FAQs zur Umsetzung der Datenschutz-Grundverordnung

Alle Arten von personenbezogenen Daten werden durch die DSGVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um

• Mitarbeiter-, 
• Geschäftspartner-, Kunden- oder 
• Lieferantendaten handelt.

Für die DSGVO gilt wie für alle weiteren Datenschutzgesetze: Sie sind immer dann zu beachten, wenn Unternehmen mit sog. personenbezogenen Daten umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „betroffene Person“) beziehen lassen. Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. 
Beispielsweise:

• Name, Alter, Familienstand, Geburtsdatum
• Anschrift, Telefonnummer, E-Mail-Adresse
• Konto-, Kreditkartennummer
• Bonitätsdaten
• Kraftfahrzeugnummer, Kfz-Kennzeichen
• Personalausweisnummer, Sozialversicherungsnummer
• IP-Adresse
• genetische Daten und Krankendaten
• Werturteile wie zum Beispiel Zeugnisse
• Fotos

Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze nicht zu beachten.

Artikel 4 Datenschutz-Grundverordnung enthält die zentralen Definitionen. Künftig finden sich die Begriffsbestimmungen zu personenbezogenen Daten, Verantwortlichen oder der Verarbeitung somit unmittelbar und abschließend in der Datenschutz-Grundverordnung.

Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen. Einzelangaben über juristische Personen, wie z. B. Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein.

In der Regel haben Sie bei Firmenkunden einen Ansprechpartner und erheben z. B. Name, personalisierte E-Mail-Adresse, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.

Ja, die grundlegenden Vorschriften befinden sich in der DSGVO, aber z. B. zum betrieblichen Datenschutzbeauftragten oder zum Beschäftigtendatenschutz gibt das BDSG Konkretisierungen.
Das BDSG wird weiterhin gelten, allerdings deutlich reduziert. Die DSGVO gilt zwar unmittelbar für alle EU-Mitgliedstaaten und muss nicht erst in jeweils nationales Recht umgesetzt werden. Damit wollte der EU-Gesetzgeber eine Einheitlichkeit innerhalb der Mitgliedstaaten erreichten. Die DSGVO enthält aber mehr als 60 Öffnungsklauseln, die es den Mitgliedstaaten erlauben, wesentliche Aspekte national zu lösen, die nicht ausdrücklich allein der DSGVO vorbehalten sind. Daher gelten beide Regelwerke in einem komplizierten Regel-Ausnahme-System nebeneinander, was die Rechtsanwendung schwierig macht.

Ja, die DSGVO unterscheidet nicht zwischen Papier- und elektronischer Verarbeitung. Bei einer papiergebundenen Datenverarbeitung muss aber eine strukturierte Sammlung von personenbezogenen Daten vorhanden sein. Kleine Notizen auf Blöcken oder „Post-it“ Aufkleber fallen also nicht darunter, wenn sie nicht geordnet abgelegt werden.

Ja, alle Unternehmen müssen ihre Datenverarbeitungsvorgänge an die neuen Vorgaben der DSGVO anpassen. Dies gilt nicht nur für große, sondern auch für kleine Unternehmen. Kleine Unternehmen sind lediglich von einzelnen wenigen Pflichten ausgenommen; dies betrifft etwa unter Umständen die Pflicht zur Bestellung eines Datenschutzbeauftragten. Ansonsten müssen sämtliche Vorgaben umgesetzt werden, denn unter die DSGVO fällt jede Stelle (also auch jedes Unternehmen unabhängig von der Mitarbeiterzahl oder Branche), die personenbezogene Daten (z. B. Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse etc.) innerhalb der EU verarbeitet (z. B. erfassen, speichern, übermitteln, auslesen, verändern etc. von Daten).

Ja, wenn sie Waren oder Dienstleistungen anbieten oder die Verhaltensweisen ihrer Kunden in Europa zum Beispiel mittels „Profiling“ überwachen, wird die DSGVO angewendet. 

Für die Rechtmäßigkeit gibt es mehrere Rechtsgrundlagen. Im geschäftlichen Verkehr mit Kunden kommen insbesondere vertragliche Vereinbarungen und die Einwilligung in Betracht. Daneben können auch Gesetze eine Verarbeitung rechtfertigen.

Nein, Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine datenschutzrechtliche Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, Interessenabwägung berechtigtes Interesse). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein (z. B. Anmeldung zum Bezug eines Newsletters, Geburtstagsliste von Mitarbeitern). Beruht die Datenverarbeitung auf einer vertraglichen Basis, um den Vertrag abzuwickeln, sind Einwilligungen für die Erhebung und Verarbeitung der Daten nicht erforderlich.

Aber Vorsicht: Sollen die so erhobenen Daten für andere Zwecke als die Vertragsabwicklung verarbeitet werden (z. B. Verwertung der Daten für eine Studie oder Weitergabe der Daten an Dritte), so bedarf es einer Einwilligung für den neuen Zweck.

Eine wirksame Einwilligung muss
• über den Zweck der Verarbeitung informieren
• freiwillig erteilt sein, d. h. sie darf nicht an eine Bedingung gekoppelt sein
• eindeutig sein, also das Einverständnis muss deutlich werden und
• den Hinweis enthalten, dass sie mit Wirkung für die Zukunft jederzeit widerrufen werden kann.

Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn "die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht". Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.

Sie bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze.

Um größere Transparenz im Umgang mit personenbezogenen Daten zu schaffen, erweitert die Datenschutz-Grundverordnung im Kapitel III die bestehenden Betroffenenrechte und führt zugleich neue Rechte ein. Einzelheiten regeln die Artikel 12 bis 23.
Artikel 12 enthält allgemeine Verfahrensvorschriften für die Kommunikation mit den Betroffenen, Bearbeitungsfristen und Fragen der Entgeltlichkeit. Anträge der betroffenen Personen sind grundsätzlich unentgeltlich innerhalb eines Monats in klarer und einfacher Sprache zu beantworten.
Artikel 13 und 14 Datenschutz-Grundverordnung regeln die Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen. Im Vergleich zur bisherigen Rechtslage weitet sich nicht nur der Umfang, sondern auch der Anlass der Information aus. Die betroffenen Personen sind nicht nur bei der erstmaligen Erhebung, sondern grundsätzlich bei jeder beabsichtigten Weiterverarbeitung für andere Zwecke über die aufgeführten Aspekte zu unterrichten. Die Informationen hat der Verantwortliche eigeninitiativ, d.h. ohne einen Antrag der betroffenen Person, zur Verfügung zu stellen. Die Abgrenzung, wann Daten bei der betroffenen Person erhoben werden oder nicht, ist im Einzelfall nicht leicht. Die Sichtweise, wonach Artikel 13 Datenschutz-Grundverordnung voraussetzt, dass sich die betroffene Person der Datenerhebung bewusst sein muss, erscheint vorzugswürdig. Dies führt im Fall von Videoaufzeichnungen oder Fotoaufnahmen zu praxisgerechten Ergebnissen.

Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel II) und der Gewährleistung der Betroffenenrechte (Kapitel III) enthält Kapitel IV der Datenschutz-Grundverordnung zentrale Vorschriften für die Pflichten der Daten verarbeitenden Stellen. Diese ergeben sich künftig unmittelbar aus der Datenschutz-Grundverordnung. Im Gegensatz zur alten Rechtslage enthält das ab dem 25. Mai 2018 geltende Bundesdatenschutzgesetz daher nur sehr wenige Ausführungen zu den Verarbeiterpflichten.

Viele Verarbeiterpflichten sind konzeptionell mit der bisherigen Rechtslage in Deutschland vergleichbar, erfordern aber dennoch Anpassungen in der behördlichen und betrieblichen Praxis.

Als wesentliche Pflichten bei der Datenverarbeitung sind zu nennen:

• Gewährleistung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit, Artikel 24, 25 und 32
• Anforderungen an die Auftragsverarbeitung, Artikel 28
• Führen eines Verzeichnisses der Verarbeitungstätigkeiten, Artikel 30
• Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen, Artikel 33 und 34
• Durchführung einer Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörden, Artikel 35 und 36
• Benennung eines Datenschutzbeauftragten, Artikel 37 bis 39

Prägend für die von den Verantwortlichen zu erfüllenden Pflichten ist das Konzept der Risikoadäquanz: Je wahrscheinlicher oder schwerer das von der Datenverarbeitung ausgehende Risiko, desto umfangreicher und höher sind die Pflichten des Verantwortlichen. Dieser flexible Ansatz trägt insbesondere den Belangen kleinerer und mittlerer Unternehmen Rechnung, die nicht risikobehaftete Daten verarbeiten:

• So sind bei den technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit u.a. die Eintrittswahrscheinlichkeit und Schwere des von der Datenverarbeitung ausgehenden Risikos für die betroffenen Personen im Einzelfall zu berücksichtigen.
• Von der Pflicht zur Führung eines Verarbeitungsverzeichnisses sind Unternehmen mit weniger als 250 Mitarbeitern u.a. befreit, wenn die Datenverarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
• Bei Sicherheitsvorfällen (Verletzungen des Schutzes personenbezogener Daten) entfällt die Meldepflicht gegenüber der Aufsichtsbehörde, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt; eine Pflicht zur Benachrichtigung der betroffenen Personen über einen Vorfall besteht nur dann, wenn die Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat.
• Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht ebenfalls nur, wenn die Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn aber Datenschutz-Folgenabschätzung bestätigt, dass die Verarbeitung ein solches hohes Risiko zur Folge hätte, besteht eine Pflicht zur vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörde.

a) Technische und organisatorische Maßnahmen, Artikel 24, 25 und 32

Technische und organisatorische Maßnahmen dienen dem Ziel, die Einhaltung der Datenschutz-Grundverordnung sicherzustellen und dies zur Erfüllung der Rechenschaftspflicht des Artikel 5 Absatz 2 Datenschutz-Grundverordnung auch nachweisen zu können (Artikel 24 Absatz 1). Insbesondere für die Gewährleistung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25) sowie der Datensicherheit (Artikel 32) spielen technische und organisatorische Maßnahmen - wie die Pseudonymisierung und Verschlüsselung sowie Maßnahmen zur Gewährleistung der Schutzziele der IT-Sicherheit - eine wichtige Rolle.

Nicht jede Datenverarbeitung erfordert gleich hohe Schutzmaßnahmen. Die Maßnahmen müssen im Einzelfall geeignet sein, ein dem jeweiligen Risiko angemessenes Schutzniveau zu gewährleisten (Artikel 32 Absatz 1). Hierbei sind der Stand der Technik, die Implementierungskosten und die Art, Umfang, Umstände und Zwecke der Verarbeitung, die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen.

b) Auftragsverarbeitung, Artikel 28

Mit Artikel 28 schafft die Datenschutz-Grundverordnung erstmals europaweit einheitliche Anforderungen an die Auftragsverarbeitung. Eine Auftragsverarbeitung darf nur erfolgen, wenn der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt. Zudem sind die in Absatz 3 genannten Festlegungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter zu treffen. Dies betrifft insb. die Weisungsgebundenheit des Auftragverarbeiters, die Gewährleistung der Vertraulichkeit, die Einhaltung geeigneter technischer und organisatorischer Maßnahmen und die Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte.

§ 11 BDSG a.F., der bisher die Anforderungen an die Auftragsdatenverarbeitung im deutschen Recht bestimmte, wurde aufgrund der unmittelbaren Geltung des Artikels 28 Datenschutz-Grundverordnung aufgehoben und findet sich im BDSG 2018 nicht mehr.

c) Verzeichnis von Verarbeitungstätigkeiten, Artikel 30

An die Stelle der bisherigen Meldepflicht tritt nach Artikel 30 die Pflicht des Verantwortlichen und des Auftragverarbeiters, ein Verzeichnis der Verarbeitungstätigkeiten mit den in Absatz 1 und Absatz 2 genannten Angaben zu führen. Eine Ausnahme gilt für Unternehmen mit weniger als 250 Mitarbeitern unter den in Artikel 30 Absatz 3 genannten Voraussetzungen. Das Verzeichnis dient als wichtiger Baustein zum Nachweis der Einhaltung der Datenschutz-Grundverordnung und ist der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Das Verarbeitungsverzeichnis ersetzt das bislang nach § 4g Absatz 2 BDSG a.F. zu führende Verfahrensverzeichnis.

d) Meldung von Sicherheitsvorfällen, Artikel 33 und 34

Sicherheitsvorfälle können bei den Betroffenen zu schwerwiegenden wirtschaftlichen und gesellschaftlichen Nachteilen wie finanziellen Schäden, Identitätsdiebstahl, Rufschädigung oder der Offenbarung von Berufsgeheimnissen führen. Unter einer solchen „Verletzung des Schutzes personenbezogener Daten“ versteht die Datenschutz-Grundverordnung  jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt (Artikel 4 Nummer 12 Datenschutz-Grundverordnung).

Sicherheitsvorfälle hat der Verantwortliche nach Artikel 33 und 34 Datenschutz-Grundverordnung zu dokumentieren und einschließlich der wahrscheinlichen Folgen des Vorfalls und der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen der zuständigen Aufsichtsbehörde und den betroffenen Personen grundsätzlich unverzüglich zu melden. Falls die Benachrichtigung der Aufsichtsbehörde nicht binnen 72 Stunden erfolgen kann, müssen die Gründe für die Verzögerung angegeben werden. Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.

Die Meldepflicht besteht nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Eine Benachrichtigung der betroffenen Personen muss zudem nur erfolgen, wenn der Vorfall voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. Die Aufsichtsbehörde kann gegenüber dem Verantwortlichen die Benachrichtigung der betroffenen Personen anordnen.

Das System der Meldung der Verletzungen des Schutzes personenbezogener Daten löst die bislang in § 42a BDSG a.F. und einigen Fachgesetzen vorgesehene Informationspflicht bei unrechtmäßiger Kenntniserlangung personenbezogener Daten ab. Auch öffentliche Stellen unterliegen nach der Datenschutz-Grundverordnung nunmehr den Meldepflichten bei Sicherheitsvorfällen. Wie bisher darf eine Benachrichtigung über Sicherheitsvorfälle jedoch nicht in einem Strafverfahren gegen den Verantwortlichen verwendet werden (§ 42 Absatz 4 BDSG 2018).

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.

Ein solches Verzeichnis ist eine Zusammenfassung von einzelnen Verarbeitungsvorgängen, bei denen personenbezogene Daten entweder automatisiert (=elektronisch) oder zunächst nicht automatisiert (=analog) verarbeitet werden, aber später in ein Dateisystem gespeichert werden sollen. Der Inhalt eines solchen Verzeichnisses ist gesetzlich geregelt. Das Verzeichnis muss wesentliche Angaben zur Verarbeitung beinhalten. Die Zwecke der Verarbeitung, die Beschreibung der betroffenen Datenkategorien und Personen sind aufzulisten. Eine bestimmte Form ist für das Verzeichnis nicht vorgesehen.

Alle Unternehmen, die personenbezogene Daten automatisiert oder nicht automatisiert verarbeiten und sie in einem Dateisystem speichern oder speichern wollen, müssen ein Verzeichnis über die Verarbeitungen führen.

Das Gesetz sieht eine Ausnahme vor: Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht ein Verarbeitungsverzeichnis zu führen befreit. Aber auch nur dann, wenn die Verarbeitung selbst nicht ein Risiko birgt - das ist z. B. immer der Fall bei Scoring und Überwachungsmaßnahmen, die Verarbeitung nur gelegentlich erfolgt, und keine besonderen sensiblen Datenkategorien, wie z. B. Religions-, Gesundheitsdaten usw. betroffen sind. Die meisten Unternehmen verarbeiten regelmäßig Daten ihrer Mitarbeiter und Kunden, so dass die Ausnahmevorschrift in den meisten Fällen nicht greift und das Verarbeitungsverzeichnis geführt werden muss.

Ja, die DSGVO verknüpft Datenschutz und Datensicherheit. Die personenbezogenen Daten, die in dem Unternehmen verarbeitet werden, müssen auch technisch geschützt werden, indem sog. technisch-organisatorische Maßnahmen getroffen sind. Sie hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab. Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten - ob personenbezogen oder nicht - ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, so dass - verschlüsselte - Sicherungskopien an einem anderen Ort aufbewahrt werden sollten.

Das Niveau der Datensicherheit ist abhängig vom Umfang der Datenverarbeitung, der Schutzwürdigkeit der Daten, ob sie online oder offline verarbeitet werden und den Zugriffsmöglichkeiten auf die Daten.

Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (Auskunft über gespeicherte Daten, Berichtigung oder Löschen von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen nachweisen, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.

• Es muss ein Verarbeitungsverzeichnis mit folgenden Informationen erstellt werden: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung. Hinweise sowie ein Anwendungsbeispiel sind auf der Homepage des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit einsehbar.

• Die Datenschutzerklärung muss überarbeitet und um die Informationspflichten aus Artikel 13, 14 DSGVO ergänzt werden. Überwiegend handelt es sich um Informationen, die eine vollständige und ausführliche Datenschutzerklärung bisher auch enthalten hat. Neu ist anzugeben: die Rechtsgrundlagen der Datenverarbeitung und Hinweise zur vorgesehenen Speicherdauer.

• Werden die Daten durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletterversand über Agentur, Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.

• Werden Daten aufgrund der Einwilligung des Betroffenen verarbeitet und entspricht diese Einwilligung den Anforderungen der DSGVO, das heißt, ist der oder sind die Zweck(e) zur Datenverarbeitung beschrieben und ist ein Hinweis auf die Freiwilligkeit und jederzeitige Widerrufbarkeit vorhanden? Andernfalls müssen die Einwilligungen neu eingeholt werden.

• Eine IT-Sicherheit ist aufzubauen (je nach Größe des Unternehmens im Umfang unterschiedlich).

• Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht sind zu schaffen (künftig sind Datenschutzverletzungen binnen 72 Stunden zu melden).

• Ein Prozess zur Beantwortung von Betroffenenrechten ist einzurichten (das sind die Rechte auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten).

• Betriebsvereinbarungen (sofern vorhanden) sind anzupassen.

• Risikobewertung der Verfahren.

• Sensibilisierung der MitarbeiterInnen.

Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.

Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind, der Zweck, für den sie erhoben worden sind, also erfüllt ist. Die Löschung darf nicht vor Ablauf gesetzlicher Aufbewahrungsfristen erfolgen, z. B. weil es Handelsbriefe (6 Jahre) sind oder steuerrechtliche Gründe (10 Jahre) eine Aufbewahrung vorschreiben. Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sog. „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.

Ja,

1. bei Unternehmen, deren Kerntätigkeitt in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht
2. wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail oder
3. wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. - dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

Das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist,

• grundsätzlich sind sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, zu berücksichtigen, unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter, Auszubildende, Praktikanten etc.

• eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenzahl ist unerheblich; wenn eine Person z. B. nur als Urlaubsvertretung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt wird, ist diese nicht mitzuzählen, da sie diese Aufgabe nicht regelmäßig ausübt

• unerheblich ist, in welchem Umfang die beschäftigte Person diese Aufgabe wahrnimmt, also ob sie beispielweise als Teilzeitkraft diese Aufgabe ausübt (also in einem geringeren zeitlichen Umfang als eine Vollzeitkraft)

Automatisierte Verarbeitung meint IT-gestützte Datenverarbeitung, wie sie mittels Mainframe, Personal Computern (Desktop und Laptop Computern), aber mittlerweile auch mittels Smartphones, Tablet PCs und anderen mobilen Endgeräten erfolgt.

Der Begriff "ständig“ bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann Daten verarbeitet, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z. B. monatlich) anfällt.

Datenschutzbeauftragter darf nur sein, wer sowohl in rechtlicher als auch in technischer Hinsicht über die erforderlichen Kenntnisse verfügt und nicht Gefahr läuft, kraft seiner Position in dem Unternehmen einer Interessenkollision ausgesetzt zu sein. Damit kommen also weder Führungskräfte mit Personalverantwortung noch solche aus dem IT-Bereich (intern/extern) infrage. Der Datenschutzbeauftragte kann sowohl ein Mitarbeiter des Unternehmens als auch eine externe Person sein. Soweit ein Mitarbeiter zum Datenschutzbeauftragten ernannt wird, genießt dieser einen besonderen Kündigungsschutz und kann auch nur aus einem wichtigen Grund seines Amtes enthoben werden. Der besondere Kündigungsschutz reicht sogar bis zu einem Jahr nach Beendigung seiner Tätigkeit als Datenschutzbeauftragter fort. Ob eine Befristung der Ernennung rechtlich wirksam ist, ist sehr umstritten.

Zusammengefasst lassen sich drei Bereiche von Pflichtaufgaben einteilen.

• Interne Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)
• Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser
• Anlaufstelle für betroffene Personen

Es gibt Vereine und Berufsverbände, die konkrete Kontakte vermitteln können, wie etwa die Gesellschaft für Datenschutz und Datensicherheit e. V. (https://www.gdd.de/der-datenschutzbeauftragte) oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. (https://www.bvdnet.de/).

Bei der Auswahl eines externen Datenschutzbeauftragten empfiehlt es sich, mehrere Angebote mit Referenzen einzuholen und die Leistungen und Kosten zu vergleichen. Sie sollten für das Angebot vordefinieren, welche Leistungen Sie z. B. pauschal abgedeckt sehen wollen (z. B. Beratung im Standort-Alltag), oder die für die Erstellung/Überprüfung von Dokumenten (Verarbeitungsverzeichnis, Datenschutzerklärung, technisch-organisatorische Maßnahmen) bzw. Überwachung/Einhaltung datenschutzrechtlicher Vorschriften (z. B. Schulungen der Mitarbeiter, Auftragsverarbeitungen) usw. anfallen. Denkbar ist auch ein Kontingent an Beratungsstunden pro Jahr mit einem Pauschalbetrag abdecken zu lassen und Beratungsbedarf darüber hinaus mit einem vorher vereinbarten Stundensatz abrechnen zu lassen.

Rechtsanwälte aus dem Bereich Datenschutzrecht finden Sie bei der jeweiligen Rechtsanwaltskammer.

Schulungen und Seminare zum Datenschutz können Sie im WIS - Weiterbildungs-Informations-System unter www.wis.ihk.de finden. Hier finden Sie neben Angeboten Ihrer IHK auch Angebote externer Anbieter, die Ihnen Informationen zum Datenschutz vermitteln können.

Gerne können Sie sich auch über Seminare und Lehrgänge in unserem Bildungszentrum auf unserer Homepage oder unter Tel. 03681 362-421 informieren.

Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen einer Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. Diese ist immer dann durchzuführen, wenn besonders sensible, personenbezogene Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie hat den Zweck, rechtzeitig geeignete Maßnahmen ergreifen zu können, um das Risiko eines Schadens bei den Betroffenen zu minimieren.

Die DSGVO bestimmt vier Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Diese muss demnach enthalten: 

• Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
• Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
• Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten einzuholen, sofern die gesetzliche Pflicht besteht, ihn zu ernennen.

Wird eine Visitenkarte übergeben, kann der Empfänger davon ausgehen, dass der Übergebende damit einverstanden ist, dass der Empfänger die Daten speichert. Aus dem Zusammenhang ergibt sich auch meist der Zweck der Übergabe - also Erhalt weiterer Informationen zu Produkten oder Dienstleistungen oder Einladung zu weiteren Veranstaltungen zu dem gleichen Thema. Wird mit dem Interessenten das erste Mal z. B. per Mail Kontakt aufgenommen, kann er über die Verarbeitung in Form der Informationspflicht aufgeklärt werden. Das kann auch mit einem Link in der Mail erfolgen, der auf die Informationspflicht auf der Internetseite verweist.

Die Kunden, mit denen Sie bereits Kontakt haben (Bestandskunden), können Sie ohne deren Einwilligung Werbung zusenden. Die Kunden können allerdings dagegen Widerspruch einlegen.

Wollen Sie andere Personen bewerben, verlangt das Gesetz gegen unlauteren Wettbewerb (UWG), grundsätzlich eine postalische Ansprache. Werbung per Mail ist nur mit Einwilligung dieser Personen möglich.

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung auch dann verantwortlich, wenn er dazu einen externen Dienstleister beauftragt. Das gilt insbesondere für die IT. Ob eine Webseite mit Kontaktformular oder die Betreuung der Kundendatenbank - andere Unternehmen sind für die Erbringung dieser Dienstleistungen eingebunden. Sie haben Zugriff auf die personenbezogenen Daten, die der Auftraggeber für sein Unternehmen benötigt. In einem solchen Falle muss neben dem eigentlichen Auftrag, die konkrete Dienstleistung zu erbringen, noch eine Vereinbarung über die Auftragsverarbeitung geschlossen werden. Denn das erhöhte Gefahrenpotenzial für die Daten wegen des Zugriffs eines Dritten soll vertraglich geregelt werden. Aber Vorsicht! Von AV kann nur dann die Rede sein, wenn der Dienstleister streng nach einem zuvor definierten Verfahren vorgeht, keinen eigenen Gestaltungs- und Ermessenspielraum hat und gegenüber dem Auftraggeber im Hinblick auf die Ausführung der vereinbarten Tätigkeit weisungsgebunden ist. Kurzum: Wenn man den Dienstleister sinnbildlich als „verlängerte Werkbank“ des Auftraggebers betrachten kann. Darunter fallen auch z. B. sog. Trackingsysteme, mit denen nachvollzogen werden kann, wer welche Webseiten besucht hat. Gibt es zudem dadurch Auslandsbezug, weil das Tracking-Unternehmen seinen Sitz z. B. in den USA hat, müssen weitere datenschutzrechtliche Anforderungen erfüllt werden. Gleiches gilt für die Nutzung von Cloud-Anwendungen oder die Verwendung von social Plug-Ins auf den Webseiten, also die Einbindung sozialer Medien.

Liegt eine AV vor, so ist eine vorherige Einwilligung der Kunden, deren Daten verarbeitet werden, nicht erforderlich. Anders kann es hingegen sein, wenn keine AV vorliegt!

Keine Auftragsverarbeitung liegt vor, wenn die Daten an einen Dritten zur Durchführung einer Dienstleistung weitergegeben werden, z. B. an einen Steuerberater zur Abwicklung der gesamten Lohnbuchhaltung. Hier liegt es im berechtigten Interesse des Unternehmens, die dafür erforderlichen personenbezogenen Daten an den Dienstleister zu übermitteln.

Weitere Informationen finden Sie im Kurzpapier der Datenschutzkonferenz (DSK) https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/DSGVO_Kurzpapiere.html.

Muster dazu finden Sie hier: https://www.lda.bayern.de/media/muster_adv.pdf.

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Den Auftraggeber trifft hier eine Prüfpflicht. Nur solche Auftragsverarbeiter dürfen eingesetzt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.

Zur Wahrung des Hausrechts ist eine Videoüberwachung von Personen, die das Geschäftslokal betreten, zulässig, wenn sie insgesamt erforderlich ist, also kein weniger einschneidendes Mittel das Hausrecht wahren kann und die Überwachung nicht überraschend ist. Es muss jedoch frühzeitig, also z. B. am Eingang zum Geschäftslokal darauf hingewiesen und bekannt gegeben werden, wer die Videoüberwachung verantwortet.

Wird auch das Gelände vor dem Geschäftslokal überwacht, gilt dasselbe: Hinweis auf die Überwachung und Angabe, wer überwacht.

Die Bilder aus der Videoüberwachung dürfen nur für kurze Zeit (ein - drei Tage) gespeichert werden, es sei denn, es können damit strafbare Handlungen nachgewiesen werden. Dann dürfen aber nur die konkreten Sequenzen länger gespeichert werden, um sie den Strafverfolgungsbehörden zur Verfügung stellen zu können.

Eine reine Videoüberwachung ohne zusätzliche Auswertungsmöglichkeiten führt nicht dazu, dass ein betrieblicher Datenschutzbeauftragter bestellt werden muss.

Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Die DSGVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Es haftet auch für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmenssowie für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten.

Ein Auftragsverarbeiter haftet selbst wie ein Verantwortlicher, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu sind zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt worden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.

Nach DSGVO und BDSG unterliegen Beschäftigtendaten erhöhten Anforderungen. Dies wird u. a. durch umfassende Informations- und Dokumentationspflichten sichergestellt. Zum Beschäftigtendatenschutz gehören:

• die Einwilligung von Arbeitnehmern zur Verarbeitung persönlicher Daten, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist
• die Übereinstimmung von Betriebs- oder Dienstvereinbarungen mit den Vorgaben der DSGVO und
• Regeln für den Datentransfer im Konzern (z. B. über die Rechtsgrundlage „berechtigtes Interesse“).

Die Daten von Stellenbewerbern, Mitarbeitern und ausgeschiedenen Mitarbeitern dürfen nach § 26 BDSG zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden. Geht eine Datenverarbeitung aber über diesen Zweck hinaus, z. B. die Veröffentlichung von Fotos auf der Firmenhomepage, ist darüber hinaus eine Einwilligung erforderlich. Eine Einwilligung muss immer freiwillig sein. Es dürfen bei Verweigerung also keine Nachteile drohen.

Unternehmen mit einer geschäftlichen Webseite müssen diese anpassen. Dazu gehören Hinweise zu:

• Rechtsgrundlage
• Zweck der Verarbeitung
• Dauer der Speicherung
• Betroffenenrechte
• Übermittlung an andere Stellen

Diese Angaben müssen zu allen Datenverarbeitungen, die auf der Homepage stattfinden, erfolgen, z. B.

• Logfiles,
• Cookies,
• Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.),
• Registrierungsmöglichkeiten,
• Einbindung sozialer Netzwerke und
• Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.).

Auch ein eventuell vorhandenes Newslettersystem sollte im Zusammenhang mit dieser „Dateninventur“ unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Die Einwilligung ist vom Unternehmen nachzuweisen, was beispielsweise über Double-Opt-In-Verfahren erfolgen muss.

Muster: https://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien/musterdatenschutzerklaerung

Die Landesdatenschutzbeauftragten haben vielfältige Möglichkeiten, die Datenverarbeitung eines Unternehmens zu überprüfen. So kann die Aufsicht aus einem bestimmten Anlass - z. B. wegen einer Beschwerde eines Kunden, die Vorlage des Verarbeitungsverzeichnisses verlangen und dadurch die einzelnen Verfahren in dem Unternehmen überprüfen. Dazu kann die Aufsicht das Unternehmen aufsuchen oder sich die Unterlagen übersenden lassen.

Nach der Prüfung erhält das Unternehmen Gelegenheit zur Stellungnahme, wenn es Beanstandungen gibt. Die Aufsichtsbehörde prüft dann, welche Maßnahmen sie ergreift, die bis zur Verhängung von Bußgeldern oder zur Aufforderung, die Verarbeitung einzustellen, gehen können.

Zuständige Aufsichtsbehörde in Thüringen ist:

Thüringer Landesbeauftragter für den Datenschutz und die Informationssicherheit

Dr. Lutz Hasse

Postfach 90 04 55

99107 Erfurt

Telefax: 0361 573112900

Telefax: 0361 573112904

E-Mail: poststelle@datenschutz.thueringen.de

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn z. B. der Verlust von Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führen kann. Der Verstoß muss innerhalb von 72 Stunden an die Datenschutzaufsicht gemeldet werden. Die Aufsichtsbehörden halten dafür ein Online-Meldeformular vor. Die betroffene Person muss ebenfalls informiert werden.

Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen. Hier hat es im Vergleich zum bisherigen Recht erhebliche Verschärfungen gegeben.

Inwieweit wettbewerbsrechtliche Abmahnungen von Mitbewerbern für Verstöße gegen den Datenschutz drohen, bleibt abzuwarten. Es empfiehlt sich aber, die eigene Datenschutzerklärung auf der Firmenhomepage an die DSGVO anzupassen. Denn diese ist nach außen transparent und somit der Einstieg für evtl. drohende Abmahnungen. Wenn Sie eine Abmahnung erhalten, unterzeichnen Sie zunächst keine Unterlassungserklärung. Wenden Sie sich an einen Anwalt oder an Ihre IHK für eine Beratung.

Auf europäischer Ebene hat die Artikel 29-Gruppe, der Zusammenschluss der Aufsichtsbehörden aller Mitgliedstaaten in der Europäischen Union, zu zentralen Fragen der Datenschutz-Grundverordnung gemeinsame Leitlinien veröffentlicht . Die Artikel 29-Gruppe wird unter Geltung der Datenschutz-Grundverordnung durch den Europäischen Datenschutzausschuss abgelöst.

Auf nationaler Ebene hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu vielen wichtigen Themenbereichen der Datenschutz-Grundverordnung gemeinsame Kurzpapiereveröffentlicht, die Auslegungshilfen bei der praktischen Anwendung der Datenschutz-Grundverordnung geben.

Weitergehende Informationen (Mustervorlagen, Handlungsanweisungen) sind auch auf der Homepage des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit einsehbar.