Die Datenschutz-Grundverordnung

 

Inhaltsverzeichnis:

1. Was ist die Datenschutzgrundverordnung? (Video)
2. Gilt die EU-DSGVO eigentlich schon?
3. Für wen gilt die DSGVO?
4. An wen wendet man sich bei Verstößen?
5. Was genau ist denn nun neu?
   1. Neue und alte Grundsätze
   2. Recht auf Vergessenwerden
   3. Recht auf Datenübertragbarkeit (Datenportabilität)
   4. Auch neu: Die Rechenschaftspflicht
   5. Einwilligungen einholen
6. Wichtig für alle Webseitenbetreiber: Datenschutzerklärungen anpassen!
7. Achtung bei Auftragsdatenverarbeitung
8. Neue Pflichten für Arbeitgeber
9. Wie finden Sie den richtigen Anwalt zur DSGVO?
10. Checkliste zur DSGVO

Die neue EU Datenschutzgrundverordnung: Das müssen Händler und Unternehmer wissen

Autoren: RA Sören Siebert, Dipl.-Juristin Bea Brünen, RA Lev Lexow

Letztes Update: 29.01.2018

Datenschutz ist für alle Unternehmer wie Shopbetreiber und Dienstleister bereits heute ein wichtiges Thema. Kundenbestellungen, E-Mail Kampagnen oder Nutzertracking: überall spielt der Datenschutz eine Rolle.    

2018 kommen auf alle Unternehmen weitreichende Änderungen zu: Ab dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland. Diese stellt viele Grundsätze des Datenschutzrechts nach dem alten BDSG auf den Kopf.

Vor allem die hohen Bußgelder von bis zu 20 Millionen Euro und viele offene Fragen bereiten vielen Unternehmen Kopfschmerzen. Wir erklären, was Sie beachten müssen, damit Sie bald mit der Umsetzung anfangen können.

 

1. Was ist die DSGVO und was hat das mit mir zu tun?

Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung -  also eine Vorschrift, die in der ganzen EU gilt. Die Vorschrift regelt das Datenschutzrecht - also den Umgang von Unternehmen mit personenbezogenen Daten - einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.

Was ist das Ziel der DSGVO?

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt auch für Unternehmen mit Sitz ausserhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sicher gestellt werden, dass sich auch Cloud Dienste oder soziale Netzwerke etwa aus den USA an die Regeln halten müssen.

Was hat das mit mir als Unternehmer zu tun, werden sich nun viele Fragen?

...die neue Verordnung betrifft doch nur Shops oder wirklich große Unternehmen mit tausenden Kundendaten. Leider nicht, die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.  

2.  Ab wann gilt die EU-DSGVO?

Über die DSGVO wurde schon überall gesprochen, aber viele Unternehmer fragen sich: Gilt die DSGVO überhaupt schon?

Ja und Nein. Die DSGVO trat schon am 25. Mai 2016 in Kraft.

ABER: Die EU-Mitgliedstaaten müssen die Datenschutzgrundverordnung erst ab dem 25. Mai 2018 anwenden.

Muss die Verordnung nicht erst umgesetzt werden?

Manche Webseitenbetreiber fragen sich vielleicht: Muss Deutschland die EU- Gesetze nicht noch im nationalen Recht umsetzen? Die Datenschutzgrundverordnung ist eine Verordnung. Verordnungen müssen die Mitgliedstaaten nicht extra umsetzen. Sie gelten direkt (anders ist das aber bei EU-Richtlinien). Allerdings haben die Mitgliedstaaten in einigen Bereichen auch Gestaltungsspielräume, sodass es keine 100%ig einheitliche Rechtslage geben wird.

Die DSGVO wird in vielen Teilen dann das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Das BDSG wird derzeit auch deswegen noch angepasst.

Link-Tipp:

Falls Sie hierzu nähere Informationen haben wollen, könnte Sie folgender Beitrag interessieren: https://www.bundesregierung.de/Content/DE/Artikel/2017/02/2017-02-01-datenschutz.html

Achtung Website-Betreiber: Auch die für Sie wichtigen Regelungen des Telemediengesetzes (TMG) werden durch die Datenschutzgrundverordnung zum Teil verdrängt.

Hier kommen zukünftig aber noch weitere Änderungen auf Sie zu! Da die DSGVO nicht speziell für Telemedien konzipiert ist, wird es zukünftig wohl noch eine speziellere Verordnung geben: die neue e-Privacy Verordnung. Wir werden Sie hierzu auf dem Laufenden halten.

3. Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für:

alle Unternehmen, die in der EU ansässig sind.

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie:

• Eine Niederlassung in der EU haben oder
• personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung: personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar"´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind z.B.:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Geburtstag
• Kontodaten
• Kfz-Kennzeichen
• Standortdaten
• IP-Adressen
• Cookies

4. An wen wendet man sich bei Verstößen?

Wenn bald in der ganzen EU das gleiche Recht gilt, wer ist denn dann für Datenschutzverstöße im Zusammenhang mit der Datenschutzgrundverordnung zuständig? Gibt es vielleicht eine zentrale Aufsichtsbehörde?

Wer beispielsweise als Online-Händler international verkauft, hat in diesem Zusammenhang vielleicht schon etwas vom neuen "One-Stop-Shop" gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

Der One-Stop-Shop ist aber auch gut für Händler und andere Unternehmer. Sie müssen sich dann nämlich auch nur noch mit einer Datenschutzbehörde befassen. In dem Mitgliedstaat in dem Sie Ihren Hauptsitz haben, ist dann die zuständige Datenschutzbehörde Ihre Aufsichtsbehörde bei Fragen und Verstößen gegen die DSGVO.

5. Wichtig für alle Unternehmer: Was ist denn nun neu?

Die Datenschutzgrundverordnung ändert zwar einiges am Datenschutzrecht. Da in Deutschland aber bereits bisher ein recht hohes Datenschutzniveau galt, kommen auf Händler hier nicht so viele Änderungen zu wie in einigen anderen EU-Mitgliedstaaten. Die Unternehmer aus Deutschland sind hier also im Vorteil, wenn Sie sich bisher schon um den Datenschutz gekümmert haben.

a) Neue und alte Grundsätze

An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts. Folgende Grundsätze sollten Sie kennen:

Verbot mit Erlaubnisvorbehalt

Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:

• Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
• Einwilligung der betroffenen Person

 Datensparsamkeit

Im Klartext: Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.

Zweckbindung

Im Klartext: Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.

 Datenrichtigkeit

Im Klartext: Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.

Es gibt allerdings auch neue (bzw. neu niedergeschriebene) Grundsätze:

Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Im Klartext: Das Schutzniveau, dass Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Den genauen Wortlaut mit allen Anforderungen können Sie auch noch einmal hier nachlesen:
https://dsgvo-gesetz.de/art-32-dsgvo/

b) Recht auf Vergessenwerden (Recht auf Löschung)

Viele Unternehmen wissen: Das Recht auf Vergessenwerden ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden.
Das Recht auf Vergessenwerden ist also ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

Achtung: Das Recht auf Vergessenwerden können die Nutzer aber nicht nur gegen Suchmaschinenbetreiber geltend machen! Der Anspruch kann man nämlich gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet.

In der DSGVO gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17.

Darin sind auch die konkreten Gründe aufgezählt, wann Sie als Datenverarbeiter dann die Daten löschen müssen. Die wichtigsten Fälle sind:

• Der Zweck für die Datenverarbeitung ist weggefallen (Art. 17 Buchstabe a)
• Der Betroffene hat seine Einwilligung widerrufen (Art. 17 Buchstabe b)
• Die Datenverarbeitung war unrechtmäßig (Art. 17 Buchstabe d)

Hier können Sie die alle gesetzlichen Bestimmung abrufen:
https://dsgvo-gesetz.de/art-17-dsgvo/

c) Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Die Datenportabilität ist zum Beispiel wichtig für:

• Wechsel zu anderen (sozialen) Netzwerken
• Wechsel der Bank
• Wechsel des Arbeitgebers

Die Umsetzung dieses neuen Rechts kann es aber in sich haben. Lassen Sie sich hierzu am besten individuell beraten!

d) Auch neu: Die Rechenschaftspflicht

Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können.

Praxis-Tipp:

Richten Sie also ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen.

Achtung: Die drohenden Bußgelder sind deutlich höher als früher!

Bußgelder von bis zu 20 Millionen Euro können die Aufsichtsbehörden verhängen. Bei großen Unternehmen und Konzernen drohen sogar noch größere Geldbußen: bis zu 4 % vom weltweiten Konzernumsatz des Vorjahres.

Lassen Sie sich also unbedingt beraten!

e) Einwilligungen einholen

Einwilligungen der Nutzer spielen für Händler und Unternehmer eine größere Rolle, als viele vielleicht glauben. Denken Sie zum Beispiel an die Einwilligung zur Newsletter-Zusendung.

Aber wie muss eine Einwilligung aussehen? Wir haben Ihnen hier die wichtigsten Anforderungen zusammengestellt:

Form:

Die Einwilligung im Datenschutz ist nicht an besondere Formerfordernisse gebunden. Mündliche, schriftliche und elektronische Einwilligungen sind nach der Datenschutzgrundverordnung erlaubt. 

Achtung: Bei Einwilligungen müssen Sie immer auch an die Dokumentation denken. Mündliche Einwilligungen können hier natürlich schneller zum Problem werden, als wenn Sie die schriftliche oder elektronische Einwilligung im System vermerkt und gespeichert haben.

Opt-In oder Opt-Out:

Lassen Sie sich die Einwilligung mit einem Opt-In Kästchen geben! Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

Freiwillig:

Besonders wichtig ist auch das Gebot der Freiwilligkeit. Das heißt: Die Vertragserfüllung Ihrerseits dürfen Sie nicht davon abhängig machen, dass die betroffene Person die Einwilligung erteilt, wenn die Einwilligung nicht für die Vertragserfüllung erforderlich ist.

Inhaltliche Anforderungen:

Die Einwilligung müssen Sie immer zweckgebunden einholen und die Verarbeitungszwecke dabei aufführen. Generaleinwilligungen sind also auch weiterhin nicht erlaubt.

Nachweisbarkeit:

Sie müssen nachweisen können, dass Ihnen die Einwilligung zur Datenverarbeitung erteilt wurde! Denken Sie hier im Zusammenhang mit der EU-Datenschutzgrundverordnung immer auch an eine  umfassende Dokumentation.

Widerruf:

Wie bisher hat der Betroffene ein Widerrufsrecht. Er muss deswegen die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Neu ist: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Was passiert mit "alten" Einwilligungen? Müssen Sie jetzt alle Kunden neu auffordern?

Hier können Händler aufatmen. Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wenn die Einwilligung bisher nicht wirksam erteilt wurde, wird sie auch nicht durch die DSGVO wirksam.

Wichtig in diesem Zusammenhang ist,dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist. Wer beispielsweise Newsletter versendet, muss nun nach der DSGVO die Einwilligung des Empfängers per double opt in auch nachweisen können. Das war bisher ein reines Beweisprobblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU- DSGVO geregelt.

Einwilligung bei Minderjährigen

Achtung: Neu ist auch, dass die Datenschutzgrundverordnung in Artikel 7 nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

6. Müssen Webseitenbetreiber ihre Datenschutzerklärungen anpassen?

Die kurze Antwort: Ja.

Die ausführliche Antwort: Ja.

Auf alle Seitenbetreiber, Dienstleister, Shopbetreiber oder Unternehmer kommen mit der EU DSGVO Änderungen der Datenschutzbestimmungen zu.

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

• Präzise
• Transparent
• Verständlich
• Leicht zugänglich
• In klarer und einfacher Sprache verfasst sein
• Die Rechtsgrundlage für die Datenverarbeitung benennen

Weitere zusätzliche Neuregelungen die beachtet werden müssen:

Zum einen gibt es neue Informationspflichten für Seiten, die sich speziell an Kinder richten. Zum anderen gibt es mit der DSGVO ein echtes Koppelungsverbot. Einwilligungen dürfen dann nicht mehr an den Download von bestimmten Inhalten wie whitepaper oder Checklisten gekoppelt werden. Auch dies hat Auswirkungen auf die Neuformulierung der Datenschutzerklärungen.

Ohne professionelle Beratung wird es für viele Webseitenbetreiber hier kaum möglich sein, diesen Anforderungen gerecht zu werden und eine DSGVO-sichere Datenschutzerklärung zu erstellen. Die notwendigen technischen Erläuterungen präzise und aber zugleich verständlich und einfach zu formulieren wird hier wohl das größte Kopfzerbrechen bereiten.

Zusammengefasst: Nahezu alle Datenschutzerklärungen auf Webseiten müssen mit Geltung der DSGVO neu erstellt oder überarbeitet werden.
 

 

Praxis-Tipp: Lassen Sie sich bei der Neufassung bzw. Umarbeitung Ihrer Datenschutzerklärung  anwaltlich beraten. Oder nutzen Sie den DSGVO-Datenschutzgenerator bei eRecht24 Premium.

7. Achtung bei Auftragsdatenverarbeitung

Auftragsdatenverarbeitung (ADV) ist natürlich nicht neu und bisher in § 11 BDSG geregelt. Aber mit der DSGVO gibt es für Auftragsdatenverarbeiter nun einheitliche europäische Anforderungen.

Für Sie erst einmal wichtig zu wissen: Was ist ADV genau?

ADV ist die "Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet)."
z.B.:

• Einsatz eines externen Kundencenters (z.B. Callcenter)
• externer Newsletter-Anbieter
• Cloud Computing
• Einsatz externer Unternehmen beim Marketing
• Externes Rechenzentrum

Wichtig: Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Aber: Nach der DSGVO ist jetzt neu, dass auch der Auftragnehmer (also der Auftragsdatenverarbeiter) mitverantwortlich ist.
Auftragnehmer müssen z.B.:

• ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30)
• mit der Aufsichtsbehörde zusammenarbeiten (Artikel 31)
• technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1 DSGVO)

Neu ist auch, dass der Vertrag zur ADV nicht mehr zwingend schriftlich geschlossen werden muss, sondern mit der DSGVO auch die elektronische Form ausreicht.

Die einzelnen Anforderungen an den Vertrag zur Auftragsdatenverarbeitung sind hier aufgelistet:
https://dsgvo-gesetz.de/art-28-dsgvo/

Tipp: Prüfen Sie noch einmal Ihre Verträge und Vertragsvorlagen und passen Sie ggf. die Vorgaben an! So können Sie sichergehen, dass Sie auch die neuen Anforderungen erfüllen.

8. Neue Datenschutz-Pflichten für Arbeitgeber

Im Zuge der Harmonisierung des deutschen Rechts mit der Datenschutzgrundverordnung (DS-GVO) hat der Gesetzgeber auch den Beschäftigtendatenschutz angepasst. Die wichtigste Änderung ist aus Arbeitgebersicht dabei der erhöhte Bußgeldrahmen bis zu 20 Millionen Euro und das gesteigerte Risiko von Arbeitnehmer-Klagen. Die Regelungen zwingen aber nicht nur Arbeitgeber, sondern alle Institutionen, die Arbeitnehmer-Daten verarbeiten, zu einer Anpassung ihrer unternehmensinternen Datenschutzprozesse.

Wer ist betroffen?

Arbeitgeber

Zunächst betrifft die Neuregelung natürlich die Arbeitgeber selbst. Arbeitgeber sind dabei alle Unternehmer, die Arbeitnehmer beschäftigen. Als Arbeitnehmer gelten dabei auch Leiharbeiter oder Azubis und viele weitere Beschäftigtengruppen. Und selbst Bewerber werden durch die neuen Vorschriften geschützt.

Personalvermittler, Betriebsräte etc.

Die neuen Datenschutz-Bestimmungen betreffen aber nicht nur die Arbeitgeber selbst. Vielmehr sind sämtliche Stellen betroffen, die personenbezogene Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten. Dies können auch Personalvermittler, Betriebsräte, Behörden und viele weitere sein.

Was wird geregelt?

Die neuen Vorschriften zum Beschäftigtendatenschutz enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen. Im Einzelnen:

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind

Im Grundsatz sollen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Erlaubt ist die Verarbeitung zudem, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist (diese Punkte bleiben im Folgenden erstmal außer Betracht).

Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden. Dabei sind die kollidierenden Arbeitgeber- und Arbeitnehmerinteressen abzuwägen. Diese Abwägung muss auf Grundlage der bisherigen Rechtssprechungspraxis unter Berücksichtigung der Bestimmungen aus der DS-GVO erfolgen. Im Zweifel sollte daher qualifizierter Rechtsrat eingeholt werden.

Wie holt man wirksame Einwilligungen bei den Beschäftigten ein?

Wer sich den rechtlichen Unsicherheiten rund um „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden. Dies könnte problematisch sein. Denn welcher Mitarbeiter wird seinem Vorgesetzten oder gar im Vorfeld einer Einstellung die Einwilligung verweigern, will er doch den Arbeitsplatz behalten oder bekommen? Und gerade dieses Abhängigkeitsverhältnis muss von Gesetzes wegen berücksichtigt werden.

Eine wirksame Einwilligung muss außerdem bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden.

Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden. Die Einholung von Einwilligungen sollte daher gut vor- und nachbereitet werden.

Beweislast des Arbeitgebers im Klagefall

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.

Tipp: Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).

Risiken bei Datenschutz-Verstößen

Eine wesentliche Änderung bringen die neuen Vorschriften bei der Sanktionierung von Datenschutzverstößen. Zum einen können Verstöße jetzt mit erheblich höheren Bußgeldern von 2 % des weltweiten Umsatzes oder mit bis zu 10 Mio. Euro von den Aufsichtsbehörden geahndet werden. Bei schweren Verstößen sind sogar 4 % oder 20 Mio. Bußgeld möglich.

Des Weiteren dürften Mitarbeiter-Klagen teurer werden, da künftig auch immaterielle Schäden eingeklagt werden können. Hinzu kommt, wie schon angesprochen, dass der Arbeitgeber vor Gericht die Einhaltung der Datenschutzvorschriften beweisen muss. Kann er dies nicht, geht das zu seinen Lasten. Dieses Risiko lässt sich letztlich nur durch ein geeignetes Compliance-Management minimieren.

Was sollten Arbeitgeber tun?

Arbeitgeber sollten ihre unternehmensinternen Prozesse prüfen und eine Compliance-Strategie entwickeln (lassen), mit der datenschutzrechtliche Verstöße verhindert werden können.

Neben der Anpassung der Prozesse gehört hierzu auch eine Schulung und Sensibilisierung der Mitarbeiter. Da dies nicht von heute auf morgen geht, sollten Arbeitgeber spätestens jetzt mit der den notwendigen Maßnahmen beginnen. Ist man selbst kein Datenschutzexperte, sollte auf qualifizierten Rechtsrat nicht verzichten, da Fehler beim Datenschutz künftig teuer werden können.

Checkliste DSGVO für Arbeitgeber

➢ Analysieren Sie die datenschutzrelevanten Vorgänge in Ihrem Unternehmen

• Welche personenbezogenen Daten werden wie, wann und warum verarbeitet?
• Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch?

➢ Achten Sie auf eine datenschutzkonforme Vertragsgestaltung

• Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben (z. B. externe Rechnungsstellen).
• Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein.

➢ Unternehmensinternes Compliance-Management

• Passen Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse an (Compliance-Management).
• Beachten Sie die zahlreichen neuen Pflichten (z.B. Unterrichtungs- und Löschungspflichten).
• Belehren Sie Ihre Mitarbeiter über die neuen Pflichten.

9. DSGVO: So finden Sie den richtigen Anwalt

Datenschutzrecht ist eine sehr spezielle Materie. Ein Rechtsanwalt, der im normalen Kanzleibetrieb Arbeitsrecht oder Erbrecht macht, kann Ihnen bei Fragen zur DSGVO nicht weiter helfen.

Sie benötigen dafür eine Kanzlei, die sich:

1. schwerpunktmäßig mit Datenschutzrecht auskennt,

2. spezialisiert im Internetrecht ist und dies im Idealfall

3. schon seit mehreren Jahren.

Die Verfasser dieses Beitrages - Rechtsanwalt Sören Siebert und Rechtsanwalt Lev Lexow – sind in der Kanzlei Siebert Goldberg tätig. Die Partner der Kanzlei Rechtsanwalt Sören Siebert (Gründer von eRecht24) und Rechtsanwalt Alexander Goldberg befassen sich seit Jahren ausschließlich mit den Themen Internetrecht und Datenschutz.

Die Anwälte der Kanzlei Siebert Goldberg beraten und schulen mittelständische und große internationale Unternehmen bereits seit vielen Monaten zu allen Fragen, die es im Zusammenhang mit der Datenschutzgrundverordnung gibt.

Wenn Sie anwaltliche Beratung wünschen oder Bedarf an Schulungen zur DSGVO haben, nehmen Sie gern Kontakt zur Kanzlei Siebert Goldberg auf.

10. Checkliste zur DSGVO

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist eine neue EU-Verordnung -  also eine Verordnung die in der ganzen EU gilt.

Der Vorteil: Es werden einheitliche Datenschutzstandards im gesamten Unionsgebiet geschaffen. Der bisherigen Datenschutz-Flickenteppich wird damit der Vergangenheit angehören.

Gilt die DSGVO schon?

Ja und Nein. Die DSGVO ist schon am 14. April 2016 vom EU-Parlament beschlossen worden und trat am 25. Mai 2016 in Kraft.

ABER: Die EU-Mitgliedstaaten müssen die DSVO erst ab dem 25. Mai 2018 verbindlich anwenden.

Muss ich die DSGVO überhaupt beachten?

Wenn Sie sich fragen, ob Sie als Unternehmer die neuen DSGVO Regeln beachten müssen:

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU ansässig sind.

Aber auch außereuropäische Unternehmen müssen sich an die neuen Regelungen halten, wenn Sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

An wen kann ich mich bei Verstößen oder Streitigkeiten wenden?

Mit der Datenschutzgrundverordnung wird das Verfahren rund um Datenschutzverstöße und Streitigkeiten vereinfacht.

Wer als Online-Händler international verkauft, hat in diesem Zusammenhang sicher schon etwas vom neuen ´One-Stop-Shop´ gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

Der One-Stop-Shop ist aber auch gut für Händler und andere Unternehmer. Sie müssen sich dann nämlich auch nur noch mit einer Datenschutzbehörde befassen. In dem Mitgliedstaat in dem Sie Ihren Hauptsitz haben, ist dann die zuständige Datenschutzbehörde zu finden.

Neuer niedergeschriebener Grundsatz der Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Neu: Recht auf Vergessenwerden (Recht auf Löschung)

In der Datenschutzgrundverordnung gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17. Das gilt vor allem für Fälle wie den Wegfall des Zwecks der Datenverarbeitung und den Widerruf der Einwilligung.

Neu: Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist. Das neue Recht gibt Betroffenen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Sie müssen Datensätze deswegen portabel gestalten (können).

Neu: Die Rechenschaftspflicht

Die DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien gegenüber der zuständigen Aufsichtsbehörde nachweisen können.

Neuerungen gibt es auch bei der Einwilligung

Hier ist für Sie wichtig: Wenn die Einwilligungen Ihrer Kunden (z.B. zum Newsletterversand) den bisherigen gesetzlichen Bestimmungen entsprachen, gelten diese Einwilligungen fort.
Es gibt aber trotzdem ein paar Neuerungen im Bereich der Einwilligungen, sodass Sie sich hierzu noch umfassend informieren sollten.

Muss ich meine Datenschutzbestimmungen anpassen?

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

• präzise
• transparent
• verständlich
• leicht zugänglich
• in klarer und einfacher Sprache
  sein.