Haben Sie die EU-Datenschutz-Grundverordnung bereits umgesetzt?

Bis zum 25.05.2018 mussten alle Unternehmen in der Europäischen Union die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) umsetzen. Viele glauben, mit einer Anpassung der Datenschutzerklärung auf der Unternehmens- oder Vereinshomepage sei das Notwendige getan. Das ist mitnichten der Fall. Gleichwohl mag die Datenschutzerklärung ein wichtiger Punkt sein, da ein Unternehmen durch die Internetpräsenz besonders leicht durch Abmahner ebenso wie durch Aufsichtsichtsbehörden überprüft werden kann. Deren Bußgeldrahmen steigt mit der DSGVO von 300.000 € auf 20.000.000 € oder 4 % des weltweiten Jahresumsatzes, wobei der jeweils höhere Betrag maßgeblich ist.

Was müssen wir umsetzen?

Zunächst sei vorangestellt: Wer das bisherige Datenschutzrecht eingehalten hat, den erwartet ein geringerer Umsetzungsaufwand als diejenigen, welche sich nun erstmals mit dem Thema befassen (müssen). Bei ausnahmslos jedem Unternehmer fallen - teilweise umfangreiche - Dokumentationspflichten an. Ferner sind zahlreiche Informationspflichten sowie der Umgang mit Betroffenenrechten in die Geschäftsprozesse zu implementieren. Schließlich müssen Unternehmen die Frage klären, ob ein Datenschutzbeauftragter zu benennen ist.

Eine gute erste Orientierung bieten die Kurzpapiere der Datenschutzkonferenz. Für Kleinstunternehmen empfehlen wir als Leitfaden zur Umsetzung der DSGVO zudem das vom Bayrischen Landesamt für Datenschutzaufsicht herausgegebene Paper "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine", welches für 5,50 € im Einzelhandel erhältlich ist.

Dokumentationspflichten

Unzweifelhaft treffen nunmehr jeden Unternehmer umfangreiche Dokumentationspflichten über die Einhaltung der DSGVO. Diese reichen von der allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) über das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) bis hin zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Das neue Datenschutzrecht verfolgt dabei einen risikoorientierten Ansatz. Je größer das Risiko oder je sensibler die verarbeiteten Daten sind, desto höher sind die Anforderungen, welche die DSGVO aufstellt.

Informationspflichten

Bei der Erhebung von personenbezogenen Daten ist der Betroffene über eine Vielzahl von Informationen zu belehren. Hierzu gehören z.B. der Name und die Kontaktdaten des Verantwortlichen, der Zweck der Erhebung und die Rechtsgrundlage für die Verarbeitung, Art. 13 DSGVO. Gemäß Art. 14 DSGVO gelten die Belehrungspflichten auch bei einer Dritterhebung, also einer Datenerhebung bei einem Dritten. Dies kann verschiedene Probleme aufwerfen, für welche pragmatische Lösungen auszuarbeiten sind. Hilfreich bei der Umsetzung ist z.B. die Praxishilfe zu den Transparenzpflichten der Gesellschaft für Datenschutz und Datensicherheit e.V.

Datenschutzbeauftragter

Schließlich ist die Frage zu klären, ob ein Unternehmen oder Verein einen Datenschutzbeauftragten benötigt und wer diese Aufgabe erfüllen kann und darf. Die Geschäftsführung ist aufgrund der zu gewährleistenden Unabhängigkeit des Datenschutzbeauftragten hierfür ausgeschlossen. Ggf. ist auf einen externen Datenschutzbeauftragten zurückzugreifen. Der bereits beauftragte IT-Dienstleister kommt hierfür in aller Regel nicht in Betracht, da dieser die Datenschutzkonformität seiner eigenen Dienstleistung überprüfen müsste.

Ein Datenschutzbeauftragter ist stets erforderlich, soweit "in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten" beschäftigt sind, Art. 37 DSGVO i.V.m. § 38 Abs. 1 S. 1 BDSG 2018. Im Einzelfall kann jedoch auch dann ein Datenschutzbeauftragter verpflichtend zu benennen sein, wenn in besonders großem Umfang oder besonders sensible Kategorien von Daten verarbeitet werden.

Sprechen Sie uns an!

Gerne helfen wir Ihnen bei der Umsetzung der DSGVO in Ihrem Unternehmen oder Verein. Für Ihre unternehmerische Planungssicherheit bieten wir häufig nachgefragte Beratungsleistungen zum Festpreis. Schreiben Sie uns oder rufen Sie uns an und fragen Sie nach einer Pauschalhonorarvereinbarung. Selbstverständlich entstehen Ihnen erst dann Kosten, wenn wir mit der konkreten Beratung beginnen.

DSGVO & Online-Marketing

Auch wenn die DSGVO eben nicht nur die Bereiche Webauftritt und Online-Marketing betrifft, haben Sie mit uns auch bei allen Fragen rund um Online-Marketing, Social Media-Marketing, Tracking, Datenschutzerklärung & Co. einen kompetenten Ansprechpartner.

Ihr Ansprechpartner im Datenschutzrecht:

Christopher Schack

Rechtsanwalt
Zertifizierter Datenschutzbeauftragter (TÜV)

04121 - 3030