Last-Minute-Check Datenschutz
“Bußgelder werden Pflicht, höher und auch häufiger verhängt.“ Solche Ängste hört man in jüngster Vergangenheit fast reflexartig, wenn es um die Europäische Datenschutzgrundverordnung (DSGVO) geht.
Tatsächlich können ab dem 25. Mai 2018 Unternehmen Bußgelder bis zu 20 Mio. € bzw. vier Prozent des weltweiten Jahresumsatzes drohen. Ab diesem Zeitpunkt regelt die DSGVO den Datenschutz als unmittelbar geltendes Recht in der gesamten Europäischen Union (EU) neu. Parallel hierzu wird an demselben Tage ein vollständig neugefasstes Bundesdatenschutzgesetz (BDSG) in Kraft treten.
Nationale Abweichungen von der DSGVO sind nur noch möglich, wenn die DSGVO dies in entsprechenden „Öffnungsklauseln“ vorsieht. Sollten sich einzelne Normen widersprechen, so genießt die DSGVO als Europäische Regelung Anwendungsvorrang.
Genannten Sanktionen kann aber mit einem strukturierten Datenschutz-Management vorgebeugt werden.
Wichtige Änderungen im Datenschutz sind unter anderem:
1. Marktortprinzip
Die DSGVO findet bspw. auch dann Anwendung, wenn personenbezogene Daten von EU-Bürgern außerhalb der EU verarbeitet werden und
- das Unternehmen jedoch über eine Niederlassung in der EU verfügt oder
- wenn Waren oder Dienstleistungen durch das Unternehmen in der EU angeboten werden.
Die bloße Zugänglichkeit einer Website soll nach den Erwägungsgründen der DSGVO noch kein „Anbieten“ im Sinne der DSGVO darstellen. Wichtige Indizien, ob ein „Anbieten von Waren/Dienstleistungen in der EU“ vorliegt, soll jedoch die Möglichkeit sein, Waren und Dienstleistung in einer EU-Sprache zu bestellen oder dass das Zahlen in Euro vorgesehen ist.
2. Drastische Erhöhung der Bußgelder und Sanktionen
Die Bußgelder werden angehoben, sodass je nach Art des Datenschutzverstoßes Bußgelder bis zu 20 Mio. € verhängt werden können.
Bei Unternehmen ist zudem eine Koppelung an den Jahresumsatz möglich. Ein Bußgeld kann sich je nach Art des Verstoßes auf bis zu vier Prozent des jährlichen Umsatzes im vorangegangenen Geschäftsjahr belaufen. Sollte ein Datenschutzverstoß von einem Unternehmen innerhalb eines Konzernverbunds begangen werden, ist es zudem möglich, den gesamten Konzernumsatz bei der Bemessung des Bußgelds heranzuziehen.
Auch die Strafvorschriften werden angepasst, sodass Verstöße nach § 42 Abs. 1 BDSG künftig mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe sanktioniert werden können.
3.Benennung eines Datenschutzbeauftragten
Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Anzahl der Beschäftigten besteht eine solche Verpflichtung beispielsweise auch, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen ist, oder bei der Verarbeitung sensibler personenbezogener Daten, wie bspw. Bonitäts- oder Gesundheitsdaten.
Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, oder diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig bis zum 25.05.2018 zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar (Art. 83 Abs. 4 lit. a i.V.m. Art. 37 DSGVO).
4. Ausgeweitete Dokumentationspflichten
Eine zentrale Änderung durch die DSGVO wird für alle Unternehmen die Einführung einer „Rechenschaftspflicht“ sein, welche gem. Art. 5 Abs. 2 DSGVO von den Verantwortlichen fordert, dass sie „die Einhaltung des Gesetzes nachweisen können“. Hieraus ergibt sich, dass nicht mehr wie bisher die Aufsichtsbehörden erst einen Verstoß nachweisen müssen, um ein Bußgeld zu verhängen. In Zukunft müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit nachzuweisen. Allein schon die fehlende Dokumentation kann zu einem Bußgeld führen, auch wenn die dazugehörige Verarbeitung der Daten rechtskonform ist.
5. Datenschutz und Datensicherheit
„Privacy by Design“ (Datenschutz durch Technikgestaltung) bedeutet, dass Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT‑Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT‑Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden.
„Privacy by default“ (datenschutzfreundliche Voreinstellungen) bedeutet insbesondere, dass die Werkseinstellungen datenschutzfreundlich voreingestellt sein sollen, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind.
6. Erweiterung der Betroffenenrechte
Zu den ohnehin schon bestehenden Ansprüchen auf Information, Auskunft, Berichtigung und Einschränkung der Verarbeitung bringt die DSGVO das Recht auf Löschung (Art. 17 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) neu mit sich. Dies soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten stärken.
Empfehlungen:
Um den zahlreichen neuen Anforderungen gerecht zu werden, empfiehlt es sich, die betriebsinternen Abläufe und Prozesse im Unternehmen zunächst einer datenschutzrechtlichen Bewertung zu unterziehen. Entsprechend dem datenschutzrechtlichen Ist-Zustand sind sodann in einem Datenschutzbericht die Maßnahmen zur Einhaltung der DSGVO und des BDSG herauszuarbeiten.
Sofern noch akut Handlungsbedarf besteht, sollten Unternehmen vorrangig folgende Last-Minute-Maßnahmen umsetzen:
- Datenschutzbeauftragten benennen
- Prozesse festlegen, insbesondere Datenschutzvorfall-Management
- Datenschutzerklärung und Impressum anpassen / Informationspflicht nachkommen
- Schriftliche Verträge zur Auftragsdatenverarbeitung abschließen
- Verzeichnis der Verarbeitungstätigkeiten anlegen
Zur Umsetzung der datenschutzrechtlichen Anforderung bieten wir Ihnen gerne entsprechende Unterstützung an. Sprechen Sie uns gerne an!
Mit freundlichen Grüßen
Stefanie Schönfeld
Rechtsanwältin
Tel.: +49 40 / 360066543
E-Mail: schoenfeld@dr-poppe-rae.de