Modul 1: Was ist die DSGVO?

Die DSGVO ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten EU-weit regeln soll. Dadurch soll für Verbraucher noch mehr Transparenz entstehen und der Betroffene soll in die Lage versetzt werden “Herr seiner Daten” zu bleiben und genau zu wissen, warum und wofür seine Daten verwendet werden. Weiterhin soll der Umgang mit personenbezogenen Daten EU-weit vereinheitlicht werden.

Dass es die EU mit dieser Verordnung ernst meint, die Datenschutzpraxis vieler, vor allem kleiner Firmen zu professionalisieren, zeigen zwei wesentliche Aspekte:

Die Tatsache, dass es sich hierbei um unmittelbar geltendes Recht in allen EU-Mitgliedstaaten handelt. Hiermit sollen einheitliche Standards geschaffen werden. Eine EU-Verordnung muss im Gegensatz zu einer Richtlinie (auf einer solchen beruhte das bisherige BDSG alter Fassung) nicht mehr durch die nationalen Gesetzgeber in nationales Recht umgesetzt werden.

Ein drastisch erhöhter Bußgeld-Rahmen mit bis zu 4 Prozent des Jahresumsatzes oder 20 Millionen Euro (der Geldbetrag, der höher ist, wird genommen). Hiermit sollen die Bußgelder eine abschreckende Wirkung bekommen, sodass der Datenschutz ernster genommen wird als das bisher der Fall war.

Für wen gilt die DSGVO?

Die DSGVO gilt unabhängig von der Unternehmensgröße für alle Unternehmen und deren Niederlassungen in der EU, die personenbezogene Daten verarbeiten.

Sie gilt auch für alle Unternehmen außerhalb der EU, sofern die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Union steht, oder das Verhalten von EU-Bürgern beobachtet wird.

Was bedeutet „Datenverarbeitung“?

Unter dem Begriff „Verarbeitung“ versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Somit ist auch jedes bloße Anschauen auf dem Bildschirm oder einem Papier bereits eine Datenverarbeitung, ohne dass diese bei der Verarbeitung verändert werden.

Beispiele: Erstellung einer Email-Liste, Annahme einer Visitenkarte, führen einer Mitarbeiter- oder Bewerberdatenbank.

Was sind „personenbezogenen Daten“?

Personenbezogene Daten sind Informationen, durch die eine einzelne Person identifiziert werden kann. Per Definition sind das „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Damit sind alle Informationen umfasst, die über eine Person etwas aussagen.

Zum Beispiel:

  • Name
  • E-Mail-Adresse
  • Anschrift
  • Telefonnummer
  • Kontodaten
  • Standortdaten
  • verwendete IP-Adresse
  • Bestell-ID
  • Transaktions-ID
  • Trackingdaten, über die Rückschlüsse auf den Betroffenen gezogen werden können
    etc

Durch diese Daten und auch durch eine Kombination einzelner Daten, ist es möglich, dass eine betroffene Person identifiziert werden kann. Sie gelten für die EU daher als besonders schützenswert. Sie als Unternehmer oder Selbstständiger tragen für die gesammelten Daten die Verantwortung und müssen in der Lage sein zu erklären, auf welcher Berechtigungsgrundlage die Daten verarbeitet werden und welche Schutzmaßnahmen Sie dabei ergreifen.

Der „Verantwortliche“

Diejenige natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Es haftet also das gesamte Unternehmen im Falle einer Strafe, so auch der Geschäftsführer, Vorstand oder Inhaber, aber auch IT-Leiter, wenn dieser grob fahrlässig gegen die Datenschutz-Bestimmungen verstoßen hat oder rechtswidrige Anordnungen getroffen hat.

Der Datenschutzbeauftragte haftet in Ausnahmefällen.

Unter Umständen haften die für Datenschutzverstöße verantwortlichen Personen auch mit Ihrem Privatvermögen. Zur Absicherung empfiehlt sich deshalb eine Vermögensschaden-Haftpflichtversicherung. Sie zahlt jedoch nicht, wenn es sich um grobe Fahrlässigkeit handelt. Dafür reicht es, wenn dem Verantwortlichen nachgewiesen werden kann, dass er auf Verstöße gegen das Datenschutzrecht hingewiesen wurde und trotzdem nicht gehandelt hat.

Der „Auftragsverarbeiter“

Eine natürliche oder juristische Person, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Beispielsweise sind das Telefonmarketing-Agenturen, Server-Hoster, externe CRM Systeme, aber auch ein E-Mail Marketing System wie Klick-Tipp. Aber auch EDV-Dienstleister mit Fernwartungszugriff oder Vor-Ort-Service gehören zum Kreise der Auftragsverarbeiter. Ebenso wie Unternehmen, die die Wartung von Druckern und Kopierern vornehmen.

Hinweis: Mit Auftragsverarbeitern brauchen Sie einen Auftragsverarbeitungs-Vertrag. Sitzt der Auftragsverarbeiter außerhalb der EU, ist darüber hinaus zu prüfen, ob ein Angemessenheitsbeschluss vorliegt bzw. das Unternehmen Privacy Shield zertifiziert ist. Ist das nicht der Fall, benötigen Sie einen „Model Clause“ Vertrag. Dieser wurde von der Europäischen Kommission veröffentlicht.

„Dritte“

Natürliche oder juristische Personen, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten.

Hinweis: Wenn Sie personenbezogene Daten an Dritte weitergeben, müssen Sie den Betroffenen explizit darüber informieren. Allgemeine Formulierungen wie “Unsere Partner erhalten Ihre Daten zur Verarbeitungen” sind nicht zulässig. Auch bei Dritten kann der Betroffene seine Daten löschen, übertragen, ändern und einsehen lassen.

Wer ist der „Betroffene“?

Es handelt sich hierbei, vereinfacht gesagt, um diejenigen natürlichen Personen, deren Daten erhoben und verarbeitet werden.

Hinweis: Hierbei spielt es keine Rolle, ob die natürliche Person Vertreter eines Unternehmens, ein Selbstständiger oder einfach ein Privatmann ist. Gleiches gilt für Ansprechpartner bei Kunden und Lieferanten.

Der Begriff der „Einwilligung“

Von einer Einwilligung können wir dann sprechen, wenn die betroffene Person freiwillig und vollständig informiert für einen bestimmten Zweck der Datenverarbeitung zustimmt. Diese Zustimmung kann schriftlich, elektronisch oder auch mündlich erfolgen. Die Einwilligung muss vor der Datenverarbeitung vorliegen. Eine nachträgliche Zustimmung reicht nicht aus.

Hinweis: Diese Einwilligung muss eine seitens des Betroffenen proaktive Handlung beinhalten wie das Anhaken einer Checkbox. Weiterhin darf die Erteilung der Einwilligung nicht an eine “Belohnung” in irgendeiner Form gebunden sein (“Kopplungsverbot”). Eine „ausdrückliche“ Einwilligung ist nur bei der Verarbeitung von sensiblen Daten erforderlich. Mehr dazu später.

Bedingungen für die Einwilligung

​Die Einwilligung selbst muss im Klartext dokumentiert und sicher gespeichert sein. Prinzipiell muss die Einwilligung in klarer und verständlicher schriftlicher Form vorliegen. Weiterhin dürfen keine weit gefassten Pauschaleinwilligungen ausgestellt werden, sondern für jeden Verarbeitungszweck muss eine separate Einwilligung gegeben bzw. eingeholt werden. Beispielsweise ist E-Mail-Marketing ein anderer Verarbeitungszweck als das Bilden von Kundenprofilen, bei dem ein Betroffener aufgrund personenbezogener Daten (z.B. Trackingdaten) automatisiert “bewertet” wird.

​Es muss jederzeit eine Widerrufsmöglichkeit für den Betroffenen geben, durch die er dem Datenverarbeiter (“Verantwortlichen”) seine Erlaubnis zur Verarbeitung seiner Daten zweckgebunden entziehen kann. Der Widerruf gilt dabei für alle künftigen Verarbeitungstätigkeiten ab dem Widerrufszeitpunkt. Verarbeitungen der Vergangenheit werden durch den Widerruf nicht tangiert.

Hinweis: Vor dem 25.5. erhobene personenbezogene Daten dürfen weiterhin verarbeitet werden, sofern eine nachweisbare Einwilligung des Betroffenen vorliegt oder ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht, das dem des Betroffenen überwiegt. Mehr dazu später.

„Profiling“

Dies ist per Definition: Jegliche Form der automatisierten Verarbeitung personenbezogener Daten unter Bewertung persönlicher Aspekte in Bezug auf eine natürliche Person, insbesondere zur Analyse oder Prognose von Aspekten bezüglich der Arbeitsleistung, der wirtschaftlichen Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Als Beispiel ist hier die Schufa zu nennen, deren Profiling den Betroffenen in erheblicher Weise beeinträchtigt. Allerdings ist hier das gesamtwirtschaftliche Interesse von Bedeutung, da die Schufa durch die Lieferung von Bonitätsdaten die Wirtschaftsteilnehmer vor Forderungsausfällen und eigener wirtschaftlicher Beeinträchtigung schützen soll.

„Datenschutzbeauftragter“

Als Datenschutzbeauftragten bezeichnet man die Person, die auf die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen hinwirkt. Der Datenschutzbeauftragte stellt das Bindeglied zur Aufsichts-Behörde dar und ist direkter Ansprechpartner für diese. Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn ihre Kerntätigkeit aus der umfangreichen, regelmäßigen und systematischen Überwachung von Personen oder der umfangreichen Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten besteht. Darüber hinaus sind jeweils die individuellen Bestimmungen der jeweiligen Länder zu beachten. So ist beispielsweise in Deutschland ein Datenschutzbeauftragter zu bestellen, wenn mehr als 9 Personen im Unternehmen mit der Verarbeitung personenbezogener Daten befasst sind. Der Datenschutzbeauftragte ist für die Einhaltung der DSGVO bei Ihnen zuständig, aber i.d.R. nicht verantwortlich im Sinne einer Haftung.

Hinweis: Wenn Sie formell einen Datenschutzbeauftragten ernannt haben, müssen Sie ihn der Behörde melden, sonst drohen Ihnen teure Strafen. Außerdem  muss der Datenschutzbeauftragte für seine Tätigkeit ausreichend qualifiziert sein. Kenntnisse im Datenschutzrecht, im Bereich der IT sowie Kommunikationsfähigkeit zur Unterweisung von Mitarbeitern und zum Kontakt mit der Aufsichtsbehörde sind unerlässlich. Ein reiner „Nennbeauftragter“ reicht nicht aus, um die gesetzlichen Vorgaben zu erfüllen.

Wichtig für Arbeitgeber

Wenn Sie als Arbeitgeber auch Gesundheitsdaten, eine Gewerkschaftszugehörigkeit, die religiöse Zugehörigkeit oder politische Meinungen speichern, verarbeiten Sie Daten “besonderer Kategorien”. Solche Daten müssen besonders geschützt werden und es sollte eine Beschränkung der Zugriffsberechtigung durch Mitarbeiter geben. Ich rate Ihnen, so wenig wie möglich Daten besonderer Kategorien zu speichern.

Im übrigen müssen Sie in einem solchen Falle bei umfangreicher Verarbeitung auch unabhängig von der Zahl der mit der Datenverarbeitung befassten Personen einen Datenschutzbeauftragten bestellen.

Die 7 Grundsätze für die Verarbeitung personenbezogener Daten im Überblick (Artikel 5, DSGVO)

  • Personenbezogene Daten dürfen ausschließlich rechtmäßig, transparent und so verarbeitet werden, wie es der naive User erwarten würde („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
  • .Die Verarbeitung darf ausschließlich für von vornherein festgelegte und dokumentierte Zwecke durchgeführt werden („Zweckbindung”).
  • Sie muss auf das unbedingt notwendige Maß an Umfang der Datenerhebung und Verarbeitung beschränkt sein (“Datenminimierung”).
  • Sie muss sachlich richtig und auf dem neuesten Stand sein („Richtigkeit”).
  • Die betroffene Person darf nur so lange identifizierbar sein, wie es für den Verarbeitungszweck unbedingt notwendig ist („Speicherbegrenzung”).
  • Die Daten müssen hinreichend geschützt werden („Integrität und Vertraulichkeit”).
  • Der Verantwortliche (zum Beispiel der Geschäftsführer der Firma) muss die Einhaltung nachweisen können („Rechenschaftspflicht”).

Hinweis: Verstöße gegen die oben genannten Grundsätze sollen laut Gesetzgeber mit der Höchststrafe belegt werden.

Rechtmäßigkeit der Verarbeitung (Artikel 6, DSGVO)

​Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten verboten. Für Unternehmer ist hier relevant, dass eine Berechtigungsgrundlage zur Verarbeitung der Daten vorhanden sein muss. Im Wesentlichen gibt es hier 4 für Sie wichtige Berechtigungsgrundlagen:

  • Einwilligung: Der Betroffene hat der Verarbeitung ausdrücklich zugestimmt.
  • Vertrag: Die Verarbeitung erfolgt auf Grundlage eines Vertrages, z.B. Kaufvertrag, Arbeitsvertrag, Mietvertrag, Beratungsvertrag, Behandlungsvertrag, etc.
  • Berechtigtes Interesse: Die Verarbeitung erfolgt, um ein berechtigtes Interesse des Verantwortlichen zu wahren. Hierzu zählen auch wirtschaftliche Interessen wie z.B. Umsatz und Gewinnerzielung.
  • Gesetzliche Pflicht: Es besteht eine gesetzliche Verpflichtung zur Verarbeitung der Daten.

Insoweit spricht man von einem Verbot mit Erlaubnisvorbehalt.

Hinweis: einerseits ist die Berechtigungsgrundlage “berechtigtes Interesse im Sinne von Artikel 6, Ziffer I f” sehr vage gefasst, andererseits das Hauptargument, wenn Sie beispielsweise Ihre Kunden via E-Mail kontaktieren ohne deren Einwilligung. Leider liegen zum aktuellen Zeitpunkt noch keine Gerichtsurteile vor. Die sichere Variante ist, nur Kunden anzuschreiben, wenn eine Einwilligung seitens des Kunden/Betroffenen (zum Beispiel in Form eines Doppel-Optin) vorliegt.

Strafen

Vorgesehen sind als Strafe bis zu 20 Mio Euro oder 4% des weltweiten Vorjahresumsatzes; je nachdem, was höher ist. Wie bereits erwähnt, soll die Strafe für schwerwiegende Vergehen, wie zum Beispiel der Verstoß gegen die Grundsätze der Datenverarbeitung (Art. 5, DSGVO), verhängt werden.

Für geringere Vergehen, wie zum Beispiel im Falle des „Vergessens“ der Erstellung eines Verarbeitungsverzeichnisses trotz Pflicht ist bis zur Hälfte des Strafmaßes der Höchststrafe vorgesehen, also 10 Mio Euro oder 2% des Vorjahresumsatzes.

Ablauf einer Beschwerde

Die Behörden haben aufgerüstet und die Beschwerdeprozesse, zum Beispiel in Deutschland und Spanien, exzellent vorbereitet. Hier wurden Optin-Formulare geschaffen. Dadurch können Anzeigen bei der Behörde entsprechend einfach online eingebracht, und Unternehmen sowie Selbstständige entsprechend bestraft werden.

Ein Beispiel: https://www.lda.bayern.de/de/beschwerde.html

Hinweis: Dieses Vorgehen bedeutet, dass damit zu rechnen ist, dass viele Verstöße medienwirksam bestraft werden. Dieser Gefahr sind natürlich vor allem Unternehmen ausgesetzt, die das Thema Datenschutz vernachlässigen und umfangreiche Verarbeitungen evtl. sogar sensibler Daten vornehmen.

Überprüfen Sie Ihr Wissen!

[WpProQuiz 1]