Achtung! Neue Datenschutzbestimmungen für alle Unternehmen. Ab sofort drohen erschreckende Geldbußen.
Frist ist am 25.05.2018 bereits verstrichen – Jeder Unternehmer sollte sofort handeln.
Am 25. Mai 2018 war Stichtag. Seitdem ist die Datenschutzgrundverordnung (kurz: DSGVO) in der Europäischen Union, somit auch in Deutschland, in Kraft getreten. Sie löst eine unglaubliche Handlungsbedürftigkeit im ganzen Wirtschaftsleben aus. Sogar die kleinsten Unternehmen sind zur Reaktion gezwungen, wenn Sie hohe Strafzahlungen vermeiden wollen. In der gesamten Praxis müssen zum Teil große datenschutzrechtliche Umstellungen stattfinden.
Was hat sich geändert?
Die Europäische Union verabschiedete die DSGVO, um die datenschutzrechtlichen Bestimmungen in allen betroffenen Ländern zu einer einheitlichen Struktur zu führen. Die gravierenden Unterschiede zwischen den nationalen Bestimmungen bestehen künftig nicht mehr fort. Lediglich kleinere Unterschiede können seitens der nationalen Gesetzgeber nur noch dadurch eingeführt werden, indem von sogenannten „Öffnungsklauseln“ der DSGVO Gebrauch gemacht wird.
Sowohl für Unternehmen als auch für einzelne Bürger gibt es neue Schutz- und Kontrollbestimmungen, die sich insbesondere in neuen Transparenz- und Informationspflichten bemerkbar machen. Dadurch sollen Betroffene ihre Rechte künftig effektiver prüfen und durchsetzen, wenn etwaige Daten unrechtmäßig erhoben, verarbeitet oder genutzt werden.
Vor allem der aktualisierte Arbeitnehmerdatenschutz zeigt auf, dass die Politik auf die vergangenen Skandale im Umgang mit dem Datenschutz im Arbeitssektor spürbar reagiert hat. Zudem müssen Unternehmen den Datenschutz bei der Nutzung von elektronischen Geräten ernster nehmen und eine verbraucherfreundlichere Bedienung aufstellen.
Zudem müssen alle Unternehmen, die keine Niederlassung in der Europäischen Union unterhalten, aber in der Union Waren oder Dienstleistungen anbieten oder ihr Internetnutzungsverhalten beobachten, grundsätzlich einen Datenschutz-Vertreter bestellen. Dieser Vertreter muss sich in der Europäischen Union befinden. Er soll als Ansprechpartner für die unterschiedlichen Aufsichtsbehörden bzw. für datenschutzrechtlich betroffenen Dritte dienen. Zugleich sollten die Unternehmen prüfen, ob sie nach den aktualisierten Bestimmungen neuerdings einen Datenschutzbeauftragten in dem Unternehmen bestellen müssen. Neu ist zudem u.a. das Recht auf Datenübertragbarkeit, mit dem insbesondere die Nutzer von sozialen Netzwerken das Recht haben, dass ihre personenbezogenen Daten in einem vernünftigen Format auf ein anderes Netzwerk übertragen wird.
Welche Sanktionen drohen?
Die DSGVO sieht einen eigenen Katalog an Bußgeld- und Sanktionsoptionen vor. Der europäische Gesetzgeber möchte künftig unter allen Umständen datenschutzrechtliche Verstöße vermeiden. Deshalb kann fast jeder Verstoß gegen die DSGVO geahndet werden. Die Bußgelder haben sich zudem deutlich erhöht und können bis zu 20 Mio. Euro oder 4 Prozent des gesamten Jahresumsatzes betragen! Der europäische Gesetzgeber spricht davon, dass die Bußgelder einen „erschreckenden“ Charakter haben sollen. Gerade deshalb ist ein unverzügliches Handeln absolut geboten. Daher sollte bereits gehandelt werden, bevor eine Anfrage bzw. eine Beschwerde vorliegt.
Was müssen Unternehmen am schnellsten durchführen?
Den verantwortlichen Personen in den Unternehmen kann nur geraten werden, eine umfassende Analyse der datenschutzrechtlichen Situation im Unternehmen aufzustellen. In Anbetracht der Zeitnot ist jedoch zu empfehlen, folgende drei Aufgaben vorzuziehen:
Jeder Betreiber einer Internetseite muss eine Vielfalt von neuen datenschutzrechtlichen Bestimmungen berücksichtigen. Die Kernaufgabe besteht darin, die verpflichtenden Datenschutzhinweise insgesamt neu aufzustellen. Dabei warnen wir dringend vor automatisch erstellten Datenschutzhinweisen mittels etwaiger Internetprogramme, da diese erhebliche Lücken vorweisen können und die individuellen Bedürfnisse des Unternehmens unberücksichtigt lassen. Zudem müssen die einzelnen datenschutzrechtlich relevanten Systemkomponenten und Ausführungsschritte wie beim Newsletter und den Einwilligungen oder Widerrufen zur Datenverarbeitung umfangreich geprüft werden.
Ferner müssen die Unternehmen ihre Auftragsdatenverarbeitungsverträge anpassen bzw. neu schließen. Eine Auftragsdatenverarbeitung liegt vor, wenn der Auftragnehmer auf Weisung eines Auftragsgebers Daten verarbeitet, wartet oder prüft und die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Ein solcher Vertrag ist immer dann zu schließen, wenn ein Unternehmen an ein anderes Unternehmen personenbezogene Daten weiterleitet. Somit kann ein solcher Vertrag bereits dann erforderlich sein, wenn Angestellte eines Putzunternehmens in den jeweiligen Räumlichkeiten des Verantwortlichen personenbezogene Daten wahrnehmen könnten. Regelmäßig muss ein Unternehmen sogar mehrere solche Auftragsdatenverarbeitungsverträge mit unterschiedlichen Unternehmen schließen. Die zu regelnden Vertragsbedingungen werden in der DSVGO aufgezählt und müssen im konkreten Geschäftsverhältnis konkretisiert werden.
Alle Unternehmen müssen schließlich ein sog. Verzeichnis von Verarbeitungstätigkeiten im Einklang mit den Vorgaben der DSGVO aufstellen und darin alle möglichen Verarbeitungstätigkeiten von personenbezogenen Daten führen. Somit müssen sie letztlich eine Inventur zu ihren datenschutzrechtlichen Verhältnissen vornehmen. Diese Dokumentationspflicht bedarf einer intensiven Analyse der Unternehmens- und Vertragsstruktur. Ohne ein solches Verzeichnis kann auch langfristig nicht gewährleistet werden, die umfangreichen gesetzlichen Vorgaben einzuhalten.
Fazit:
Die Europäische Union löst für die gesamte Wirtschaft eine bis dato ungesehene Welle von Handlungspflichten aus. Ohne eine umfassende rechtliche Beratung und ein unverzügliches Handeln riskiert jedes Unternehmen erschreckende Bußgeldzahlung. Die aufgezeigten Pflichten sollten in keinem Falle vernachlässigt werden.
Für eine umfassende rechtliche Beratung zum Themengebiet Datenschutz und DSGVO können Sie sich jederzeit bei uns melden.