Diese Seite drucken
Donnerstag, 31 Januar 2019 17:17

Datenpannen vermeiden

Fallstrick DSGVO: Was Sie als Unternehmer beachten müssen, um die neuen Vorschriften einzuhalten

Seit dem 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO).

Sie ersetzt das bisherige deutsche Datenschutzrecht. Mit wenigen Ausnahmen: Seit dem 25. Mai 2018 ist auch ein neues Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Dieses beinhaltet jedoch nur bestimmte Bereiche des Datenschutzrechts, in dem die Mitgliedsstaaten eigene Regelungen zum „Ausfüllen“ der DSGVO treffen dürfen.

Ob und unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, hat sich im Vergleich zum bisherigen deutschen Datenschutzrecht nur geringfügig verändert. Personenbezogene Daten dürfen – vereinfacht dargestellt – nur unter folgenden Voraussetzungen verarbeitet werden:


-    Die Datenverarbeitung ist erforderlich, um Pflichten aus einem Vertragsverhältnis mit dem Betroffenen zu erfüllen, oder sie ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Betroffenen erfolgen.
-    Es liegt eine wirksame Einwilligung des Betroffenen vor.
-    Es gibt eine gesetzliche Verpflichtung zur Datenverarbeitung (z. B. Aufbewahrungspflicht).
-    Die Datenverarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
-    Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen der betroffenen Person überwiegen (Interessenabwägung).

Welche wesentlichen Veränderungen haben sich durch die DSGVO ergeben?


-    DSGVO-Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes geahndet werden.
-    Es gibt wesentlich verschärfte Informationspflichten gegenüber den Betroffenen: Datenschutzhinweise in Formularen, Internetseiten etc. mussten überarbeitet werden.
-    Es gibt verschärfte Meldepflichten bei Datenpannen.
-    Bei risikoreichen Datenverarbeitungen müssen vorgelagerte Datenschutz-Folgenabschätzungen durchgeführt werden.
-    Die Nichteinhaltung der Vorgaben aus der DSGVO kann unter Umständen zur persönlichen Haftung von vertretungsberechtigten Personen führen.

Neu ist auch die sog. Rechenschaftspflicht, die sich aus Art. 5 Abs. 2 DSGVO ergibt. Die Einhaltung der Vorgaben der DSGVO muss vom Unternehmen nachgewiesen werden können. Dies ist faktisch nur mittels der Vorhaltung eines Datenschutzmanagementsystems (DSMS) möglich. Hinweise darauf finden sich auch in Art. 24 Abs. 1 und Art. 32. Prinzipiell ist jedem Unternehmen empfohlen, ein Datenschutzmanagementsystem einzurichten.

Erste Bußgelder wurden im Jahr 2018 bereits verhängt: Wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit hat das LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/).

Ab 2019 ist damit zu rechnen, dass die Datenschutzaufsichtsbehörden der Länder die Umsetzung des Datenschutzes gemäß DSGVO in Unternehmen häufiger und umfassender prüfen. Vorreiter ist hier regelmäßig das BayLDA. Eine Auswahl der laufenden Datenschutzprüfungen findet sich hier: https://www.lda.bayern.de/de/kontrollen.html.

Seitens des TLfDI und des LfD Niedersachsen gibt es bereits ähnliche Überprüfungen. Es ist davon auszugehen, dass die Vorgehensweise in den anderen Bundesländern gleichartig sein wird. Daher ist allen Unternehmen anzuraten, sich auf eventuelle Befragungen und Prüfungen vorzubereiten und die Datenschutzorganisation nicht zu vernachlässigen.

Was wird bzgl. der Umsetzung der Anforderungen aus der DSGVO im Wesentlichen benötigt und sollte idealerweise Bestandteil eines kontinuierlichen Verbesserungsprozesses sein?

-    Verarbeitungsverzeichnis erstellen und pflegen
-    Technische und organisatorische Maßnahmen dokumentieren, prüfen und ggf. anpassen
-    Umsetzung von Informationspflichten gegenüber den Betroffenen
-    DSGVO-konforme Verträge, AGB und Einwilligungserklärungen – prüfen und ggf. anpassen
-    Aufklärung und Schulung der Mitarbeiter
-    Vorgehensweise Datenschutz-Folgenabschätzung (DSFA) festlegen

Mike Hackstein
Zertifizierte Fachkraft für Datenschutz (DEKRA), T.I.S.P.
TMH Solutions GmbH | www.tmh.solutions

http://audalis.deetune.com/administrator/index.php?option=com_templates&view=style&layout=edit&id=12#layout_params