Neues im Datenschutzrecht

Start-Ups und Mittelständler unter Handlungsdruck?!

Neues im Datenschutzrecht

Am 25. Mai 2018 wird die europäische Datenschutzgrundverordnung (DSGVO) das derzeit geltende Datenschutzrecht ablösen. Betroffen sind im Prinzip alle Unternehmer – von Unternehmen, die mit besonders sensiblen Daten agieren, sind dann sogar noch deutlich weitreichendere Pflichten zu erfüllen.34 D

 

Hinzu kommt, dass aufgrund der rund 60 Öffnungsklauseln, welche die datenschutzrechtlichen Regelungen der DSGVO konterkarieren, weitere Gesetze, wie das zeitgleich in Kraft tretende neue Bundesdatenschutzgesetz (BDSG-2018), ergänzend gelten – Zugzwang also für Freiberufler, Gewerbetreibende und Unternehmer, die sich bislang noch nicht auf die Gesetzesänderung vorbereiten haben! Wer ist betroffen? Die DSGVO findet Anwendung auf jede automatisierte und nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert werden. Damit ist fast jeder Verantwortliche, der EDV zur Verwaltung personenbezogener Daten verwendet, von den neuen Regelungen betroffen. Es geht dabei um alle Informationen, die sich auf eine identifizierbare natürliche Person, wie bspw. Lieferanten, die eigenen Arbeitnehmer und auch Kunden, beziehen. Zu den Daten gehört übrigens bereits die IP-Adresse eines Internetnutzers! Frage ist nun, welche neuen Verpflichtungen sich aus dieser Novelle ergeben. Die Verarbeitung von personenbezogenen Daten unterliegt grundsätzlich einem Verbot mit Erlaubnisvorbehalt. Dies bedeutet, es dürfen ohne ausdrückliche Einwilligung des Betroffenen, einer Kollektivvereinbarung oder gesetzliche Erlaubnis keine personenbezogenen Daten erhoben, gespeichert, verwendet, weitergeben oder in einer anderen Art und Weise verarbeitet

werden. Die DSGVO fixiert nun, dass jede Verarbeitung

personenbezogener Daten den Grundsätzen der Rechtsmäßigkeit,

Verarbeitung nach Treu und Glauben, Zweckbindung,

Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit gerecht werden muss.

Jeder Verantwortliche ist zur Einhaltung dieser Grundsätze verpflichtet und muss die datenschutzkonforme Verarbeitung nachvollziehbar dokumentieren. Wenn nicht, drohend deutlich verschärfte Strafen, denn die Aufsichtsbehördenwerden künftig wohl wesentlich häufiger und dezidierter prüfen! Was ist zu tun? Das Vorgehen im Einzelfall ist aufgrund der Komplexität des Datenschutzes natürlich nur durch eine individuelle Betrachtung der Arbeitsabläufe und Verfahren rechtssicher zu beurteilen. Allerdings treffen gewisse Aspekte nahezu jeden Verantwortlichen. Es muss durch geeignete Verfahren gewährleistet werden, dass die zum 25. Mai2018 erweiterten Rechte der Betroffenen sichergestellt sind. Diese umfassen den Anspruch auf Auskunft, Löschung, Berichtigung, Einschränkung, Übertragbarkeit und Widerspruch. Die oben genannten Grundsätze sind durchtechnische und organisatorische Maßnahmen (TOM)sicherzustellen. Dabei hat die Umsetzung nach dem jeweils aktuellen Stand der Technik zu erfolgen. So ist beispielsweiseeine effektive Verschlüsselung von Daten und ein Rollenkonzept für Zugriffsberechtigte als grundlegend anzusehen. Ebenfalls sollen durch die TOM auch die Betroffenenrechtegarantiert werden, woran sich die innere Verschachtelung der neuen Datenschutzregelungen erkennen lässt. Weiteres Augenmerk muss in der Praxis auf der Umsetzung der umfassenden Rechenschaftspflicht liegen. Ein zentraler Aspekt hierbei ist das zu führende und bei Aufforderung der Aufsichtsbehörde zu übergebende Verfahrensverzeichnis, das alle Verfahren zur Verarbeitungen von personenbezogenen Daten beinhalten muss. Und dann noch zum Stichwort Datenschutzbeauftragter: den benötigen Unternehmen in Zukunft in der Regel, wenn sie mindestens 10 Personen beschäftigt haben oder wenn es sich beim Kerngeschäft um sensible Daten (wie bspw. Gesundheitsdaten, Daten zur Religionszugehörigkeit, …)dreht. Letzteres ist dabei weit auszulegen: es wird bspw.

bereits dann angenommen, wenn in der Personalabteilung sensible Daten wie die Religionszugehörigkeit oder die Gewerkschaftszugehörigkeit verarbeitet werden. Es geht aber nicht nur um Sie! Ein weiterer wichtiger Aspekt ist die Überprüfung der Auftragsverarbeitung durch Dritte (früher: Auftragsdatenverarbeitung).Diese liegt vor, wenn ein Dritter für den Verantwortlichen personenbezogene Daten verarbeitet. Beispiele sind hier die monatliche Buchhaltung durch den Steuerberater, die Lohnbuchhaltung durch einen Dienstleister, die Fern- oder Präsenzwartung der EDV-Systeme durch einen IT-Dienstleister, die Übergabe von Adressdaten an ein Logistikunternehmen oder sogar das mit der Vernichtung von Altakten beauftragte Entsorgungsunternehmen. Mit jedem Auftragsverarbeiter muss ein gesonderter Vertrag zur Verarbeitung dieser Daten geschlossen werden. Hat dieser seinen Sitz in einem Drittland, kann er nicht ohne weiteres rechtskonform beauftragt werden. Hier bedarf es weitergehender Regelungen und unter Umständen einer selektiven Auswahl eines geeigneten Partners. 

Was passiert, wenn nichts passiert? Aussitzen sollten Sie die Angelegenheit nicht! Was droht, wenn die gesetzlichen Vorgaben nicht eingehaltenwerden, ist nämlich schon geregelt! Und die Konsequenzen sind weitreichend: Nach Art. 82der DSGVO wird nun eine Haftung und ein Schadensersatzanspruch der Betroffenengeregelt. Hinzu kommen nicht unempfindliche Geldbußen bis zur Millionenhöhe bzw. ein bis zu4-prozentiger Anteil am gesamten weltweit erzielten Vorjahresumsatz– je nachdem welcher Betrag höher ist. Für die Bemessung der Geldbußen ist entscheidend, dass diese wirksam und verhältnismäßig, aber vor allem auch abschreckend sein sollen. Es ist daher zu erwarten, dass ab dem 25. Mai 2018 deutlich höhere Bußgelder als bisher verhängt werden. Und aufgrund der bestehenden Öffnungsklauseln der DSGVO kommen weitere Straf- und Bußgeldvorschriften der §§ 42, 43 BDSG-2018 hinzu. Es droht mitunter eine Freiheitsstrafe von bis zu 3 Jahren. Und nun? Jeder Verantwortliche hat jetzt schnellstmöglich zu klären, ob er alle erforderlichen Maßnahmen getroffen hat, um keinen Sanktionen ausgesetzt zu sein! Dies bedarf im Regelfalleine umfassende Soll-/Ist-Analyse, um anschließend einen Umsetzungsplan zu erstellen. Jedenfalls kann nicht geraten werden, die neuen Anforderungen der DSGVO und des BDSG-neu unvorbereitet auf sich zukommen zu lassen.

RA Sebastian Günnewig

Drucken Drucken