`

EU-Datenschutz-Grundverordnung (DSGVO) Ein Überblick über die Pflichten von Unternehmen nach der DSGVO

EU-Datenschutz-Grundverordnung (DSGVO) | Rechtsanwalt Köln Jens Reininghaus

Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25.05.2018 in Kraft...

 

Ab dem 25. Mai 2018 gilt in der Europäischen Union die EU-Datenschutz-Grundverordnung (DSGVO). Sie ersetzt das bisherige deutsche Datenschutzrecht sowie die Datenschutzgesetze der übrigen Mitgliedsländer der EU. Die DSGVO bringt erhebliche Änderungen im Datenschutzrecht für Unternehmen mit sich. Neben Kapitalgesellschaften sind auch kleinere UnternehmenEinzelunternehmer, Vereine und Freiberufler grundsätzlich verpflichtet, die Vorgaben der DSGVO umzusetzen und einzuhalten.

Mit den nachfolgenden FAQs möchten wir Ihnen einen ersten Überblick über die Pflichten für Verantwortliche nach der Datenschutz-Grundverordnung (DSGVO) bieten. 


Gerne sind wir Ihnen bei der Umsetzung der datenschutzrechtlichen Verpflichtungen nach der DSGVO sowie der kontinuierlichen Überprüfung und Verbesserung der Datenschutzprozesse in Ihrem Unternehmen behilflich. Rufen Sie uns unter 0221 / 964 90 051 an oder schildern Sie uns Ihr Anliegen über unser Online-Rechtsberatungsformular.


Bitte beachten Sie, dass es sich bei den nachfolgenden Informationen lediglich um allgemeine Informationen handelt. Keinesfalls ersetzen die hier angegebenen Informationen eine anwaltliche Beratung im Einzelfall.

  1.

Für welche Unternehmen sind die Vorgaben der DSGVO verpflichtend?

  2.

Sind auch Unternehmen ohne Niederlassung in der EU verpflichtet, die Vorgaben der DSGVO einzuhalten?

  3.  

In welchen Fällen ist eine Verarbeitungen von personenbezogenen Daten nach der DSGVO zulässig?

  4.

Warum sollten Verantwortliche sich möglichst zeitnah um die Umsetzung der DSGVO kümmern?

  5.

Welche Änderungen durch die DSGVO sind besonders relevant?

  6.

Welche technischen und organisatorischen Maßnahmen zur Datensicherheit bringt die DSGVO mit?

  7. 

  8.

Was ist jetzt zu tun?

Unser Konzept zur Umsetzung der Pflichten der DSGVO

  9. 

Ergebnis

 1. Für welche Unternehmen sind die Vorgaben der DSGVO verpflichtend?

 

Die Verpflichtungen nach der DSGVO sind einzuhalten, sofern ganz oder teilweise personenbezogene Daten automatisiert verarbeitet oder nichtautomatisiert personenbezogene Daten verarbeitet werden und diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (vgl. Art. 2 DSGVO).

Sofern ein Unternehmen, Verein oder Freiberufler nicht nur gelegentlich personenbezogene Daten in einem Dateisystem speichert, sondern z.B. regelmäßig Kundendaten, Lieferantendaten, Beschäftigtendaten u.ä. in einem Dateisystem auf einem Computer speichert, ist der Anwendungsbereich der DSGVO eröffnet. Der Verantwortliche für die Datenverarbeitung ist damit verpflichtet, sämtliche Vorgaben der DSGVO umzusetzen. Neben Kapitalgesellschaften sind damit in aller Regel auch kleinere UnternehmenEinzelunternehmer, Vereine und Freiberufler grundsätzlich verpflichtet, die Vorgaben der DSGVO umzusetzen und einzuhalten. 

2. Sind auch Unternehmen ohne Niederlassung in der EU verpflichtet, die Vorgaben der DSGVO einzuhalten?

 

Die Verpflichtungen der DSGVO treffen nach Artikel 3 der DSGVO nicht nur Unternehmen, welche - unabhängig vom Serverstandort - eine Niederlassung in der EU unterhalten (sog. Niederlassungsprinzip), sondern auch Unternehmen aus Drittländern, welche Ihre Waren und Leistungen an Bürger in der EU (auch kostenlos) anbieten oder das Verhalten von EU-Bürgern durch die Verarbeitung von personenbezogenen Daten beobachten (sog. Marktortprinzip).

Streng genommen fällt damit jedes Unternehmen auf der Welt in den Anwendungsbereich der DSGVO, sofern es z.B. ungekürzte IP-Adressen (als personenbezognes Datum, vgl. Erwägungsgrund 30 der DSGVO) auch von EU-Bürgern verarbeitet, um das Nutzerverhalten der eigenen Webseite zu analysieren, selbst wenn keine Waren und/oder Leistungen an EU-Bürger angeboten werden. 

3. In welchen Fällen ist eine Verarbeitung von personenbezogenen Daten nach der DSGVO zulässig?

 

Personenbezogene Daten dürfen ab dem 25. Mai 2018 nach der DSGVO – vereinfacht dargestellt – nur noch in nachfolgenden Konstellationen verarbeitet werden (vgl. Artikel 6 DSGVO):

→ Die Datenverarbeitung ist erforderlich, um Pflichten aus einem Vertragsverhältnis mit dem Betroffenen zu erfüllen oder sie ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Betroffenen erfolgen.

→ Es liegt eine wirksame Einwilligung des Betroffenen vor.

→ Es gibt eine gesetzliche Pflicht zur Datenverarbeitung (z.B. eine Aufbewahrungspflicht)

→ Die Datenverarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

→ Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen der betroffenen Person (oder seine gesetzlich eingeräumten „Datenschutzrechte“) überwiegen (Datenverarbeitung auf Basis einer Interessenabwägung). 


4. Warum sollten Verantwortliche sich möglichst zeitnah um die Umsetzung der DSGVO kümmern?

 

→ Die DSGVO bringt eine sog. Rechenschaftspflicht mit sich (vgl. Art. 5 Absatz 2 DSGVO). Aus dieser Regelung ergibt sich, dass der Verantwortliche die Einhaltung der Vorgaben der DSGVO im Falle einer Prüfung durch die Datenschutzbehörden nachweisen muss. Die DSGVO bringt demnach eine Menge Arbeit mit sich, welche bis zum 25. Mai 2018 zumindest im Grundsatz umgesetzt sein muss.

→ DSGVO-Verstöße können von den Aufsichtsbehörden zukünftig mit Bußgeldern von bis zu 20 Millionen Euro (oder bis zu 4% des weltweiten Jahresumsatzes) geahndet werden.

→ Die DSGVO ist „hartes Compliance-Recht. Die Nichteinhaltung kann u.U. zur persönlichen Haftung von vertretungsberechtigten Personen von Kapitalgesellschaften führen.

→ Neben Kapitalgesellschaften sind auch Personengesellschaften, Einzelunternehmer, Vereine und Freiberufler grundsätzlich verpflichtet, die Vorgaben der DSGVO einzuhalten.

Mit Blick auf die erheblichen Bußgeldrisiken müssen Verantwortliche frühzeitig Risikovorsorge treffen, um das Risiko der (u.U. sogar persönlichen) Haftung wegen Datenschutzverstößen nach der DSGVO auszuschließen oder zumindest zu minimieren.

5. Welche Änderungen durch die DSGVO sind besonders relevant?

 

Die DSGVO bringt einige äußert relevante und arbeitsintensive Änderungen mit sich. Die relevantesten Änderungen sind folgende:

 Verschärfte datenschutzrechtliche Informationspflichten (vgl. Art. 13 und Art. 14 DSGVO): Insbesondere müssen Datenschutzhinweise in Formularen und Internetseiten überarbeitet werden.

 Alle Auftragsdatenverarbeitungsverträge müssen überprüft und an die neue Rechtslage angepasst werden.

 Erfolgen Datenverarbeitungen auf einer ausdrücklichen Einwilligung Betroffener sind die Einwilligungserklärungen zu prüfen. Einwilligungen, welche nicht die Voraussetzungen der DSGVO einhalten, werden automatisch ab dem 25.05.2018 unwirksam.

→ Grundsätzlich sollte nur datenschutzfreundliche Hard- und Software („Privacy by Design“) mit datenschutzfreundlichen Voreinstellungen („Privacy by Default“) eingesetzt werden (Grundsatz der Datenminimierung). Dies muss zukünftig sowohl bei der Produktentwicklung (insbesondere der Softwareentwicklung) als auch bei der Produktauswahl von IT-Systemen und der Implementierung der IT-Systeme im Betrieb beachtet werden.

 Bei risikoreichen Datenverarbeitungen müssen vorgelagerte Datenschutz-Folgenabschätzungen durchgeführt werden (als risikoreiche Datenverarbeitungen nennt die DSGVO z.B. die Verarbeitung besonders sensibler Daten, z. B. Gesundheitsdaten, der Einsatz neuer Technologien, Profiling, die umfangreiche öffentliche Videoüberwachung). im Zweifel können hier die Vorgaben der Aufsichtsbehörden abgewartet werden.

 Verschärfte Meldepflichten bei Datenpannen gegenüber Betroffenen und Aufsichtsbehörden.

 Jeder Verantwortliche hat ein sog. Verarbeitungsverzeichnis“ anzufertigen (welches auch in regelmäßigen Abständen zu prüfen und gegebenenfalls zu aktualisieren ist), in welchem sämtliche Verarbeitungsprozesse von personenbezogenen Daten im Unternehmen beschrieben werden müssen. Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten. Jeder Verantwortliche ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge im Unternehmen anhand dieses Verarbeitungsverzeichnisses kontrolliert werden können (vgl. Art. 30 Abs. 4 DSGVO). In dem Verarbeitungsverzeichnis sind die folgenden Informationen anzugeben (vgl. insbesondere Artikel 30 Abs. 1 DSGVO): 

 der Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Name, Anschrift, E-Mailadresse, Telefonnummer, Bankverbindungen von Kunden und/oder Lieferanten);

 eine Beschreibung des konkreten Verarbeitungsprozesses (z.B. erheben, speichern, abfragen, offenlegen von Daten);

 den Zweck des konkreten Verarbeitungsprozesses;

• die Rechtsgrundlage des jeweiligen Verarbeitungsprozesses;

• die Herkunft bzw. die Quelle der Daten;

• die zugriffsberechtigten Personen/Personengruppen auf den jeweiligen Verarbeitungsprozess (nach Funktion und ohne namentliche Angabe);

• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Banken, Versanddienstleister, Sozialversicherungsträger, Finanzämter, unternehmensinterne andere Datenempfänger, Gläubiger bei Lohn-/Gehaltspfändungen, Träger der Betriebsrente, Auftragsverarbeiter, Muttergesellschaft etc.);

• sofern personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, die Angabe des konkreten Empfängers der Daten sowie das betreffende Drittland oder die internationale Organisation, sowie die Rechtsgrundlage für die Übermittlung (eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden);

• sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (z.B. die geltenden handels- und steuerrechtlichen Aufbewahrungspflichten für Personaldaten, Kundendaten etc., vom Verantwortlichen festgelegte Überprüfungs-/Löschungsfristen);

• sofern möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, welche zum Schutz der personenbezogenen Daten zu treffen sind (Einzelheiten siehe nachfolgend Erläuterungen);

• Auftragsverarbeiter haben ein gesondertes Verarbeitungsverzeichnis nach Artikel 32 Absatz 2 DSGVO zu führen;

Das Verarbeitungsverzeichnis ist ein wichtiges zentrales datenschutzrechtliches Dokument zur Erfüllung der Rechenschaftspflicht nach Art. 5 Absatz 2 DSGVO. Verstöße durch fehlende oder nicht vollständige Führung eines Verarbeitungsverzeichnisse können ab dem 25.05.2018 mit Geldbußen von bis zu 10 Millionen EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

6. Welche technischen und organisatorische Maßnahmen zur Datensicherheit bringt die DSGVO mit?

 

Im Bereich der Datensicherheit sind technische und organisatorische Maßnahmen zur Sicherheit von personenbezogenen Daten zu treffen, welche dem Stand der Technik entsprechen. Die Maßnahmen müssen umfangreicher sein, wenn der Schutzbedarf der Daten hoch oder sehr hoch ist. Grundsätzlich dürfen bei der Wahl der Datensicherheitsmaßnahmen auch die Implementierungskosten berücksichtigt werden.

Nach der DSGVO sind folgende technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten zu treffen (vgl. insbesondere Artikel 32 DSGVO):

→ Pseudonymisierung personenbezogener Daten (z.B. Trennung von Kundenstammdaten und Kundenumsatzdaten, Verwendung von Kunden-, Personalkennziffern statt Namen)

→ Verschlüsselung personenbezogener Daten (z. B. in stationären und mobilen Speicher-/Verarbeitungsmedien und bei der elektronischen Übermittlung von personenbezogenen Daten).

→ Gewährleistung der Vertraulichkeit der Systeme und Dienste (die einen unautorisierten Zugang oder Zugriff auf personenbezogene Daten verhindern sollen, beim Verantwortlichen selbst oder auf dem Transportweg zu Auftragsverarbeitern oder zu Dritten, z.B. Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Trennungskontrolle)

→ Gewährleistung der Integrität der Systeme und Dienste (Maßnahmen die gewährleisten, dass personenbezogene Daten nicht unbemerkt geändert werden können, z.B. Eingabekontrolle sowie organisatorische und technische Absicherung von Berechtigungen, Protokollierungsmaßnahmen, Protokoll-Auswertungen/Revision etc.)

→ Gewährleistung der Verfügbarkeit der Systeme und Dienste (Maßnahmen die sicherstellen, dass personenbezogene Daten dauernd und uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn sie gebraucht werden. Hierzu zählen u.a.: Verfügbarkeitskontrolle, Auftragskontrolle)

→ Gewährleistung der Belastbarkeit der Systeme und Dienste (Maßnahmen die sicherstellen, dass die Systeme und Dienste so ausgelegt sind, dass auch punktuell hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen leistbar bleiben, z.B. Speicher-, Zugriffs- und Leitungskapazitäten)

→Wiederherstellung der Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall (z.B. Backup-Konzept, Redundante Datenspeicherung, Cloud-Services, Doppelte IT-Infrastruktur, Schatten-Rechenzentrum etc.)

→ Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen (z.B. Entwicklung eines Sicherheitskonzepts, Prüfungen des DSB, der IT-Revision, externe Prüfungen, Audits, Zertifizierungen etc.).

→ Den vorbenannten Verpflichtungen zur Schaffung einer ordnungsgemäßen Daten- und Informationssicherheit im Unternehmen sowie zur Entwicklung eines zertifizierten Sicherheitskonzeptes kann realistisch gesehen nur mit der Implementierung eines aufwendigen und kostspieligen Daten- bzw. Informationssicherheitsmanagementsystems nachgekommen werden, welches sich an anerkannten Standards (z.B. ISO 27001, VdS 3473 oder VdS V10010) orientiert.

Werden die Kosten für ein zertifiziertes Sicherheitsmanagement gescheut, muss hier im Rahmen des unternehmerischen Risikos ein risikobasierter Ansatz verfolgt werden, was gegebenenfalls zu Beanstandungen (und im schlimmsten Fall zu Bußgeldern) der Aufsichtsbehörden führen kann.

7. Was ist jetzt zu tun?

 

Zur Umsetzung der Pflichten nach der DSGVO sind zumindest die nachfolgenden Maßnahmen zu ergreifen:

→ Analyse aller datenverarbeitenden Prozesse im Unternehmen

→ Erstellung eines Verarbeitungsverzeichnisses

→ Überprüfung der Rechtsgrundlagen für die einzelnen datenverarbeitenden Prozesse

→ Gegebenenfalls Überarbeitung von Einwilligungen für Datenverarbeitungsprozesse

→ Überarbeitung von Datenschutzerklärungen auf Webseiten

→ Überarbeitung von Auftragsdatenverarbeitungsverträgen sofern personenbezogene Daten an Subunternehmer weitergegeben werden (worunter auch Cloud-, E-Mail- und Hosting-Services fallen)

→ Umstellung Cookie-Infobanner von „Opt-out“ zu „Opt-in“

→ Gegebenenfalls Implementierung eines Datenlöschkonzeptes

→ Gegebenenfalls Änderung der Soft- und Hardware sowie der jeweiligen Einstellungen im Hinblick auf die Grundsätze der Datenminimierung („Privacy by Design“ und „Privacy by default“)

→ Gegebenenfalls Implementierung bzw. Anpassung von technischen und organisatorische Maßnahmen zur Sicherheit von personenbezogenen Daten (Datensicherheitsmanagement)

→ Gegebenenfalls Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Datenverarbeitungen

Kontinuierliche Überprüfung, Dokumentierung und gegebenenfalls Verbesserung der Datenschutzprozesse im Unternehmen in regelmäßigen Abständen (von z.B. 6 Monaten)

→ Implementierung von Prozessen für die Wahrnehmung von Betroffenenrechten und Prozesse für die Meldung von Datenschutzverstößen.


8. Unser Konzept zur Umsetzung der Pflichten der DSGVO:

 

Gerne sind wir Ihnen bei der Umsetzung der datenschutzrechtlichen Verpflichtungen nach der DSGVO sowie der kontinuierlichen Überprüfung und Verbesserung der Datenschutzprozesse in Ihrem Unternehmen behilflich.

Zur Umsetzung der Pflichten der DSGVO haben wir speziell für KUMs (kleinere und mittelständische Unternehmen) ein Konzept entwickelt, welches weitestgehend auf vorgefertigten Musterformularen beruht, um so den anwaltlichen Beratungsaufwand für die Umsetzung der Pflichten nach der DSGVO so gering wie möglich zu halten.

 

Ganz ohne ergänzende anwaltliche Beratungsleistungen wird es erfahrungsgemäß allerdings nicht gehen. Der Beratungsaufwand hängt dabei von Ihren unternehmensinternen Datenverarbeitungsprozessen, Ihren Fragen bei der Bearbeitung der Musterformulare und Ihren allgemeinen Fragen zum (neuen) Datenschutzrecht ab. Allgemeine Aussagen zu dem entstehenden Beratungsaufwand bei der Umsetzung der Pflichten der DSGVO sind daher leider nicht möglich.

Sofern Sie unsere Kanzlei mit der Beratung bei der Umsetzung der Pflichten nach der DSGVO beauftragen möchten, muss der hier entstehende Beratungsaufwand daher auf der Grundlage fairer Stundensätze abgerechnet werden. 

9. Ergebnis:

 

Die Umsetzung der DSGVO bringt eine ganze Menge Arbeit für alle Verantwortlichen mit sich. Die grundlegenden Verpflichtungen nach der DSGVO müssen bis zum 25. Mai 2018 umgesetzt sein. Anderenfalls besteht das Risiko empfindlicher Bußgelder der Aufsichtsbehörden sowie kostenpflichtiger Abmahnungen von Wettbewerbern, Verbraucherschutz- und Wettbewerbsvereinen.

Auch bringt die Einhaltung der Verpflichtungen der DSGVO nicht nur „einmaligen Umstellungsaufwand“ mit sich, sondern es müssen „Prozesse zur kontinuierlichen Überprüfung und Verbesserung der Datenschutzprozesse“ geschaffen werden. 

Im Ergebnis sollten daher zumindest grundlegende Verpflichtungen nach der DSGVO bis zum 25.05.2018 im Unternehmen umgesetzt werden und dann kontinuierlich an einer Verbesserung der datenschutzrechtlichen Pflichten nach der DSGVO im Unternehmen gearbeitet werden.

Mehr zu diesem Thema

Sie haben Fragen?