DSGVO

Die Datenschutzgrundverordnung beschert vielen Unternehmen Sorgen und viel Arbeit. Seitens der Betroffenen herrscht häufig noch viel Unsicherheit und Angst vor den hohen Bußgeldern. Wiederum andere Unternehmen wissen noch gar nichts von der DSGVO.

  1. Betrifft mich die DSGVO überhaupt?
  2. Ab wann gilt die DSGVO überhaupt?
  3. Welche Strafen und Bußgelder drohen bei Verstößen gegen die DSGVO? Was ist mit Abmahnungen?
  4. Benötige ich einen Datenschutzbeauftragten?
  5. Hilfe bei der Umsetzung

 

  1. Nahezu jedes Unternehmen ist betroffen.

 

Viele Unternehmer denken sich, die neue Verordnung betrifft doch nur Shops, wirklich große Unternehmen mit tausenden Kundendaten oder Auftragsverarbeiter. Leider nicht, die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.

Die Datenschutzgrundverordnung gilt für:

alle Unternehmen, die in der EU ansässig sind.

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie:

  • Eine Niederlassung in der EU haben oder
  • personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung: personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. “Identifizierbar”´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind z.B.:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

    2. Über die DSGVO wurde schon überall gesprochen, Irritation gab es aber über den offiziellen Start.  

Die DSGVO trat schon am 25. Mai 2016 in Kraft. ABER:Unternehmen und Webseitenbetreiber in den  EU-Mitgliedstaaten müssen die Datenschutzgrundverordnung erst seit dem dem 25. Mai 2018 verbindlich anwenden.

3. Strafen und Bußgelder

Neu sind vor allem die immens hoben Strafen und Bußgelder, die die DSGVO vorsieht. Bisher lag der Rahmen des Bundesdatenschutzgesetzes für Bußgelder bei 50.000 Euro bzw. maximal 300.000 Euro für sehr schwere Verstöße. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Das wird sich aber sehr wahrscheinlich ändern. Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Wichtig: Anfragen/ Beschwerden von Nutzern ernst nehmen.

Noch wichtiger: Anfragen/ Beschwerden von Datenschutzbehörden ernst nehmen.

Ziel: Bußgelder nach DSGVO möglichst vermieden

One-Stop-Shop und Zuständigkeiten

Noch nicht abschließend geklärt sind jedoch die Zuständigkeiten der jeweiligen Behörden. Also die Frage, ob nun ein Landesdatenschutzbeauftragter, der Bundesdatenschutzbeauftragte oder  Datenschutzbeauftragte in anderen Ländern der EU zuständig ist bzw. diese Zuständigkeiten ggf. auch wechseln können. Um dieses Durcheinander zu vehindern sieht die Verordnung ein “One-Stop-Shop” genanntes Prinzip in Artikel 56 Abs. 1 EU-DSGVO vor.

Bei grenzüberschreitendem Datenverkehr soll dann allein die Aufsichtsbehörde am Sitz bzw. Hauptsitz eines Unternehmens bei Datenschutzverstößen zuständig sein. Dabei stellt sich aber zum Beispiel die Frage, wie sich die verschiedenen Zuständigkeiten verschiedener Behörden zum Beispiel auf die Höhe der Bußgelder auswirken werden.

Hier muss mann wohl abwarten, ob die in der Verordnung geregelten Zuständigkeiten tatsächlich zu einer datenschutzfreundlicheren und gleichzeitig einfachereren Umsetzung führen.

Abmahnungen und die DSGVO

Datenschutzverstöße können – wie von den Gerichten schon in den letzen Jahren immer wieder entschieden – auch nach der DSGVO abgemahnt werden.

Bei Verstößen gegen die DSGVO drohen also Abmahnungen und Gerichtsverfahren, denn:

  • Datenschutzrecht hat wettbewerbsrechtliche Relevanz!

Verstöße können auch nach der DSGVO abgemahnt werden!

  1. Ein Datenschutzbeauftragter ist für alle Unternehmen Pflicht, in denen in der Regel mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der Ermittlung der Personenzahl ist es egal, ob es sich bei der Person um einen Angestellten, Inhaber, Auszubildenden oder Praktikanten handelt. Ebenso ist die wöchentliche Stundenzahl irrelevant – entscheidend ist die Zahl der Köpfe. Unabhängig von der Personenzahl ist ein Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, Markt- oder Meinungsforschung verarbeitet oder genutzt werden.

Die Bestellung des Datenschutzbeauftragten hat bei Aufnahme der verarbeitenden Tätigkeiten zu erfolgen und ein Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten. Zum Datenschutzbeauftragten darf jedoch nur bestellt werden, der die dazu erforderliche Fachkunde und Zuverlässigkeit besitzt. Ebenso muss die bestellte Person unabhängig sein und die Lage objektiv betrachten können. Daher scheiden zum Beispiel die jeweiligen Inhaber des Unternehmens aus.

Die Kontaktdaten sind samt der Mitteilung über die Bestellung entsprechender Aufsichtsbehörde zu melden und zu veröffentlichen (Postanschrift, Telefon und E-Mail). Dies hat zum Beispiel auf der Website und in der Datenschutzerklärung zu erfolgen.

Eine sinnvolle Lösung für betroffene Unternehmen kann auch die Bestellung eines externen Datenschutzbeauftragten sein. Sind keine passenden Mitarbeiter im Unternehmen oder eine interne Besetzung nicht gewünscht, kann der externe Datenschutzbeauftragte mit seiner Fachkompetenz und Unabhängigkeit für das Unternehmen und im Sinne des Datenschutzes tätig werden.

5.Datenschutz ist Chefsache! Doch neben dem Tagesgeschäft bleibt oft wenig Zeit für eine konforme Umsetzung der Vorschriften. Hilfe können, IT-Spezialisten, Rechtsanwälte und Datenschutzbeauftragte bieten.