Kolumnen RA Winter für ddp / dapd

- verfasst von 2001 bis 2013

In Einzelfällen kam es zu einer Änderung der Rechtslage. Die betroffenen Kolumnen wurden aus Zeitgründen noch nicht aktualisiert - dies wird zeitnah nachgeholt.

Zur Übersicht

Datenschutz-Grundverordnung: Wer diese Regeln nicht beachtet, zahlt hohe Strafen

von RA Michael Winter

Kommt bald, betrifft alle

DSGVO? Gemeint ist die EU-Datenschutz-Grundverordnung. Mancher mag schon davon gehört haben, was jedoch tatsächlich auf uns alle zukommt, wissen bisher nur Spezialisten.

Spätestens ab dem 25. Mai 2018 muss man deren Bestimmungen auch in der Bundesrepublik beachten - sonst kann es sehr teuer werden.

Wozu dient die Datenschutz-Grundverordnung?

Geschützt werden sollen Grundrechte und Grundfreiheiten natürlicher Personen - insbesondere deren Recht auf den Schutz personenbezogener Daten und der freie Verkehr solcher Daten.

Der sachliche Anwendungsbereich ist denkbar weit gefasst - beim räumlichen Anwendungsbereich gilt das so genannte Marktortprinzip: Wer personenbezogene Daten im Zusammenhang mit Angeboten von Waren und Dienstleistungen innerhalb der Europäischen Union verarbeitet, muss sich an die Vorgaben der DSGVO halten!

Die Neuerungen der Verordnung betreffen nicht nur Unternehmen, sondern auch den einzelnen Bürger.

Folgende Bereiche werden durch die DSGVO geregelt

  • Beschäftigten-Datenschutz
  • Zusätzliche Unternehmerpflichten
  • Datentransfers ins Ausland
  • Videoüberwachung
  • Auftragsdatenverarbeitung
  • Wartungsarbeiten durch Dienstleister
  • Pflichten für Webseitenbetreiber
  • Einwilligung in die Verarbeitung personenbezogener Daten
  • Datenschutz-Vertreter für Unternehmen
  • Betriebliche Datenschutzbeauftragte
  • Datensicherheit
  • Neue Informationspflichten
  • Datenschutz-Folgeabschätzung
  • Data Breach Notification
  • Verzeichnis von Bearbeitungstätigkeiten (Verarbeitungsverzeichnis)
  • Aufbau eines Datenschutzmanagementsystems
  • One-Stop-Shop bei grenzüberschreitender Datenverarbeitung
  • Binding Corporate Rules
  • Das Recht auf Vergessen-Werden
  • Weitergehende Grundsätze für die Verarbeitung personenbezogener Daten
  • Datenschutz bei Marktforschung
  • Rechtmäßigkeit der Datenverarbeitung
  • Besondere Kategorien personenbezogener Daten
  • Verarbeitung von Kindern und Jugendlichen zuzuordnenden Daten

Die zahlreichen Unterpunkte "mit Leben zu füllen", würde den Rahmen dieser Warnung sprengen. Was Sie jedoch zwingend beachten müssen: Wer die in der neuen Verordnung statuierten Regelungen negiert, muss mit drastischen Folgen rechnen.

Wer die Verordnung nicht umsetzt, bekommt ProblemeWer die Verordnung nicht umsetzt, bekommt Probleme

  1. Es werden hohe Bußgelder fällig! Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.
  2. Mitbewerber und Abmahnvereine können sofort Abmahnungen aussprechen.
  3. Die Kosten solcher Verfahren können schon außergerichtlich durchaus vierstellige Summen erreichen. Noch teurer wird es im Rahmen von einstweiligen Verfügungsverfahren oder im Falle von Klagen.

Wichtige Regeln der Datenschutz-Grundverordnung

Wer jetzt zögert und nicht fristgerecht auf die Neuerungen reagiert, riskiert unter Umständen seine Existenz. Deswegen gilt es zwingend folgende Regeln zu beachten:

  • Die Verordnung gilt ausdrücklich nicht nur für alle Anbieter innerhalb der EU, sondern auch für solche außerhalb der EU, soweit sich ihre Angebote an EU-Bürger richten (man denke hier beispielsweise an das soziale Netzwerk Facebook ). Wo Daten verarbeitet werden, spielt also keine Rolle mehr.
  • Jede Stelle muss nachweisen, dass sie über ein Gesamtkonzept zur Einhaltung des Datenschutzes verfügt (so genannte Rechenschaftspflicht); dieses muss sie regelmäßig kontrollieren und gegebenenfalls weiter entwickeln.
  • Die Informationsrechte Betroffener sind umfangreicher als bisher schon. Beispielsweise muss man Angaben über die Speicherdauer von Daten ebenso bekannt zu geben, wie die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen. Wer als Rechtsgrundlage für die Datenspeicherung die Interessenabwägung heranzieht, muss die berechtigten Interessen aufzählen.
  • Der Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen zu berücksichtigen - gleichfalls gilt (beispielsweise für Elektrogeräte) eine datenschutzfreundliche Grundeinstellung.
  • Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung erweitert.
  • Zwar wird es auch in Zukunft kein sogenanntes “Konzernprivileg“ geben, jedoch vereinfacht sich die Datenverarbeitung innerhalb von Unternehmensgruppen. Übermittlungen für interne Verwaltungszwecke sind künftig legitim - mehrere Stellen können sich zusammenschließen, um Daten gemeinsam zu verarbeiten (hierbei haften sie aber auch gemeinsam).
  • In Zukunft muss jede Datenschutzpanne (unabhängig von der Art der Daten) gemeldet werden, so ein Datenschutzrisiko besteht. Eine solche Meldung hat innerhalb von längstens 72 Stunden nach Kenntnis bei der Aufsichtsbehörde vorzuliegen. Auch Betroffene sind “ohne unangemessene Verzögerung“ zu benachrichtigen - im Falle von sozialen Netzwerken kann dies durch eine öffentliche Benachrichtigung geschehen.
  • Bezüglich der Bestellung eines Datenschutzbeauftragten verbleibt es bei den bisherigen Regelungen. Wer mehr als 10 Personen beschäftigt, die mit der Datenverarbeitung befasst sind, muss einen Datenschutzbeauftragten bestellen.
  • Für internationale Organisationen ist nur noch die Datenschutz-Aufsichtsbehörde am Hauptsitz in der EU zuständig - Betroffene können sich jedoch an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das Anliegen weiterleitet.

Zur Übersicht