Datenschutzgrundverordnung (DSGVO) – Stichtag 25. Mai 2018

Was bedeutet die Datenschutz-Grundverordnung (DSGVO) für mich?

Gefühlt erscheinen täglich unzählige Beiträge und Newsletter, die von hohen Geldbußen berichten, die bei der Nichtbeachtung der neuen Datenschutz-Grundverordnung drohen. So neu ist die DSGVO allerdings gar nicht; Sie ist bereits vor 2 Jahren in Kraft getreten. Ab dem 25. Mai 2018 sind die Vorschriften jedoch zwingend zu beachten. Grundsätzlich herrscht viel Unsicherheit, da der Gesetzgeber nicht immer verständliche Regelungen getroffen hat und einiges wahrscheinlich erst durch die Rechtsprechung Klarheit erhalten wird.

Für wen gilt die DSGVO?

Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Somit sind nicht nur elektronische Daten erfasst, sondern auch einfache Karteikartensysteme.

Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen (Art. 4 DSGVO), also z.B. Name, Wohnort, Steueridentifikationsnummer, Religionszugehörigkeit. Das Verarbeiten dieser Daten meint praktisch alle Vorgänge: speichern, erheben, nutzen, ändern oder löschen.

Wenn Sie daher Dienstleistungen oder Waren in Deutschland oder der EU verarbeiten und/oder Mitarbeiter in Ihrem Unternehmen führen, ist die DSGVO für Sie anwendbar. Jeder Handwerksbetriebsinhaber, Frisör, Makler usw. muss sich daher zwingend mit dem Thema beschäftigen.

Was ist zu tun?

Zunächst einmal besteht die Verpflichtung, ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO zu erstellen.

Werden mehr als 10 Arbeitnehmer beschäftigt, ist ein Datenschutzbeauftragter zu bestellen. Allerdings kann dies auch erforderlich sein, wenn weniger als 10 Arbeitnehmer beschäftigt sind und bestimmte Daten verarbeitet werden (z.B. Gesundheitsdaten). Die Kontaktdaten des Datenschutzbeauftragten sind der Aufsichtsbehörde zu melden.

Überprüfen Sie Ihre IT. Die Daten müssen vertraulich geführt werden, d.h. vor Blicken anderer geschützt sein. Sichern Sie Ihre PCs mit Passwörtern und nutzen Sie aktuelle Virenschutzsoftware.

Überprüfen Sie Ihre Homepage: Gibt es dort einen extra geführten Datenschutzhinweis (nicht im Impressum enthalten). Haben Sie Cookies aktiviert? Gibt es ein Kontaktformular mit Hinweis auf die Datenverarbeitung?

Welche Grundsätze gelten für die Verarbeitung?

Die Verarbeitung personenbezogener Daten ist nach Art. 6 Abs. 1 DSGVO nur rechtmäßig, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung erforderlich ist oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen der betroffenen Person überwiegen.

Überprüfbarkeit

Zukünftig müssen Verantwortliche nicht nur die Vorschriften einhalten, sondern deren Einhaltung auch gegenüber der Aufsichtsbehörde nachweisen können. Es empfiehlt sich daher eine schriftliche Dokumentation.

Betroffenenrechte

Die Betroffenen haben eine Vielzahl von Rechten, die hier nur kurz dargestellt werden können:

– Transparenz: Wann immer Daten verarbeitet werden, muss der Betroffene hierauf einen Hinweis erhalten
– Auskunft: Der Betroffene hat ein Auskunftsrecht; Prüfen Sie jedoch auch, dass der „Richtige“ von Ihnen die Auskunft fordert
– Berichtigung, Löschung und Einschränkung der Verarbeitung: Der Betroffene hat ein Recht auf Korrektur und Löschung seiner Daten (letzteres jedoch nur, wenn für die Erfüllung des ursprünglichen Zwecks eine Speicherung nicht mehr erforderlich ist).
– Datenübertragbarkeit

Sanktionen

Kommt es zu einer Verletzung des Schutzes der personenbezogenen Daten, ist dies im Regelfall der Aufsichtsbehörde unaufgefordert zu melden (Beispiel: Serverdaten sind gestohlen worden). Wird die Meldung unterlassen, kann ein Bußgeld verhängt werden.

Die Geldbußen können erheblich sein; sie sollen gem. Art. 83 Abs I DSGVO „verhältnismäßig und abschreckend“ sein. Auch kleineren Unternehmen können daher Bußgelder im vier- oder fünfstelligen Bereich drohen.

Der Artikel gibt lediglich einen kurzen Einblick in die neue Datenschutzproblematik, um Sie zu sensibilisieren. Sprechen Sie uns gerne für eine umfassendere Beratung an.