EU-Datenschutz-Grundverordnung (DSGVO) ab 25. Mai 2018 verbindlich – hohe Bußgelder drohen

Die EU-Datenschutz-Grundverordnung (DSGVO) – bereits seit dem 25. Mai 2016 mit einer zweijährigen Übergangsfrist in Kraft getreten – wird ab dem 25. Mai 2018 verbindlich angewendet und unterschiedliche Rechtsvorschriften in den Mitgliedsstaaten werden harmonisiert. Betroffen sind sämtliche Unternehmen, die in der EU Waren oder Dienstleistungen anbieten und personenbezogene Daten verarbeiten. Dabei kommt es nicht auf den Unternehmenssitz an, sondern es reicht aus, dass ein Unternehmen Waren oder Dienstleistungen in einem der EU-Mitgliedsstaaten anbietet. Auch die Unternehmensform ist nicht entscheidend, sodass z. B. auch gemeinnützige Vereine erfasst werden. Bereits ein Klein- oder Einzelunternehmer – wie z. B. ein Fotograf, der Rechnungsadressen von Kunden erhält – fällt unter den Anwendungsbereich der Verordnung. 

Eine Verarbeitung von Kundendaten ist nicht erforderlich – ausreichend ist schon die Speicherung von Lieferantendaten, Nutzertracking auch oder die stets praktizierte Speicherung von Mitarbeiterdaten, die ebenfalls personenbezogen sind, sodass faktisch so gut wie jedes Unternehmen in den Anwendungsbereich der DSGVO fällt. 

Personenbezogene Daten sind nach Art. 4 der Verordnung „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Für die Identifizierbarkeit genügt es bereits, dass eine indirekte Zuordnung mittels Daten wie Name, Anschrift, Alter, E-Mail-Adresse oder Bankdaten möglich ist; aber auch Online-Daten wie die IP-Adresse sowie Kundendaten – wie z. B. aufgegebene Bestellungen – fallen unter den Begriff der personenbezogenen Daten. Die Definition ist demnach – nach wie vor – sehr weit gefasst und es sollte grds. davon ausgegangen werden, dass bei sämtlichen Datenverarbeitungsvorgängen personenbezogene Daten erfasst werden. Auch die Recherche dieser Daten fällt bereits unter den Verarbeitungsbegriff, eine Speicherung ist nicht erforderlich. Häufig ist gar nicht bekannt, in welchem Umfang und an welcher Stelle überhaupt Daten gespeichert werden. Dabei wachsen die Datenmengen im Zeichen der Digitalisierung stetig.

Bei Verstößen drohen nunmehr Bußgelder bis zur Höhe des vierfachen (weltweiten) Jahresumsatzes oder EUR 20.000.000,00. Die bisherige Haftungshöchstgrenze von EUR 300.000,00 wird mit der DSGVO aufgehoben. Auch für natürliche Personen wie Geschäftsführer steigt das Haftungsrisiko, denn diese sind nach der Verordnung nicht von Sanktionsmöglichkeiten ausgenommen. Auch bezüglich der Melde- und Auskunftsfristen wurden die Anforderungen an die Unternehmen verschärft. So gelten kürzere Fristen für die Auskunft zu Anfragen natürlicher Personen und für die Auskunft an die zuständigen Behörden bei Verstößen. Ebenfalls verschärft werden Dokumentationspflichten. Aus Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO folgt zudem eine Rechenschaftspflicht und eine faktische Beweislastumkehr der Unternehmensleitung gegenüber der Aufsichtsbehörden, die jederzeit die Einhaltung der Vorschriften überprüfen können. Art. 25 DSGVO schreibt vor, dass IT-Systeme der Unternehmen durch „technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung“ den neuen Datenschutzvorschriften und -grundsätzen entsprechen muss. Dies erfordert eine enge Abstimmung der Datenschutzverantwortlichen mit der IT-Abteilung oder externen EDV-Abteilungen. 

Als wirksame Sofortmaßnahme empfiehlt sich die Beauftragung eines Datenschutzbeauftragten, der die Verantwortung für die Einhaltung der neuen Vorschriften übernimmt und Personal schult. Ab einer Unternehmensgröße von 10 Mitarbeitern, die personenbezogene Daten automatisiert verarbeiten, ist ein Datenschutzbeauftragter nach wie vor gesetzlich vorgeschrieben. Art. 39 DSGVO definiert den Mindeststandard der Aufgaben des Datenschutzbeauftragten wie folgt: 

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO; Zusammenarbeit mit der Aufsichtsbehörde;
4. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen (...)

Je nach Größe des Unternehmens empfiehlt sich die Beauftragung eines externen Beauftragten mit befristeten Laufzeiten, da interne Datenschutzbeauftragte nur unter sehr engen Voraussetzungen, mit sehr langen Fristen und aufgrund eines „wichtigen Grundes“ kündbar sind, von der Unternehmensführung per Gesetz weitgehende Unabhängigkeit genießen und mit zahlreichen Sonderrechten ausgestattet werden. Zudem gestaltet sich die Aufteilung zwischen übrigen Tätigkeiten und der Datenschutzaufsicht oftmals schwierig. Bei der Beauftragung externer Beauftragter hingegen wird das Haftungsrisiko nach außen getragen und Arbeitsprozesse werden entlastet. 

Die Rechtsanwälte unserer Kanzlei LoschelderLeisenberg stehen Ihnen mit ihrer Expertise bei der Erstellung eines Datenschutzkonzeptes zur Seite und beraten umfassend zu den erforderlichen Maßnahmen.