Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO auf einen Blick

Inkrafttreten DSGVO

Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist bereits am 24. Mai 2016 in Kraft getreten. Nach einer Übergangsphase sind die Bestimmungen dieser Richtlinie nun ab dem 25. Mai 2018 verbindlich einzuhalten (Art. 99 DSGVO).

Betroffene Daten

Gemäß Art.2 Abs.1 DSGVO gilt die Verordnung für „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst und umfasst z.B. Informationen wie Name, Adresse, Telefonnummer, Mailadresse oder aber auch die IP-Adresse einer Person. Ausreichend ist es dann bereits, wenn die Informationen einer Person zugeordnet (Personenbezug) werden kann.

Zielsetzung

Mit der DSGVO soll ein einheitlicher Schutz personenbezogener Daten natürlicher Personen sowie des freien Datenverkehrs innerhalb des Europäischen Binnenmarkts gewährleistet werden.

Für wen gilt die DSGVO?

Die DSGVO stellt sicher, dass Anbieter (Unternehmen, Körperschaften) von Waren oder Dienstleistungen, die erhobenen, personenbezogene Daten von in der EU befindlichen Personen verarbeiten, unabhängig vom Sitz des verarbeitenden Unternehmens datenschutzkonform gesichert werden.Die DSGVO findet auch dann Anwendung, wenn die Datenverarbeitung der Recherche von Personenverhalten dient, z.B. Analyse von Surfverhalten im Internet, die Speicherung von Cookies, etc. (Art. 3 Abs. 2 DSGVO).

Die DSGVO dürfte demnach weitestgehend alle Unternehmen innerhalb der EU betreffen.

Als EU-Verordnung hat die DSGVO unmittelbare Rechtswirksamkeit in allen EU-Mitgliedsstaaten, also auch in Deutschland.

Wichtige Änderungen

Grundsätzlich erweitert die DSGVO bereits bekannte Datenschutzregelungen und -pflichten, erhöht jedoch die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz. Die wichtigsten Neuerungen sind:

  • die erweiterten Pflichten im technischen Datenschutz (u.a. Pflicht zur Führung eines Verarbeitungsverzeichnisses sowie die Mitverantwortung der Auftragsverarbeiter (z.B. Drittanbieter))
  • Erweiterung der Transparenz- und Informationspflichten,
  • das „Recht auf Vergessenwerden“,
  • erweiterte Mitwirkungs- und Meldepflichten,
  • Einführung einer Datenschutzfolgenabschätzung sowie
  • Erweiterung für die Benennung eines Datenschutzbeauftragten

Unternehmer-Pflichten

Neben bereits eingeführten Datenschutzregelungen erweitert die DSGVO neue Datenschutzrechte von natürlichen Personen bzw. im Umkehrschluss neue Sorgfaltspflichten von Unternehmen im Umgang mit Personendaten. Dazu zählen nachfolgende Inhalte: 

I. Technischer Datenschutz

Die im Unternehmen für die Verarbeitung personenbezogener Daten müssen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken, die für persönliche Rechte und Freiheiten bestehen können, geeignete technische und organisatorische Maßnahmen installieren. (Art. 24 DSGVO) Diese Maßnahmen müssen in einer sog.“ TOM-Liste“ detailliert beschrieben und dokumentiert werden.

Verantwortlichen nach Art. 24 EU-DSGVO

Darunter fällt jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Nr. 7 EU-DSGVO.

Technische Maßnahmen und datenschutzfreundliche Voreinstellungen gemäß Art.25 DSGVO

Der im Unternehmen für die Verarbeitung von personenbezogenen Daten Verantwortliche muss den Datenschutz interne festlegen und Maßnahmen treffen, die dem Grundsatz des Datenschutzes durch den Einsatz geeigneter Technik sowie durch datenschutzfreundliche Voreinstellungen sicherstellen.  Solche Maßnahmen können z.B. darin bestehen, dass

  • die Verarbeitung personenbezogener Daten minimiert wird (Datensparsamkeit)
  • personenbezogene Daten pseudonymisiert werden,
  • alle Aufgaben, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, in transparenter Form zugeordnet werden
  • der betroffenen Person ermöglicht wird, die Datenverarbeitung und der Umgang mit ihren Daten zu kontrollieren und
  • der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.

Inhalt des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO

Art.30 DSGVO sieht vor, dass sowohl der Verantwortliche wie auch der Auftagsdatenverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten führen muss. Auf Anfrage muss dieses Verzeichnis der Aufsichtsbehörde zur Verfügung gestellt werden. Das Verzeichnis muss folgende Informationen enthalten:

  • Namen und Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
  • Zwecke der Verarbeitung
  • Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
  • Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

II. Transparenz– und Informationspflichten

In den Artikeln 14, 15 der DSGVO sind die Informationspflichten der Datenverarbeiter gegenüber den betroffenen Personen dargelegt. Hierdurch soll die Verwendung von Daten nachvollziehbar gemacht werden. Grundsätzlich muss bereits vor Erhebung personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form und Sprache u.a. über die Verwendung der Daten, die voraussichtliche Dauer der Datennutzung, die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Verarbeitung informiert werden.

III. Mitwirkungs- und Meldepflichten

Nach Art. 29 DSGVO, wenn es die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben verlangt, kann eine Mitwirkungs- und Meldepflicht gegenüber der Aufsichtsbehörde erforderlich werden.

Nach Art. 33 DSGVO müssen Datenschutzverletzungen an die Aufsichtsbehörde gemeldet werden. Der Verantwortliche muss ohne schuldhaftes Zögern und binnen 72 Stunden, nachdem die Datenverletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde melden. Der Auftragsdatenverarbeiter muss daher ebenfalls eine Datenverletzung unverzüglich an den Auftraggeber melden, damit dieser wiederum seiner Meldepflicht nachkommen kann. Kann ein Risiko für Rechte und Freiheiten ausgeschlossen werden oder als höchst unwahrscheinlich eingestuft werden, entfällt die Meldepflicht.

Nach Art. 34 EU-DSGVO muss auch der von der Datenschutzverletzung Betroffene benachrichtigt werden. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten und so rasch wie nach allgemeinem Ermessen möglich erfolgen. Wenn technische oder organisatorische Maßnahmen – wie z. B. eine Verschlüsselung die Kenntnisnahme von personenbezogenen Daten verhindert, muss der Betroffene allerdings nicht benachrichtigt werden.

IV. Datenschutz-Folgenabschätzung

Gänzlich neu eingeführt wird mit Art. 35 DS-GVO die Pflicht zur Datenschutz-Folgenabschätzung. Diese ist immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Für Auftragsdatenverarbeiter ist das insofern relevant, als diese stärker als zuvor verpflichtet werden, den Auftraggeber hierbei zu unterstützen. Ist in dem Unternehmen ein Datenschutzbeauftragter bestellt, muss er in die Datenschutz-Folgenabschätzung eingebunden werden. Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren.

Verstöße gegen die DSGVO

Durch die DSGVO wird die Haftung erheblich verschärft. Eine natürliche Person, die einen Schaden durch einen Verstoß gegen die DSGVO erleidet, hat Anspruch auf Schadensersatz – sowohl bei materiellen als auch bei immateriellen Schäden. Schadensersatzpflichtig ist der Verantwortliche und jeder an der Verarbeitung Beteiligte, damit auch ein Auftragsverarbeiter. Zusätzlich drohen bei Verstößen gegen die DSGVO hohe Geldbußen. So können Bußgelder bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Umsatzes des letzten Geschäftsjahres verhängt werden. Neben den aufsichtsbehördlichen Maßnahmen steigt zudem die Gefahr von Abmahnungen.

Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Im Verzeichnis von Verarbeitungstätigkeiten werden die Verarbeitungstätigkeiten eines Unternehmens hinterlegt. Beispiele für solche Verfahren wären etwa der Bestellprozess, die Lohnbuchhaltung oder der Newsletter-Versand. Bei diesen genannten Tätigkeiten werden personenbezogene Daten erhoben und verarbeitet, diese müssen in das Verzeichnis von Verarbeitungstätigkeiten eingetragen werden. Dieses Verzeichnis soll in ähnlicher Form bereits nach aktuellen Datenschutzrecht geführt werden, dort heißt es noch „Verfahrensverzeichnis“

Wer ist zum Führen des Verzeichnisses von Verarbeitungstätigkeiten verpflichtet?

Jeder der personenbezogenen Daten geschäftlich erhebt und verarbeitet. Damit muss eigentlich fast jeder Unternehmer oder Gewerbetreibender ein solches führen. Denn so gut wie jede Firma erhebt personenbezogene Daten irgendwelcher Art. Verpflichtet zum Führen ist dabei der Gewerbetreibende bzw. die Unternehmensleitung.

Gibt es eine Erleichterung für kleine und mittelständige Unternehmen?

Grundsätzlich ja. Alle Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssten eigentlich kein Verzeichnis führen. Allerdings gibt es für diese Entpflichtung drei Ausnahmen. So müssen auch kleine und mittelständische Unternehmen ein Verzeichnis führen, sofern sie Verarbeitungen mit Risiko für Rechte und Freiheiten betroffener Personen durchführen, sofern die Verarbeitung öfter als gelegentlich erfolgt oder sofern besondere Datenkategorien (besonders geschützte Daten wie solche zu Religion, Gesundheit, sexueller Orientierung) verarbeitet werden. Wenn auch nur eine Ausnahme zutrifft, muss das Verzeichnis geführt werden. Während ersteres zumindest bei kleinen Unternehmen noch selten sein wird, wird es bei den weiteren Ausnahmen schwierig.

So ziemlich jedes normale Unternehmen nutzt mindestens einzelne Verfahren, welche ständig genutzt werden. Beispielsweise die Lohnbuchhaltung, die Kundenverwaltung oder das E-Mailsystem.

Darüber hinaus muss jedes Unternehmen mit Mitarbeitern in Deutschland Lohnsteuer abführen. Da zur Berechnung der Kirchensteuer die Religionszugehörigkeit der Mitarbeiter bekannt sein muss, und die Religionszugehörigkeit ein besonders geschütztes Datum ist, ist auch diese Ausnahme sehr selten einschlägig.

Fazit: Leider ist die im Gesetz genannte Erleichterung für KMUs in der Praxis sehr selten anwendbar. Jeder normale Gewerbetreibende wird ein Verzeichnis von Verarbeitungstätigkeiten führen müssen.

Wer hat Einsicht in das Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Die Aufsichtsbehörde kann also jederzeit von sich an ein Unternehmen innerhalb ihres Aufsichtsbereichs herantreten und kann verlangen, das Verzeichnis vorgelegt zu bekommen. Die zuständige Aufsichtsbehörde für ein Unternehmen ist in Deutschland jenes seines Bundeslandes. Darüber hinaus gibt es zukünftig Pflichten, Datenpannen den Aufsichtsbehörden zu melden. Hier ist zu erwarten, dass die Aufsichtsbehörde als Reaktion auf eine solche Meldung ebenfalls das Verzeichnis vorgelegt bekommen will. Allerdings ist die Aufsichtsbehörde die einzige Stelle außerhalb des Unternehmens, die das Verzeichnis zu Gesicht bekommt, die bisher bestehende Pflicht, betroffenen Personen auf Antrag ein eingeschränktes Verfahrensverzeichnis auszuhändigen entfällt.

Was ist der Zweck des Verzeichnisses von Verarbeitungstätigkeiten?

Einerseits soll es Unternehmen selbst helfen, seine Verfahren strukturiert aufzubereiten, und sich diesen mehr bewusst zu werden. Auch lassen sich andere Vorgaben der Datenschutzgrund-Verordnung mithilfe des Verzeichnisses besser in Griff bekommen. Andrerseits soll es Aufsichtsbehörden helfen, im Falle einer Prüfung sich schnellen Überblick zu verschaffen, welche Daten ein Unternehmen zu welchen Zwecken verarbeitet, und an wen diese Daten weitergegeben werden.

Reicht es aus, ein Verzeichnis von Verarbeitungstätigkeiten erst dann zu erstellen, wenn die Aufsichtsbehörde sich meldet?

Nein. Die Dokumentationspflichten der Datenschutzgrundverordnung gelten ab dem 25.Mai 2018. Die Datenschutzbehörden haben bereits dargestellt, dass diese bei Prüfungen einen gelebten Datenschutz sehen wollen. Ein Verzeichnis muss aktiv geführt werden. Es reicht also auch nicht aus, das Verzeichnis einmalig zu erstellen. Stattdessen sollte dieses regelmäßig überarbeitet werden, sofern neue Verfahren hinzukommen oder sich an einem Verfahren etwas ändert.

Welche Folgen hat ein Verstoß gegen die Pflicht des Führens des Verzeichnisses von Verarbeitungstätigkeiten?

Wenn ein Unternehmen ein Verarbeitungsverzeichnis nicht führt, kann dies durch die Aufsichtsbehörden mit einem Bußgeld sanktioniert werden. Die maximale Höhe dieses Bußgeldes beträgt 10 Millionen Euro bzw. 2% des Jahresumsatzes. Zwar ist es unwahrscheinlich, dass Aufsichtsbehörden den genannten Bußgeldrahmen für das Fehlen eines Verzeichnisses ausreizen, trotzdem sind hier zukünftig durchaus empfindliche Strafsummen zu erwarten.



Die Datenschutz Grundverordnung kommt
Stichtag 25. Mai 2018

92% haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden.

Handeln Sie jetzt!

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com