Datenschutz – Was geht uns das an?

Es gibt praktisch kein Unternehmen, was nicht von der Datenschutzgrundverordnung betroffen ist. In jeder Kundenbeziehung erfolgt ein Austausch von zahlreichen Daten mit Personenbezug. Neben den Kundendaten und den Kundenadressen finden sich auf vielen Unternehmensrechnern zahlreiche Namen und Anschriften von Mitarbeitern, Bewerbern, Lieferanten und Dienstleistern. Sofern das Unternehmen Marketing betreibt, kann es darüber hinaus über Adressdaten und weitere Angaben zu potenziellen Kunden verfügen, Newsletter-Abonnenten und Website-Besuchern (IP-Adresse) verfügen. Sobald diese Daten verarbeitet werden, gilt die DSGVO. Dabei ist der Begriff der „Verarbeitung“ weit zu verstehen: Ob Erheben („Sammeln“), Speichern, Weitergeben oder Löschen, es handelt sich stets um eine Verarbeitung im Sinne des Art. 4 Abs. 2 DSGVO.

 

Haftung für Verstöße können existenzbedrohend sein

Unternehmen, deren Datenverarbeitung nach dem 25. Mai 2018 nicht dem neuen Recht entsprechen, müssen mit Bußgeldern rechnen. Nach der neuen Verordnung können die Geldbußen bis zu 20 Millionen Euro betragen. Die deutschen Datenschutzbehörden sind entschlossen, von dem neuen Bußgeldrahmen Gebrauch zu machen, und halten sich hierzu sogar nach europäischem Recht für verpflichtet. Das Risiko der Verhängung von Bußgeldern ist nunmehr umso höher, weil neue förmliche Beschwerdebefugnisse der Betroffenen eingeführt wurden. Beschweren sich in Zukunft Kunden oder Mitarbeiter bei der zuständigen Datenschutzbehörde, darf die Behörde nicht untätig bleiben und muss den Beschwerden nachgehen.

 

Gesetzliche Dokumentationspflicht

Nach der Datenschutz-Grundverordnung besteht für jedes Unternehmen die gesetzliche Pflicht, die Grundsätze des Datenschutzes einzuhalten (Art. 5 DSGVO). Hieraus folgt, dass jedes Unternehmen zukünftig über eine aussagekräftige Dokumentation der Datenverarbeitung verfügen muss. Nur mit Hilfe dieser Dokumentation kann der Nachweis erbracht werden, dass das Unternehmen das Datenschutzrecht einhält.

 

Betroffenenrechte beachten

Die Verordnung hat aber auch die Rechte von Betroffenen, deren Daten verarbeitet wurden, erweitert. Es bestehen daher gegenüber den Betroffenen oder Dritten Informationspflichten. Hierfür ist es somit notwendig, dass sich ein Unternehmen im ersten Schritt einen Überblick verschafft, bei welchen Prozessen welche Daten erhoben werden. Der zweite Schritt ist dann, dass jeder Betroffene über die Verarbeitung informiert wird. Ferner bestehen nunmehr Auskunftsrechte, so dass auch dieses Verfahren festgelegt werden sollte.

 

Es besteht auch eine Pflicht zur Löschung von Daten

Wichtig ist auch zu wissen, dass das in der Datenschutz-Grundverordnung das Prinzip der Datensparsamkeit gestärkt wurde. Danach müssen auch Grenzen festgelegt werden, wann Daten wieder gelöscht werden.

 

Datenschutzbeauftragte

Unternehmen können im Hinblick auf die Datenschutzgrundverordnung einen Datenschutzbeauftragten (m/w) bestellen. Ab einer bestimmten Unternehmensgröße bzw. bei besonderen Daten ist die Bestellung eines Datenschutzbeauftragten Pflicht (Art. 37 DSGVO). Aber nicht jede Person ist als Datenschutzbeauftragter geeignet. Die Datenschutzverordnung gibt hier Mindestanforderungen an Fachkunde und Unabhängigkeit vor. Ferner sind bestimmte Personen aufgrund der Gefahr eines Interessenkonflikts von einer solchen Tätigkeit als Datenschutzbeauftragter ausgeschlossen (z.B. Geschäftsführer, Leiter IT-Abteilung).

 

Wie können wir Ihnen helfen?

Raap & Partner kann Sie bei der Umsetzung der Datenschutz-Grundverordnung unterstützen. Hierfür zeigen wir Ihnen die erforderlichen Maßnahmen auf, welche für die Umsetzung der Datenschutz-Grundverordnung erforderlich sind.