Am 25. Mai ist es offiziell soweit: die EU-Datenschutzgrundverordnung tritt in Kraft. Eine Verordnung, die (endlich) einen einheitlichen europäischen Rechtsrahmen schafft und hierbei in Deutschland das bisherige Bundesdatenschutzgesetz (BDSG) ablöst. Von der Umstellung der Gesetzgebung sind allein im deutschsprachigen Raum (D-A-CH) ca. 4, 4 Mio. Unternehmen betroffen. Derzeit wird viel Panik mit dem neuen Gesetz verbreitet und Unruhe in Unternehmen gestiftet. Doch was bedeutet diese Gesetzesänderung konkret?

Altes (Neues?) beim Thema Datenschutz

Wie ist die aktuelle Rechtslage? Bitte sagen Sie jetzt nicht: „Das ist mir egal, ist doch eh alles hinfällig!“. Die Informationen, die wir vorausschicken möchten, erleichtern Ihnen das Grundverständnis der Änderungen, die wahrscheinlich auf Sie zukommen und hilft vielleicht ein wenig dabei, Licht ins Dunkle zu bringen.

Bereits jetzt sind Sie als Unternehmer seit vielen Jahren, genauer seit Januar 1978, dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, sobald Sie im Unternehmen mehr als neun Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind (§ 4f Abs. 1 BDSG).
Doch was bedeutet dies konkret? Sobald Sie 10 Mitarbeiter im Unternehmen beschäftigen, die mit personenbezogenen Daten arbeiten, müssen Sie einen Datenschutzbeauftragten bestellen.

Was sind personenbezogene Daten?

Hierunter fallen allen Daten, zu denen sich ein konkreter Personenbezug herstellen lässt, wie zum Beispiel:

• Vor- / Nachname
• Adressdaten
• Telefonnummer
• Fotos
• E-Mail-Adresse
• IP-Adresse
• Kontodaten
• sowie Gesundheitsdaten, Angaben zur Religion, Informationen zur Partei- / Gewerkschaftszugehörigkeit oder Angaben zum Sexualleben

Letztere zählen sogar zu den besonders schützenswerten personenbezogenen Daten (§ 3 Abs. 9 BDSG), was zur Folge haben kann, dass Sie bereits vor der 10-Personen-Grenze einen Datenschutzbeauftragten bestellen müssen.

Ebenso verhält es sich bei Unternehmen, die z. B. personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung verarbeiten oder einer Vorabkontrolle unterliegen, was z. B. bei der Einführung einer Videoüberwachung der Fall ist. In diesen Fällen muss ein Datenschutzbeauftragter bereits unter der magischen Grenze von 10 Personen bestellt werden (ebenfalls § 4f Abs. 1 BDSG).

Wer fällt unter „Personen“?

Kurz auf den Punkt gebracht: alle! Ausnahmslos. Es werden nicht nur Vollzeitkräfte berücksichtigt. Jeder im Unternehmen zählt. Unabhängig davon, ob es sich um Vollzeit-, Teilzeit-, Aushilfskräfte, Azubis oder Praktikanten handelt. Und ja, auch Sie als Geschäftsführer zählen – schließlich lassen Sie sich selbst ja auch nicht aus, wenn es um Ihr Gehalt geht ;). Es ist einfach zur merken: jeder Kopf im Unternehmen zählt.
Dabei ist es auch egal, ob die Mitarbeiter interne oder externe personenbezogene Daten verarbeiten. Bei der Verarbeitung an sich spielt dies ebenfalls keine Rolle.

Die EU-Datenschutzgrundverordnung (DSGVO)

Mit all den oben genannten Informationen kennen Sie den aktuellen Stand und die aktuelle Rechtslage. Warum Sie diesen kennen sollten? Weil sich an den oben aufgeführten Fakten nahezu nichts ändert.
Auch mit Einführung der DSGVO am 25. Mai müssen Sie einen Datenschutzbeauftragten bestellen, wenn Sie mehr als neun Mitarbeiter haben, die mit personenbezogene Daten verarbeiten. Denn die DSGVO ermöglicht den einzelnen EU-Staaten mithilfe von Öffnungsklauseln spezifische Regelungen zu treffen. Und in § 38 i. V. m. § 6 BDSG (neu) hat der Gesetzgeber, also die Bundesrepublik Deutschland, obengenannte Voraussetzungen bzgl. der Personenzahl übernommen.

Also bleibt alles, wie es war? Nicht ganz. Es kommen zusätzliche Neuerungen hinzu, die Sie in Ihrem Unternehmen beachten und umsetzen sollten. Ein paar möchten wir Ihnen gerne vorstellen:

• Meldepflicht:
  Sobald Sie als Unternehmer verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, müssen Sie diesen der Behörde melden (Art. 37 Nr. 7 DSGVO)
  
  
• Betroffenenrechte:
  Hierunter fallen unter anderem das Recht auf „Vergessenwerden“ (Art. 17 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
  Ersteres bedeutet, dass die betroffene Person unter gewissen Umständen das Recht hat, ihre personenbezogenen Daten löschen zu lassen und der Verantwortliche diesem nachkommen muss. Beim Recht auf Datenübertragbarkeit hat der Betroffene das Recht, seine Daten vom Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese ggfs. direkt an einen anderen Verantwortlichen übertragen zu lassen.
  
  
• Verzeichnis von Verarbeitungstätigkeiten
  Bereits jetzt müssen Sie als Unternehmer, unabhängig der Größe Ihrer Firma, die Verfahrensverzeichnisse (alte Bezeichnung) erstellen und im Falle einer Prüfung durch die Behörden vorweisen können. Auch hieran ändert sich mit der Gesetzesänderung nichts. Künftig müssen die Verzeichnisse der Verarbeitungstätigkeit (Art. 30 DSGVO) sogar noch genauer geführt werden, da sich mit Einführung der DSGVO die Dokumentations- und Kontrollpflichten für Unternehmer erweitern.
  
  
• Privacy by design / by default
  Dieser Punkt darf vor allem von Entwicklern z. B. von Software oder Apps nicht außer Acht gelassen werden. Konkret bedeute es: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Dies bezieht sich auf die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Somit ist eine Standardvoreinstellung, in Form von „für alle sichtbar“ wie sie kürzlich bei Strava vorlag, künftig nicht mehr möglich.
  
  
• Einwilligung
  Diese geht fast Hand in Hand mit oben aufgeführtem, da hier die Regelungen noch schärfer werden (Art. 7 i. V. m. Art. 4 Nr. 11). Zum einen steigt die Altersgrenze bzgl. der Einwilligung von 13 auf 16 Jahre, was bedeutet, dass sich Jugendliche künftig ohne Einwilligung der Eltern erst ab 16 Jahren z. B. bei sozialen Netzwerken anmelden dürfen. Und es beinhaltet auch gleichzeitig das Ende des früheren „Opt-Out“-Verfahrens, da die Einwilligung durch eine unmissverständliche und eindeutige Handlung erfolgen muss.

Dies sind nur einige Punkte, die sich im Zuge der Einführung der EU-Datenschutzgrundverordnung ändern. Es gibt zahlreiche, die hinzukommen und beachtet werden sollten. Denn im Gegensatz zur aktuellen Gesetzeslage ändert sich vor allem der Strafrahmen bei Verstößen. Dieser kann bis zu 20 Mio. bzw. 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres - je nach dem was höher ist.

Wir haben noch nichts getan! Was nun?

Erst einmal: ruhig bleiben, Panik hilft Ihnen nicht weiter. Schritt für Schritt vorgehen. Prüfen Sie als erstes, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten bestellen müssen (siehe oben). Falls Sie wissen, dass Sie keinen Datenschutzbeauftragten benötigen, prüfen Sie Ihr Unternehmen selbst auf die wichtigsten Aspekte, die Sie trotzdem erfüllen müssen:

• Liegen die Verfahrensverzeichnisse (Verzeichnisse der Verarbeitungstätigkeiten) vor?
• Habe ich mit allen Dienstleistern einen Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG) bzw. Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen?
• Habe ich für mein Unternehmen technisch-organisatorische Maßnahmen definiert?
• Ist meine Webseite datenschutzkonform?
• Wie sieht es beim Datenschutz bzgl. Arbeitsverträge, Schulung der Mitarbeiter im Umgang mit personenbezogenen Daten oder im Umgang mit Mobil Device usw. aus?

Sollten Sie einen Datenschutzbeauftragten benötigen, müssen Sie entscheiden, ob Sie diesen Posten intern oder extern besetzen möchten. Hierbei sollten Sie beachten: diese Aufgabe darf weder vom Geschäftsführer selbst, dem IT’ler oder der verantwortlichen Person aus der Personalabteilung ausgeführt werden. Denn hier würde aufgrund der verpflichtenden Selbstkontrolle ein Konflikt entstehen, der bei einer Prüfung durch die Behörde einer nichtwirksamen Bestellung gleicht.
Sofern Sie sich unsicher sind, ob Sie einen Datenschutzbeauftragten benötigen und /oder ob Sie diesen Posten intern oder extern besetzen sollen, sprechen Sie uns an. Wir beraten Sie gerne. Egal ob Ihr in Karlsruhe, Heidelberg, Sinsheim, Mannheim, Mosbach oder Frankfurt ist – wir betreuen unsere Kunden weit über diese Grenzen hinaus. Und sobald Sie den „Durchblick“ haben, was Sie tun müssen, gilt: Schritt für Schritt und eins nach dem anderen.