wichtiger technischer Hinweis:
Sie sehen diese Hinweismeldung, weil Sie entweder die Darstellung von Cascading Style Sheets (CSS) in Ihrem Browser unterbunden haben, Ihr Browser nicht vollst�ndig mit dem Standard HTML 5 kompatibel ist oder ihr Browsercache die Stylesheet-Angaben 'verschluckt' hat. Lesen Sie mehr zu diesem Thema und weitere Informationen zum Design dieser Homepage unter folgender Adresse:   ->  weitere Hinweise und Informationen
Suche
Anwalt gesucht?
Anwalt gefunden!
Sie haben ein rechtliches Problem? Eine individuelle Rechtsfrage? Streit mit dem Nachbarn, Chef oder Ämtern?Gehen Sie auf Nummer sicher und holen Sie sich den fachkundigen Rat eines Rechtsanwalts.Hier im Deutschen Anwaltsregister finden Sie immer den passenden Rechtsanwalt in Ihrer Nähe.Nutzen Síe Ihr Recht!

Datenschutzrecht | 15.03.2018

Datenschutzgrundverordnung (DSGVO)

Die Datenschutzgrundverordnung

Die europäische Datenschutzgrundverordnung gilt ab 25.05.2018 - Zeit für Unternehmen, sich vorzubereiten

Am 25.05.2018 ist es so weit: Die EU-Datenschutzgrundverordnung (DSGVO) tritt nach zweijähriger Übergangsfrist in Kraft. Damit kommen nicht nur auf Großunternehmen, sondern auch auf kleine Unternehmen, Blogger und in manchem Fall auch Betreiber vermeintlich privater Internetseiten gravierende Änderungen zu. Wer sich nicht rechtzeitig auf die Änderungen einstellt, muss mit Bußgeldern, viel mehr aber noch mit Abmahnungen von Mitbewerbern rechnen. Sich mit den Neuerungen der Datenschutzgrundverordnung zu beschäftigen, wird deshalb für jeden Unternehmer, in dessen Betrieb personenbezogene Daten verarbeitet werden, Pflicht.

Datenschutzgrundverordnung schreibt die Grundprinzipien des Datenschutzrechts fort

Die Grundelemente des Datenschutzes bleiben unverändert. Nach wie vor gilt das Prinzip der Zweckbindung. Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie auch erhoben wurden. Es muss sich dabei um „festgelegte, eindeutige und legitime Zwecke“ (Art. 5 Absatz 1 b DSGVO) handeln. Die Daten dürfen „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“.

Es gilt ferner – wie auch zuvor unter dem Bundesdatenschutzgesetz (BDSG) – das Prinzip der „Datenminimierung“. Die personenbezogenen Daten müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ (Art. 5 Absatz 1 c DSGVO).

Weiter gilt das Prinzip der „Richtigkeit“, wonach personenbezogenen Daten, die „im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden“ können müssen (Art. 5 Absatz 1 d DSGVO).

Das Prinzip der „Speicherbegrenzung“ besagt, dass die Daten so gespeichert werden müssen, dass die Personenidentifizierung nur so lange möglich ist, wie sie für die Zwecke, zu denen sie verarbeitet werden, erforderlich ist (Art. 5 Absatz 1 e DSGVO).

Der Verantwortliche muss dafür Sorge tragen, dass die von ihm verarbeiteten personenbezogenen Daten angemessen gesichert und vor unbefugter Verarbeitung geschützt werden. Dies gebietet der Grundsatz der „Integrität und Vertraulichkeit“ (Art. 5 Absatz 1 f DSGVO).

Schließlich gebietet die „Rechenschaftspflicht“, dass der Verantwortliche die Einhaltung der datenschutzrechtlichen Grundsätze nachweisen kann.

Verarbeitung personenbezogener Daten nur bei gesetzlicher Erlaubnis

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dies aufgrund eines gesetzlichen Erlaubnistatbestands gemäß Art. 6 DSGVO zulässig ist. Wichtigster Erlaubnistatbestand ist die Einwilligung der betroffenen Personen in die Datenverarbeitung.

Die Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten

Der Verantwortliche für die Datenverarbeitung muss nachweisen können, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Die Einwilligung kann jederzeit widerrufen werden. Auf dieses Widerrufsrecht muss der Verantwortliche hinweisen. Zudem muss die Einwilligung „freiwillig“ erfolgen. Dies ist nicht der Fall, wenn die Vertragserfüllung davon abhängig gemacht wird, dass personenbezogene Daten angegeben werden, die für die Erfüllung des Vertrags gar nicht erforderlich sind. Eine wirksame Einwilligung sollen nur Personen ab 16 Jahren abgeben können.

Ausdrückliche Einwilligung bei Verarbeitung sensibler Daten

Die Datenschutzgrundverordnung untersagt die Verarbeitung bestimmter Datenkategorien. Gemäß Art. 9 Absatz 1 DSGVO betrifft dies personenbezogene Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Dies ist eine Erweiterung der bisherigen Regeln des Bundesdatenschutzgesetzes, das beispielsweise nicht das Verbot biometrischer Daten explizit benannte.

Allerdings können solche Daten wiederum verarbeitet werden, wenn die betroffene Person ausdrücklich in die Datenverarbeitung eingewilligt hat oder wenn die Verarbeitung zur Geltendmachung von Rechtsansprüchen erforderlich ist. Auch können solche Daten, die die betroffene Person selbst öffentlich gemacht hat, verarbeitet werden.

Vorsicht bei Nutzung fremder Server: Auftragsdatenverarbeitung nur bei Einwilligung des Betroffenen erlaubt

Wichtig ist zu wissen, dass auch für die Speicherung der Daten auf einem von Dritten bereitgestellten Server die Einwilligung des Betroffenen erforderlich ist. Alternativ kann der Dritte im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO eingebunden werden. Dies betrifft auch Internetseitenbetreiber, die ihre Seite auf fremden Servern bzw. in der „Cloud“ hosten. Verarbeiten sie personenbezogene Daten, müssen sie für die Verarbeitung der Daten auf fremden Servern entweder die Einwilligung der betroffenen Personen einholen, was in der Praxis schwer zu realisieren sein dürfte, oder den Webseitenhoster mit einer Auftragsdatenverarbeitung gemäß Art. 28 DSGVO einbinden.

Die Informationspflichten nach der Datenschutzgrundverordnung

Wer Daten erhebt, hat den betroffenen Personen gegenüber umfangreiche Informationspflichten. Diese sind in Art. 13 und 14 DSGVO geregelt und sind bei Erhebung der personenbezogenen Daten der betroffenen Person zu erteilen:

  • Kontaktdaten des Datenschutzbeauftragten;
  • Zwecke und Rechtsgrundlage der Datenverarbeitung
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • gegebenenfalls die Absicht der Datenübermittlung in Drittländer
  • Dauer der Datenspeicherung bzw. Kriterien für die Festlegung dieser Dauer;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • Belehrung über ggf. Auskunfts-, Berichtigungs-, Löschung-, Einschränkungs- und Widerspruchsrecht
  • Aufklärung, aus welcher Quelle die personenbezogenen Daten stammen
  • das Bestehen einer automatisierten Entscheidungsfindung

Auskunftsrecht der Betroffenen

Diejenigen, deren personenbezogene Daten verarbeitet werden, haben ein Auskunftsrecht gegenüber dem Verantwortlichen. Gemäß Art. 15 DSGVO ist dieser ihnen zur Auskunft darüber verpflichtet, ob personenbezogene Daten verarbeitet werden. Wenn solche Daten verarbeitet werden, hat die betroffene Person Recht auf umfassende Auskunft über die Datenverarbeitung. Dies umfasst u.a. die Information über die Kategorien der Daten, die Verarbeitungszwecke, wem die Daten übermittelt offengelegt werden, die Dauer der Datenspeicherung und die ihr zustehenden Löschungs-, Berichtigungs- und Widerspruchsrechte.

Recht auf Kopie aller verarbeiteten personenbezogenen Daten und Mitnahme der Daten

Mit der Datenschutzgrundverordnung erhalten in Deutschland Betroffene erstmals das Recht auf eine Kopie der verarbeiteten personenbezogenen Daten. Die dabei entstehenden Verwaltungskosten können ihnen auferlegt werden.

Neu ist auch das nunmehr festgeschriebene Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO. Danach haben die Betroffenen das Recht, die von ihnen erhobenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und die Daten von dem Verarbeiter direkt einem anderen Verantwortlichen übermitteln zu lassen. Das heißt, dass die Betroffene ihre Daten sozusagen mitnehmen und zu einem anderen Datenverarbeiter umziehen können. Relevant kann dies beispielsweise bei der Nutzung sozialer Netzwerke sein, bei denen Nutzer den Anbieter künftig wechseln können, ohne Daten zu „verlieren“ oder neu eintragen zu müssen.

Das Recht auf Vergessenwerden

Art. 17 DSGVO räumt den Betroffenen ein ausdrückliches Recht auf Löschung („Recht auf Vergessenwerden“) ein. Danach können sie etwa bei Widerruf ihrer Einwilligung in die Datenverarbeitung oder bei Auslaufen der Zweckbestimmung die Datenlöschung verlangen.

Unternehmen müssen Datenschutzbeauftragten benennen

Für Unternehmen – auch vergleichsweise kleine Betriebe – erhöhen sich die datenschutzrechtlichen Pflichten mit der neuen Datenschutzgrundverordnung deutlich. So müssen Unternehmen gemäß Art. 37 DSGVO einen Datenschutzbeauftragten benennen,

  • wenn ihre „Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, oder
  • wenn ihre „Kerntätigkeit in der umfangreichen Verarbeitung besonderes sensibler“ Datenkategorien gemäß Artikel 9 oder 10 DSGVO (z.B. Daten über die rassische oder religiöse Herkunft, über politische Meinungen etc.) besteht.

Nach § 38 DSAnpUG-EU (Datenschutz-Anpassungsgesetz zur Anpassung der Datenschutzgrundverordnung an das deutsche Datenschutzrecht) ist ferner ein Datenschutzbeauftragter zu benennen, wenn in der Regel „mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten in dem Unternehmen beschäftigt sind.

Darüber hinaus ist unabhängig von der Zahl der Mitarbeiter des Unternehmens dann ein Datenschutzbeauftragter zu benennen, wenn „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung„ verarbeitet werden.

Unternehmen müssen Datenschutz ihrer Auftragsverarbeiter sicherstellen

Unternehmen dürfen personenbezogene Daten auch weiterhin durch Dritte verarbeiten lassen (Auftragsdatenverarbeitung) – allerdings gemäß Art. 28 DSGVO unter der Bedingung, dass der Auftragsverarbeiter hinreichend Garantien dafür bietet, „dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutzgrundverordnung erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

Das Verzeichnis von Verarbeitungstätigkeiten

Art. 30 DSGVO regelt schließlich eine mit der Datenschutzgrundverordnung neu eingeführte Pflicht, die Unternehmen zumindest in der Anfangsphase einiges Kopfzerbrechen bereiten dürfte: Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Danach muss jeder für die Datenverarbeitung Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Auch der Auftragsverarbeiter ist verpflichtet, ein solches Verzeichnis zu führen.

An dem Führen eines solchen Verarbeitungsverzeichnisses wird kaum ein Unternehmen herumkommen. Die Datenschutzgrundverordnung ist an diesem Punkt sehr streng und sieht gemäß Art. 30 Absatz 5 DSGVO lediglich für Unternehmen mit weniger als 250 Mitarbeitern, in denen die Datenverarbeitung bestimmte Voraussetzungen erfüllt, eine Ausnahme vor. Eine der Voraussetzungen lautet, dass die Datenverarbeitung nur gelegentlich erfolgt. Dies dürfte die allerwenigsten Unternehmen betreffen.

Das Verarbeitungsverzeichnis hat folgende Angaben zu enthalten:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Das Verarbeitungsverzeichnis ist schriftlich (auch in elektronischem Format) zu führen. Das Verzeichnis ist der zuständigen Aufsichtsbehörde auf Anfrage jederzeit vorzulegen.

Die Datenschutz-Folgenabschätzung

Zusätzlich zum Verarbeitungsverzeichnis müssen Unternehmen, in denen die Datenverarbeitung „ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“, gemäß Art. 35 DSGVO vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung vornehmen. Dies kann insbesondere bei Verwendung entsprechend risikobehafteter neuer Technologien relevant werden.

Fazit: Datenschutzgrundverordnung verlangt Unternehmen umfangreiche Vorbereitungen ab

Die ab dem 25.05.2018 geltende Datenschutzgrundverordnung verlangt allen, die entsprechend der Verordnung personenbezogene Daten verarbeiten, einige organisatorische Vorkehrungen ab. Insbesondere die Pflicht zur Führung eines Verarbeitungsverzeichnisses ist ernst zu nehmen und erfordert einige Fleißarbeit. Denn es muss sich ein Verantwortlicher hinsetzen und das Verarbeitungsverzeichnis erst einmal neu erstellen. Es ist keineswegs damit getan, erst einmal abzuwarten und auf eine etwaige Anforderung der Aufsichtsbehörde zu warten. Denn dann ist es zu spät. Die Datenschutzgrundverordnung sieht empfindliche Bußgelder vor. Diese sind so weit bemessen, dass sie auch Großunternehmen beeindrucken können sollen. Gemäß Art. 83 Absatz 1 DSGVO haben die Aufsichtsbehörden sicherzustellen, „dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“. Gemäß Absatz 5 können „Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt“ werden.

Darüber hinaus hat gemäß Art. 82 DSGVO „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“.

So weit sollte es kein Unternehmen kommen lassen. Es lohnt sich also, sich rechtzeitig mit der Datenschutzgrundverordnung und den mit ihr einhergehenden Pflichten auseinanderzusetzen und das Unternehmen rechtzeitig für den Stichtag 25.05.2018 fit zu machen.

Anwalt für Datenschutzgrundverordnung

Wenn Sie weitere Fragen zur Umsetzung der Datenschutzgrundverordnung haben, wenden Sie sich am besten an einen entsprechenden Anwalt. Hier im DAWR haben wir für Sie eine Anwaltsliste zusammengestellt: Anwalt für Datenschutzgrundverordnung (Anwaltsliste).

Mehr Infos zur Datenschutzgrundverordnung

Quelle: DAWR/we
BewertungssternBewertungssternBewertungssternBewertungssternBewertungssternBewertung: 3.9 (max. 5)  -  8 Abstimmungsergebnisse Bitte bewerten Sie diesen Artikel.0





       Sie sind Anwalt?! Werden Sie ein Teil vom Deutschen Anwaltsregister (DAWR) und stellen Sie sich und Ihre Kanzlei ausführlich vor!Profitieren Sie von der großen Reichweite des DAWR und seiner Partnerportale.Klicken Sie hier und nutzen Sie jetzt Ihre Gelegenheit
auf mehr Mandate aus dem Internet!

#5170

URL dieses Artikels: https://www.dawr/d5170
 für RechtsanwälteEin Kanzleiprofil beim DAWR kann auch Ihnen helfen!