DSGVO

Die EU-Datenschutzgrundverordnung – wie geht es weiter?

Geschrieben von Arnhilt Kuder

Die EU-Datenschutzgrundverordnung – wie geht es weiter?

von Arnhilt Kuder, Fachanwältin für IT-Recht

Nach einer weitgehend unbeachtet gebliebenen zweijährigen Umsetzungsphase ist die EU-Datenschutzgrundverordnung (DSGVO) am 25.05.2018 unter erheblicher öffentlicher Anteilnahme in den Anwendungsstatus übergegangen. Sie ist seit diesem Datum direkt in allen EU-Staaten anzuwenden. Bisher geltende Bundes- und Landesdatenschutzgesetze mussten angepasst werden und sind in den jeweiligen Neufassungen gültig.

Viele Unternehmen, Arztpraxen, Kanzleien, Vereine und sonst betroffene Organisationen haben mit teilweise erheblichem Aufwand ihre Prozesse an die DSGVO angepasst.

Die befürchtete große Abmahnwelle blieb aus. Die als horrend angekündigten Bußgelder wurden bislang so nicht verhängt. Ist also außer Spesen nichts gewesen?

Nach den Erfahrungen in der Kanzlei wissen Datenverantwortliche seither wesentlich besser über die Datenflüsse in ihrem Einflussbereich Bescheid und können viel gezielter damit umgehen und auf Anfrage auch schneller Auskunft erteilen. Die Umsetzung der wesentlichen Anforderungen hat sich als machbar erwiesen. Dennoch bleiben Fragen offen.

Risiken für Unternehmen

Abmahnrisiko

Das Risiko einer Abmahnung ist real. Zwar kam es noch nicht zu massenhaften Abmahnungen, jedoch gibt es einen ersten gerichtlichen Beschluss nach einer DSGVO-Abmahnung. Ein Anwalt hatte eine Kollegin abgemahnt, weil auf ihrer Webseite überhaupt keine Datenschutzerklärung angeboten wurde. Sie hatte nur unter ihrem Impressum einzelne Datenschutzhinweise formuliert, wie es vor dem 25.05.2018 oft praktiziert wurde. Das Landgericht Würzburg hat in seinem Beschluss vom 13.09.2018 gegen die Anwältin entschieden (Aktenzeichen 11 O 1741/18 UWG, verlinkt unter https://www.anwaltskanzlei-online.de/2018/09/24/dsgvo-verstoss-lg-wuerzburg-haelt-wettbewerbsrechtliche-abmahnung-wg-eines-dsgvo-verstosses-fuer-zulaessig/). Unter Fachleuten wurde der Beschluss des Gerichts kritisiert, teilweise wurde die Fachkenntnis des Gerichts angezweifelt. Nichtsdestotrotz muss die Anwältin jetzt erst einmal mit dem Beschluss umgehen.

Empfehlung: Überprüfen Sie, ob Sie auf Ihrer Webseite alle Informationspflichten vollständig erfüllt haben. Fehler sind bei Internetpräsenzen leicht auffindbar und können von Wettbewerbern oder Verbänden prinzipiell abgemahnt werden.

Umgang der Datenschutzbehörden mit Datenschutzverstößen

Der hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch äußerte sich zum Umgang der Datenschutzbehörden mit der DSGVO auf Twitter:
„Wir waren zahnlos und haben jetzt Zähne bekommen. Das heißt nicht, dass wir bissig geworden sind.“ (https://twitter.com/DS_Stiftung/status/993535400697323521)

Die Einflussmöglichkeiten Datenschutzbehörden wurden durch die DSGVO gestärkt. Es ist allgemein bekannt, dass der Bußgeldrahmen erheblich erhöht wurde. Datenschutzkonformes Verhalten soll sich damit in jedem Fall als lohnender erweisen als Nachlässigkeit und Verstöße gegen Datenschutzregeln. Die sehr deutliche Erhöhung des Bußgeldrahmens zielt dabei insbesondere auf die weltweit agierenden Internet-Großkonzerne. Bußgelder müssen aber immer verhältnismäßig sein.

Die Datenschutzbehörden agieren derzeit sehr deutlich als „Freund und Helfer“ und verhängen nicht zwingend schon beim ersten Verstoß Bußgelder, insbesondere nicht extrem hohe Bußgelder. Vielmehr werden zunächst Hinweise gegeben, wie ein rechtskonformer Umgang mit den Daten auszusehen hat. Dazu stellen sie viele Informationen ins Netz (eine Auswahl entsprechender Links s. u.). Wer sich allerdings dem Thema komplett verschließt und keinerlei Anstrengungen unternimmt, läuft ernsthaft Gefahr, mit schmerzhaften Bußgeldern konfrontiert zu werden.

Empfehlung: Dokumentieren Sie alle Maßnahmen im Bereich Datenschutz sorgfältig (also z. B. Besuch von Fortbildungen, Anlage eines Verfahrensverzeichnisses, Verträge über Auftragsverarbeitung, interne Weisungen zu Datenschutzfragen). Damit können Sie im Fall einer behördlichen Überprüfung Ihr Engagement in Sachen Datenschutz belegen.

Beschwerden Betroffener und Fotos von Menschen auf Webseiten

Betroffene von Datenverarbeitung haben die in der DSGVO genannten Rechte. Sie können zum Beispiel Auskunft über ihre im Unternehmen gespeicherten personenbezogenen Daten verlangen. Die Auskunft muss auch zeitnah erteilt werden. Betroffene können sich bei Problemen auch an die Datenschutzbehörden wenden, die so auf das Unternehmen aufmerksam werden.
Ein weiteres Risiko besteht bei Webseiten, auf denen Fotos von Menschen zu finden sind. Das ist jedoch ein weites Feld und bedarf eines eigenen Blog-Beitrags. Zwar ist keineswegs alles komplett verboten, aber teilweise rechtlich unsicher – das Thema sollte mit Umsicht behandelt werden.

Verantwortlichkeit in Unternehmen

Datenschutz ist ein Compliance-Thema. Verantwortlich ist das Management. Die Anpassung an die DSGVO ist ein Thema für alle EntscheidungsträgerInnen im Unternehmen. Betriebliche Datenschutzbeauftragte und IT-Verantwortliche müssen die Geschäftsleitung informieren.

Empfehlung: Schließen Sie als Datenschutzverantwortliche für sich entsprechende Versicherungen ab. Überprüfen Sie, ob die Prozesse zur Anpassung an die DSGVO vollständig abgeschlossen sind.

Die wichtigsten Regelungen der DSGVO im Überblick

Rechtsgrundlagen

Nach DSGVO dürfen personenbezogene Daten nur erhoben werden, wenn es hierfür eine Rechtsgrundlage gibt (Art. 5 und Art. 6 DSGVO). Die bestehenden Prozesse müssen darauf überprüft werden.

Betroffenenrechte

Die für die Verarbeitung der personenbezogenen Daten Verantwortlichen müssen die teilweise neuen umfangreichen Rechte der betroffenen Personen beachten. Dabei geht es insbesondere um Informationspflichten der Verantwortlichen (Art. 13 und 14 DSGVO) sowie die Rechte auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Datenübertragung (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO).

Datenschutz by design und by default

In Art. 25 DSGVO werden eine datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Voreinstellungen verlangt.

Auftragsverarbeitung

Wenn Unternehmen Dritte für sie Daten verarbeiten lassen, so müssen sie rechtskonforme Verträge zur Auftragsverarbeitung schließen. In den Art. 28 und 29 DSGVO werden die Vorgaben für die Vereinbarungen mit Auftragsverarbeitern festgelegt.

Datensicherheit

Nach Art. 24 und 32 DSGVO müssen Unternehmen ein angemessenes Schutzniveau hinsichtlich der Datenverarbeitung gewährleisten. Sie müssen die dafür vorgesehenen Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen.

Dokumentationspflichten

Die für die Verarbeitung der personenbezogenen Daten Verantwortlichen sind laut Art. 5 Abs. 2 DSGVO dazu verpflichtet, Rechenschaft über die rechtmäßige Datenverarbeitung abzulegen (Rechenschaftspflicht). An verschiedenen Stellen der DSGVO werden außerdem weitere Dokumentationspflichten genannt, z.B. das Verarbeitungsverzeichnis in Art. 30 DSGVO, die Dokumentation für Datenschutzvorfälle in Art. 33 Abs. 5 DSGVO sowie die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 a) DSGVO.

Datenschutz-Folgenabschätzung

Was bisher die sogenannte Vorabkontrolle nach BDSG war, ist nun in Art. 35 DSGVO als Datenschutz-Folgenabschätzung geregelt. Die Datenschutz-Folgenabschätzung erfordert eine umfangreiche Dokumentation. Sollte danach ein hohes Risiko bei der Datenverarbeitung absehbar sein, so konsultiert der/die Verantwortliche nach Art. 36 DSGVO entweder vorab die Aufsichtsbehörden oder trifft Maßnahmen zur Eindämmung des Risikos.

Datenschutzbeauftragte

Bisher muss ein Unternehmen nach § 4f Abs. 1 BDSG eine/n Datenschutzbeauftragte/n bestellen, wenn mindestens zehn Personen mit der Verarbeitung personenbezogener Daten befasst sind. Diese Regelung wurde im deutschen Anpassungsgesetz an die DSGVO im dortigen § 38 übernommen. Im risikobasierten Ansatz der DSGVO ist ein/e Datenschutzbeauftragte/r zudem zu bestellen, wenn die Kerntätigkeit des Unternehmens entweder eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich macht (Art. 37 Abs. 1 b) DSGVO) oder in der umfangreichen Verarbeitung sensibler Daten besteht (Art. 37 Abs. 1 c) DSGVO).

Meldepflichten

Der/die Verantwortliche oder der/die Auftragsverarbeiter/in muss der Aufsichtsbehörde auf jeden Fall die Kontaktdaten des/der Datenschutzbeauftragten melden (Art. 37 Abs. 7 DSGVO). Im Fall einer Verletzung des Schutzes personenbezogener Daten muss die Aufsichtsbehörde ebenfalls informiert werden (Art. 33 Abs. 1 DSGVO).

Zertifizierung

Es ist möglich, im Rahmen eines Zertifizierungsverfahrens den Nachweis zu erbringen, dass die Datenverarbeitung konform mit den Vorgaben der DSGVO abläuft (Art. 42 DSGVO).

DSGVO-Informationen im Internet

Gesetzestexte

Weitere Informationen

Entstehungsgeschichte der DSGVO

Am 30.06.2017 wurde in Stuttgart der „Deutsche Dokumentarfilmpreis“ [https://www.swr.de/swr-doku-festival/deutscher-dokumentarfilmpreis/deutscher-dokumentarfilmpreis-verleihung-stuttgart-swr/-/id=19095180/did=19815278/nid=19095180/nrlyyn/index.html] verliehen. Der Dokumentarfilm „Democracy – im Rausch der Daten“ [democracy-film.de] über die Entstehung der EU-Datenschutzgrundverordnung hat nicht nur den Hauptpreis, sondern auch den Preis der STZ-Leserjury gewonnen. Dem Regisseur und Autor David Bernet ist es gelungen, einen ästhetisch wie dramaturgisch ansprechenden Film über ein nur vermeintlich trocken erscheinendes Thema zu schaffen. Denn bei dem Schutz personenbezogener Daten geht es letztlich um die Menschenwürde. Die EU hat mit der DSGVO weltweit einen Standard gesetzt und den Status der EU als sicherer Wirtschaftsstandort gestärkt.

Wenn Sie also einen guten Film genießen wollen, dann sehen Sie sich den preisgekrönten Dokumentarfilm an, der zeigt, wie die Beteiligten im EU-Parlament um eine gerechte und wirtschaftlich sinnvolle Regelung ringen und schließlich zu einem überzeugenden Ergebnis kommen.

Haftungsausschluss

Dieser Beitrag zur DSGVO wurde sehr sorgfältig erstellt und soll Ihnen die Arbeit im Bereich des Datenschutzes erleichtern. Der Beitrag kann das sehr komplexe Thema, über das in Fachkreisen kontrovers diskutiert wird, nicht umfassend behandeln. Auch kann auch nicht anhaltende Aktualität und Richtigkeit gewährleistet werden. Eine Haftung wird nicht übernommen.

Arnhilt Kuder
Arnhilt Kuder

Möchten auch Sie von den Vorteilen unseres Netzwerks profitieren?

Ja, sehr gerne Nein, danke alleine funktioniert es besser
REGISTRIEREN LOGIN NETZWERK FIT FÜR DIE DSGVO?

    Hiermit akzeptiere ich die Datenschutzbedingungen*

    Allgemeine Erklärung:
    Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben. In keinem Fall werden die erhobenen Daten verkauft oder aus anderen Gründen an Dritte weitergegeben.