DS-GVO FAQ

Die 12 wichtigsten Fragen und Antworten zur DS-GVO (Datenschutzgrundverordnung) und zur Datenschutz-Compliance

Datenschutzverstöße sind keine Kavaliersdelikte. Datenschutz-Compliance ist kein „nice to have“, sondern spätestens mit Geltung der DS-GVO von allen Unternehmen umzusetzendes Recht. Bei Datenschutzverstößen drohen erhebliche, teils existentielle Bußgelder. Informieren Sie sich hier zu den neuen, mit Geltung der DS-GVO ab dem 25.5.2018 von Unternehmen einzuhaltenden datenschutzrechtlichen Anforderungen.

1. Was ist die DS-GVO?

Die DS-GVO bzw. DSGVO (Europäische Datenschutzgrundverordnung) ist eine europäische Verordnung, die das Ziel hat die rechtlichen Rahmenbedingungen im Bereich Datenschutz europaweit zu harmonisieren und in allen EU-Staaten ein einheitliches und zugleich hohes Datenschutzniveau sicherzustellen. Die DSGVO gilt unmittelbar in allen EU-Staaten wie innerstaatliches Recht. Die europäische Datenschutz-Grundverordnung ist in allen EU-Ländern direkt anwendbar und hat dabei Vorrang vor nationalen Gesetzen.

2. Ab wann gilt die DS-GVO (EU-Datenschutzgrundverordnung) verbindlich?

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist bereits seit dem 24.5.2016 in Kraft, wird aber erst ab dem 25.5.2018 verbindlich. Stichtag, an dem die Regelungen der DS-GVO im Unternehmen umzusetzen und anzuwenden sind, ist also der 25.5.2018.

 

Daneben wird mit gleichem Datum in Deutschland ein neues Bundesdatenschutzgesetz (BDSG-neu) in Kraft treten. Dieses ergänzt die Datenschutzgrundverordnung an einigen Stellen, an denen die europäische Verordnung Öffnungsklauseln für den nationalen Gesetzgeber enthält. Beispielsweise regelt das neue Bundesdatenschutzgesetz die Pflicht zur Bestellung eines Datenschutzbeauftragten.

3. Wen betrifft die DS-GVO?

Die Datenschutz-Grundverordnung (DS-GVO) betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, also praktisch jedes Unternehmen einschließlich Selbstständiger, Startups und Einzelunternehmer. Sie betrifft alle Unternehmen und Unternehmer unabhängig von der Betriebsgröße, unabhängig von der Anzahl der Mitarbeiter und unabhängig vom Umsatz des Unternehmens. Sie gilt sowohl für Unternehmen mit Niederlassung in der EU, aber auch Unternehmen mit Sitz außerhalb der EU.

4. Welche Konsequenzen drohen, wenn man die gesetzlichen Vorschriften der DS-GVO missachtet?

Im Vergleich zu den Bußgeldvorschriften des bisherigen Bundesdatenschutzgesetzes sind die Bußgeldvorschriften der DS-GVO ab dem 25.5.2018 erheblich verschärft. Es können je nach Art, Umfang und Schwere des Verstoßes Bußgelder bis zur Höhe von 20 Millionen € oder alternativ bis zu 4 % des Konzernumsatzes verhängt werden.

 

Daneben können die zuständigen Datenschutzbehörden auch weitere Maßnahmen, wie beispielsweise eine Betriebsstilllegung veranlassen, Geschäftsräume betreten, anordnen, dass Daten zu löschen sind oder die Datenverarbeitung untersagen.

 

Es ist daher jedem, der davon betroffen ist, dringend anzuraten, die sich aus der Datenschutz-Grundverordnung ergebenden gesetzlichen Pflichten rechtzeitig zu erfüllen beziehungsweise umzusetzen.

5. Welche datenschutzrechtlichen Grundsätze gelten in der DS-GVO?

Die DS-GVO nennt in Art. 5 DS-GVO die sog. Datenschutzgrundsätze. Hierzu gehören beispielsweise:

 

  • Rechtmäßigkeit und Transparenz der Datenerhebung und Verarbeitung
  • Zweckbindung
  • Datensparsamkeit und Datenlöschung
  • Datenrichtigkeit
  • Vertraulichkeit und Datensicherheit
  • Nachweis-/Rechenschaftspflicht

6. Welche datenverarbeitenden Prozesse im Unternehmen sind nach der DS-GVO zulässig?

Da datenverarbeitende Prozesse, die personenbezogene Daten zum Gegenstand haben, generell unzulässig sind bedarf es immer einer gesetzlichen Erlaubnis oder einer Einwilligung, um eine Verarbeitung personenbezogener Daten durchführen zu dürfen (sog. Verbot mit Erlaubnisvorbehalt).

 

Die DS-GVO kennt unterschiedliche Erlaubnistatbestände wie beispielsweise:

 

  • die Erforderlichkeit zur Erfüllung eines Vertrages oder einer vorvertraglichen Anfrage
  • die Erfüllung einer rechtlichen Verpflichtung
  • ein berechtigtes Interesse (fraglich zum Beispiel bei unterschiedlichen Formen der Werbung?)
  • freiwillige Einwilligung des Betroffenen zu einer zweckbestimmten Verarbeitung (Kopplungsverbot)

 

Wenn einer dieser Erlaubnistatbestände erfüllt bzw. eine wirksame Einwilligung vorliegt ist, kann die Datenverarbeitung zulässig sein. Einwilligungen müssen allerdings immer dokumentiert und nachgewiesen werden können und sind zudem widerruflich.

7. Was sind Verarbeitungsverzeichnisse bzw. Verfahrensverzeichnisse nach der DS-GVO und wer muss diese führen?

Jedes Unternehmen beziehungsweise jeder Unternehmer, der unter die Datenschutz-Grundverordnung fällt, ist unabhängig von der Größe des Unternehmens und unabhängig von der Mitarbeiterzahl im Hinblick auf die Erhebung, Speicherung und Verarbeitung personenbezogener Daten im Unternehmen verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die DS-GVO gilt diesbezüglich nicht erst ab einer Mitarbeiterzahl von 250 Mitarbeitern.

 

In dem Verzeichnis der Verarbeitungsvorgänge muss unter Anderem angegeben werden, welchen Zweck die Datenverarbeitung hat, auf welcher Rechtsgrundlage der Verarbeitungsprozess stattfindet und welche technischen und organisatorischen Maßnahmen ergriffen wurden, um die Datensicherheit bzw. ein angemessenes Datenschutzniveau zu gewährleisten. Zudem müssen dort Angaben dazu gemacht werden, wann die Daten gelöscht werden beziehungsweise gelöscht werden müssen (sog. Löschfristen).

 

Den Unternehmer trifft nach der DS-GVO hinsichtlich des Vorhandenseins und der Vollständigkeit der Verfahrensverzeichnisse eine Dokumentations- und Nachweispflicht.

 

Das Verfahrensverzeichnis sollte, wenn noch nicht geschehen, unverzüglich und vollständig erstellt werden, um dieses ab dem 25.5.2018 im Falle einer Anfrage der zuständigen Datenschutzbehörde vorlegen zu können (Nachweispflicht).

8. Welche Informationspflichten haben Unternehmen gegenüber Betroffenen?

Neben der Einhaltung der der datenschutzrechtlichen Anforderungen durch Implementierung von Prozessen zur Sicherstellung der DS-GVO-Compliance müssen Unternehmen den Betroffenen, wenn personenbezogene Daten erhoben werden, „zum Zeitpunkt der Erhebung“ ungefragt und „leicht verständlich“ über den Zweck sowie über die Rechtsgrundlage informieren und ihn auf seine Betroffenenrechte (z. B. das  Widerspruchsrecht) hinweisen.

 

Dies führt dazu, dass Unternehmen Betroffene z. B. schon bei der Vertragsanbahnung, wenn dort Daten erhoben werden, rechtzeitig mittels einer geeigneten DS-GVO-kompatiblen Datenschutzerklärung informieren müssen und auch ihre Datenschutz-Erklärungen auf Internetseiten und Onlineshops entsprechend neugestalten bzw. anpassen müssen.

9. Welche Rechte haben Betroffene?

Nach der DS-GVO stehen Betroffenen gegenüber der verarbeitenden Stelle weitgehende Rechte zu, die teilweise innerhalb bestimmter Fristen erfüllt werden müssen. Hierzu gehören beispielsweise:

 

  • Informationsrechte (bei Datenerhebung d. h. bei Auftragsanbahnung/Beauftragung)
  • Auskunftsanspruch (kostenlos)
  • Löschungsanspruch
  • Recht auf Datenübertragbarkeit („Datenumzug“)
  • Recht auf Berichtigung
  • Beschwerderecht
  • Widerspruchsrecht

 

Da die Rechte, wenn sie von den Betroffenen ausgeübt werden, unverzüglich bzw. innerhalb bestimmter Fristen erfüllt werden müssen, bedarf es im Unternehmen entsprechender Prozesse, um einzelnen Aufforderungen zeitnah nachkommen zu können.

10. Wann muss ein Datenschutzbeauftragter bestellt bzw. eingesetzt werden?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist in der DS-GVO nicht generell geregelt und gilt daher nicht in allen EU-Mitgliedstaaten gleichermaßen. In Deutschland regelt § 38 Abs. I BDSG-neu eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn bestimmte Voraussetzungen vorliegen.

 

Danach sind insbesondere Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn dort ständig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder, wenn in einem Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

11. Müssen Verträge mit Auftragsdatenverarbeitern und Cloud-Anbietern angepasst werden?

In der Regel handelt es sich bei Verträgen mit Cloud-Anbietern um eine sog. Auftragsdatenverarbeitung, die immer dann vorliegt, wenn ein Dienstleister im Auftrag eines Unternehmens (so genannte verantwortliche Stelle) weisungsgebunden Daten verarbeitet. Dies kann beispielsweise bei einem externen Hosting von Daten (Emailprovider, Cloud-Anbieter, Backup etc.) oder bei einem externen E-Mail-Newsletter-Versand über einen Dienstleister der Fall sein. Es trifft immer dann zu, wenn ein Unternehmen Daten an einen Dritten weitergibt und der Dritte für den Auftraggeber eine Datenverarbeitung durchführt, also z. B. auch bei der Verwendung von Software-Dokumentenmanagementsystemen, wenn die Datenbank beim Softwareanbieter gehostet wird sowie bei der Verwendung von Google Analytics.

 

Bestehende Auftragsdatenverarbeitungsverträge müssen in der Regel an die DS-GVO angepasst werden. Dabei ist auch zu berücksichtigen, dass künftig auch der Auftragnehmer (Auftragsverarbeiter) eigenen gesetzlichen Pflichten nach der Datenschutz-Grundverordnung (DS-GVO) unterliegt (z. B. Dokumentationspflicht, Meldepflicht bei Datenpannen etc.) und entsprechend haftet.

12. Wie ist die Rechtslage bei einer Auftragsdatenverarbeitung mittels US-Unternehmen?

Das Problem mit einer Datenverarbeitung durch US Unternehmen (zum Beispiel sog. Cloud-Anwendungen, bei denen die Server in den USA stehen) liegt darin, dass der Datenschutzstandard in den USA erheblich niedriger ist als in der EU und, dass deshalb die datenschutzrechtlichen Verpflichtungen, die in der EU bestehen bei einer Übermittlung der Daten in ein Land außerhalb der EU bzw. des EWR nicht immer gewährleistet sind. In den USA kommt hinzu, dass staatliche Behörden aufgrund der dortigen Anti-Terror-Gesetzes umfassende Zugriffsmöglichkeiten auf personenbezogene Daten haben.

 

Daher muss in diesen Fällen mit dem Auftragsverarbeiter eine vertragliche Vereinbarung getroffen werden, wonach die Daten innerhalb der EU gehostet werden oder aber der US-Anbieter muss nach dem sogenannten Privacy Shield zertifiziert sein und die Verträge müssen entsprechend angepasst sein.

Es wird ausdrücklich darauf hingewiesen, dass es sich hier um allgemeine Antworten handelt, die nicht auf jeden Fall übertragbar sind und die eine fachkundige Rechtsberatung im Einzelfall keinesfalls ersetzen.

Sie benötigen Hilfe bei der Umsetzung der DS-GVO?

 

Unsere Anwälte stehen Ihnen als kompetente Ansprechpartner gerne zur Verfügung.

Kontakt

 

Wir freuen uns über Ihre Anfrage und melden uns schnellstmöglich bei Ihnen!

Ihr Name *

Ihre Telefonnummer  *

Ihre E-Mail-Adresse **

Ihre Nachricht **

* Pflichtfeld** freiwillige Angaben

Hiermit willige ich ein, dass ich zum Zwecke der Beantwortung meines obigen Anliegens von der WeSaveYourCopyrights Rechtsanwaltsgesellschaft per Email kontaktiert werden darf. Die Einwilligung ist freiwillig und kann für die Zukunft widerrufen werden.
Durch das Ausfüllen und Absenden des Kontaktformulars wird weder ein Mandatsvertrag geschlossen, noch werden dadurch Kosten ausgelöst. Ihre Angaben sind unverbindlich und dienen uns unter Anderem zur Vorab-Information, zur Vorbereitung der Kontaktaufnahme, zur Kontaktaufnahme, zur Vertragsanbahnung oder zur Erstellung eines Angebots.
Erfahrungen & Bewertungen zu WeSaveYourCopyrights Rechtsanwaltsgesellschaft mbH