Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Eine elektronische Datenvereinbarung liegt bereits dann vor, wenn Sie ein nach bestimmten Kriterien geordneten „Karteisystem“ – sei es auch nur auf einem einzigen PC oder gar in Papierform – führen.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Darunter fallen zum Beispiel der Name, der Wohnort, die Anschrift, das Geburtsdatum, die Bankverbindung, die Steuernummer, die Religionszugehörigkeit und vieles mehr. Von der DSGVO geschützt sind nur die Daten natürlicher Personen (Menschen). Die Verarbeitung der Daten von juristischen Personen wie Gesellschaften, Vereine und Körperschaften fällt nicht unter die DSGVO. Ebenfalls fällt die Verarbeitung von personenbezogenen Daten für ausschließlich persönliche und familiäre Tätigkeiten nicht unter die DSGVO.

„Verarbeitung” ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Kurz gesprochen: Es ist egal, was Sie mit personenbezogenen Daten machen – es handelt sich immer um eine Verarbeitung im Sinne der DSGVO. Sofern Sie Dienstleistungen oder Waren in Deutschland oder der EU anbieten oder sofern Sie auch nur einen Mitarbeiter in Ihrem Unternehmen haben, für den sie eine monatliche Gehaltsabrechnung erstellen (lassen) betreiben Sie bereits „Datenverarbeitung“.

Viele, die festgestellt haben, dass die DSGVO auch für ihr Unternehmen Anwendung findet, sind erstmal ratlos oder verfallen in Panik. Sie wissen nicht, was das nun konkret für sie bedeutet und wo sie am besten anfangen sollen. Eine einheitlich Empfehlung für alle gibt es nicht. Dennoch hat sich für die Umsetzung der neuen gesetzlichen Anforderungen in den meisten Fällen folgende Herangehensweise bewährt:

– Datenschutz ist Chefsache!

– Verschaffen Sie sich aus datenschutzrechtlicher Sicht einen Überblick, was Sie in Ihrem Unternehmen machen.

– Überprüfen Sie, ob Sie zur Erfüllung Ihrer Aufgaben andere Unternehmen (sog. Auftragsdatenverarbeiter) eingeschaltet haben und falls ja, ob Sie mit diesen die für die Verarbeitung personenbezogener Daten
erforderlichen Verträge abgeschlossen haben.

– Werden Sie sich darüber im Klaren, dass Ihre Mitarbeiter, Lieferanten, Kunden oder Interessenten sog. „Betroffenenrechte“ haben, welche Sie in kurzer Zeit vollständig und richtig erfüllen müssen.

– Prüfen Sie, ob die Verarbeitung personenbezogener Daten in Ihrem Unternehmen zulässig ist und ob Sie die Zulässigkeit der Verarbeitung auch jeweils nachweisen können.

– Prüfen Sie, ob Sie einen Datenschutzbeauftragten brauchen.

– Prüfen Sie, ob Ihre Internetpräsenz datenschutzrechtsicher ist.

Verbot mit Erlaubnisvorbehalt

Im Datenschutzrecht gilt das sog. Prinzip des „Verbots mit Erlaubnisvorbehalt“. Das bedeutet, dass niemand personenbezogene Daten Dritter erheben, speichern oder weitergeben darf, wenn er nicht entweder über eine ausdrückliche (schriftliche) Einwilligung der betroffenen Person verfügt oder aber sich auf eine Rechtsgrundlage berufen kann, die ihm erlaubt oder sogar anordnet, personenbezogene Daten Dritte zu verarbeiten.

Rechtmäßigkeit

Neben der ausdrücklichen (schriftlichen) Einwilligung finden sich in Art. 6 Abs. 1 DSGVO weitere Gründe, welche die Verarbeitung personenbezogener Daten rechtmäßig macht. Es sollte aber stets vorher geprüft werden, ob einer der in Art. 6 Abs. 1 DSGVO enumerativ aufgezählten Rechtsgrundlagen gegeben ist. Eine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage ist unzulässig und kann zu hohen Bußgeldern führen.
Personenbezogene Daten dürfen auf folgender weiterer Rechtsgrundlage verarbeitet werden:

– zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist;
– zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen;
– zur Erfüllung einer rechtlichen Verpflichtung;
– um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
– für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde und
– zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten
erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (sog. berechtigtes Interesse).

Zweckbindung

Eine Verarbeitung personenbezogener Daten darf – ungeachtet der rechtlichen Grundlage – nur für die konkret festgelegten Zwecke erfolgen. Zudem darf eine Einwilligung zur Datenverarbeitung nur für bestimmte Fälle abgegeben werden (d. h. eine Einwilligung zu allen und in Zukunft relevanten Zwecken wäre unbestimmt und ungültig).

Richtigkeit der Daten

Verarbeitete personenbezogene Daten müssen außerdem sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Verantwortliche müssen deshalb mit angemessenem Aufwand sicherstellen, dass die Daten Ihrer Mitarbeiter, Lieferanten und Kunden aktuell sind.

Erforderlichkeit der Speicherung

Verantwortliche dürfen nur die personenbezogenen Daten erheben und speichern, die sie brauchen, um den zulässigen Zweck zu erreichen. Daten, welche nicht mehr benötigt werden, sind – sofern keine handeslrechtlichen oder steuerrechtlichen Vorschriften dies gebieten – entweder zu löschen oder so abzuändern, dass jeglicher Personenbezug wegfällt.

Rechenschaftspflicht

Die DSGVO hat mit der Verankerung der Rechenschaftspflicht eine besondere Herausforderung für Verantwortliche geschaffen. Verantwortliche müssen in Zukunft nicht nur die oben genannten datenschutzrechtlichen Grundsätze einhalten, sondern deren Einhaltung – z. B. gegenüber der Aufsichtsbehörde – auch nachweisen können.
Konkret bedeutet dies, dass eine Aufsichtsbehörde von dem Verantwortlichen verlangen kann, dass er im Zweifel durch Vorlage einer schriftlichen Dokumentation, nachweisen kann, welche personenbezogenen Daten er verarbeitet, auf welcher Rechtsgrundlage dies erfolgt, für welchen Zweck die Daten verwendet und wie lange sie gespeichert werden.

Verstöße gegen den Datenschutz können ernsthafte rechtliche Folgen nachsichziehen. Die DSGVO hat die bisher geltenden Regelungen zum Datenschutz deutlich verschärft. Dies gilt sowohl im Hinblick auf denkbare Geldbußen als auch im Hinblick auf Schadensersatz einschließlich Schmerzensgeld.

Für bestimmte Rechtsverstöße droht die DSGVO im Extremfall Geldbußen von bis zu 40 Mio. EUR an. Damit stellt sie klar, dass auch große Unternehmen mit empfindlichen Geldbußen rechnen müssen.

Darüber hinaus besteht bei Nichteinhaltung der datenschutzrechtlichen Vorgaben die Gefahr, kostenpflichtig abgemahnt zu werden.

Hier finden Sie in Kürze weitere Informationen und Beiträge zu der Datenschutzgrundverordnung.

• Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVO?
• Illegale Videoüberwachung von Mitarbeitern: Bußgeld über 10,4 Millionen Euro