Die Änderungen zur Datenschutz-Grundverordnung (DSGVO) zum 25. Mai 2018

Mehr zum Thema: Datenschutzrecht, DSGVO, Datenschutz, Bußgeld, Datenschutzbeauftragter, Datenschutzgrundverordnung
3,75 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
12

Unternehmen, Freiberufler, Ärzte und Kaufleute sollten auf die Anforderungen der DSGVO vorbereitet sein, um sich vor den drohenden erheblichen Bußgeldern zu schützen.

Ab dem 25. Mai 2018 gilt in der Europäischen Union ein einheitliches Datenschutzrecht. Es ist in der Datenschutz-Grundverordnung (DS-GVO) geregelt. Diese Verordnung bringt eine ganze Reihe an neuen Anforderungen und Verpflichtungen mit sich, die mit der Einführung am 25. Mai 2018 in Ihrem Betrieb mit sofortiger Wirkung umzusetzen sind.

Neu ist auch die Rechtsform, in der das neue Datenschutzrecht erlassen wurde, nämlich in Form einer Europäischen Verordnung. Solche Verordnungen gelten unmittelbar in allen Mitgliedsstaaten der EU. Eine Umsetzung durch die Gesetzgeber der Mitgliedsstaaten ist somit nicht erforderlich. Durch sog. Öffnungsklauseln kann der nationale Gesetzgeber aber noch ergänzende Regelungen treffen, so dass in Deutschland neben der DSGVO auch das Bundesdatenschutzgesetz (BDSG) zu beachten ist.

Sascha  Kugler
Partner
seit 2006
Rechtsanwalt
Kurfürstendamm 136
10711 Berlin
Tel: +49308803400
Web: http://www.ligant.de
E-Mail:
Strafrecht, Medizinrecht, Verkehrsrecht, Datenschutzrecht

Neu ist auch, dass der europäische Gesetzgeber die Datenschutzaufsichtsbehörden ermächtigt, für Verstöße gegen die Verordnung Geldbußen in Höhe von bis zu 20 Millionen Euro festzusetzen, bei Unternehmen alternativ bis zu 4 % des Weltjahresumsatzes. Schon aus diesem Grund ist es dringend geboten, sich umgehend mit den neuen Anforderungen der DSGVO vertraut zu machen und diese umzusetzen.

Betroffen ist in Prinzip jeder, der personenbezogene Daten seiner Kunden, Patienten oder Mandanten, unabhängig ob digital oder analog, erhebt. Dabei kommt es auch nicht auf die Größe des Betriebes an.

Dies spielt allein bei der Beantwortung der Frage, ob ein interner oder externer Datenschutzbeauftragter notwendig ist, eine Rolle. Dieser ist nach § 38 Abs. 1 BDSG ab zehn Mitarbeitern zwingend notwendig. Bei der Bestellung eines internen Datenschutzbeauftragten ist zu beachten, dass zunächst einmal dessen Qualifikation nachzuweisen ist. Weiter kann ihm diese Funktion nur unter sehr engen Voraussetzungen wieder entzogen werden, weshalb er nach § 6 Abs. 4 S. 2 BDSG einen besonderen Kündigungsschutz genießt. Ist somit eine Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben, ist anzuraten, einen externen qualifizierten Datenschutzbeauftragten zu beauftragen. Zumal mit dem externen Datenschutzbeauftragten die Möglichkeit besteht, vertraglich eine Haftungsfreistellung zu vereinbaren.

Aber auch ohne Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist jeder, der personenbezogene Daten verarbeitet verpflichtet, die Anforderungen der DSGVO zu erfüllen.

Der Zweck der DSGVO ist, den Einzelnen davor zu schützen, dass er im Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Dazu muss der betroffene Betrieb zunächst ein sog. Verarbeitungsverzeichnis erstellen und dieses im Rahmen einer Datenschutz-Folgenabschätzung analysieren.

Es sollte jedem, der Daten verarbeitet, bewusst sein, dass die Verarbeitung nach der DSGVO an sich verboten ist und nur unter einem Erlaubnisvorbehalt gestattet wird.

Dies setzt nach Art. 6 DSGVO entweder eine Einwilligung der betreffenden Person voraus oder dient der Erfüllung des Vertrages oder unterliegt einer gesetzlichen Verpflichtung.

Mit anderen Worten ist eine Datenverarbeitung ohne vorherige Einwilligung nicht mehr möglich. Diese Einwilligung ist zudem zwingend zu dokumentieren.

Weiter muss der Verarbeitende sicherstellen, dass der betroffenen Person jederzeit Auskunft über seine erhobenen Daten erteilt werden kann, diese auf Verlangen berichtigt oder gelöscht (Recht auf Vergessenwerden) werden.

Problematisch ist auch die Weitergabe der Daten an Dritte, die sog. Auftragsverarbeiter. z.B. Lohnbuchhaltung, Inkassounternehmen, etc.

Sollte sich ein Betroffener bei der Aufsichtsbehörde beschweren oder diese selbst bei einer Prüfung Unregelmäßigkeiten feststellen, hat das Unternehmen die Umsetzung der DSGVO im Betrieb zumindest durch Vorlage des Verarbeitungsverzeichnisses sowie der Risiko-Folgeabschätzung und ggf. die Benennung des qualifizierten Datenschutzbeauftragten nachzuweisen. Andernfalls drohen erhebliche Geldbußen durch die Aufsichtsbehörde.

Es ist somit jedem Unternehmen, Freiberufler, Arzt oder Kaufmann dringend geraten, sich auf die Umsetzung der DSGVO im Betrieb vorzubereiten. Die Nichtbeachtung der neuen Anforderungen durch die DSVGO ist mit einem erheblichen Risiko verbunden. Was sehr schnell sehr teuer werden kann. Deshalb sollte sich jeder betroffene Betrieb jetzt durch einen auf Datenschutz spezialisierten Rechtsanwalt oder TÜV / DEKRA zertifizierten Datenschutzbeauftragten bei der Umsetzung beraten lassen.

Sascha Kugler
Rechtsanwalt und Partner
DEKRA zertifizierte Fachkraft für Datenschutz
TÜV - zertifizierter Compliance Officer

LIGANT Rechtanwälte und Notar
Kurfürstendamm 136
10711 Berlin

Tel.: 030 880 340 0
Fax: 030 880 340 31

kugler@ligant.de
www.ligant.de
www.itm-dsgvo.de
www.easy-hinweis
Leserkommentare
von Berghofer am 18.05.2018 11:48:47# 1
Was ist mit Schufa / Bürgel / Creditreform, etc.?

    
von MBGucky am 24.05.2018 09:14:19# 2
Ich bin doch immer wieder erstaunt, wie hier mit der DSGVO Panik betrieben wird um Geld zu verdienen.
Also ob ein Kleinunternehmen mit einer Hand voll Mitarbeiter gleich eine Strafe von 20 Millionen Euro zahlen müsste, wenn in der Datenschutzerklärung auf der Webseite des Unternehmens ein Fehler enthalten ist.
Sicherlich ist es allgemein ratsam, sich darüber zu informieren wie man mit den Daten seiner Kunden, Mitarbeiter und Geschäftspartner umzugehen hat.
Die Datenschutzaufsichtsbehörden verhängen aber nicht gleich hohe Bußgelder.
Eher kommt es in einem berechtigten und auch relevanten Verstoß gegen die DSGVO schon mal zu einer Kontaktaufnahme oder einer Ermahnung.