Es ist fünf vor 12 im Datenschutzrecht. Am Freitag, den 25.05.2018 gilt die Datenschutz Grundverordnung (DS-GVO) – daran ist nichts mehr zu ändern. Wer sich bisher nicht mit diesem Thema beschäftigt hat, oder meint, dass im Grunde nichts zu unternehmen sei, begeht eine große Fahrlässigkeit, die sehr teuer werden kann. Rechtfertigungsversuche sollten nicht in den Fokus rutschen; vielmehr sollten sie aktiv tätig werden und sich dabei helfen lassen, notwendige und gebotene Sofortmaßnahmen sofort umzusetzen. Nur so kann das Risiko von Bußgeldern, Abmahnungen von Konkurrenten, Schadensersatzansprüchen von Kunden und persönlicher Haftung von Organen minimiert werden. 

Wer muss aktiv werden?

Nach der DS-GVO ist „Verantwortlicher” derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; kurz gesagt also derjenige, der mit den personenbezogenen Daten anderer umgeht.

 

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie z.B. einem Namen, zu einer Kundennummer, zu Standortdaten oder zu einer Online-Kennung identifiziert werden kann. Da sehr viele Daten personenbezogene Daten sind, ist eine Auseinandersetzung mit der DS-GVO für „Verantwortliche“ unumgänglich. Dies gilt explizit auch für sehr kleine Unternehmen, wie Reisebüros, Handwerksbetriebe, Online-Shops etc.

Mögliche Sofortmaßnahmen

Im Folgenden möchten wir Sie auf einige Anforderungen hinweisen, die schnell angestoßen werden können und bei deren richtiger Umsetzung wir Ihnen gerne helfen:

1. Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DS-GVO hat jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Damit ist gemeint, dass man sich zunächst bewusstmachen muss, wo und wie im eigenen Unternehmen mit personenbezogenen Daten umgegangen wird. In dem Verzeichnis sind folgende Informationen bereit zu halten:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

Das Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann (Art. 30 Abs. 3 DS-GVO). Die Wichtigkeit der Führung eines Verarbeitungsverzeichnisses wird daran deutlich, dass die zuständige Datenschutz-Aufsichtsbehörde zu jeder Zeit ohne Begründung die Vorlage des Verzeichnisses verlangen kann. Wird der Aufforderung nicht nachgekommen, kann ein Bußgeld bis zu 10.000.000 € oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Die Verhängung von Geldbußen soll in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein – sie sollte also nicht unterschätzt werden.

 

2. Benennung eines Datenschutzbeauftragten

Finden Sie frühzeitig heraus, ob Sie einen Datenschutzbeauftragen benennen müssen. Nach dem Bundesdatenschutzgesetz (BDSG) müssen Daten verarbeitende Stellen einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten und damit in der Regel mehr als neun Personen ständig beschäftigen. Gleiches gilt bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten auf andere Weise, wenn hiermit in der Regel mindestens zwanzig Personen beschäftigt sind. Bei der Berechnung der Personenzahl werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung der nicht-öffentlichen Stelle zugreifen.

Sofern Sie Schwierigkeiten haben, eine geeignete Person als Datenschutzbeauftragen zu finden oder auszuwählen, sind wir Ihnen gerne dabei behilflich. Profitieren Sie von unserem Netzwerk und treffen Sie von Anfang an die richtigen Entscheidungen.

 

3. Erfüllung der Betroffenenrechte

Mit der DS-GVO werden insbesondere die Betroffenenrechte gestärkt. Die Verordnung enthält daher eine explizite Aufzählung der Rechte, die nicht unterschätzt werden sollte. Da wir an dieser Stelle nicht auf alle Betroffenenrechte eingehen können, wird ein Schwerpunkt gesetzt. Das wichtigste Recht dürfte zunächst das sog. Auskunftsrecht nach Art. 15 DS-GVO sein. Die betroffene Person hat danach das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere Informationen. Sie sollten also in der Lage sein, dieses Auskunftsrecht innerhalb der gesetzlich vorgegebenen Frist von einem Monat erfüllen zu können. Das bedeutet für Sie, dass sie mitteilen müssen, welche personenbezogenen Daten Sie von der auskunftssuchenden Person haben und wo bzw. wie diese Daten gespeichert werden. Bei der Erfüllung dieser Aufgabe, kann Ihnen ein gut geführtes Verarbeitungsverzeichnis zu Gute kommen. Kommen Sie dem Auskunftsverlangen nicht nach, kann der Betroffene einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter geltend machen. Wir gehen davon aus, dass in der Praxis sehr hohe Schadensersatzsummen zugesprochen werden, da es sich um eine europarechtliche Regelung handelt und die Vorgaben des EuGH hinsichtlich der Auslegung zu berücksichtigen sein werden. Aus diesem Grund sollten Sie niemals leichtfertig mit Anfragen von Betroffenen umgehen.

 

4. Anpassung der Datenschutzerklärung

Die DS-GVO verlangt – sofern nicht schon längst geschehen – eine Aktualisierung der Datenschutzerklärung auf Ihrer Website. Zur Verfügung gestellt werden müssen weitreichende Hinweise auf die Rechte des Betroffenen und die jeweiligen Rechtsgrundlagen für die Datenverarbeitung(en). Wir erstellen Ihnen eine DS-GVO konforme Datenschutzerklärung für Ihre Website. Anhand eines von uns ausgearbeiteten Fragebogens, erfassen wir Ihre konkreten Belange und formulieren eine auf Sie maßgeschneiderte Datenschutzerklärung. Wir gehen davon aus, dass es ab dem 25.05.2018 Abmahnwellen von Konkurrenten geben wird, die Wettbewerbsverstoße durch fehlerhafte oder unvollständige Datenschutzerklärungen rügen werden. Auch hier sollten Sie unnötige (Abmahn-)Kosten durch ein vorausschauendes Handeln vermeiden.

Zwar ist es im jetzigen Zeitpunkt schon kurz vor 12, was eine Anpassung an die zum 25.05.2018 geltende DS-GVO angeht; Fakt ist aber, es ist noch nicht zu spät! Werden Sie eigenständig mit unserer Hilfe aktiv, bevor Sie gezwungen werden, aktiv zu werden. Nur so können Sie ein enormes Kostenrisiko vermeiden.

Haben Sie Fragen zu unserem Beitrag oder möchten Sie mit uns zusammen DS-GVO-konform werden? Wir helfen Ihnen gerne weiter und sind als Ansprechpartner jederzeit für Sie da. Kontaktieren Sie uns noch heute.

Log in with your credentials

Forgot your details?

All rights reserved. Legal notice. Imprint.

Copyright © 2024