Die Datenschutzgrundverordnung betrifft alle Unternehmen, in denen personenbezogene Daten verarbeitet werden – und seien es nur die Daten der eigenen Mitarbeiter.
Gesetzliche Vorgaben zur Verarbeitung personenbezogener Daten
Hinsichtlich der Verarbeitung personenbezogener Daten ist äußerste Vorsicht geboten, da die Datenschutzgrundverordnung – genauso wie bislang das Bundesdatenschutzgesetz – dezidiert regelt, unter welchen Voraussetzungen die Daten überhaupt erhoben und genutzt werden dürfen.
So schreibt die Datenschutzgrundverordnung die Prinzipien der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie der Rechenschaftspflicht vor.
„Unternehmer, Händler, Dienstleister, kurz alle, die personenbezogene Daten automatisiert erfassen, verwalten oder speichern, sollten dieses Thema keinesfalls unterschätzen. Denn Verstöße gegen die DSGVO können streng geahndet werden,“ so in seinem im DAWR veröffentlichten Fachbeitrag zur Datenschutzgrundverordnung.
Einwilligung oder gesetzliche Erlaubnis für Datenverarbeitung erforderlich
Personenbezogene Daten dürfen nur bei ausdrücklicher Einwilligung der betroffenen Person oder bei Vorliegen eines sonstigen gesetzlichen Erlaubnistatbestands verarbeitet werden. Handelt es sich um besonders sensible Daten wie Angaben zur ethnischen Herkunft oder politischen oder religiösen Überzeugungen, so darf eine Verarbeitung nur unter eingeschränkten Voraussetzungen erfolgen.
Rechte der betroffenen Personen
Die betroffenen Personen, deren Daten verarbeitet werden, haben ein gesetzliches Auskunftsrecht gegen den für die Datenverarbeitung Verantwortlichen und können eine Kopie der gespeicherten Daten sowie unter bestimmten Voraussetzungen die Löschung verlangen.
Bei Verstoß gegen Datenschutzgrundverordnung drohen Schadenersatz und Geldbußen
Unternehmer, die sich nicht an die gesetzlichen Vorgaben zur Verarbeitung personenbezogener Daten halten, können zum einen von den betroffenen Personen rechtlich belangt werden und sind diesen gegenüber hinsichtlich entstandener Schäden ersatzpflichtig. Ferner können sie von der zuständigen Aufsichtsbehörde mit sehr empfindlichen Geldbußen belegt werden. Es können Geldbußen bis zu 20.000.000 Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens verhängt werden.
Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten
Die Einführung der Datenschutzgrundverordnung bringt einige Neuerungen für Unternehmen mit sich. Eine der wichtigsten und einen nicht zu unterschätzenden Arbeitsaufwand erfordernden Neuerungen ist die mit der Verordnung gemäß Artikel 30 DSGVO eingeführte Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Ab dem 25.05.2018 muss in jedem Unternehmen, in dem personenbezogene Daten verarbeitet werden, ein solches Verzeichnis aller Verarbeitungstätigkeiten geführt werden. Nutzt das Unternehmen die Dienste eines Auftragsverarbeiters, so ist auch dieser zur Führung eines solchen Verzeichnisses verpflichtet.
Die Vorgaben des Artikel 30 DSGVO sehen eine sehr detaillierte Dokumentation der Verarbeitungstätigkeiten vor. Das Verzeichnis ist auf Verlangen unverzüglich der Aufsichtsbehörde vorzulegen. Auch hier drohen bei Verstoß hohe Geldbußen. Um dies zu vermeiden, sollten sich Unternehmer rechtzeitig mit der Datenschutzgrundverordnung auseinandersetzen und die gesetzlichen Vorgaben umsetzen.
Pflicht zur Benennung eines Datenschutzbeauftragten
Viele Unternehmen trifft ferner nach der Datenschutzgrundverordnung die Pflicht, einen Datenschutzbeauftragten zu benennen. Dies regelt Artikel 37 DSGVO, ergänzt durch § 38 des deutschen Datenschutz-Anpassungsgesetzes (DSAnpUG-EU). Danach muss ein Datenschutzbeauftragter benannt werden, wenn in der Regel „mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ in dem Unternehmen beschäftigt sind. Unabhängig von der Mitarbeiterzahl ist ferner immer dann ein Datenschutzbeauftragter zu benennen, wenn „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden.
Auch hier gilt: Verstöße gegen die Pflicht zur Benennung eines Datenschutzbeauftragten können mit hohen Geldbußen belegt werden. Dabei ist zu beachten, dass es mit der unbedachten schnellen Beauftragung irgendeines Mitarbeiters zum „Datenschutzbeauftragten“ nicht getan ist. Zum einen schreibt die Datenschutzgrundverordnung eine ausreichende Qualifikation vor, über die der Datenschutzbeauftragte verfügen muss. Zum anderen sind die betrieblichen und arbeitsrechtlichen Konsequenzen der Benennung zu bedenken. Der Datenschutzbeauftragte ist hinsichtlich seiner Aufgaben als Datenschutzbeauftragter nicht weisungsgebunden und genießt in arbeitsrechtlicher Hinsicht das Privileg, für die Dauer seiner Amtszeit sowie ein Jahr darüber hinaus vor einer ordentlichen Kündigung geschützt zu sein.
Beratung durch Rechtsanwalt für Datenschutzrecht
Die Einführung der europäischen Datenschutzgrundverordnung und ihre Umsetzung sind von nicht zu unterschätzender Bedeutung für alle Unternehmen, die personenbezogene Daten verarbeiten. Um den reibungslosen Betrieb auch nach Inkrafttreten der Verordnung sicherzustellen und Gesetzesverstöße, die in Form von Schadenersatzforderungen und Geldbußen unangenehme Folgen zeitigen können, zu vermeiden, lohnt es sich, die gesetzlichen Anforderungen an den Betrieb zu prüfen und eventuell erforderliche Schritte umzusetzen.
Dabei kann die Unterstützung durch einen Rechtsanwalt für Datenschutzrecht helfen. Dieser kann Unternehmen zu allen Fragen des mittlerweile sehr komplexen Datenschutzes und der Datenschutzgrundverordnung sowie der Umsetzung der mit ihrem Inkrafttreten einhergehenden gesetzlichen Vorgaben beraten.
Anwalt für Datenschutzgrundverordnung
Liste von Rechtsanwälten und Rechtsanwaltskanzleien
An diese Rechtsanwälte und Rechtsanwaltskanzleien können Sie sich wenden, wenn Sie Fragen bei der Umsetzung der Datenschutzgrundverordnung haben:
Anwälte aus Nordrhein-Westfalen
- Rechtsanwalt Dr. Lutz KeppelerHeuking, Kühn, Lüer, WoitekMagnusstr. 13, 50672 Köln
- Rechtsanwältin Silvia C. BauerLuther Rechtsanwaltsgesellschaft mbHAnna-Schneider-Steig 22, 50678 Köln
- Rechtsanwalt Jan Philip SchlepperRickert Rechtsanwaltsgesellschaft m.b.HKaiserplatz 7-9, 53113 Bonn
Anwälte aus Berlin
- Rechtsanwalt Dr. Martin SchirmbacherHärting RechtsanwälteChausseestr. 13, 10115 Berlin
- Rechtsanwältin Kathrin SchürmannSchürmann Rosenthal DreyerAm Hamburger Bahnhof 4, 10557 Berlin
- Rechtsanwalt Thomas SchwenkeRechtsanwalt Thomas SchwenkePaul-Lincke-Ufer 42/43, 10999 Berlin
Anwälte aus Sachsen
- Rechtsanwalt Peter HenseSpirit Legal LLPPetersstr. 15, 04109 Leipzig
- Rechtsanwalt Maik RingelKPMG Law Rechtsanwaltsgesellschaft mbHMünzgasse 2, 04107 Leipzig
Anwälte aus Bayern
- Rechtsanwalt Dr. Philipp HerrmannPRW RechtsanwälteLeonrodstr. 54, 80636 München
- Rechtsanwalt Stephan HendelRechtsanwälte Gabler & HendelBajuwarenstr. 2e, 93053 Regensburg
Anwälte aus Baden-Württemberg
- Rechtsanwalt Florian HitzlerBrüllmann RechtsanwälteRotebühlplatz 1, 70178 Stuttgart
- Rechtsanwalt Dr. Andreas WittGDK RechtsanwälteBismarckallee 15, 79098 Freiburg
Anwälte aus Niedersachsen
- Rechtsanwalt Dr. Jan Valentin DeichselBusch Deichsel Hebrant von KleistHinterdeich 119 b, 21635 Jork
Anwälte aus Hamburg
- Rechtsanwalt Dr. Jan-Dierk SchaalKPMG Law Rechtsanwaltsgesellschaft mbHLudwig-Erhard-Str. 11-17, 20459 Hamburg
Anwälte aus Hessen
- Rechtsanwältin Dr. Stefanie HellmichLuther Rechtsanwaltsgesellschaft mbHAn der Welle 10, 60322 Frankfurt am Main
Anwälte aus Brandenburg
- Rechtsanwalt David SeilerRechtsanwalt David SeilerChausseestr. 19, 03051 Cottbus
Die Liste der hier genannten Rechtsanwälte und Rechtsanwaltskanzleien ist als Empfehlung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. Es gibt viele weitere Rechtsanwälte und Rechtsanwaltskanzleien, an die Sie sich wenden können, wenn Sie Fragen zur Datenschutzgrundverordnung haben.
