Datenschutz - Fragen & Antworten

Unternehmerische Fragestellungen zur DSGVO

Für wen gilt die DSGVO – und für wen nicht?

Durch die DSGVO wird in der Europäischen Union und dem Europäischen Wirtschaftsraum der Datenschutz nun einheitlich geregelt. 

Die DSGVO ist eine europäische Verordnung und verdrängt somit nationales Recht, das in der Vergangenheit von Land zu Land sich stark unterschieden hat. An einigen Stellen gibt es sog. Öffnungsklauseln, die den Nationalstaaten Konkretisierungen ermöglichen.

In Deutschland wird die DSGVO auf diese Weise durch das Bundesdatenschutzgesetz (BDSG-neu) ergänzt.

 

Die neue Datenschutz-Grundverordnung gilt für alle Unternehmen, Einrichtungen und Selbstständige, die personenbezogene Daten verarbeiten - unabhängig von der Unternehmensgröße und Branche.

 

Die DSGVO regelt den Datenschutz für alle EU Bürger und alle Menschen, die sich innerhalb der EU aufhalten. 

Dabei wird nicht nach B2B (Business) oder B2C (Consumer) unterschieden. 

Das betrifft z.B. auch Unternehmen, die nicht zur EU gehören, die jedoch ihre Leistungen in der EU anbietet. 

Ebenso fällt z.B. ein Tourist in der EU unter den Schutz der DSGVO, wenn die Daten z.B. von einem Deutschen Unternehmen gespeichert und verarbeitet werden (Marktort Prinzip, Art. 3 EU-DSGVO).


Wer ist für die Einhaltung des Datenschutzes im Unternehmen verantwortlich?

Die Verantwortung für die Umsetzung und Einhaltung des Datenschutzes liegt immer bei der Unternehmensführung bzw. dem Firmeninhaber.

Nicht ohne Grund wird die Geschäftsführung im Datenschutz auch als die verantwortliche Stelle bezeichnet. 

Rechtlich gesehen ist die Geschäftsführung immer die Stelle, die personenbezogene Daten für sich selbst (das Unternehmen) erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

 

Die Geschäftsführung/Firmeninhaber kann beziehungsweise muss (unter bestimmten betrieblichen Voraussetzungen besteht eine Bestellpflicht) einen Datenschutzbeauftragten zur Beratung und Unterstützung benennen. Bei dem Datenschutzbeauftragten kann es sich um einen internen oder extern bestellten Beauftragten handeln.

Checkliste: Wichtige Datenschutzaufgaben für die Geschäftsleitung

  • Verantwortung für den Datenschutz;
  • Prüfung, ob ein Datenschutzbeauftragter / eine Datenschutzbeauftragte (DSB) zu bestellen ist;
  • Auswahl der geeigneten Person (insbesondere Fachkunde und Zuverlässigkeit);
  • Schriftliche Bestellung des DSB;
  • Unterstützung des DSB mit den notwendigen Mitteln (je nach Bedarf Hilfspersonal, Geräte, Räume, Einrichtungen);
  • Freigabe eines zeitlichen und finanziellen Budgets für die Fortbildung des internen DSB in Datenschutzthemen;
  • Information des DSB über geplante Verarbeitungen personenbezogener Daten;
  • Bereitstellung einer Verfahrensübersicht (Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO) für den DSB;
  • Berichte des DSB prüfen und berücksichtigen.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Es sind folgende drei Bereiche zu überprüfen, um sagen zu können, ob eine Bestellung erforderlich ist.

 

Unternehmensgröße / Anzahl der Mitarbeiter

Ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, hängt vom Umgang mit personenbezogenen Daten ab. Im Fokus steht das Ausmaß der Datenverarbeitung. Sollten mehr als mindestens 10 Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, besteht die Pflicht.

 

Detailgrad der Daten

Sollten besondere Kategorien von personenbezogenen Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht ebenfalls eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.

 

Geschäftsfeld

Sollten personenbezogene Daten geschäftsmäßig übermittelt, erhoben, verarbeitet oder genutzt werden, d.h. besteht in diesen Verarbeitungsvorgängen die Kerntätigkeit des Unternehmens, besteht ebenfalls unabhängig von der Anzahl der Beschäftigten eine Verpflichtung.


Wirksamkeit der DSB Bestellung

Die Ernennung erfolgt durch die Geschäftsleitung bzw. Führungskräften mit Prokura. 

Im Rahmen der Bestellung sind Formalitäten einzuhalten. Es empfiehlt sich die Bestellung schriftlich in einer Bestellurkunde festzuhalten. 

 

Aber vorab gilt es eine geeignete Person auszuwählen. Insgesamt ist das Anforderungsprofil, das an die Tätigkeit des betrieblichen DSB gestellt wird, als anspruchsvoll zu bezeichnen.

 

Die Funktion des Datenschutzbeauftragten darf eine Person nur ausüben, wenn sie folgende Anforderungen erfüllt:

 

  • Fachliche Eignung: Es gilt ein ausreichendes Verständnis der Thematik aufzubauen. Eine umfassende Fachkunde im betrieblichen Datenschutz ist eine wesentliche Voraussetzung.
  • Weiterhin muss die Person innerhalb ihrer jeweiligen Organisation Einblick in und ein Verständnis für das Zusammenwirken aller entscheidenden Bereiche und Prozesse haben.
  • Außerdem sollte sie der Funktion angemessene Kommunikationsfähigkeiten mitbringen.

Natürlich hat der Schulungsmarkt auf dien neuen DSB Anforderungen reagiert. Es werden zahlreiche Datenschutzbeauftragten Schulungen angeboten, welche die Mitarbeiter auf ihre künftigen Aufgaben als Datenschutzbeauftragte vorbereiten sollen. 

Doch oft sind solche Schulungen als Kompromisslösung zu betrachten, da nur Basiswissen (z.B. Grundlagen der Datenverarbeitung und dem Datenschutz personenbezogener Daten) vermittelt werden kann. 

Außerdem ist es in vielen kleinen und mittelständischen Unternehmen üblich, dass der Datenschutzbeauftragte den Datenschutz nur neben seines eigentlichen Jobs ausübt. Da bleibt nur wenig Zeit die Datenschutzanforderungen umzusetzen. 

In solchen Fällen besteht ein hohes Risiko, dass trotz Schulungsmaßnahme weiterhin Fehler im Datenschutz gemacht werden. 

Die Aufsichtsbehörde kann Fehler, die auf eine mangelnde Fachkunde beruhen, mit einer Bußgeld bestrafen und den Datenschutzbeauftragten abbestellen.


Was sind personenbezogene Daten?

Grundsätzlich sind damit alle Daten gemeint, die sich einer bestimmten Person zuordnen lassen. 

Dazu zählen Name, Anschrift und Telefonnummer. Aber auch IP-Adresse, Standortdaten, Cookies oder auch Merkmale wie Körpergröße, Haarfarbe oder der akademische Titel.

 

Die neue Datenschutz-Grundverordnung erweitert diese Definition noch (Artikel 4 Ziffer 1 DSGVO): 

Personenbezogene Daten sind hiernach "Angaben, die bei Zuordnung zu einer natürlichen Person, Einblicke in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität ermöglichen."

 

Neben den bereits aufgezählten personenbezogenen Daten definiert das Bundesdatenschutzgesetz noch eine Anzahl Besonderer personenbezogener Daten. 

In diese Gruppe fallen viele persönliche Daten. Ethnische Herkunft, politische Meinung, Mitgliedschaft in einer Gewerkschaft und religiöse oder weltanschauliche Überzeugungen gehören dazu. Darüber hinaus fallen Angaben zur persönlichen Gesundheit sowie Angaben zur sexuellen Orien­tierung oder Sexual­leben unter diese Definition besonderer perso­nen­be­zo­gener Daten. Es geht also um das Erheben von sensiblen Daten.


Unter welchen Voraussetzungen ist die Verarbeitung personenbezogener Daten weiterhin erlaubt?

Nach der DSGVO gelten für Unternehmen und Betreiber von Webseiten in der Europäischen Union folgende Grundsätze:

  • Sie dürfen personenbezogene Daten nur dann erheben, verarbeiten und speichern, wenn ausdrücklich eine Einwilligung erteilt ist. Dazu muss die betroffene Person eine Einwilligung erteilen, oder die Erlaubnis muss durch ein Gesetz gegeben sein – etwa das Telemediengesetz (TMG).
  • Sie dürfen nur Daten speichern und verarbeiten, die sie tatsächlich brauchen. Daten, die nicht unmittelbar gebraucht werden, dürfen nur unter strengen Voraussetzungen erhoben werden. Welche genau das sind, legt die DSGVO fest.
  • Die Daten dürfen nur für den Zweck genutzt werden, zudem sie erhoben wurden.
  • Recht auf Vergessen: Die Person, über die Daten gespeichert sind, muss auf ihre Daten zugreifen können, wenn sie dies wünscht. Sie hat auch ein Recht darauf, dass ihre Daten auf ihren Wunsch hin umgehend gelöscht werden.
  • Webseitenbetreiber und Unternehmen müssen personenbezogene Daten sicher aufbewahren und löschen, wenn sie sie nicht mehr benötigen.

Was passiert, wenn man die Datenschutz-Regelungen missachtet?

Die Datenschutzbehörde der EU-Mitgliedsstaaten sowie in Deutschland die Datenschutzbehörden des Bundes und der Länder, sind für die Kontrolle der Einhaltung der DSGVO/BDSG verantwortlich. 

Entspricht die Verarbeitung der Daten in den Unternehmen nicht der neuen Verordnung, weil ein Unternehmen z.B. keine Einwilligungen einholt, oder gegen die Zweckbindung verstößt, droht ein Bußgeld. 

Dies kann teuer werden: Im schlimmsten Fall beträgt es 20 Millionen Euro oder vier Prozent des Jahresumsatzes – je nachdem, was höher liegt.

 

Verstöße gegen die EU-DSGVO könnten jedoch noch weitere juristische Konsequenzen für Unternehmen haben. Gemäß Art. 82 Abs. 1 der neuen Datenschutzverordnung hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materi­ellen oder immate­ri­ellen Schaden erleidet, einen Anspruch auf Schadensersatz. Und das gegen den Verantwortlichen des Verstoßes beziehungsweise des Auftragsverarbeiters.


Verstoß gegen DSGVO: Wann sind Bußgelder und/oder Schadensersatzklagen möglich?

Damit ein Anspruch auf Schadensersatz besteht, müssen folgende Voraussetzungen erfüllt sein:

  • Es liegt ein Verstoß gegen die Datenschutz-Grundverordnung DSGVO vor,
  • durch den Verstoß ist der Person ein materieller oder immaterieller Schaden entstanden,
  • das Verschulden liegt bei dem Verantwortlichen oder dem Auftragverarbeiter.

Nach Art. 82 Abs. 1 DSGVO können auch immaterielle Schäden geltend gemacht werden, wenn zum Beispiel personenbezogene Daten Dritten zugänglich gemacht werden. Hierdurch muss kein direkter Vermögensschaden, also materieller Schaden entstanden sein. Auch bei immateriellem Schaden haben Geschädigte in der EU das Recht, Schmerzensgeld zu verlangen.

Wichtig für Unternehmen, Betreiber von Online-Shops und Webseiten-Betreiber:

Die Nachweispflicht liegt in solchen Fällen bei den Verantwortlichen, nicht bei der klagenden Person. 

Unternehmen und ihre Datenschutzbeauftragten müssen also im Zweifelsfall nachweisen, dass sie für den Umstand, durch den Schaden entstanden ist, nicht verantwortlich sind.

Haben Sie Interesse oder möchten Sie mehr Informationen über unsere Leistungen?

Gerne stehen wir Ihnen für ein kostenloses und unverbindliches Erstgespräch zur Verfügung!

Heike Conte

Dipl.-Betriebswirtin (BA) Fachrichtung Datenverarbeitung 
Datenschutzbeauftragte DSB-TÜV geprüft


So erreichen Sie uns :

 

 GQM - Gesellschaft für  Qualitätsmanagement

und Marketing UG  (haftungsbeschränkt)

 

Hauptniederlassung

Schlossweg 4

69190 Walldorf

 

Vertriebsstützpunkt Wangen

Ahegg 22

88239 Wangen/Allgäu

Vertriebsstützpunkt Stuttgart

Calwer Straße 42

70173 Stuttgart


 Tel:  +49 6227  655 888-0 / Fax:  +49 6227  655 888-9 / eMail: kontakt@gqm-service.org