DSGVO: Das müssen Webseitenbetreiber und Unternehmer über die Datenschutz-Grundverordnung wissen!

Autoren: RA Sören Siebert, Dipl.-Juristin Bea Brünen, RA Lev Lexow

Letztes Update: 21.04.2020

1. Was ist die DSGVO und für wen gilt sie?

Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung -  also eine Vorschrift, die in der ganzen EU gilt. Die Vorschrift regelt das Datenschutzrecht - also den Umgang von Unternehmen mit personenbezogenen Daten - einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.

1.1 Was ist das Ziel der DSGVO?

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards galten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten.

Zweites Ziel der Verordnung: Das Datenschutzrecht soll datenschutzfreundlicher für die betroffenen Nutzer werden. Der Bürger soll die Hoheit über seine Daten soweit wie möglich zurück erhalten.  Zusammen mit deutlich höheren Bußgeldern soll so sichergestellt werden, dass sich auch Cloud Dienste oder soziale Netzwerke, etwa aus den USA, an die Regeln halten müssen.

1.2 Für wen gilt die DSGVO?

...die neue Verordnung betrifft doch nur Shops, wirklich große Unternehmen mit tausenden Kundendaten oder Auftragsverarbeiter. Leider nicht, die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.  

Die Datenschutzverordnung gilt für:

alle Unternehmen, die in der EU ansässig sind.

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie:

• eine Niederlassung in der EU haben oder
• personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung: personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar"´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind z.B.:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Geburtstag
• Kontodaten
• Kfz-Kennzeichen
• Standortdaten
• IP-Adressen
• Cookies

1.3 Seit wann gilt die EU-DSGVO?

Über die DSGVO wurde schon überall gesprochen, Irritation gab es aber über den offiziellen Start.  

Die DSGVO trat schon am 25. Mai 2016 in Kraft. ABER: Unternehmen und Webseitenbetreiber in den  EU-Mitgliedstaaten müssen die Datenschutzverordnung erst seit dem dem 25. Mai 2018 verbindlich anwenden.

Muss die Verordnung nicht erst umgesetzt werden?

Manche Webseitenbetreiber fragen sich vielleicht: Muss Deutschland die EU-Gesetze nicht noch im nationalen Recht umsetzen? Die Datenschutzgrundverordnung ist eine Verordnung. Verordnungen müssen die Mitgliedstaaten nicht extra umsetzen. Sie gelten direkt (anders ist das aber bei EU-Richtlinien). Allerdings haben die Mitgliedstaaten in einigen Bereichen auch Gestaltungsspielräume, sodass es keine 100%ig einheitliche Rechtslage geben wird.

Die DSGVO wird in vielen Teilen dann das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Das BDSG wird derzeit auch deswegen noch angepasst.

Link-Tipp:

Falls Sie hierzu nähere Informationen haben wollen, könnte Sie folgender Beitrag interessieren: https://www.bundesregierung.de/Content/DE/Artikel/2017/02/2017-02-01-datenschutz.html

Achtung Website-Betreiber: Auch die für Sie wichtigen Regelungen des Telemediengesetzes (TMG) werden durch die Datenschutzgrundverordnung zum Teil verdrängt.

Hier kommen zukünftig aber noch weitere Änderungen auf Sie zu! Da die DSGVO nicht speziell für Telemedien konzipiert ist, wird es zukünftig wohl noch eine speziellere Verordnung geben: die neue e-Privacy Verordnung. Diese sollte 2018 mit der DSGVO in Kraft treten, ist aber auf 2019 verschoben. Wir werden Sie hierzu auf dem Laufenden halten.

2. Wichtig für alle Unternehmer, Webseitenbetreiber und Händler

Die Datenschutzgrundverordnung ändert zwar einiges am Datenschutzrecht. Da in Deutschland aber bereits bisher ein recht hohes Datenschutzniveau galt, kommen auf Unternehmer, Webseitenbetreiber und Händler aber nicht so viele Änderungen zu wie in einigen anderen EU-Mitgliedstaaten. Die Unternehmer aus Deutschland sind hier also im Vorteil, wenn Sie sich bisher schon um den Datenschutz gekümmert haben.

 

2.1 Grundsätze des Datenschutzes

An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts. Folgende Grundsätze sollten Sie kennen:

Verbot mit Erlaubnisvorbehalt	Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus: Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO Einwilligung der betroffenen Person
Datensparsamkeit	Im Klartext: Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.
Zweckbindung	Im Klartext: Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.
Datenrichtigkeit	Im Klartext: Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.
Datensicherheit (Artikel 32 DSGVO)	Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, des Umfangs und der weiteren Umstände und der Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten. Im Klartext: Das Schutzniveau, dass Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.
Recht auf Vergessenwerden (Recht auf Löschung)	Viele Unternehmen wissen: Das Recht auf Vergessenwerden ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden. Das Recht auf Vergessenwerden ist also ein Anspruch darauf, dass personenbezogene Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Achtung: Das Recht auf Vergessenwerden können die Nutzer aber nicht nur gegen Suchmaschinenbetreiber geltend machen! Der Anspruch kann man nämlich gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet. In der DSGVO gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17. Darin sind auch die konkreten Gründe aufgezählt, wann Sie als Datenverarbeiter dann die Daten löschen müssen. Die wichtigsten Fälle sind: Der Zweck für die Datenverarbeitung ist weggefallen (Art. 17 Buchstabe a) Der Betroffene hat seine Einwilligung widerrufen (Art. 17 Buchstabe b) Die Datenverarbeitung war unrechtmäßig (Art. 17 Buchstabe d) Hier können Sie die alle gesetzlichen Bestimmung abrufen: https://www.e-recht24.de/dsgvo-gesetz.html#artikel-17
Recht auf Datenübertragbarkeit (Datenportabilität)	Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist. Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben. Die Datenportabilität ist zum Beispiel wichtig für: Wechsel zu anderen (sozialen) Netzwerken Wechsel der Bank Wechsel des Arbeitgebers Die Umsetzung dieses neuen Rechts kann es aber in sich haben. Lassen Sie sich hierzu am besten individuell beraten!
Rechenschaftspflicht	Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können. Praxis-Tipp: Richten Sie also ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen. Achtung: Die drohenden Bußgelder sind deutlich höher als früher! Bußgelder von bis zu 20 Millionen Euro können die Aufsichtsbehörden verhängen. Bei großen Unternehmen und Konzernen drohen sogar noch größere Geldbußen: bis zu 4 % vom weltweiten Konzernumsatz des Vorjahres. Lassen Sie sich also unbedingt beraten!

 

2.2 Datenschutz, Marketing und DSGVO

Einwilligung für Werbezwecke

Einwilligungen der Nutzer spielen für Händler und Unternehmer eine größere Rolle, als viele vielleicht glauben. Denken Sie zum Beispiel an die Einwilligung zur Newsletter-Zusendung.

Aber wie muss eine Einwilligung aussehen? Wir haben Ihnen hier die wichtigsten Anforderungen zusammengestellt:

Form:

Die Einwilligung im Datenschutz ist nicht an besondere Formerfordernisse gebunden. Mündliche, schriftliche und elektronische Einwilligungen sind nach der Datenschutzgrundverordnung erlaubt. 

Achtung: Bei Einwilligungen müssen Sie immer auch an die Dokumentation denken. Mündliche Einwilligungen können hier natürlich schneller zum Problem werden, als wenn Sie die schriftliche oder elektronische Einwilligung im System vermerkt und gespeichert haben.

Opt-In oder Opt-Out:

Lassen Sie sich die Einwilligung mit einem Opt-In Kästchen geben! Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

Freiwillig:

Besonders wichtig ist auch das Gebot der Freiwilligkeit. Das heißt: Die Vertragserfüllung Ihrerseits dürfen Sie nicht davon abhängig machen, dass die betroffene Person die Einwilligung erteilt, wenn die Einwilligung nicht für die Vertragserfüllung erforderlich ist.

Inhaltliche Anforderungen:

Die Einwilligung müssen Sie immer zweckgebunden einholen und die Verarbeitungszwecke dabei aufführen. Generaleinwilligungen sind also auch weiterhin nicht erlaubt.

Nachweisbarkeit:

Sie müssen nachweisen können, dass Ihnen die Einwilligung zur Datenverarbeitung erteilt wurde! Denken Sie hier im Zusammenhang mit der EU-Datenschutzgrundverordnung immer auch an eine  umfassende Dokumentation.

Widerruf:

Wie bisher hat der Betroffene ein Widerrufsrecht. Er muss deswegen die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Neu ist: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Was passiert mit "alten" Einwilligungen? Müssen Sie jetzt alle Kunden neu auffordern?

Hier können Händler aufatmen. Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wenn die Einwilligung bisher nicht wirksam erteilt wurde, wird sie auch nicht durch die DSGVO wirksam.

Wichtig in diesem Zusammenhang ist,dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist. Wer beispielsweise Newsletter versendet, muss nun nach der DSGVO die Einwilligung des Empfängers per double opt in auch nachweisen können. Das war bisher ein reines Beweisprobblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU- DSGVO geregelt.

Einwilligung bei Minderjährigen

Achtung: Neu ist auch, dass die Datenschutzgrundverordnung in Artikel 7 nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

 

2.3 Müssen Webseitenbetreiber ihre Datenschutzerklärungen anpassen?

Die kurze Antwort: Ja.

Die ausführliche Antwort: Ja.

Auf alle Seitenbetreiber, Dienstleister, Shopbetreiber oder Unternehmer kommen mit der EU DSGVO Änderungen der Datenschutzbestimmungen zu.

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

• Präzise
• Transparent
• Verständlich
• Leicht zugänglich
• In klarer und einfacher Sprache verfasst sein
• Die Rechtsgrundlage für die Datenverarbeitung benennen

Weitere zusätzliche Neuregelungen die beachtet werden müssen:

Zum einen gibt es neue Informationspflichten für Seiten, die sich speziell an Kinder richten. Zum anderen gibt es mit der DSGVO ein echtes Koppelungsverbot. Einwilligungen dürfen dann nicht mehr an den Download von bestimmten Inhalten wie Whitepaper oder Checklisten gekoppelt werden. Auch dies hat Auswirkungen auf die Neuformulierung der Datenschutzerklärungen.

Ohne professionelle Beratung wird es für viele Webseitenbetreiber hier kaum möglich sein, diesen Anforderungen gerecht zu werden und eine DSGVO-sichere Datenschutzerklärung zu erstellen. Die notwendigen technischen Erläuterungen präzise und aber zugleich verständlich und einfach zu formulieren wird hier wohl das größte Kopfzerbrechen bereiten.

Zusammengefasst: Nahezu alle Datenschutzerklärungen auf Webseiten müssen mit Geltung der DSGVO neu erstellt oder überarbeitet werden.
  

Praxis-Tipp: Lassen Sie sich bei der Neufassung bzw. Umarbeitung Ihrer Datenschutzerklärung  anwaltlich beraten. Muster, Checklisten und unseren neuen DSGVO-Datenschutzgenerator finden Sie bei eRecht24 Premium.

 

2.4 Der Datenschutzbeauftragte und die Datenschutzgrundverordnung

Auch zum Datenschutzbeauftragten (DSB) gibt es im Zusammenhang mit der DSGVO viele Fragen von Unternehmen:

• Wann ist ein Datenschutzbeauftragter Pflicht?
• Wie sieht es mit der Bestellung eines Datenschutzbeauftragten aus?
• Welche Aufgaben hat ein Datenschutzbeauftragter?
• Welche Ausbildung muss ein Datenschutzbeauftragter haben?
• Gibt es Vorgaben zur Zertifizierung eines Datenschutzbeauftragten?
• Wie sieht es mit den Kosten oder der Kündigung beim Datenschutzbeauftragten aus?
• Kann ich einen externen oder internen Datenschutzbeauftragten bestellen?

Wann ist ein Datenschutzbeauftragter Pflicht?

Die Datenschutzgrundverordnung regelt europaweit die Bestellpflicht für einen Datenschutzbeauftragten in Art. 35 ff DSGVO. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich im wesentlichen aus 3 Bereichen:

1. Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 der DSGVO oder
2. Ihre "Kerntätigkeit" betrifft eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen"
3. es sind (als Angestellte oder auch freie Mitarbeiter) mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst.

Wenn einer der Punkte bei Ihnen zutrifft, benötigen Sie einen Datenschutzbeauftragten.

Wenn Sie eine Einschätzung dazu benötigen, können Sie gern unseren DSGVO Check beauftragen.

Freiwillig kann natürlich jedes Unternehmen einen Datenschutzbeauftragten bestellen. Das kann aus Gründen des internen Controllings auch für viele Unternehmen sinnvoll sein, die per Gesetz keinen DSB bestellen müssen. Aber auch was Außendarstellung und Marketingaspekte angeht ist ein Datenschutzbeauftragter sicher ein gutes Argument, den Kunden und Aufsichtsbehörden zu signalisieren "Wir kümmern uns".

Welche Aufgaben und Zuständigkeiten hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen und führt das Verarbeitungsverzeichnis (AV). Er ist zudem Schnittstelle zwischen IT-Marketing und Geschäftsführung und Ansprechpartner der Kunden und Datenschutzbehörden bei Fragen zum Umgang mit personenbezogenen Daten. Der Datenschutzbeauftragte hält als Verantwortlicher also alle Zuständigkeiten bei Datenschutzfragen in der Hand.

Wie sieht es mit der Bestellung eines Datenschutzbeauftragten aus?

Vor der DSGVO musste der Datenschutzbeauftragte immer schriftlich bestellt werden.
Die Bestellung eines Datenschutzbeauftragten kann nach der DSGVO jetzt auch ohne Schriftform vorgenommen werden. Ein "unterschriebener Vertrag" ist also nicht mehr nötig, die DSGVO spricht nur allgemein von einer "Benennung".

Hier können Sie einen TÜV-zertifizierten externen Datenschutzbeauftragten günstig bestellen.

Welche Ausbildung muss ein Datenschutzbeauftragter haben? Gibt es Vorgaben zur Zertifizierung eines Datenschutzbeauftragten?

Es gibt keine gesetzliche Pflicht, eine Ausbildung/ Zertifizierung des DSB bei bestimmten Anbietern durchführen zu lassen. Als Unternehmer sind Sie aber, wenn es an diesem Punkt Auseinandersetzungen geben sollte, in der Pflicht zu beweisen, dass Ihr DSB die "erforderliche Fachkunde" verfügt.

Im Fall der Fälle hilft es natürlich, wenn der DSB eine juristische Ausbildung hat oder über ein Ausbildungszertifikat von TÜV, IHK usw. verfügt.

Sollte ich einen externen oder internen Datenschutzbeauftragten bestellen?

Beide Modelle haben Vor- und Nachteile:

Der interne Datenschutzbeauftragte ist naturgemäß "näher dran" am Geschäftsmodell und den Abläufen in einem Unternehmen. Nachteil: Er wird sich von Weisungen seines Vorgesetzen naturgemäß nie ganz frei machen können. Es kann auch nicht jeder interne Mitarbeiter als Datenschutzbeauftragter beschäftigt werden. Geschäftsführer und oft auch der Chef der IT dürfen aufgrund möglicher Interessenskonflikte nicht Datenschutzbeauftragter im eigenen Unternehmen sein.

Hinzu kommt, dass sich Fragen nach Kündigung und Kündigungsschutz hier im Gegensatz zu einem internen Datenschutzbeauftragten nicht stellen.

Bei externen Datenschutzbeauftragten bestehen all diese Gefahren nicht.

Dafür ist eventuell ein höherer Aufwand beim "Onboarding" bzw. der Einarbeitung in die Unternehmensprozesse nötig. Auch ist der DSB im Fall der Fälle nicht immer sofort greifbar, wenn es Fragen oder Beschwerden gibt. 

Tipp: Fragen zu Kündigung und Kündigungsschutz des Datenschutzbeauftragten beantworten wir in unserem Beitrag "DSGVO Datenschutzbeauftragter".

Hier können Unternehmen und Organisationen günstig einen externen Datenschutzbeauftragten bestellen.

 

2.5 Achtung bei Auftragsdatenverarbeitung

Zunächst: Die "Auftragsdatenverarbeitung" (ADV) heißt nach der DGSVO nun "Auftragsverarbeitung" (AV).

Auftragsdatenverarbeitung ist natürlich nicht neu und bisher in § 11 BDSG geregelt. Aber mit der DSGVO gibt es für Auftragsdatenverarbeiter nun einheitliche europäische Anforderungen.

Für Sie erst einmal wichtig zu wissen: Was ist ADV genau?

ADV ist die "Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet)."
z.B.:

• Einsatz eines externen Kundencenters (z.B. Callcenter)
• externer Newsletter-Anbieter
• Cloud Computing
• Einsatz externer Unternehmen beim Marketing
• Externes Rechenzentrum

Wichtig: Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Aber: Nach der DSGVO ist jetzt neu, dass auch der Auftragnehmer (also der Auftragsdatenverarbeiter) mitverantwortlich ist.
Auftragsverarbeiter müssen z.B.:

• ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30)
• mit der Aufsichtsbehörde zusammenarbeiten (Artikel 31)
• technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1 DSGVO)

Tipp: Lesen Sie mehr in unserem Artikel zum Thema Auftragsverarbeitung, u.a. wo Sie AV-Verträge bestimmter Anbieter anfordern oder downloaden können!

Neu ist auch, dass der Vertrag zur ADV nicht mehr zwingend schriftlich geschlossen werden muss. Auftragsverarbeiter und Auftraggeber können den Vertrag nach der DSGVO nun auch in elektronischer Form abschließen.

Die einzelnen Anforderungen an den Vertrag zur Auftragsdatenverarbeitung sind hier aufgelistet:
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-28

Tipp: Prüfen Sie noch einmal Ihre Verträge und Vertragsvorlagen und passen Sie ggf. die Vorgaben an! Nur so können Auftraggeber und Auftragsverarbeiter sichergehen, dass Sie auch die neuen Anforderungen erfüllen.

 

2.6 Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) nach DSGVO

Nach Artikel 30 DSGVO muss jeder Verantwortliche ein so genanntes Verarbeitungsverzeichnis - bzw. offiziell "Verzeichnis von Verarbeitungstätigkeiten" - anlegen und führen. Datenschutzprofis wird dies bekannt vorkommen, es gab auch unter der Geltung des BGSG schon für bestimmte Unternehmen die Pflicht, ein so genanntes „Verfahrensverzeichnis“ zu führen.

Was ist beim Verarbeitungsverzeichnis nach DSGVO neu?

Kein öffentliches Verfahrensverzeichnis mehr

Zunächst die positive Nachricht: Das Verfahrensverzeichnis/ Verarbeitungsverzeichnis nach DSGVO muss nicht mehr öffentlich sein. Es kann nun nicht mehr von Unternehmen „auf Zuruf“ verlangt werden, die Datenverarbeitung offen zu legen, das „öffentliche Verfahrensverzeichnis“ nach BDSG gibt es seit dem 25.Mai 2018 nicht mehr.

Wichtig ist auch, verantwortlich für das Verarbeitungsverzeichnis ist die Unternehmensleitung, nicht der Datenschutzbeauftragte.

Vorlagepflicht gegenüber Datenschutzbehörden

Das Verarbeitungsverzeichnis nach DSGVO ist für den reinen unternehmens- oder behördeninternen Gebrauch gedacht, es muss aber auf Verlangen der Datenschutzbehörde vorgelegt werden.

Schriftliches oder elektronisches Verzeichnis?

Die DSGVO sagt in Art. 30 Abs. 3, dass das Verzeichnis von Verarbeitungstätigkeiten schriftlich zu führen ist, erlaubt aber auch die elektronische Form.

Wer konkret muss denn nun ein Verarbeitungsverzeichnis führen?

Jetzt wird es leider kompliziert: Eigentlich müssen nach Art. 30 Abs.5 DSGVO nur Unternehmen ein Verarbeitungsverzeichnis führen die

• mehr als 250 Mitarbeiter beschäftigen,
• besonders sensible Daten nach Artikel 9 DSGVO verarbeiten,
• die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (Videoüberwachung und Ähnliches),
• personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10. verarbeiten oder
• wenn die Datenverarbeitung nicht nur gelegentlich erfolgt

Verarbeitungsverzeichnis auch für Online Shops und kleine Unternehmen?

An dem Merkmal „Die Datenverarbeitung erfolgt nicht nur gelegentlich“ ist aber bereits ein heftiger Streit entbrannt. Viele Juristen udn Datenschützer sind der Auffassung, die Verarbeitung von Kundendaten ist heute wesentlicher Bestandteil jedes Geschäftsmodells im Internet, wenn dabei regelmäßig Kunden- udn Nutzerdaten erhoben werden.

Das bedeutet, dass jeder Online-Shop und jeder Dienstleister, der online mit Kunden Verträge abschließt, ein Verfahrensverzeichnis erstellen muss.

Andere sind der Auffassung, dass „nicht nur gelegentlich“ erfordert, dass die Datenverarbeitung der eigentliche Geschäftszweck ist oder stellen auf Häufigkeit und Umfang der Datenspeicherung ab.

Hier kommt es bis zu einer verbindlichen Vorgabe oder Klärung durch die Gerichte auf Ihre Risikobereitschaft an. Wer 100%ig auf der sicheren Seite sein will, sollte ein Verfahrensverzeichnis führen. Zumal dies mit den richtigen Tools für die meisten Shops und kleinere Seiten in 30 Minuten erstellt ist.

Tipp:

Am einfachsten können Sie das Verarbeitungsverzeichnis mit PRIVE umsetzen.

Die Lösung wurde von Anwälten der Kanzlei des eRecht24 Gründers Sören Siebert für die Bearbeitung von Datenschutz-Mandaten entwickelt und steht seit kurzem auch kleinen Unternehmen und Einzelkämpfern zur Verfügung. 

Was gehört in das Verfahrensverzeichnis (DSGVO)?

Im wesentlichen gehören in das Verarbeitungsverzeichnis (bei Unternehmen)

• Name und Kontaktdaten des Unternehmens
• der Zwecke der Datenverarbeitung
• die Kategorien betroffener Personen
• die Kategorien personenbezogener Daten
• die Kategorien von Empfängern der Daten
• die Übermittlungen personenbezogener Daten in ein Drittland
• Fristen für die Löschung der verschiedenen Datenkategorien

Die Details zu den konkreten Inhalten eines Verfahrensverzeichnisses sowie Tools und Checklisten für die Erstellung, das Verfahrensverzeichnis bei Auftragsdatenverarbeitung usw. werden wir in Kürze in einem eigenen Beitrag auf eRecht24 darstellen.

 

3. Neue Datenschutz-Pflichten für Arbeitgeber

Im Zuge der Harmonisierung des deutschen Rechts mit der Datenschutzgrundverordnung (DS-GVO) hat der Gesetzgeber auch den Beschäftigtendatenschutz angepasst. Die wichtigste Änderung ist aus Arbeitgebersicht dabei der erhöhte Bußgeldrahmen bis zu 20 Millionen Euro und das gesteigerte Risiko von Arbeitnehmer-Klagen. Die Regelungen zwingen aber nicht nur Arbeitgeber, sondern alle Institutionen, die Arbeitnehmer-Daten verarbeiten, zu einer Anpassung ihrer unternehmensinternen Datenschutzprozesse.

 

3.1 Wer ist betroffen?

 Arbeitgeber

Zunächst betrifft die Neuregelung natürlich die Arbeitgeber selbst. Arbeitgeber sind dabei alle Unternehmer, die Arbeitnehmer beschäftigen. Als Arbeitnehmer gelten dabei auch Leiharbeiter oder Azubis und viele weitere Beschäftigtengruppen. Und selbst Bewerber werden durch die neuen Vorschriften geschützt.

 Personalvermittler, Betriebsräte etc.

Die neuen Datenschutz-Bestimmungen betreffen aber nicht nur die Arbeitgeber selbst. Vielmehr sind sämtliche Stellen betroffen, die personenbezogene Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten. Dies können auch Personalvermittler, Betriebsräte, Behörden und viele weitere sein.

 

3.2 Was wird geregelt?

Die neuen Vorschriften zum Beschäftigtendatenschutz enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen. Im Einzelnen:

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind

Im Grundsatz sollen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Erlaubt ist die Verarbeitung zudem, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist (diese Punkte bleiben im Folgenden erstmal außer Betracht).

Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden. Dabei sind die kollidierenden Arbeitgeber- und Arbeitnehmerinteressen abzuwägen. Diese Abwägung muss auf Grundlage der bisherigen Rechtssprechungspraxis unter Berücksichtigung der Bestimmungen aus der DS-GVO erfolgen. Im Zweifel sollte daher qualifizierter Rechtsrat eingeholt werden.

 

3.3 Wie holt man wirksame Einwilligungen bei den Beschäftigten ein?

Wer sich den rechtlichen Unsicherheiten rund um „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden. Dies könnte problematisch sein. Denn welcher Mitarbeiter wird seinem Vorgesetzten oder gar im Vorfeld einer Einstellung die Einwilligung verweigern, will er doch den Arbeitsplatz behalten oder bekommen? Und gerade dieses Abhängigkeitsverhältnis muss von Gesetzes wegen berücksichtigt werden.

Eine wirksame Einwilligung muss außerdem bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden.

Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden. Die Einholung von Einwilligungen sollte daher gut vor- und nachbereitet werden.

 

3.4 Beweislast des Arbeitgebers im Klagefall

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.

Tipp: Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).

 

3.5 Risiken bei Datenschutz-Verstößen

Eine wesentliche Änderung bringen die neuen Vorschriften bei der Sanktionierung von Datenschutzverstößen. Zum einen können Verstöße jetzt mit erheblich höheren Bußgeldern von 2 % des weltweiten Umsatzes oder mit bis zu 10 Mio. Euro von den Datenschutz - Aufsichtsbehörden geahndet werden. Bei schweren Verstößen sind sogar 4 % oder 20 Mio. Bußgeld möglich.

Des Weiteren dürften Mitarbeiter-Klagen teurer werden, da künftig auch immaterielle Schäden eingeklagt werden können. Hinzu kommt, wie schon angesprochen, dass der Arbeitgeber vor Gericht die Einhaltung der Datenschutzvorschriften beweisen muss. Kann er dies nicht, geht das zu seinen Lasten. Dieses Risiko lässt sich letztlich nur durch ein geeignetes Compliance-Management minimieren.

 

3.6 Was sollten Arbeitgeber tun?

Arbeitgeber sollten ihre unternehmensinternen Prozesse prüfen und eine Compliance-Strategie entwickeln (lassen), mit der datenschutzrechtliche Verstöße verhindert werden können.

Neben der Anpassung der Prozesse gehört hierzu auch eine Schulung und Sensibilisierung der Mitarbeiter. Da dies nicht von heute auf morgen geht, sollten Arbeitgeber spätestens jetzt mit der den notwendigen Maßnahmen beginnen. Ist man selbst kein Datenschutzexperte, sollte man auf qualifizierten Rechtsrat nicht verzichten, da Fehler beim Datenschutz künftig teuer werden können.

 

3.7 Checkliste DSGVO für Arbeitgeber

Analysieren Sie die datenschutzrelevanten Vorgänge in Ihrem Unternehmen

• Welche personenbezogenen Daten werden wie, wann und warum verarbeitet?
• Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch?

Achten Sie auf eine datenschutzkonforme Vertragsgestaltung

• Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben (z. B. externe Rechnungsstellen).
• Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein.

 Unternehmensinternes Compliance-Management

• Passen Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse an (Compliance-Management).
• Beachten Sie die zahlreichen neuen Pflichten (z.B. Unterrichtungs- und Löschungspflichten).
• Belehren Sie Ihre Mitarbeiter über die neuen Pflichten.

 

4. Welche Strafen und Bußgelder drohen bei Verstößen gegen die DSGVO? Was ist mit Abmahnungen?

 

4.1 Verhängung von Bußgeldern

Neu sind vor allem die immens hoben Strafen und Bußgelder, die die DSGVO vorsieht. Bisher lag der Rahmen des Bundesdatenschutzgesetzes für Bußgelder bei 50.000 Euro bzw. maximal 300.000 Euro für sehr schwere Verstöße. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Das wird sich aber sehr wahrscheinlich ändern. Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Wichtig: Anfragen/ Beschwerden von Nutzern ernst nehmen.
Noch wichtiger: Anfragen/ Beschwerden von Datenschutzbehörden ernst nehmen.
Ziel: Bußgelder nach DSGVO möglichst vermeiden

 

 

4.2 One-Stop-Shop und Zuständigkeiten

Noch nicht abschließend geklärt sind jedoch die Zuständigkeiten der jeweiligen Behörden. Also die Frage, ob nun ein Landesdatenschutzbeauftragter, der Bundesdatenschutzbeauftragte oder  der Datenschutzbeauftragte in anderen Ländern der EU zuständig ist bzw. ob diese Zuständigkeiten ggf. auch wechseln können. Um dieses Durcheinander zu vehindern sieht die Verordnung ein "One-Stop-Shop" genanntes Prinzip in Artikel 56 Abs. 1 EU-DSGVO vor.

Bei grenzüberschreitendem Datenverkehr soll dann allein die Aufsichtsbehörde am Sitz bzw. Hauptsitz eines Unternehmens bei Datenschutzverstößen zuständig sein. Dabei stellt sich aber zum Beispiel die Frage, wie sich die verschiedenen Zuständigkeiten verschiedener Behörden zum Beispiel auf die Höhe der Bußgelder auswirken werden.

Hier muss man wohl abwarten, ob die in der Verordnung geregelten Zuständigkeiten tatsächlich zu einer datenschutzfreundlicheren und gleichzeitig einfacheren Umsetzung führen.

 

4.3 Abmahnungen und die DSGVO

Datenschutzverstöße können – wie von den Gerichten schon in den letzen Jahren immer wieder entschieden - auch nach der DSGVO abgemahnt werden.

Bei Verstößen gegen die DSGVO drohen also Abmahnungen und Gerichtsverfahren, denn:

• Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
• Verstöße können auch nach der DSGVO abgemahnt werden!

 

4.4 An wen wendet man sich bei Verstößen?

Wenn bald in der ganzen EU das gleiche Recht gilt, wer ist denn dann für Datenschutzverstöße im Zusammenhang mit der Datenschutzgrundverordnung zuständig? Gibt es vielleicht eine zentrale Aufsichtsbehörde?

Wer beispielsweise als Online-Händler international verkauft, hat in diesem Zusammenhang vielleicht schon etwas vom neuen "One-Stop-Shop" gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

 

5. Warum Sie es sich nicht leisten können, die neue DSGVO zu ignorieren

Die Datenschutz Grundverordnung gilt für alle Unternehmen mit Sitz in der EU.

 Es gibt zahlreiche Änderungen, die Sie als Unternehmer umsetzen müssen. 

 Bei Verstößen riskieren Sie Abmahnungen oder massive Bußgelder.

 

6. Die häufigsten Irrtümer zur Datenschutzgrundverordnung

1. Die DSGVO gilt doch nur für Shops und große Unternehmen!

Falsch.

Es gibt für die Anwendbarkeit der DSGVO keine Begrenzung auf „große“ Unternehmen oder Shops. Alle Webseiten, egal ob Einzelunternehmer oder GmbH, müssen die DSGVO umsetzen, wenn es um personenbezogene Daten im Unternehmen oder auf der Webseite geht.

2. Wir verarbeiten auf unserer Webseite doch gar keine personenbezogenen Daten!

In 99% aller Fälle falsch.

Personenbezogene Daten sind nicht nur Name, Anschrift oder Bestelldaten aus Shops. Goolge Analytics, Kontaktformulare, Newslette-Daten, IP Adressen aus Server Statistiken, Plugins, Facebook Like Button usw., überall geht es um personenbezogene Daten.

3. Ich habe noch Zeit, es gibt doch Übergangsfristen!

Falsch.

Die DSGVO ist bereits im Mai 2016 in Kraft getreten und ist verbindlich und ausnahmslos seit dem 25. Mai 2018 anzuwenden. Wir befinden uns also gerade am Ende der „Übergangsfrist“.

Neuer niedergeschriebener Grundsatz der Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Neu: Recht auf Vergessenwerden (Recht auf Löschung)

In der Datenschutzgrundverordnung gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17 DSGVO. Das gilt vor allem für Fälle wie den Wegfall des Zwecks der Datenverarbeitung und den Widerruf der Einwilligung.

Neu: Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist. Das neue Recht gibt Betroffenen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Sie müssen Datensätze deswegen portabel gestalten (können).

Neu: Die Rechenschaftspflicht

Die DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien gegenüber der zuständigen Aufsichtsbehörde nachweisen können.

Neuerungen gibt es auch bei der Einwilligung

Hier ist für Sie wichtig: Wenn die Einwilligungen Ihrer Kunden (z.B. zum Newsletterversand) den bisherigen gesetzlichen Bestimmungen entsprachen, gelten diese Einwilligungen fort.
Es gibt aber trotzdem ein paar Neuerungen im Bereich der Einwilligungen, sodass Sie sich hierzu noch umfassend informieren sollten.

Muss ich meine Datenschutzbestimmungen anpassen?

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

• präzise
• transparent
• verständlich
• leicht zugänglich
• in klarer und einfacher Sprache
  sein.

Gemeinsam mit der Kanzlei Siebert Goldberg haben wir für unsere Leser zudem eine umfangreiche DSGVO Checkliste erstellt, die Sie hier kostenlos herunter laden können:

8. So finden Sie den richtigen Datenschutz-Anwalt

Datenschutzrecht ist eine sehr spezielle Materie. Ein Rechtsanwalt, der im normalen Kanzleibetrieb Arbeitsrecht oder Erbrecht macht, kann Ihnen bei Fragen zur DSGVO nicht weiter helfen.

Sie benötigen dafür eine Kanzlei, die sich:

1. schwerpunktmäßig mit Datenschutzrecht auskennt,

2. spezialisiert im Internetrecht ist und dies im Idealfall

3. schon seit mehreren Jahren.

Die Verfasser dieses Beitrages - Rechtsanwalt Sören Siebert und Rechtsanwalt Lev Lexow – sind in der Kanzlei Siebert Goldberg tätig. Die Partner der Kanzlei Rechtsanwalt Sören Siebert (Gründer von eRecht24) und Rechtsanwalt Alexander Goldberg befassen sich seit Jahren ausschließlich mit den Themen Internetrecht und Datenschutz.

Die Anwälte der Kanzlei Siebert Goldberg beraten und schulen mittelständische und große internationale Unternehmen bereits seit vielen Monaten zu allen Fragen, die es im Zusammenhang mit der Datenschutzgrundverordnung gibt.

Wenn Sie anwaltliche Beratung wünschen oder Bedarf an Schulungen zur DSGVO haben, nehmen Sie gern Kontakt zur Kanzlei Siebert Goldberg auf.