Rath, Anders, Dr. Wanner & Partner mbB

EU-Datenschutzgrundverordnung 1-2/2018

Das Jahr ist erst ein paar Tage alt, das Thema EU-Datenschutzgrundverordnung (EU-DSGVO), beziehungsweise neues Bundesdatenschutzgesetz muss aber unbedingt zeitnah angegangen werden. Es bleibt nicht mehr viel Zeit, ab dem 25.05.2018 gelten die neuen Regeln. Daten sind heutzutage eine Art Vermögensgegenstand, dass weiß die EU und dass wissen auch die Hersteller, die versuchen, Daten immer früher abzugreifen. Somit muss sich auch jeder Händler mit der EU-DSGVO auseinandersetzen, da datenschutzrechtliche Sachverhalte tagtäglich in den Betrieben, sei es bei Kundendaten oder Daten der Arbeitnehmer vorkommen.

 

Für wen gilt die EU-DSGVO?

Die neue EU-DSGVO gilt für alle Unternehmen, die in der EU ansässig sind. Das bedeutet, die Größe des Unternehmens, sei es ein Ein-Mann-Betrieb oder ein weltweit agierender Konzern, ist irrelevant, der Datenschutz gilt für alle!

Wichtigster Anknüpfungspunkt für den Anwendungsbereich der EU-DSGVO sind die personenbezogenen Daten. Hierunter sind alle Daten zu verstehen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Solche personenbezogenen Daten sind beispielsweise:

  • Name
  • Adresse
  • Geburtstag
  • E-Mail-Adresse
  • Telefonnummer
  • Kontodaten
  • Kfz-Kennzeichen
  • IP-Adresse

 

Die Grundsätze des Datenschutzes

Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden und dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.

 

Verbot mit Erlaubnisvorbehalt:

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Erlaubnis vor. Eine solche kann aus einer ausdrücklichen Einwilligung der betroffenen Person oder Gesetz entstehen.

 

Datensparsamkeit und Zweckbindung

Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie auch tatsächlich benötigt werden. Zudem dürfen die Daten nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden.

 

Datenrichtigkeit

Die Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden.

 

Informationsrechte

Kunden, deren Daten verarbeitet werden, haben ein Recht auf u.a. folgende Informationen, Namen und Kontaktdaten der datenverarbeitenden Person/Stelle und dessen ggf. berechtigtes Interesse, Zweck der Verarbeitung der personenbezogenen Daten, Dauer der Speicherung, etc.

 

Recht auf Vergessen

Der Kunde hat ein Recht darauf, dass seine personenbezogenen Daten gelöscht oder gesperrt werden. Insbesondere besteht dann ein Anspruch auf Löschung, wenn die personenbezogenen Daten für den vorgesehenen Zweck nicht mehr notwendig sind, die Kunden ihre Einwilligung widerrufen oder ihr Widerspruchsrechts ausgeübt haben oder die Löschung gesetzlich vorgeschrieben wurde oder die Daten unrechtmäßig verarbeitet wurden.

 

Datenschutzbeauftragter:

Jedes Unternehmen, in dem 10 oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels EDV beschäftigt sind, muss einen Datenschutzbeauftragten bestellen. Hierbei sind also insbesondere die Beschäftigten heranzuziehen, die z.B. ständig mit dem Dealer-Management-System arbeiten, den Lohn der Mitarbeiter erstellen oder täglich in anderer Weise Kundendaten verarbeiten. Dabei ist zu berücksichtigen, dass es dem Unternehmer freigestellt ist, ob er einen externen oder einen internen Datenschutzbeauftragen bestellt. Beachten Sie nur, wenn Sie einen internen Datenschutzbeauftragten bestellen, dass dieser Mitarbeiter einen besonderen Kündigungsschutz genießt. Zudem muss der eigene Mitarbeiter natürlich auch die entsprechenden Kenntnisse aufweisen. Eine reine „pro Forma“ Bestellung eines Mitarbeiters, erfüllt die gesetzlichen Voraussetzungen nicht.

Im Umkehrschluss bedeutet dies aber nicht, dass Unternehmen mit weniger als 10 Personen, die ständig mit der Bearbeitung personenbezogener Daten mittels EDV beschäftigt sind, die Datenschutzvorschriften nicht einzuhalten haben. Diese Betriebe müssen lediglich keinen eigenen Datenschutzbeauftragten bestellen. In diesen Betrieben kann auch der Geschäftsführer für die Einhaltung des Datenschutzes verantwortlich sein.

 

Datensicherheit:

Die EU-DSGVO verlangt nun von allen Unternehmen, geeignete technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit zu implementieren und sich mit den Risiken beschäftigen, die aus der geplanten Datenverarbeitung für Rechte und Freiheiten von natürlichen Personen entstehen. Im Klartext bedeutet das, dass diese Maßnahmen für das spezifische Risiko der Datenverarbeitung im jeweiligen Unternehmen angemessen sein müssen. Wann genau eine Maßnahme angemessen ist, kann so pauschal nicht beantwortet werden und richtet sich nach dem Stand der Technik, den Implementierungskosten für das Unternehmen, der Größe des Unternehmens und anderen Umständen.

 

Rechenschaftspflicht:

Ab Umsetzung der EU-DSGVO müssen die Unternehmen auf Nachfragen der Aufsichtsbehörden jederzeit Nachweis erbringen können, dass bei der Verarbeitung von personenbezogenen Daten die Anforderungen und Datenschutzgrundsätze der EU-DSGVO eingehalten wurden. In der Praxis führt das zu einer Beweislastumkehr, sodass nicht mehr die Behörde dem Unternehmer ein Fehlverhalten nachweisen muss, sondern er beweisen muss, dass er sich regelkonform verhält.

Zukünftig wird es nötig sein, dass ein Datenschutzmanagementsystem eingerichtet wird und dass gegenüber der Aufsichtsbehörde die Einhaltung der Datenschutzanforderungen dokumentiert wird.

 

Datenschutzverstöße:

Zukünftig müssen alle Datenschutzpannen innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde gemeldet werden. Zudem sind auch die Betroffenen zu benachrichtigen.

 

Sanktionen:

Wurden bislang Datenschutzverstöße eher milde sanktioniert, so soll sich das nun drastisch ändern. Die EU-DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes vor. Zudem darf nicht vergessen werden, dass die verantwortlichen Personen (Geschäftsführer, Vorstand, etc.) Kontrollpflichten haben und bei Nichteinhaltung der neuen Regeln zur persönlichen Haftung herangezogen werden können.

Um solchen Sanktionen zu entgehen, ist hier dringend Vorsicht und gegebenenfalls Anpassungsarbeit geboten!

 

Was Sie als Unternehmer konkret tun müssen

Um im Mai 2018 nicht vollkommen von der EU-DSGVO überrumpelt zu werden, sollten Sie sich auf eine Umstellung vorbereiten und sich folgende Fragen stellen:

  • Welche personenbezogenen Daten liegen im Unternehmen vor?
  • Werden diese Daten tatsächlich benutzt oder muss eine Löschung erfolgen?
  • Welche dieser Daten dürfen rechtmäßig genutzt werden?
  • Welche Maßnahmen zur Datensicherung gibt es bereits im Unternehmen?
  • Müssen bestehende Strukturen an die neue EU-DSGVO angepasst werden?
  • Müssen erstmals Datenschutzrichtlinien im Unternehmen implementiert werden?

 

 Maximilian Appelt
  Rechtsanwalt
  Steuerberater

 

Kurzfassung:

1. Eine zeitnahe Beschäftigung mit den neuen Vorgaben des Datenschutzes ist unumgänglich.

2. Das Recht auf Vergessen werden, wird in Zukunft sicherlich vermehrt von Kunden eingefordert werden. Dies wird eine erhebliche Anforderung an organisatorische und technische Maßnahmen im Unternehmen stellen.

3. Die Sanktionen bei Verstößen gegen das neue Datenschutzrecht können existenzbedrohend sein.

 

Kommentar:

Der Datenschutz sollte nicht auf die leichte Schulter genommen werden. Die EU hat erkannt, wie wichtig heutzutage personenbezogene Daten sind und dass diese besonders schutzwürdig sind. Welche konkreten Schritte jeder Unternehmer einleiten muss, hängt insbesondere von der Größe des Betriebs und den bisherigen Strukturen ab. Auch auf die Frage, ob ein interner oder externer Datenschutzbeauftragte bestellt werden sollte, gibt es kein Patentrezept. Eines ist nur klar, kein Unternehmen darf die Augen verschließen, da die neuen Sanktionen existenzgefährdend sein können.

 

 

Horst Neubacher
Wirtschaftsprüfer
  Steuerberater

 

Rath, Anders, Dr. Wanner & Partner mbB - München work Elsenheimerstraße 43 80687 München Deutschland work +49 (0) 89 578382-0 fax +49 (0) 89 578382-50 www.raw-partner.de
Rath, Anders, Dr. Wanner & Partner mbB - Bad Wörishofen work Rudolf-Diesel-Straße 11 86825 Bad Wörishofen Deutschland work +49 (0) 82 479670-0 fax +49 (0) 82 479670-40 www.raw-partner.de
Rath, Anders, Dr. Wanner & Partner mbB - Berlin work Neue Promenade 3 10178 Berlin Deutschland work +49 (0) 30 56553-0 fax +49 (0) 30 56553-10 www.raw-partner.de
Rath, Anders, Dr. Wanner & Partner mbB - Gera work Siemensstraße 49 07546 Gera Deutschland work +49 (0) 365 43752-0 fax +49 (0) 365 43752-29 www.raw-partner.de 50.907173 12.063239
Atikon work Kornstraße 4 4060 Leonding Österreich work +43 732 611266 0 fax +43 732 611266 20 www.atikon.com 48.260229 14.257369