(40 Bewertungen, 4.73 von 5)
Die Datenschutzgrundverordnung DSGVO im Überblick für Unternehmer und Webseitenbetreiber

Die DSGVO: Wir zeigen Ihnen worum es geht

  • Alle wichtigen Änderungen zum Mai 2018
  • Was Sie als Unternehmer wissen müssen
  • So sichern Sie Ihr Unternehmen ab
  • Vermeiden Sie teure Bußgelder

Beratung und Schulungen zum neuen Datenschutzrecht

Die Datenschutzänderungen zum Mai 2018 betreffen jedes Unternehmen.
Die Anwälte der Kanzlei Siebert Goldberg schulen und beraten Sie kompetent und verständlich!
Jetzt informieren

Was sich 2018 im Datenschutz ändert. Und warum das für Sie wichtig ist.

 

DSGVO vom Anwalt betrachtet. Das müssen Sie zur Datenschutzgrundverordnung wissen

 

Die neue EU Datenschutzgrundverordnung: Das müssen Händler und Unternehmer wissen

Autoren: RA Sören Siebert, Dipl.-Juristin Bea Brünen, RA Lev Lexow

Letztes Update: 18.09.2017

Datenschutz ist für alle Unternehmer wie Shopbetreiber und Dienstleister bereits heute ein wichtiges Thema. Kundenbestellungen, E-Mail Kampagnen oder Nutzertracking: überall spielt der Datenschutz eine Rolle.    

2018 kommen auf alle Unternehmen weitreichende Änderungen zu: Ab dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland. Diese stellt viele Grundsätze des Datenschutzrechts auf den Kopf.

Vor allem die hohen Bußgelder von bis zu 20 Millionen Euro und viele offene Fragen bereiten vielen Unternehmen Kopfschmerzen. Wir erklären, was Sie beachten müssen, damit Sie bald mit der Umsetzung anfangen können.

Inhaltsverzeichnis:

  1. Was ist die Datenschutzgrundverordnung? (Video)
  2. Gilt die EU-DSGVO eigentlich schon?
  3. Für wen gilt die DSGVO?
  4. An wen wendet man sich bei Verstößen?
  5. Wichtig für alle Händler: Was ist denn nun neu?
    1. Neue und alte Grundsätze
    2. Recht auf Vergessenwerden
    3. Recht auf Datenübertragbarkeit (Datenportabilität)
    4. Auch neu: Die Rechenschaftspflicht
    5. Einwilligungen einholen
  6. Müssen Händler und andere Unternehmer ihre Datenschutzerklärungen anpassen?
  7. Achtung bei Auftragsdatenverarbeitung
  8. Neue Pflichten für Arbeitgeber
  9. Wie finden Sie den richtigen Anwalt zur DSGVO?
  10. Checkliste zur DSGVO

1. Was ist die DSGVO und was hat das mit mir zu tun?

Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung -  also eine Vorschrift,  die in der ganzen EU gilt.

Was ist das Zile der DSGVO?

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt.

Was hat das mit mir als Unternehmer zu tun, werden sich nun viele Fragen?

Das betrifft doch nur Shops oder wirklich große Unternehmen mit tausenden Kundendaten. Leider nicht, die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.  

Video: Einführung in die Datenschutzgrundverordnung DSGVO

Lernen Sie im Video Teil1: Die Grundlagen der Datenschutzgrundverordnung - DSGVO kennen.

2.  Ab wann gilt die EU-DSGVO?

Über die DSGVO wurde schon überall gesprochen, aber viele Händler fragen sich: Gilt die DSGVO überhaupt schon?

Ja und Nein. Die DSGVO trat schon am 25. Mai 2016 in Kraft.

ABER: Die EU-Mitgliedstaaten müssen die Datenschutzgrundverordnung erst ab dem 25. Mai 2018 anwenden. Manche Händler fragen sich vielleicht: Muss Deutschland die EU- Gesetze nicht noch im nationalen Recht umsetzen?

Was ist die EU-Datenschutzgrundverordnung/ DSGVO?

Die Datenschutzgrundverordnung ist eine Verordnung. Verordnungen müssen die Mitgliedstaaten nicht noch umsetzen. Sie gelten direkt (anders ist das aber bei EU-Richtlinien). Allerdings haben die Mitgliedstaaten in einigen Bereichen auch Gestaltungsspielräume, sodass es keine 100%ig einheitliche Rechtslage geben wird.

Die DSGVO wird in vielen Teilen dann das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Das BDSG wird derzeit auch deswegen noch angepasst.

eRecht24: Neuregelungen in der DSGVO

Link-Tipp:

Falls Sie hierzu nähere Informationen haben wollen, könnte Sie folgender Beitrag interessieren: https://www.bundesregierung.de/Content/DE/Artikel/2017/02/2017-02-01-datenschutz.html

Achtung Website-Betreiber: Auch die für Sie wichtigen Regelungen des Telemediengesetzes (TMG) werden durch die Datenschutzgrundverordnung zum Teil verdrängt.

Hier kommen zukünftig aber noch weitere Änderungen auf Sie zu! Da die DSGVO nicht speziell für Telemedien konzipiert ist, wird es zukünftig wohl noch eine speziellere Verordnung geben: die neue e-Privacy Verordnung. Wir werden Sie hierzu auf dem Laufenden halten.

3. Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für:

alle Unternehmen, die in der EU ansässig sind.

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie:

  • Eine Niederlassung in der EU haben oder
  • Personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung: personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar"´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung reicht hier aus!

Personenbezogene Daten sind z.B.:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

4. An wen wendet man sich bei Verstößen?

Wenn bald in der ganzen EU das gleiche Recht gilt, wer ist denn dann für Datenschutzverstöße im Zusammenhang mit der Datenschutzgrundverordnung zuständig?

Wer als Online-Händler international verkauft, hat in diesem Zusammenhang sicher schon etwas vom neuen "One-Stop-Shop" gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

eRecht24 Bußgelder Datenschutzgrundverordnung

Der One-Stop-Shop ist aber auch gut für Händler und andere Unternehmer. Sie müssen sich dann nämlich auch nur noch mit einer Datenschutzbehörde befassen. In dem Mitgliedstaat in dem Sie Ihren Hauptsitz haben, ist dann die zuständige Datenschutzbehörde Ihre Aufsichtsbehörde bei Fragen und Verstößen gegen die DSGVO.

5. Wichtig für alle Händler: Was ist denn nun neu?

Die Datenschutzgrundverordnung ändert zwar einiges am Datenschutzrecht. Da in Deutschland aber bereits bisher ein recht hohes Datenschutzniveau galt, kommen auf Händler hier nicht so viele Änderungen zu, wie in einigen anderen EU-Mitgliedstaaten.

a) Neue und alte Grundsätze

An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts. Folgende Grundsätze sollten Sie kennen:

Verbot mit Erlaubnisvorbehalt

Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:

  • Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
  • Einwilligung der betroffenen Person

 Datensparsamkeit

Im Klartext: Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.

Zweckbindung

Im Klartext: Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.

 Datenrichtigkeit

Im Klartext: Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.

Es gibt allerdings auch neue (bzw. neu niedergeschriebene) Grundsätze:

Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Im Klartext: Das Schutzniveau, dass Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Den genauen Wortlaut mit allen Anforderungen können Sie auch noch einmal hier nachlesen:
https://dsgvo-gesetz.de/art-32-dsgvo/

b) Recht auf Vergessenwerden (Recht auf Löschung)

Viele Unternehmen wissen: Das Recht auf Vergessenwerden ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden.
Das Recht auf Vergessenwerden ist also ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

eRecht24 Neuregelungen Datenschutzgrundverordnung

Achtung: Das Recht auf Vergessenwerden können die Nutzer aber nicht nur gegen Suchmaschinenbetreiber geltend machen! Der Anspruch kann man nämlich gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet.

In der DSGVO gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17.

Darin sind auch die konkreten Gründe aufgezählt, wann Sie als Datenverarbeiter dann die Daten löschen müssen. Die wichtigsten Fälle sind:

  • Der Zweck für die Datenverarbeitung ist weggefallen (Art. 17 Buchstabe a)
  • Der Betroffene hat seine Einwilligung widerrufen (Art. 17 Buchstabe b)
  • Die Datenverarbeitung war unrechtmäßig (Art. 17 Buchstabe d)

Hier können Sie die alle gesetzlichen Bestimmung abrufen:
https://dsgvo-gesetz.de/art-17-dsgvo/

c) Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Die Datenportabilität ist zum Beispiel wichtig für:

  • Wechsel zu anderen (sozialen) Netzwerken
  • Wechsel der Bank
  • Wechsel des Arbeitgebers

Die Umsetzung dieses neuen Rechts kann es aber in sich haben. Lassen Sie sich hierzu am besten individuell beraten!

d) Auch neu: Die Rechenschaftspflicht

Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können.

Praxis-Tipp:

Richten Sie also ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen.

Achtung: Die drohenden Bußgelder sind deutlich höher als früher!

Bußgelder von bis zu 20 Millionen Euro können die Aufsichtsbehörden verhängen. Bei großen Unternehmen und Konzernen drohen sogar noch größere Geldbußen: bis zu 4 % vom weltweiten Konzernumsatz des Vorjahres.

Lassen Sie sich also unbedingt beraten!

eRecht24 DSGVO

e) Einwilligungen einholen

Einwilligungen der Nutzer spielen für Händler und Unternehmer eine größere Rolle, als viele vielleicht glauben. Denken Sie zum Beispiel an die Einwilligung zur Newsletter-Zusendung.

Aber wie muss eine Einwilligung aussehen? Wir haben Ihnen hier die wichtigsten Anforderungen zusammengestellt:

Form:

Die Einwilligung im Datenschutz ist nicht an besondere Formerfordernisse gebunden. Mündliche, schriftliche und elektronische Einwilligungen sind nach der Datenschutzgrundverordnung erlaubt. 

Achtung: Bei Einwilligungen müssen Sie immer auch an die Dokumentation denken. Mündliche Einwilligungen können hier natürlich schneller zum Problem werden, als wenn Sie die schriftliche oder elektronische Einwilligung im System vermerkt und gespeichert haben.

Opt-In oder Opt-Out:

Lassen Sie sich die Einwilligung mit einem Opt-In Kästchen geben! Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

Freiwillig:

Besonders wichtig ist auch das Gebot der Freiwilligkeit. Das heißt: Die Vertragserfüllung Ihrerseits dürfen Sie nicht davon abhängig machen, dass die betroffene Person die Einwilligung erteilt, wenn die Einwilligung nicht für die Vertragserfüllung erforderlich ist.

Inhaltliche Anforderungen:

Die Einwilligung müssen Sie immer zweckgebunden einholen und die Verarbeitungszwecke dabei aufführen. Generaleinwilligungen sind also auch weiterhin nicht erlaubt.

Nachweisbarkeit:

Sie müssen nachweisen können, dass Ihnen die Einwilligung zur Datenverarbeitung erteilt wurde! Denken Sie hier im Zusammenhang mit der EU-Datenschutzgrundverordnung immer auch an eine  umfassende Dokumentation.

Widerruf:

Wie bisher hat der Betroffene ein Widerrufsrecht. Er muss deswegen die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Neu ist: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Was passiert mit "alten" Einwilligungen? Müssen Sie jetzt alle Kunden neu auffordern?

Hier können Händler aufatmen. Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wenn die Einwilligung bisher nicht wirksam erteilt wurde, wird sie auch nicht durch die DSGVO wirksam.

Wichtig in diesem Zusammenhang ist,dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist. Wer beispielsweise Newsletetr versendet, muss nun nach der DSGVO die Einwilligung des Empfängers per double opt auch nachweien können. Das war bsiher ein reines Beweisprobblem etwa bei Abmahnungen wegen Spam, ist nun aber als gesetzliche Vorgabe direkt in der DSGVO geregelt.

Einwilligung bei Minderjährigen

Achtung: Neu ist auch, dass die Datenschutzgrundverordnung ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

6. Müssen Händler und andere Unternehmer ihre Datenschutzerklärungen anpassen?

Als Händler und Unternehmer werden es schon ahnen: Mit der EU DSGVO kommen Änderungen der Datenschutzbestimmungen auf Sie zu.

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

  • Präzise
  • Transparent
  • Verständlich
  • Leicht zugänglich
  • In klarer und einfacher Sprache sein.

Das gilt auch besonders für Informationen, die sich speziell an Kinder richten. Ohne professionelle Beratung wird es für viele Händler wohl nicht möglich sein, diesen Anforderungen gerecht zu werden. Die notwendigen technischen Erläuterungen präzise und aber zugleich verständlich und einfach zu formulieren wird sicher noch vielen Kopfzerbrechen bereiten.

eRecht24 Checkliste DSGVO

Praxis-Tipp: Lassen Sie sich bei der Neufassung bzw. Umarbeitung Ihrer Datenschutzerklärung am besten vom Profi helfen.

7. Achtung bei Auftragsdatenverarbeitung

Auftragsdatenverarbeitung (ADV) ist natürlich nicht neu. Aber mit der DSGVO bekommt sie nun einheitliche europäische Anforderungen.

Für Sie erst einmal wichtig zu wissen: Was ist ADV genau?

ADV ist die "Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet)."
z.B.:

  • Einsatz eines externen Kundencenters (z.B. Callcenter)
  • Cloud Computing
  • Einsatz externer Unternehmen beim Marketing
  • Externes Rechenzentrum

Wichtig: Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Aber: Nach der DSGVO ist jetzt neu, dass auch der Auftragnehmer mitverantwortlich ist.
Auftragnehmer müssen z.B.:

  • ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30)
  • mit der Aufsichtsbehörde zusammenarbeiten (Artikel 31)
  • technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1 DSGVO)

Neu ist auch, dass der Vertrag zur ADV nicht mehr zwingend schriftlich geschlossen werden muss, sondern mit der DSGVO auch die elektronische Form ausreicht.

Die einzelnen Anforderungen an den Vertrag zur Auftragsdatenverarbeitung sind hier aufgelistet:
https://dsgvo-gesetz.de/art-28-dsgvo/

Tipp: Prüfen Sie noch einmal Ihre Verträge und Vertragsvorlagen und passen Sie ggf. die Vorgaben an! So können Sie sichergehen, dass Sie auch die neuen Anforderungen erfüllen.

8. Neue Datenschutz-Pflichten für Arbeitgeber

Im Zuge der Harmonisierung des deutschen Rechts mit der Datenschutzgrundverordnung (DS-GVO) hat der Gesetzgeber auch den Beschäftigtendatenschutz angepasst. Die wichtigste Änderung ist aus Arbeitgebersicht dabei der erhöhte Bußgeldrahmen bis zu 20 Millionen Euro und das gesteigerte Risiko von Arbeitnehmer-Klagen. Die Regelungen zwingen aber nicht nur Arbeitgeber, sondern alle Institutionen, die Arbeitnehmer-Daten verarbeiten, zu einer Anpassung ihrer unternehmensinternen Datenschutzprozesse.

Wer ist betroffen?

Arbeitgeber

Zunächst betrifft die Neuregelung natürlich die Arbeitgeber selbst. Arbeitgeber sind dabei alle Unternehmer, die Arbeitnehmer beschäftigen. Als Arbeitnehmer gelten dabei auch Leiharbeiter oder Azubis und viele weitere Beschäftigtengruppen. Und selbst Bewerber werden durch die neuen Vorschriften geschützt.

Personalvermittler, Betriebsräte etc.

Die neuen Datenschutz-Bestimmungen betreffen aber nicht nur die Arbeitgeber selbst. Vielmehr sind sämtliche Stellen betroffen, die personenbezogene Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten. Dies können auch Personalvermittler, Betriebsräte, Behörden und viele weitere sein.

Was wird geregelt?

Die neuen Vorschriften zum Beschäftigtendatenschutz enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen. Im Einzelnen:

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind

Im Grundsatz sollen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Erlaubt ist die Verarbeitung zudem, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist (diese Punkte bleiben im Folgenden erstmal außer Betracht).

Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden. Dabei sind die kollidierenden Arbeitgeber- und Arbeitnehmerinteressen abzuwägen. Diese Abwägung muss auf Grundlage der bisherigen Rechtssprechungspraxis unter Berücksichtigung der Bestimmungen aus der DS-GVO erfolgen. Im Zweifel sollte daher qualifizierter Rechtsrat eingeholt werden.

Wie holt man wirksame Einwilligungen bei den Beschäftigten ein?

Wer sich den rechtlichen Unsicherheiten rund um „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden. Dies könnte problematisch sein. Denn welcher Mitarbeiter wird seinem Vorgesetzten oder gar im Vorfeld einer Einstellung die Einwilligung verweigern, will er doch den Arbeitsplatz behalten oder bekommen? Und gerade dieses Abhängigkeitsverhältnis muss von Gesetzes wegen berücksichtigt werden.

Eine wirksame Einwilligung muss außerdem bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden.

Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden. Die Einholung von Einwilligungen sollte daher gut vor- und nachbereitet werden.

Beweislast des Arbeitgebers im Klagefall

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.

Tipp: Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).

Risiken bei Datenschutz-Verstößen

Eine wesentliche Änderung bringen die neuen Vorschriften bei der Sanktionierung von Datenschutzverstößen. Zum einen können Verstöße jetzt mit erheblich höheren Bußgeldern von 2 % des weltweiten Umsatzes oder mit bis zu 10 Mio. Euro geahndet werden. Bei schweren Verstößen sind sogar 4 % oder 20 Mio. Bußgeld möglich.

Des Weiteren dürften Mitarbeiter-Klagen teurer werden, da künftig auch immaterielle Schäden eingeklagt werden können. Hinzu kommt, wie schon angesprochen, dass der Arbeitgeber vor Gericht die Einhaltung der Datenschutzvorschriften beweisen muss. Kann er dies nicht, geht das zu seinen Lasten. Dieses Risiko lässt sich letztlich nur durch ein geeignetes Compliance-Management minimieren.

Was sollten Arbeitgeber tun?

Arbeitgeber sollten ihre unternehmensinternen Prozesse prüfen und eine Compliance-Strategie entwickeln (lassen), mit der datenschutzrechtliche Verstöße verhindert werden können.

Neben der Anpassung der Prozesse gehört hierzu auch eine Schulung und Sensibilisierung der Mitarbeiter. Da dies nicht von heute auf morgen geht, sollten Arbeitgeber spätestens jetzt mit der den notwendigen Maßnahmen beginnen. Ist man selbst kein Datenschutzexperte, sollte auf qualifizierten Rechtsrat nicht verzichten, da Fehler beim Datenschutz künftig teuer werden können.

Checkliste DSGVO für Arbeitgeber

➢ Analysieren Sie die datenschutzrelevanten Vorgänge in Ihrem Unternehmen

  • Welche personenbezogenen Daten werden wie, wann und warum verarbeitet?
  • Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch?

➢ Achten Sie auf eine datenschutzkonforme Vertragsgestaltung

  • Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben (z. B. externe Rechnungsstellen).
  • Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein.

➢ Unternehmensinternes Compliance-Management

  • Passen Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse an (Compliance-Management).
  • Beachten Sie die zahlreichen neuen Pflichten (z.B. Unterrichtungs- und Löschungspflichten).
  • Belehren Sie Ihre Mitarbeiter über die neuen Pflichten.

9. DSGVO: So finden Sie den richtigen Anwalt

 Datenschutzrecht ist eine sehr spezielle Materie. Ein Rechtsanwalt, der im normalen Kanzleibetrieb Arbeitsrecht oder Erbrecht macht, kann Ihnen bei Fragen zur DSGVO nicht weiter helfen.

Sie benötigen hier eine Kanzlei, die sich:

1. schwerpunktmäßig mit Datenschutzrecht

2. Internetrecht befasst und dies im Idealfall

3. schon seit mehreren Jahren.

Die Verfasser dieses Beitrages - Rechtsanwalt Sören Siebert und Rechtsanwalt Lev Lexow – sind in der Kanzlei Siebert Goldberg tätig. Rechtsanwalt Sören Siebert (Gründer von eRecht24) und Rechtsanwalt Alexander Goldberg befassen sich seit Jahren ausschließlich mit den Themen Internetrecht und Datenschutz.

Die Anwälte der Kanzlei Siebert Goldberg beraten und schulen mittelständische und große internationale Unternehmen bereits seit vielen Monaten zu allen Fragen, die es im Zusammenhang mit der Datenschutzgrundverordnung gibt.

Wenn Sie anwaltliche Beratung wünschen oder Bedarf an Schulungen zur DSGVO haben, nehmen Sie gern Kontakt zur Kanzlei Siebert Goldberg auf.

10. Checkliste zur DSGVO

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist eine neue EU-Verordnung -  also eine Verordnung die in der ganzen EU gilt.

Der Vorteil: Es werden einheitliche Datenschutzstandards im gesamten Unionsgebiet geschaffen. Der bisherigen Datenschutz-Flickenteppich wird damit der Vergangenheit angehören.

Gilt die DSGVO schon?

Ja und Nein. Die DSGVO ist schon am 14. April 2016 vom EU-Parlament beschlossen worden und trat am 25. Mai 2016 in Kraft.

ABER: Die EU-Mitgliedstaaten müssen die DSVO erst ab dem 25. Mai 2018 verbindlich anwenden.

Muss ich die DSGVO überhaupt beachten?

Wenn Sie sich fragen, ob Sie als Unternehmer die neuen DSGVO Regeln beachten müssen:

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU ansässig sind.

Aber auch außereuropäische Unternehmen müssen sich an die neuen Regelungen halten, wenn Sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

An wen kann ich mich bei Verstößen oder Streitigkeiten wenden?

Mit der Datenschutzgrundverordnung wird das Verfahren rund um Datenschutzverstöße und Streitigkeiten vereinfacht.

Wer als Online-Händler international verkauft, hat in diesem Zusammenhang sicher schon etwas vom neuen ´One-Stop-Shop´ gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

Der One-Stop-Shop ist aber auch gut für Händler und andere Unternehmer. Sie müssen sich dann nämlich auch nur noch mit einer Datenschutzbehörde befassen. In dem Mitgliedstaat in dem Sie Ihren Hauptsitz haben, ist dann die zuständige Datenschutzbehörde zu finden.

Neuer niedergeschriebener Grundsatz der Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Neu: Recht auf Vergessenwerden (Recht auf Löschung)

In der Datenschutzgrundverordnung gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17. Das gilt vor allem für Fälle wie den Wegfall des Zwecks der Datenverarbeitung und den Widerruf der Einwilligung.

Neu: Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist. Das neue Recht gibt Betroffenen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Sie müssen Datensätze deswegen portabel gestalten (können).

Neu: Die Rechenschaftspflicht

Die DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien gegenüber der zuständigen Aufsichtsbehörde nachweisen können.

Neuerungen gibt es auch bei der Einwilligung

Hier ist für Sie wichtig: Wenn die Einwilligungen Ihrer Kunden (z.B. zum Newsletterversand) den bisherigen gesetzlichen Bestimmungen entsprachen, gelten diese Einwilligungen fort.
Es gibt aber trotzdem ein paar Neuerungen im Bereich der Einwilligungen, sodass Sie sich hierzu noch umfassend informieren sollten.

Muss ich meine Datenschutzbestimmungen anpassen?

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

  • präzise
  • transparent
  • verständlich
  • leicht zugänglich
  • in klarer und einfacher Sprache
    sein.

Warum Sie es sich nicht leisten können, die neue DS-GVO zu ignorieren

Die Datenschutz Grundverordnung gilt für alle Unternehmen mit Sitz in der EU.

Es gibt zahlreiche Änderungen, die Sie als Unternehmer umsetzen müssen.

Bei Verstößen riskieren Sie Abmahnungen oder massive Bußgelder.

Praxis Ratgeber zur neuen DS-GVO

Bei eRecht24 Premium finden Sie einen Praxisratgeber zu den relevanten Neuregelungen der Datenschutzgrund-Verordnung.
Jetzt informieren
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

video tutorials teaser

eRecht24-Videos: IT-Recht verständlich

IT-Recht, endlich verständlich: Jetzt können auch Sie Ihre Website einfach und schnell abmahnsicher gestalten, wenn Sie richtig vorgehen!

Mehr Informationen

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support