Last-Minute-Check Datenschutz

Verfasst von Super User am .

 

"Bußgelder werden Pflicht, höher und auch häufiger verhängt.“ Solche Ängste hört man in jüngster Vergangenheit fast reflexartig, wenn es um die Europäische Datenschutzgrundverordnung (DSGVO) geht.

Tatsächlich können ab dem 25. Mai 2018 Unternehmen Bußgelder bis zu 20 Mio. € bzw. vier Prozent des weltweiten Jahresumsatzes drohen. Ab diesem Zeitpunkt regelt die DSGVO den Datenschutz als unmittelbar geltendes Recht in der gesamten Europäischen Union (EU) neu. Parallel hierzu wird an demselben Tage ein vollständig neugefasstes Bundesdatenschutzgesetz (BDSG) in Kraft treten.

Nationale Abweichungen von der DSGVO sind nur noch möglich, wenn die DSGVO dies in entsprechenden „Öffnungsklauseln“ vorsieht. Sollten sich einzelne Normen widersprechen, so genießt die DSGVO als Europäische Regelung Anwendungsvorrang.

Genannten Sanktionen kann aber mit einem strukturierten Datenschutz-Management vorgebeugt werden.

Wichtige Änderungen im Datenschutz sind unter anderem:

1. Marktortprinzip

Die DSGVO findet bspw. auch dann Anwendung, wenn personenbezogene Daten von EU-Bürgern außerhalb der EU verarbeitet werden und

  • das Unternehmen jedoch über eine Niederlassung in der EU verfügt oder
  • wenn Waren oder Dienstleistungen durch das Unternehmen in der EU angeboten werden.

Die bloße Zugänglichkeit einer Website soll nach den Erwägungsgründen der DSGVO noch kein „Anbieten“ im Sinne der DSGVO darstellen. Wichtige Indizien, ob ein „Anbieten von Waren/Dienstleistungen in der EU“ vorliegt, soll jedoch die Möglichkeit sein, Waren und Dienstleistung in einer EU-Sprache zu bestellen oder dass das Zahlen in Euro vorgesehen ist.

2. Drastische Erhöhung der Bußgelder und Sanktionen

Die Bußgelder werden angehoben, sodass je nach Art des Datenschutzverstoßes Bußgelder bis zu 20 Mio. € verhängt werden können.

Bei Unternehmen ist zudem eine Koppelung an den Jahresumsatz möglich. Ein Bußgeld kann sich je nach Art des Verstoßes auf bis zu vier Prozent des jährlichen Umsatzes im vorangegangenen Geschäftsjahr belaufen. Sollte ein Datenschutzverstoß von einem Unternehmen innerhalb eines Konzernverbunds begangen werden, ist es zudem möglich, den gesamten Konzernumsatz bei der Bemessung des Bußgelds heranzuziehen.

Auch die Strafvorschriften werden angepasst, sodass Verstöße nach § 42 Abs. 1 BDSG künftig mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe sanktioniert werden können.

3.Benennung eines Datenschutzbeauftragten

Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Anzahl der Beschäftigten besteht eine solche Verpflichtung beispielsweise auch, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen ist, oder bei der Verarbeitung sensibler personenbezogener Daten, wie bspw. Bonitäts- oder Gesundheitsdaten.

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, oder diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig bis zum 25.05.2018 zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar (Art. 83 Abs. 4 lit. a i.V.m. Art. 37 DSGVO).

4. Ausgeweitete Dokumentationspflichten

Eine zentrale Änderung durch die DSGVO wird für alle Unternehmen die Einführung einer „Rechenschaftspflicht“ sein, welche gem. Art. 5 Abs. 2 DSGVO von den Verantwortlichen fordert, dass sie „die Einhaltung des Gesetzes nachweisen können“. Hieraus ergibt sich, dass nicht mehr wie bisher die Aufsichtsbehörden erst einen Verstoß nachweisen müssen, um ein Bußgeld zu verhängen. In Zukunft müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit nachzuweisen. Allein schon die fehlende Dokumentation kann zu einem Bußgeld führen, auch wenn die dazugehörige Verarbeitung der Daten rechtskonform ist.

5. Datenschutz und Datensicherheit

„Privacy by Design“ (Datenschutz durch Technikgestaltung) bedeutet, dass Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT‑Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT‑Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden.

„Privacy by default“ (datenschutzfreundliche Voreinstellungen) bedeutet insbesondere, dass die Werkseinstellungen datenschutzfreundlich voreingestellt sein sollen, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind.

6. Erweiterung der Betroffenenrechte

Zu den ohnehin schon bestehenden Ansprüchen auf Information, Auskunft, Berichtigung und Einschränkung der Verarbeitung bringt die DSGVO das Recht auf Löschung (Art. 17 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) neu mit sich. Dies soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten stärken.

Empfehlungen:

Um den zahlreichen neuen Anforderungen gerecht zu werden, empfiehlt es sich, die betriebsinternen Abläufe und Prozesse im Unternehmen zunächst einer datenschutzrechtlichen Bewertung zu unterziehen. Entsprechend dem datenschutzrechtlichen Ist-Zustand sind sodann in einem Datenschutzbericht die Maßnahmen zur Einhaltung der DSGVO und des BDSG herauszuarbeiten.

Sofern noch akut Handlungsbedarf besteht, sollten Unternehmen vorrangig folgende Last-Minute-Maßnahmen umsetzen:

  • Datenschutzbeauftragten benennen
  • Prozesse festlegen, insbesondere Datenschutzvorfall-Management
  • Datenschutzerklärung und Impressum anpassen / Informationspflicht nachkommen
  • Schriftliche Verträge zur Auftragsdatenverarbeitung abschließen
  • Verzeichnis der Verarbeitungstätigkeiten anlegen

Zur Umsetzung der datenschutzrechtlichen Anforderung bieten wir Ihnen gerne entsprechende Unterstützung an. Sprechen Sie uns gerne an!

Mit freundlichen Grüßen

Stefanie Schönfeld
Rechtsanwältin
Tel.: +49 40 / 360066543
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Risikomanagement: Festlegung der Sicherheitsanforderungen für Anbieter Digitaler Dienste

Verfasst von Super User am .

Am 31. Januar 2018 hat die Europäische Kommission die Durchführungsverordnung (EU) 2018/151 der Kommission veröffentlicht und damit die Voraussetzungen für die Umsetzung einer europaweit einheitlichen Regulierung von Anbietern Digitaler Dienste geschaffen. Dabei ergänzt diese Verordnung u.a. den bestehende Rechtsrahmen der NIS-Richtlinie (Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016) um nähere Vorgaben für die Sicherheitsanforderungen. Ziel dieser Regulierung ist es, europaweit einheitliche Mindestanforderungen an die IT-Sicherheit bei digitalen Diensten zu schaffen.

Davon betroffen sind Anbieter von Cloud-Computing-Diensten, Online-Marktplätzen und Online-Suchmaschinen. Cloud-Computing-Dienste liegen u.a. immer dann vor, wenn eine IT-Infrastruktur oder IT-Leistungen über das Internet („die Cloud“) bereitstellt werden. Demnach sind insbesondere Unternehmen von der Regelung betroffen, die Digitale Dienste anbieten. Dies gilt insbesondere für die Bereitstellung von

  • Software,
  • Server,
  • Speicher,
  • Netzwerkkomponenten sowie
  • Datenbanken,

sofern sie über das Internet angeboten werden.

Die Durchführungsverordnung gilt unmittelbar und legt nun in Artikel 2 Absatz 1 bis 5 die Vorgaben näher fest, welche Anbieter Digitaler Dienste im Rahmen der Bereitstellung ihrer Dienste zu berücksichtigen haben, wenn sie Maßnahmen ermitteln und ergreifen, die ein bestimmtes Sicherheitsniveau der Netz- und Informationssysteme gewährleisten sollen. Anbieter digitaler Dienste, welche Online-Marktplätze, Online-Suchmaschinen oder Cloud-Computing-Dienste bereitstellen, müssen demzufolge die dort genannten Sicherheitselemente einhalten und für eine angemessene Dokumentation über die Einhaltung dieser Elemente sorgen. Beispielsweise müssen Vorkehrungen zum Schutz vor Schäden vorhanden sein und es müssen Notfallpläne zur Gewährleistung der Kontinuität der erbrachten Leistungen erstellt und anwendet werden.

Darüber hinaus legt die Verordnung in Artikel 3 die Parameter fest, die bei der Feststellung zugrunde zu legen sind, ob ein Sicherheitsvorfall erhebliche Auswirkungen auf die Bereitstellung der Dienste hat. Diese Parameter sowie die in Artikel 4 genannten Fallgruppen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, müssen Anbieter digitaler Dienste bei der Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls beachten. Zu berücksichtigen sind dabei insbesondere die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer sowie die Dauer des Sicherheitsvorfalls.

Diese Vorgaben sind von Anbietern Digitaler Dienste ab dem 10. Mai 2018 zu erfüllen.

Gerne stehen wir für Rückfragen zur Verfügung.

Mit freundlichen Grüßen

Stefanie Schönfeld
Rechtsanwältin
Tel.: +49 40 / 360066543
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Drittes Gesetz zur Änderung des Telemediengesetzes (3. TMGÄndG): Gesetzgeber beendet Störerhaftung von WLAN-Betreibern

Verfasst von Super User am .

Am 13. Oktober 2017 ist das 3. TMGÄndG in Kraft getreten. Das Gesetz soll Betreibern von drahtlosen lokalen Netzwerken (WLAN) mehr Rechtssicherheit verschaffen. Betreiber sollen so abgesichert werden, dass sie ihr WLAN frei von einer Störerhaftung anbieten können. Danach können sie zukünftig nicht mehr für Rechtsverstöße Dritter abgemahnt oder haftbar gemacht werden. Es können zudem keine mit der Störerhaftung im Zusammenhang stehenden Kosten, wie u.a. Abmahnkosten, geltend gemacht werden. Damit soll den gestiegenen Bedürfnissen nach einem öffentlichen Zugang zum Internet auch unter Nutzung von WLAN entsprochen werden.

Bisher konnten WLAN-Anbieter im Rahmen der sog. Störerhaftung wegen der Verletzung von Urheberrechten, die ein Dritter über das bereitgestellte Netz getätigt hat, in Haftung genommen werden. Dabei ging es beispielsweise um das illegale Hochladen von Filmen, Musik und Bildern auf Internetseiten oder den Austausch im Rahmen von Peer-to-Peer-Netzwerken (z.B. illegale Tauschbörsen).

Eine weitere Änderung im Telemediengesetz stellt nunmehr klar, dass den WLAN-Hotspot-Betreibern keinerlei Prüf- oder Verschlüsselungspflichten auferlegt werden. So ist beispielsweise ein Passwort-Schutz keine zwingende Voraussetzung für die Haftungsprivilegierung. WLAN-Betreiber können demnach nicht von der Behörde verpflichtet werden, Nutzer vor der Gewährung des Zugangs zum Internet zu registrieren, die Eingabe eines Passwortes zu verlangen oder das Anbieten ihres Dienstes dauerhaft einzustellen.

Allerdings kann der Anbieter verpflichtet werden, entsprechende Inhalte zu sperren, damit sich eine Verletzungshandlung nicht wiederholt.

Eine ausführliche Erläuterung zum Telemediengesetz finden Sie in unserem online Rechtsinformations-System CertLex unter dem Themengebiet Datenschutz .

Mit freundlichen Grüßen

Stefanie Schönfeld
Rechtsanwältin
Tel.: +49 40 / 360 066 543
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Handlungsbedarf für Unternehmen: Das neue Datenschutzrecht

Verfasst von Redaktion am .

Ab dem 25. Mai 2018 regelt die europäische Datenschutzgrundverordnung (DS-GVO; Verordnung (EU) Nr. 2016/679) den Datenschutz auch für Unternehmen als unmittelbar geltendes Recht in der gesamten Europäischen Union neu. Aufgrund von bereichsspezifischen Öffnungsklauseln wird parallel hierzu ein vollständig neugefasstes Bundesdatenschutzgesetz (BDSG 2018) zum gleichen Datum in Kraft treten, welches als Ergänzung zur DS-GVO anzusehen ist.
Verstöße gegen die neuen Anforderungen des Datenschutzrechts können drastische Folgen für Unternehmen haben. Die möglichen Bußgelder werden von 300.000 Euro auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Konzernumsatzes erhöht.

Mit der datenschutzrechtlichen Novelle ergeben sich u.a. folgende Neuerungen:

1.  Rechenschaftspflicht für ordnungsgemäßen Datenumgang

Artikel 22 DS-GVO regelt die Rechenschaftspflicht für den Umgang mit personenbezogenen Daten. Danach müssen auch Unternehmen je nach Art der Daten „geeignete technische und organisatorische Maßnahmen“ zur Überwachung des rechtskonformen Datenumgangs ergreifen. Dadurch soll sichergestellt werden, dass personenbezogene Daten in Übereinstimmung mit den neuen datenschutzrechtlichen Regelungen verarbeitet werden. Diese neuen Rechenschaftspflichten bringen möglicherweise auch haftungsrechtliche Konsequenzen mit sich:
Derzeit muss ein Betroffener vor Gericht selbst den Nachweis dafür erbringen, dass das Unternehmen oder die Behörde als verantwortliche Stelle für eine fehlerhafte Verarbeitung von Daten haftbar ist. Diese Pflicht obliegt nach dem neuen Artikel 22 DS-GVO der datenverarbeitenden Stelle und muss durch Dokumente belegt werden können. Die DS-GVO stellt Methoden bereit, um die Einhaltung dieser Rechenschaftspflichten zu vereinfachen – insbesondere Zertifizierungsverfahren oder genehmigte Verhaltensregeln. In Zukunft werden Unternehmen folglich mehr von Zertifizierungen nach datenschutzrechtlichen Anforderungen Gebrauch machen müssen, um die Einhaltung der Pflichten nach außen besser dokumentieren zu können.

2.  Verschärfte Anforderungen an Arbeitgeber

Der Beschäftigtendatenschutz in § 26 BDSG 2018 wird u.a. explizit auf Leiharbeiter, Heimarbeiter sowie Auszubildende erweitert. Neu ist die ausdrückliche Regelung zur Einwilligung in die Verarbeitung personenbezogener Daten von Beschäftigten im Beschäftigungsverhältnis. Hierbei muss der Arbeitgeber sicherstellen, dass sie trotz des Abhängigkeitsverhältnisses freiwillig abgegeben wird. Dies kann insbesondere dann der Fall sein, wenn dem Arbeitnehmer durch die Einwilligung ein Vorteil entsteht oder die Interessen der Parteien gleichgelagert sind.
In formaler Hinsicht empfiehlt sich eine schriftliche Einwilligungserklärung. Zuvor muss der Arbeitgeber den Beschäftigten aber umfangreich informiert haben, ihm die Zwecke der Verarbeitung klar benennen und über das Widerrufsrecht informieren. Auch hier empfiehlt sich eine geeignete Dokumentation.

3.  Betroffenenrechte

Im Rahmen der sogenannten Betroffenenrechte erlegt die DS-GVO den Verantwortlichen bei der Datenverarbeitung zahlreiche Informationspflichten auf (Art. 12, 13 DS GVO). Die Betroffenenrechte gegenüber dem Verantwortlichen werden dagegen gestärkt (Auskunft, Löschung und Berichtigung sowie Widerspruch, Art. 15 bis 22 DS-GVO), wobei Ausnahmen zugunsten des Verantwortlichen in den §§ 32 bis 37 BDSG 2018 enthalten sind. So regelt beispielsweise § 33 BDSG 2018 eine Ausnahme von der Pflicht zur Erteilung der Information, wenn diese Information die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde.

4.  Bestellung des Datenschutzbeauftragten

Unternehmen sind verpflichtet einen Datenschutzbeauftragten zu bestellen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Eine ebensolche Verpflichtung gilt nunmehr auch unabhängig von der beschäftigten Personenzahl, wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO vorgenommen werden muss (§ 38 BDSG-neu). Eine solche Datenschutz-Folgenabschätzung ist insbesondere bei Datenverarbeitungsvorgängen notwendig, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordern. Gleiches gilt, wenn in großem Umfang persönliche Daten von besonderen Kategorien (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtliche relevante Daten, wie z.B. Daten über gerichtliche Verurteilungen und Straftaten, verarbeitet werden.
Um den zahlreichen neuen Anforderungen mit dem Inkrafttreten des neuen Datenschutzrechts gerecht zu werden, empfiehlt es sich, die betriebsinternen Abläufe und Prozesse im Unternehmen rechtzeitig einer datenschutzrechtlichen Bewertung zu unterziehen. Hier kann die Implementierung eines entsprechenden Managementsystems mit anschließender Zertifizierung ein geeignetes Tool sein. Abschließend kann ein entsprechender Nachweis der datenschutzrechtlichen Compliance durch die Verleihung des Prüfsiegels DATA-Compliance erbracht werden, dass nach erfolgreicher Absolvierung eines Datenschutzaudits durch Zertifizierer des ESC Cert GmbH verliehen wird.

drp logo esc

Gerne beantworten wir Ihre Fragen zum neuen Datenschutzrecht bzw. zur datenschutzrechtlichen Zertifizierung nach dem Datenschutzsiegel DATA-Compliance.

Mit freundlichen Grüßen

Stefanie Schönfeld
Assessor jur.
Tel.: +49 40 / 360 066 543
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

CSR-Berichtspflicht 2017

Verfasst von Redaktion am .

Wir möchten Sie auf die grundsätzlich bestehende Pflicht zur Aufnahme einer nichtfinanziellen Erklärung (sog. CSR-Bericht) in den Jahresabschluss kapitalmarktorientierter Unternehmen für das Berichtsjahr 2017 hinweisen. CSR steht dabei für Corporate Social Responsibility.
Danach sind kapitalmarktorientierte Unternehmen erstmals verpflichtet, eine nichtfinanzielle Erklärung in den Jahresabschluss (JAB) des Geschäftsjahres, das nach dem 31.12.2016 beginnt, einzubeziehen.

Diese Verpflichtung besteht, wenn das Unternehmen

  • am organisierten Markt i.S.d. Wertpapierhandelsgesetzes durch von ihm ausgegebene Wertpapiere teilnimmt („Aktienhandel“),
  • einen Umsatz von über 40 Mio. Euro in 12 Monaten vor dem letzten Abschlussstichtag aufweist und
  • eine Bilanzsumme von über 20 Mio. Euro und/oder
  • mehr als 500 Mitarbeiter im Jahresdurchschnitt beschäftigt.

Damit sind in Deutschland schätzungsweise mehr als 900 Unternehmen von dieser Verpflichtung betroffen. Es besteht für Tochterunternehmen im Konzernverbund die Möglichkeit der Befreiung von der Pflicht zur eigenständigen Erstellung einer nichtfinanziellen Erklärung unter bestimmten Voraussetzungen. Die „nichtfinanzielle Erklärung“ kann im üblichen Lagebericht abgebildet oder durch einen gesonderten Bericht („Nachhaltigkeitsbericht“) bereitgestellt werden.

Folgende Punkte sind dabei zu berücksichtigen:

  1. Umweltbelange (z.B. zu Treibhausgasemissionen, Wasserverbrauch, Luftverschmutzung, Energienutzung, Schutz der Biodiversität etc.)
  2. Arbeitnehmerbelange (z.B. zur Geschlechtergleichstellung, Arbeitsbedingungen, Wahrung der Arbeitnehmerrechte und Gewerkschaftsrechte, Gesundheitsschutz und Arbeitssicherheit etc.)
  3. Sozialbelange (z.B. zu Dialogen auf kommunaler oder regionaler Ebene, Schutz und Entwicklung lokaler Gemeinschaften etc.)
  4. Achtung der Menschenrechte (z.B. zur Verhinderung von Menschenrechtsverletzungen)
  5. Bekämpfung von Korruption und Bestechung (z.B. zu Instrumenten zur Bekämpfung von Korruption und Bestechung)


Gern unterstützen wir Sie bei

  • der juristischen Feststellung, ob und inwieweit für Ihr Unternehmen die Pflicht zur
    Erstellung einer nichtfinanziellen Erklärung besteht
  • der Festlegung des gesetzlich für Ihre Gesellschaft erforderlichen Umfangs und der
    Erstellung der handelsrechtlich geforderten Erklärung im JAB.

Für Rückfragen stehen wir gern zur Verfügung.

Dr. Antonia Goldner
-Rechtsanwältin-
Tel. (040) 360 066 543
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

  • 1
  • 2