KOSTENLOSES
ERSTGESPRÄCH
unkompliziert & kostenfrei!
Wir freuen uns auf Sie!
Kanzlei Mutschke Datenschutz Anwalt

Was hat sich konkret in Bezug auf die gesetzlichen Grundlagen geändert?

Kurz gesagt: Zum 25.05.2018 hat sich im Datenschutzrecht (fast) alles verändert:

  1. Das bis zum 25.05.2018 noch geltende Bundesdatenschutzgesetz (BDSG alt) mit 48 Paragraphen wurde aufgehoben.
  2. Die DSGVO regelt als europäische Verordnung nunmehr auch in Deutschland als unmittelbar geltendes Recht den Datenschutz mit 99 Artikeln, die zusätzlich mit den 173 Erwägungsgründen zu lesen sind.
  3. Eine abweichende Regulierung durch deutsches Recht ist nur möglich, soweit dies durch sogenannte Öffnungsklauseln in der DSGVO vorgesehen ist. Tatsächlich gibt es zahlreiche Öffnungsklauseln, je nach Zählweise sind es 50 bis 60 Öffnungsklauseln.
  4. Aufgrund dieser Öffnungsklauseln ist – neben der DSGVO – auch noch das zum 25.05.2018 in Kraft getretene neue Bundesdatenschutzgesetz (BDSG neu) mit 84 Paragraphen zu beachten.

Ergebnis: Das deutsche Datenschutz-Recht (BDSG) wurde in weiten Teilen durch europäische Regelungen (DSGVO) ersetzt und insgesamt deutlich erweitert. Ohne professionelle Hilfe ist es erheblich schwerer geworden, sich im Paragraphen-Dschungel zurechtzufinden.

Gilt die DSGVO überhaupt für mein Unternehmen oder sind wir nicht betroffen?

Ja, die DSGVO gilt sehr wahrscheinlich für Sie. Denn das neue Recht bezieht sich nicht nur auf Großkonzerne, sondern genauso auf kleine Handwerksunternehmen, Start-ups, Vereine und sonstige gewerbliche Unternehmungen. Der Aufwand zur Umsetzung kann je nach Größe des Unternehmens natürlich überschaubarer sein, die Informationen, die Sie hier finden, gelten aber für alle.

 Machen Sie hier direkt den Schnelltest:

  1. Erheben, erfassen, ordnen, verwenden Sie in irgendeiner Form personenbezogene Daten, wie zum Beispiel Namen, Online-Kennungen, besondere Merkmale von Personen und erfolgt dies nicht ausschließlich für persönliche oder familiäre Zwecke?
  1. Geschieht dies in der europäischen Union?

Sollten Sie beide Fragen mit „Ja“ beantwortet haben – was auf nahezu alle Unternehmen und Geschäftsleute in Europa zutreffen dürfte –, ist die DSGVO auch in Ihrem Unternehmen zwingend umzusetzen. Was viele vergessen: Selbst wenn Sie keine Kundendaten erheben, aber Mitarbeiter beschäftigen, verarbeiten Sie im Rahmen der Gehaltsabrechnungen personenbezogene Daten. Mehr dazu, ob Sie möglicherweise sogar einen Datenschutzbeauftragten in Ihrem Unternehmen einsetzen müssen, erfahren Sie unter „Datenschutzbeauftragter“.

Business-Partner verlangen Verträge
Geschäftspartner wollen oder müssen Verträge zur DSGVO mit Ihnen schließen, insbesondere Auftragsdatenverarbeitungsverträge und Verschwiegenheitsvereinbarungen.
Beschwerdebezogene Prüfung
Es ist jederzeit eine beschwerdebezogene Prüfung durch die Aufsichtsbehörde möglich. Die Behörde muss jeder Beschwerde nachgehen.
Anlasslose Prüfung
Es ist außerdem jederzeit eine anlasslose Prüfung durch die Aufsichtsbehörden möglich.
Auskunftsverlangen
Betroffene können Informations-, Auskunfts- und Beschwerderechte geltend machen. Sie sollten wissen, was dann zu tun ist. Sonst droht Ärger.
Meldung an Behörde
Sie müssen sich möglicherweise selbst an die Behörde wenden. Auch für einen solchen Fall sollten Sie vorbereitet sein.
IT-Sicherheit
Grundlage des Datenschutzes bildet eine belastbare IT-Sicherheit.
Datenschutzbeauftragter
Möglicherweise müssen Sie in Ihrem Unternehmen einen Datenschutzbeauftragten bestellen und melden.
Arbeitsabläufe prüfen
Arbeitsabläufe müssen kritisch betrachtet und ggf. modifiziert werden.

Warum besteht Handlungsbedarf?

Auch wenn vielleicht nicht direkt eine Abmahnung oder behördliche Prüfung ins Haus steht, sollten Sie folgende Szenarien bedenken, in denen Sie nachweisen müssen, dass Sie die Vorgaben der DSGVO einhalten:

Umsetzung der DSGVO im Unternehmen

Was ist zu tun?

Viele Unternehmen haben inzwischen „irgendwelche“ Maßnahmen eingeführt und meinen, vielleicht schon alles erledigt zu haben. Bei uns können Sie auch den Selbsttest machen. Unsere Checkliste wird zeigen, wie fit Sie im Datenschutz sind.

Leider haben einige Unternehmen auch noch gar nichts zur Umsetzung der DSGVO getan. Dann stehen zunächst folgenden drei Aufgaben an:

Anwalt Kanzlei Datenschutz

1. Aufgabe: Analyse der Prozesse im eigenen Unternehmen:

Erkennen und bewerten Sie datenschutzrelevante Risiken!

Kanzlei Datenschutz DSGVO düsseldorf

2. Aufgabe: Finden Sie geeignete Maßnahmen in Bezug auf das jeweils erkannte Risiko!

Ein Ansatz könnte beispielsweise die Verschlüsselung von E-Mails sein. Auch verschärfte Dienstanweisungen und regelmäßige Schulungen für Mitarbeiter in Bezug auf den Umgang mit Daten sollten Sie im Blick haben. Bereits die Sensibilisierung von Mitarbeitern und ein aufgeräumter Schreibtisch, der nicht jedem Einblick in sensible Daten gewährt, sind erste Schritte. Auch eine (schriftliche) Verpflichtung Ihrer Mitarbeiter dazu, dass die Verarbeitung von personenbezogenen Daten nach den Grundsätzen der DSGVO durchgeführt wird, sollte erfolgen.

Anwalt Kanzlei Datenschutz

3. Aufgabe: Dokumentation der Prozesse:

Eine wesentliche Aufgabe, die die DSGVO für Unternehmen mit sich bringt, ist die Erstellung eines Verarbeitungsverzeichnisses. In diesem Verzeichnis hat jedes Unternehmen die eigenen Prozesse schriftlich festzuhalten. Folgende Inhalte sollte das Verzeichnis dabei mindestens aufweisen:

1. Verantwortliche
2. Namen und Kontaktdaten
3. genaue Beschreibung der Verarbeitungstätigkeit
4. Zwecke der Verarbeitung
5. Kategorien betroffener Personen und personenbezogener Daten
6. Rechtsgrundlage für die Erhebung, Verarbeitung und Speicherung der Daten
7. Kategorien von Empfängern
8. Übermittlung an Drittländer
9. Speicherdauer
10. Technische und organisatorische Maßnahmen

Zudem ist zu empfohlen, am Ende der Dokumentation weitere Bausteine einer umfassenden Dokumentation beizufügen, wie zum Beispiel
• Dokumentation interner Verhaltensregeln
• Dokumentation einer Risikoanalyse
• Dokumentation des Datensicherheits-Konzepts
• Ergebnis einer Datenschutz-Folgenabschätzung

Dieses Verzeichnis muss gepflegt und in regelmäßigen Abständen immer wieder geprüft werden. Änderungen und Prüfungen sind ebenfalls zu dokumentieren!

Je geringer das Risiko eingestuft wird, desto eher kann dies gegebenenfalls sogar akzeptiert werden. Wichtig ist, dass Sie eine Risikoeinstufung vornehmen und adäquate technische und organisatorische Maßnahmen einführen. Auch hinsichtlich des „konkreten Handlungsbedarfs gegenüber Businesspartnern“ sollten Sie sich informieren.

Mutschke Rechtsanwaltsgesellschaft mbH

Konkreter Handlungsbedarf gegenüber Business-Partnern

 

In Bezug auf Business-Partner ergibt sich durch die DSGVO eine größere Veränderung im Bereich der Auftragsdatenverarbeitung, also immer dann, wenn Ihr Vertragspartner von Ihnen Zugriff auf personenbezogene Daten erhält. Dies geschieht wesentlich häufiger als Sie vielleicht meinen. Haben Sie zum Beispiel externe IT-Betreuung? Dann verarbeitet diese höchstwahrscheinlich in Ihrem Auftrag personenbezogene Daten.

Was ist bei der Auftragsdatenverarbeitung (ADV) zu beachten?

Nach Art. 28 DSGVO muss der Verantwortliche den Auftragsverarbeiter sorgfältig auswählen, das heißt:
– Auch der Auftragsverarbeiter muss technische und organisatorische Maßnahmen durchführen, damit die DSGVO eingehalten wird. Diese Maßnahmen dürfen das Niveau der Datenschutzmaßnahmen in Ihrem Unternehmen nicht unterschreiten.
– Es muss ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter geschlossen werden, der den Auftragsverarbeiter in Bezug auf den Umgang mit den Daten klar bindet, siehe auch Art. 29 DSGVO.

Anwalt Kanzlei Datenschutz

Müssen Sie einen Datenschutzbeauftragten für Ihr Unternehmen benennen?

Diese Frage ist relativ leicht zu beantworten. Machen Sie den schnellen Selbsttest:

1. Besteht Ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen?

oder

2. Besteht Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten wie zum Beispiel Gesundheitsdaten, politische Meinungen, religiösen Überzeugungen, strafrechtliche Verurteilungen?

Sollten Sie beide Fragen verneinen können, so spricht vieles dafür, dass jedenfalls nach der DSGVO keine Pflicht zur Benennung eines Datenschutzbeauftragten trifft.

Mutschke Rechtsanwaltsgesellschaft mbH
Anwalt Kanzlei Unternehmensrecht

Aber möglicherweise ergibt sich diese Pflicht aus den gesetzlichen Regelungen, die nach dem deutschen Recht parallel zur DSGVO anwendbar sind:

1. Verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung?

oder

2. Beschäftigen Sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten? Dabei spielt es keine Rolle, ob Ihre Angestellten in Voll- oder Teilzeit arbeiten. Es gilt das sogenannte „Kopf-Prinzip“.

Sollten Sie eine dieser Fragen bejahen, sind Sie ebenfalls verpflichtet, einen Datenschutzbeauftragten zu benennen. Gerade die letzte abgefragte Fallkonstellation ist von den meisten mittelständischen Unternehmen zu bejahen. Auch wenn im Reflex viele Unternehmer meinen, dass Ihre Mitarbeiter nicht „ständig“ mit der Datenverarbeitung beschäftigten oder keine „automatisierte Verarbeitung“ vorliegt, so dürfte dies in den allermeisten Fällen nach dem Gedanken des Gesetzes doch zu bejahen sein. Sobald Sie also mindestens zehn Personen beschäftigen, die regelmäßig mit Daten in Berührung kommen, haben Sie sehr wahrscheinlich die Pflicht, einen Datenschutzbeauftragten zu benennen.

Mutschke Rechtsanwaltsgesellschaft mbH

Was droht bei Verstößen?

Manche Unternehmen handeln nach dem Prinzip „Wir werden erst dann tätig, wenn wir geprüft werden“. Ein riskantes Unterfangen! Diese Unternehmer müssen sich darüber im Klaren sein, dass sie ihr Unternehmen im Bereich des Datenschutzes nicht rechtskonform führen. Darüber hinaus sind Anfragen von Betroffenen innerhalb eines Monats zu beantworten. Das ist nicht viel! Noch enger dürfte es für denjenigen werden, der erst beginnt, seinen Betrieb DSGVO-konform aufzustellen, wenn die Behörde anklopft. Nach unserer Erfahrung dürfte es kaum möglich sein, rechtzeitig alle Regelungen umzusetzen und die Umsetzung auch zu dokumentieren. Also handeln Sie rechtzeitig! Die möglichen Strafen bei Verstößen sind drakonisch:

Geldbuße:

Die Aufsichtsbehörden haben sicherzustellen, dass bei Verstößen gegen die DSGVO die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend (!) ist.

Entsprechend sieht Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor – je nachdem, welcher der Beträge höher ist.

Schadensersatz:

Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat zudem Anspruch auf Schadensersatz gegen den Verantwortlichen.

Rechtsanwalt Datenschutz DSGVO Bielefeld

Unsere Angebotspakete und Kosten

Erfahren Sie mehr über unsere kostengünstigen Angebote zur Umsetzung der DSGVO.

Über uns

Lernen Sie uns kennen und machen Sie sich ein Bild von uns!

Klingt kompliziert? Ist es nicht! Wenn Sie Hilfe benötigen, vereinbaren Sie ein kostenloses Erstgespräch oder buchen Sie eines unserer Pakete! Wir freuen uns auf Ihre Kontaktaufnahme!

Nicole Mutschke
Fachanwältin für Bank- und Kapitalmarktrecht

Henning Linnenberg
Fachanwalt für Bank- und Kapitalmarktrecht

Claudia Halstenberg
Fachanwältin für Bank- und Kapitalmarktrecht

Jetzt kostenloses Erstgespräch sichern