Datenschutzbeauftragter

Die Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 gilt in der Europäischen Union die DSGVO. Sie ersetzt das bisherige deutsche Datenschutzrecht. Mit wenigen Ausnahmen: Es wird zwar auch am 25. Mai 2018 ein neues Bundesda­tenschutzgesetz (BDSG) in Kraft treten. Dies beinhaltet jedoch nur bestimmte Bereiche des Datenschutz­rechts.

 

Ob und unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, ändert sich im Vergleich zum bisherigen deutschen Datenschutzrecht nur geringfügig. Wie bisher dürfen Daten mit der DSGVO – vereinfacht dargestellt – in nachfolgenden Konstellationen verarbeitet werden:

  1. Die Datenverarbeitung ist erforderlich, um Pflichten aus einem Vertragsverhältnis mit dem Betroffenen zu erfüllen.
        Oder sie ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Be­troffenen erfolgen.
  2. Es liegt eine wirksame Einwilligung des Betroffenen vor.
  3. Es gibt eine gesetzliche Pflicht zur Datenverarbeitung (z.B. eine Aufbewahrungs­pflicht).
  4. Die Datenverarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen
        natürlichen Person zu schützen.
  5. Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Ver­antwort­lichen oder eines Dritten erforderlich,
        sofern nicht die Interessen der betroffenen Person (oder seine gesetzlich eingeräumten „Datenschutzrechte“) überwiegen
        (Datenverarbeitung auf Basis einer Interessenabwägung).
 

Was ändert sich?

Die Hauptgründe für Unternehmen, sich JETZT um die Umsetzung der DSGVO kümmern (zu müssen), sind:

  • DSGVO-Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro (oder bis zu 4% des weltweiten Jahresumsatzes) geahndet werden.
  • Die DSGVO ist „hartes Compliance-Recht“. Die Nichteinhaltung kann u.U. zur persön­lichen Haftung von vertretungsberechtigten Personen von Kapitalgesell­schaften führen.
 

 

Derzeit kann niemand genau abschätzen, wie sich die Situation bei der Verhängung von Bußgeldern im Hinblick auf die Quantität und vor allem auch die Höhe der Bußgelder entwickeln wird.

 

Neu ist in der DSGVO jedoch die sog. Rechenschaftspflicht („Accountability-Prinzip“), das sich aus Art. 2 DSGVO ergibt. Aus diesem ergibt sich, dass die Einhaltung der Vorgaben der DSGVO vom Unternehmen nachgewiesen werden können muss.

 

Mit Blick auf die erheblichen Bußgeldrisiken sollten Vorstände bzw. Geschäftsführer von Kapitalgesellschaften Risikovorsorge treffen um das Risiko der persönlichen Haftung auszuschließen oder zumindest zu minimieren.

Aber auch Personengesellschaften sind verpflichtet, die Vorgaben der DSGVO einzuhalten.

Sie sollten das schon tun, um das zivilrechtliche Haftungsrisiko zu minimieren.

 
Welche Änderungen sind noch relevant?
  • Künftig werden bei risikoreichen Datenverarbeitungen vorgelagerte Datenschutz-Folgenabschätzungen durchgeführt werden müssen
  • Verschärfte Meldepflichten bei Datenpannen
  • Wesentlich verschärfte Informationspflichten gegenüber Betroffenen: Daten­schutzhinweise in Formularen, Internetseiten etc. müssen überarbeitet werden.
 

Und sonst noch?

Die DSGVO bringt noch eine ganze Reihe von Änderungen mit sich. Diese führt auch zu weiteren erfor­der­lichen internen Maßnahmen.
Zum Beispiel:

  • Überprüfung der Wirksamkeit von Einwilligungen. Diese werden ggf. automatisch ab 25.05.2018 unwirksam.
  • Alle Auftragsdatenverarbeitungsverträge müssen überprüft und angepasst werden.
  • Datenverarbeitungen sind in einem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren.
  • Die Grundsätze von Datenschutz durch Technikgestaltung („Privacy by Design“) und
    durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) sind bei der Auswahl von Hard- und Software und vor allem bei deren Einsatz einzu­halten. Dies gilt insbesondere auch für die Entwicklung bzw. Bereitstellung von Software.
  • Die DSGVO-Vorgaben sind insbesondere auch bei einer Verarbeitung von Daten im Auftrag einzuhalten und vom Auftragsverarbeiter nachzuweisen.
 
Die Einhaltung der DSGVO ist kein „einmaliger Aufwand“. Es ist ein Prozess der kontinuierlichen Verbes­serung.
 

Benennung eines Datenschutzbeauftragten

Wenn in einem Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung perso­nenbezogener Daten beschäftigt sind
oder die Verarbeitung der Daten der Folgenabschätzung un­terliegt
oder die Daten geschäftsmäßig zum Zweck der Übermittlung oder der Markt- und Meinungsfor­schung verarbeitet werden, dann ist ein Datenschutzbeauftragter zu benennen.
 
Seine Kontaktdaten sind der Aufsichtsbehörde mitzuteilen. Wurde dieser Pflicht nicht nachgekommen, kann ein Bußgeld von bis zu 10 Millionen Euro (oder bis zu 2 % des weltweiten Jahresumsatzes) verhängt werden.
 

Interner oder externer Datenschutzbeauftragter?

Der Vorteil eines internen Datenschutzbeauftragten ist, dass er die internen Arbeitsabläufe des Unter­nehmens kennt. Allerdings müssen ihm die notwendigen Ressourcen z.B. Lite­ratur, Fachzeitschriften, Fortbildungen zur Verfügung gestellt werden, damit er seiner Tätigkeit nachkommen kann. Auch muss er zur Erfüllung seiner Aufgaben vom Kerngeschäft freigestellt werden, wodurch ein qualifizierter Mitarbei­ter dem Unternehmen teilweise entzogen wird. Im Übrigen besteht ein Kündigungsschutz, der noch 1 Jahr über seine Abberufung hinaus gilt.

Diese Nachteile entfallen bei einem externen Datenschutzbeauftragten. Unterm Strich ist deshalb ein externer Datenschutzbeauftragte günstiger.

 

Sofern Sie einen internen Datenschutzbeauftragen haben, können wir diesen unterstützen und beraten.

Wir können auch als externer Datenschutzbeauftrage für Sie tätig werden.

Sprechen Sie uns unverbindlich an.

 

 

 

 

Download dieser Information

B. Billing

 

 

Grafiken: © strichfiguren.de / Fotolia