenen Daten,
  • die Bindung der Speicherung und Verarbeitung personenbezogener Daten an einen klar benannten Zweck,
  • die Speicherung dieser Daten nur in dem Umfang, der zur Zweckerreichung erforderlich ist (= Grundsatz der Datenminimierung),
  • den Grundsatz der Richtigkeit der erhobene Daten,
  • die Pflicht des Datenerfassers zur Rechenschaftslegung über den Umfang der gespeicherten Daten sowie über die Dauer der Speicherung,
  • die Verpflichtung, möglichen Pannen bei der Datenspeicherung vorzubeugen
  • sowie eingetretene Pannen und/oder Gesetzesverstöße sofort zu melden. 

Besonderer DSGVO-Schutz für besonders sensible Daten 

Der Verordnungsgeber sieht bestimmte Arten der Datenspeicherung als besonders gefährlich für die Betroffenen an. Dazu gehört insbesondere die Speicherung von Daten zum Zweck des so genannten Profiling. Unter Profiling wird versteht der Verordnungsgeber die Bewertung personenbezogener Daten für besonders heikle Aspekte wie

  • Arbeitsleistung,
  • wirtschaftliche Lage,
  • Gesundheit,
  • persönliche Vorlieben, Interessen,
  • Zuverlässigkeit
  • oder allgemein künftig zu erwartendes Verhalten des Betroffenen, Art. 4 Nr. 4 DSGVO.

Für die Bearbeitung solcher besonderer Kategorien personenbezogener Daten sieht Art. 9 DSGVO besondere Voraussetzungen für die Erteilung einer Einwilligung und die Erforderlichkeit der Verarbeitung vor.

DSGVO statuiert dezidierte Auskunftsrechte

Gemäß Art. 15 DSGVO hat jeder Betroffene das Recht,

  • von dem Datenschutzverantwortlichen eine Bestätigung darüber zu fordern, welche Daten zu welchem Zweck in welchem Umfang gespeichert wurden
  • und wie lange die Speicherung der Daten dauern soll.
  • Der Datenverantwortliche hat demgegenüber den Betroffenen darüber zu belehren, dass er ein Recht auf Berichtigung und gegebenenfalls auf Löschung hat
  • und sich bei einer Aufsichtsbehörde beschweren kann, wenn er der Meinung ist, dass seine datenschutzrechtlichen Belange verletzt worden sind. 

Das Recht auf Vergessen

Art. 17 der Verordnung gewährt jedem Betroffenen das Recht, seine Daten löschen zu lassen, wenn

  • der Zweck der Speicherung der Daten erfüllt ist,
  • er seine einmal gegebene Einwilligung widerruft (was er im Regelfall jederzeit kann),
  • er gegen die Speicherung oder Verarbeitung Widerspruch gemäß Art. 21 DSGVO eingelegt hat, ohne dass vorrangige berechtigte Gründe für die Verarbeitung bestehen,
  • wenn seine Daten in unrechtmäßiger Weise verarbeitet oder gespeichert wurden.

Regressansprüche bei Rechtsverstößen

Click to tweet

Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den für den Verstoß Verantwortlichen bzw. gegen den Auftragsverarbeiter. Dieser Anspruch ist nicht zu unterschätzen.

Beispiele: Man denke nur daran, dass infolge eines rechtwidrig weitergegebenen Datensatzes, der Betroffene eine Arbeitsstelle nicht bekommt oder den Versicherungsschutz für ein bestimmtes Ereignis verliert. Da können schnell erhebliche Beträge zusammen kommen.

Die Bemesseung der DSGVO-Sanktionen bei Verstößen

Art. 83 DSGVO regelt die möglichen Bußgelder bei Verstößen, für deren Bemessung verschiedene Faktoren,

  • wie die Art und Schwere eines Verstoßes,
  • die Empfindlichkeit der betroffenen Daten,
  • die vorsätzliche oder fahrlässige Begehung
  • sowie die Kooperation mit der Aufsichtsbehörde

eine entscheidende Rolle spielen können.

Umfang möglicher Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen. Jedes auch kleinere Unternehmen - und auch jede Anwaltskanzlei - ist also gut beraten, die von der DSGVO postulierten Anforderungen umgehend zu erfüllen, notfalls mithilfe einer qualifizierten, datenrechtlichen Beratung.

Weitere News zum Thema:

DSGVO - ersten Konsequenzen, neue EU-Datenschutzausschuss, Abmahngefahr?

Personalmangel bei den Datenschutzbehörden behindert Durchsetzung der DSGVO

Vorbereitung der DSGVO in der Anwaltskanzlei

Datenschutzbeauftragte warnen vor DSGVO-Panik

DSGVO: Praxisnahe Hinweise und Checklisten

Noch besser, als auf ausbleibende Abmahnungen zu hoffen, ist es natürlich, die jeweiligen Anforderungen der DSGVO umzusetzen. Für die vielen Klein- und Kleinstbetriebe, Website-Betreiber, Freiberufler oder auch Vereine, die sich von der Gesetzesänderung häufig überfordert fühlen, bietet dazu etwa Bayerische Landesamt für Datenschutzaufsicht einfache und praxisnahe Checklisten und Hinweise zur Umsetzung der Vorgaben für verschiedene Branchen an.

Downloads zur Vorbereitung

Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an.

Video-Seminar zum neuen Datenschutzrecht

Seit dem 25.5.2018 gilt die DS-GVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DS-GVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management.

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.