Die neue Datenschutz-Grundverordnung: So sammelt ihr Daten richtig

30.08.2017

Weitere Themen

"Gründer haben wichtigere Dinge zu tun, als sich um Datenschutzbestimmungen zu kümmern!" oder "Der Datenschutz betrifft uns nicht, das ist was für Konzerne!" Das sind nur zwei der gängigen - und falschen - Argumente, die viele Existenzgründer haben, wenn sich das Gespräch um den Datenschutz dreht. Denn zum einen geht Datenschutz alle an, die personenbezogene Daten verarbeiten. Zum anderen sollten die verschärften Sanktionen des neuen Datenschutzrechts im Rahmen der neuen Datenschutz-Grundverordnung für eine erhöhte Aufmerksamkeit sorgen.

Es ist noch gut ein Jahr hin, bis die neue Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 das Datenschutzrecht einheitlich für die gesamte Europäische Union regelt. Noch lange Zeit? Nein. Denn Unternehmen, die personenbezogene Daten verarbeiten, müssen - unabhängig von der Unternehmensgröße - die sich ergebenden Veränderungen gründlich analysieren und bis Ende Mai 2018 umgesetzt haben. Eine erste Übersicht verdeutlicht, wie notwendig eine Auseinandersetzung mit der neuen Datenschutz-Grundverordnung für Unternehmen bereits zum gegenwärtigen Zeitpunkt ist. Ein Grund für uns schon jetzt nachzufragen: Was kommt ab Mai 2018 mit der neuen DSGVO auf euch zu? Antworten hat Rechtsanwältin Alia von Werder von Löwenheim Rechtsanwälte.

Datenschutz-Grundverordnung Ab dem 25. Mai 2018 regelt die Datenschutzgrundverordnung (DSGVO) das Datenschutzrecht einheitlich für die gesamte Europäische Union.

Verschärfte Sanktionen durch Datenschutz-Grundverordnung

Art. 83 Datenschutz-Grundverordnung regelt die allgemeinen Bedingungen für die Verhängung von Geldbußen. Dabei sehen die neuen Datenschutzbestimmungen eine gravierende Verschärfung gegenüber dem bisherigen Datenschutzrecht vor. Bei Verstößen gegen die DSGVO, kann die Aufsichtsbehörde Geldbußen in Höhe von bis zu 20 Mio. Euro oder bis zu 4 % des gesamten erzielten Jahresumsatzes verhängen. Die Aufsichtsbehörden werden angehalten, den Betrag zu wählen, der höher ist. Selbstverständlich unter Beachtung des Verhältnismäßigkeitsgrundsatzes.

Praxistipp #1: Auch, wenn es schwer fällt: Datenverarbeitende Unternehmen sind gut beraten Art. 83 Datenschutz-Grundverordnung einmal aufmerksam durchzulesen. Die in verständlicher Sprache beschriebenen Kriterien zur Verhängung von Geldbußen können als Orientierung dienen, um eine Strategie zu erstellen, die die enormen Risiken auf ein Mindestmaß reduziert.

Datenschutzbeauftragter gemäß DSGVO

Art. 37 Abs. 4 Datenschutz-Grundverordnung bestimmt, dass ein Datenschutzbeauftragter zwingend zu bestellen ist, sofern ein Mitgliedsstaat eine Bestellung gesetzlich vorschreibt. Gemäß § 38 BDSG (neu) ist ein Datenschutzbeauftragter erforderlich, wenn mindestens 10 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Datenverarbeitung mit einem hohen Risiko für die Betroffenen verbunden ist.

Die Aufgaben des Datenschutzbeauftragten bestehen in der Unterrichtung und Beratung des datenverarbeitenden Unternehmens hinsichtlich der sich aus der DSGVO ergebenden Pflichten. Zudem ist er auch für die Überwachung der Einhaltung der datenschutzrechtlichen Bestimmungen der DSGVO verantwortlich. Er hat sicherzustellen, dass die datenschutzrechtlichen Vorgaben umgesetzt und eingehalten werden. Er ist zuständig für die Zusammenarbeit mit der Aufsichtsbehörde.

Praxistipp #2: Sofern ein Datenschutzbeauftragter bestellt werden muss, empfiehlt sich infolge der Bußgeldrisiken eine mit dem Datenschutzrecht und den Datenschutzbestimmungen vertraute und kompetente Person zu bestellen oder ein Budget für die Beauftragung eines externen Datenschutzbeauftragten bereitzuhalten. Hierfür gibt es auf dem Markt zahlreiche Anbieter, die die Funktion eines Datenschutzbeauftragten verantwortlich übernehmen.

Erhöhte Dokumentations- und Nachweispflichten

Die Datenschutz-Grundverordnung verpflichtet die datenverarbeitenden Unternehmen, die in Art. 5 DSGVO geregelten Grundsätze einzuhalten und auch einen Nachweis darüber zu führen (sogenannte Rechenschaftspflicht). Die Grundsätze lauten:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit

Bei Verstößen gegen die aufgeführten Grundsätze drohen erhebliche Bußgelder in bereits beschriebenem Ausmaß.

Praxistipp #3: Die gravierende Sanktionierung etwaiger Verstöße zeigt, wie wichtig es künftig sein wird, sich nicht nur an die Einhaltung der aufgestellten Grundsätze zu halten, sondern auch gleichzeitig eine penible und präzise Dokumentation über die Einhaltung zu führen, so dass im Streitfalle bei Gericht der Nachweis geführt werden kann. Es empfiehlt sich die Einführung eines Datenschutz-Management-Systems, welches die geforderte Dokumentation sicherstellt und gewährleistet.

Datenschutz – Folgenabschätzung

Für den Fall, dass eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vornehmen. Das ordnet Art. 35 DSGVO an. Der Verantwortliche hat dabei – sofern vorhanden - den Rat des Datenschutzbeauftragten einzuholen. Die Folgenabschätzung sollte eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und den Zweck der Verarbeitung beinhalten. Außerdem aber auch eine Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und eine Art „Notfallplan“, nämlich die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Praxistipp #4: Jedes datenverarbeitende Unternehmen hat eine kritische Bewertung dahin gehend vorzunehmen, ob es verpflichtet ist, eine Datenschutz-Folgeabschätzung vorzunehmen. Dazu hat die Artikel-29-Datenschutzgruppe (Beratungsgremium, dem die Datenschutzaufsichtsbehörden der EU und der Mitgliedstaaten, sowie ein Vertreter der Europäischen Kommission angehören) 10 Kriterien benannt, die zur Beurteilung eines hohen Risikos herangezogen werden können. Es empfiehlt sich, diese Kriterien konkret für das eigene Unternehmen zu beantworten. Je mehr dieser Kriterien in quantitativer Hinsicht zutreffen, desto eher bedarf es einer Datenschutz-Folgeabschätzung. Dies betrifft nicht nur bereits bestehende Unternehmen, sondern auch Start-ups.

Datensicherheit gemäß DSGVO

Ein weiterer, ganz maßgeblicher Aspekt des neuen Datenschutzrechts besteht in dem Erfordernis ein hohes Maß an Datensicherheit zu gewährleisten, so Art. 32 DSGVO. Unzureichende Datensicherheit kann zur Verhängung einer Geldbuße von bis zu 10 Mio. Euro bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen.

Praxistipp #5: Um Fallstricke zu vermeiden, empfiehlt sich zunächst das im Unternehmen befindliche Datensicherheitsniveau einer gründlichen Prüfung zu unterziehen und festzustellen, ob das bestehende Schutzniveau ausreicht, um den Anforderungen, die sich aus dem Katalog des Art. 32 DSGVO ergeben, erfüllen zu können. Sollte dies nicht der Fall sein, bedarf es einer Ergänzung um die Schutzlücke zu schließen. Größere Unternehmen sollten zur Vermeidung des bezeichneten Risikos einer hohen Geldbuße ein IT-Sicherheitskonzept erstellen, um das erhebliche Risiko zu minimieren.

Fazit: Datenschutz-Grundverordnung

Die aufgezeigten Pflichten und Risiken machen deutlich, wie wichtig es für datenverarbeitende Unternehmen ist, sich rechtzeitig mit der neuen DSGVO auseinanderzusetzen und nicht die Augen vor einem vermeintlich langweiligen Thema zu verschließen. Die Bildung von Teams aus dem eigenen Unternehmen bzw. die Hinzuziehung von Datenschutzexperten, die systematisch die Umsetzungsanforderungen vornehmen, wird für viele Unternehmen unumgänglich sein. In diesem Sinne gilt, Datenschutz wird groß geschrieben. Wenn man weiß, worum es geht.