DSGVO | Datenschutz-Grundverordnung

Rechtsberatung zur Datenschutz-Grundverordnung (DSGVO)

Wir unterstützen Sie bei der Umsetzung der neuen Datenschutz-Grundverordnung (DSGVO) und beraten Ihr Unternehmen bei Fragen zu nationalen, europäischen und internationalen Datenschutzbestimmungen.

Im Rahmen der Datenschutz-Grundverordnung der EU traten in den Mitgliedsstaaten am 25. Mai 2018 gesetzliche Änderungen in Kraft. Das bisher geltende Bundesdatenschutzgesetz (BDSG) wurde durch die EU-DSGVO ersetzt. Unternehmen müssen sich auf neue Herausforderungen einstellen – prozessual, personell und technologisch. Wird den Pflichten nicht nachkommen, drohen hohe Bußgelder.

Unsere Kanzlei berät Sie umfassend zu den Änderungen der EU-Datenschutz-Grundverordnung. Wir geben zielgerichtete Empfehlungen zu datenschutzrechtlichen Regelungen, damit Ihre Prozesse jederzeit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und Prüfungen der Aufsichtsbehörden standhalten.

Wir beraten und unterstützen Unternehmen, mittelständische Betriebe und Firmen in allen Fragen und Belangen rund um die DSGVO, ebenso wie betriebliche Datenschutzbeauftragte und Rechtsabteilungen in datenschutzrechtlichen Spezialfragen.

Bei Unternehmen mit Betriebsrat beraten und unterstützen wir bei sämtlichen datenschutzrechtlichen Aspekten und der datenschutzkonformen Ausgestaltung von Betriebvereinbarungen, beispielsweise bei Fragen betreffend die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Inhaltsverzeichnis
Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle
Ihr Ansprechpartner:
Rechtsanwalt und Fachanwalt Dr. Tobias Beltle

Bußgelder - Millionenstrafen auch in Deutschland

Der Bundesdatenschutzbeauftragte Ulrich Kelber erklärte bereits einige Zeit nach Inktrafttreten der DSGVO auch in Deutschland Bußgelder in Millionenhöhe verhängt werden. Dies ist zwischenzeitlich gegen mehrere Unternehmen in Deutschland auch anhand von mehreren Beispielden bereits erfolgt.  Sowohl in Frankreich als auch in England wurden bereits Strafen in zweistelliger Millionenhöhe verhängt. Zwar waren die deutschen Datenschutzbehörden bisher in der Fläche gegenüber Unternehmen eher zurückhaltend, da von Seiten der Aufsichtsbehörden Unternehmen die Chance gegeben werden sollte, ihre Infrastruktur und innerbetriebliche Vorgänge anzupassen. Nach Auffassung der Datenschutzbehörden ist nun jedoch davon auszugehen, dass die Unternehmen grundsötzlich nun genug Zeit eingeräumt wurde, ihre Datenschutzstandards zu stärken und müssen folglich mit einem härteren Vorgehen der Behörden zukünftig rechnen. 

Die EU-DSGVO verpflichtet alle EU-Mitgliedstaaten dazu, eigene Aufsichtsbehörden einzurichten. Diesen steht das bei weitem schärfste Schwert zur Verfügung. Sie können wahlweise Bußgelder von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes verhängen.

Hierbei muss davon ausgegangen werden, dass die im individuellen Einzelfall maximal mögliche Bußgeldhöhe von den Behörden ausgereizt wird um einige Exempel zu statuieren. Insofern verlangt Artikel 83 der EU-DSGVO nämlich Bußgelder, die „wirksam (…) und abschreckend“ sind.

Besonderes Augenmerk sollten Unternehmer daher auf Art. 83 Abs. 2, Buchstabe f und h DSGVO werfen. Allein eine aus Sicht der Aufsichtsbehörde nicht ausreichende Zusammenarbeit legitimiert das Verhängen von höheren Bußgeldern. Dazu gehört es auch, das Verfahrensverzeichnis nicht oder verspätet vorzulegen.

Welche Verträge sind durch die Datenschutz-Grundverordnung (DSGVO) betroffen?

Die EU-DSGVO wird die konforme Ausgestaltung vieler Verträge in Zukunft wesentlich komplexer machen – vor allem im Hinblick auf alle Verträge, bei denen die Daten Dritter betroffen sind oder betroffen sein könnten. Besonders betroffen von den Neuerungen in der DSGVO sind hier Auftragsverarbeitungsverhältnissen bei der Beanspruchung externer Dienste, so beispielsweise bei Fernwartung oder SaaS Verträgen („Software as a Service“-Verträge).

Gleiches gilt für Cloud-Dienste und damit für Unternehmen, Firmen und Betriebe, die Daten in der Cloud speichern (z.B. durch die Nutzung von Microsoft Office 365, sog. Private Clouds und sonstige Nutzung von Cloud-Diensten). Nachdem der Europäische Gerichtshof dem sog. Privacy Shield eine Absage erteilt hat sind Themen rund um die Cloud nun datenschutzrechtlich wesentlich schwieriger datenschutzkonform für Unternehmen umzusetzen.

Eine Verlagerung in die Cloud birgt datenschutzrechtliche und damit auch finanzielle Risiken für Unternehmen, Firmen und Betriebe, wenn keine datenschutzkonforme Grundlage für die Datenübermittlung und Datenspeicherung in die Cloud nach den Vorgaben der DSGVO gewählt wird. Ein besonderes Augenmerk ist daher von Unternehmen und Institutionen auf datenschutzkonforme Verträge, insbesondere mit Cloud-Anbietern zu legen.

AV-Verträge

Unter die sog. Auftragsverarbeitung (vormals Auftragsdatenvereinbarung – ADV-Verträge) fallen alle Dienstleister, die personenbezogene Daten im Auftrag des Verantwortlichen erheben, verarbeiten oder nutzen. Dies können natürliche und juristische Personen, Behörden, Einrichtungen oder auch andere Stellen, wie z.B. Cloud-Anbieter, sein.Gerade im Rahmen der Auftragsverarbeitung bringt die EU-Datenschutzgrundverordnung umfangreiche und komplexe Neuerungen, die eine massive Ausweitung der Haftungsbeschränkung erwarten lassen. So müssen Anbieter berücksichtigen, dass eine Haftung nunmehr nicht nur gegenüber dem Auftraggeber selbst, sondern auch gegenüber den Personen entsteht, deren Daten im Rahmen der Auftragsverarbeitung gespeichert werden.

Fernwartungsverträge

Massive Probleme dürften auch bei den datenschutzrechtlich umstrittenen Fernwartungsverträgen auftreten. Unter Fernwartung versteht man den Zugriff auf IT-Systeme über eine räumliche Distanz (sog. Remote-Administration). Die Probleme ergeben sich konkret aus einer zweifelhaften Auslegung des Art. 28 DSGVO, der offen lässt, ob man in der Fernwartung schon einen Fall der Auftragsverarbeitung sieht oder nicht. Da die verwaltungsrechtliche Praxis im Umgang mit der DSVGO noch in der Zukunft liegt, sind Rechtsstreitigkeiten schon vorprogrammiert.Daher empfehlen wir Ihnen dringend, sich hierzu bei uns beraten zu lassen.

Welche Informationspflichten und Datenschutzhinweise müssen erfüllt werden?

Früher ergab sich das Bedürfnis einer Datenschutzerklärung aus § 13 TMG. Ab dem 25. Mai 2018 ergibt sich diese Pflicht aus Art. 13 und 14 DSGVO.

Nun müssen Unternehmer bei der Erhebung von personenbezogenen Daten immer den jeweils betroffenen Personen zum Zeitpunkt der Erhebung der Datensätze mitteilen, für wen diese Daten erhoben werden, wie man diese Person erreicht und zu welchen Zwecken die Daten erhoben werden, auf welche rechtliche Grundlage sie sich dabei stützen sowie die Dauer der Speicherung und die Kontaktdaten eines Datenschutzbeauftragten. Außerdem sind die betroffenen Personen gem. Art. 13 DSGVO über ihr Auskunftsrecht aufzuklären.

Was sind die häufigsten Gefahrenquellen für Abmahnungen?

Zunächst drohen durch die mannigfaltigen Neuerungen in der EU-DSGVO wettbewerbsrechtliche Abmahnverfahren nach dem UWG. Betroffen sind vor allem Unternehmen, die Apps und Webseiten betreiben, da Verstöße gegen die EU-DSGVO dort sehr einfach zu erkennen sind. Die Frage, ob und inwieweit Datenschutzverstöße nach der DSGVO wettbewerbsrechtlich abgemahnt werden können ist auch nach Inkrafttreten des Gesetz zur Stärkung des fairen Wettbewerbs (= sog. „Anti-Abmahngesetz“) am 02.12.2020 nach wie vor nicht ganz klar und wird letztlich durch Gerichte konkretisiert werden müssen.

Zwar enthält das Gesetz für DSGVO-Abmahnungen zumindest gegenüber Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) Einschränkungen. Durch die im Anti-Abmahngesetz enthaltene Regelung legt der Gesetzgeber letztlich indirekt aber auch fest, dass Verstöße gegen die DSGVO grundsätzlich abmahnfähig sind. Es kann daher trotz des Anti-Abmahngesetzes nicht ausgeschlossen werden, dass Wettbewerber das neue Gesetz gerade also zum Anlass nehmen, künftig auch DSGVO Verstöße abzumahnen.

Die Reichweite der EU-DSGVO erstreckt sich jedoch nicht ausschließlich auf Gewerbebetreibende, selbst vermeintlich harmlose Blogs von Privatpersonen oder die Internetpräsenzen von kleinen Vereinen sehen sich ab dem 25. Mai mit der Gefahr konfrontiert, abgemahnt oder mit Bußgeldern belegt zu werden.

Dies erklärt sich mit der weitreichenden Definition der „personenbezogenen Daten“, die grundsätzlich alles erfasst, was erlaubt eine Person zu identifizieren. Eine Personenidentifizierung ist aber schon über die Verfolgung über die IP-Adresse möglich, welche automatisch an den Webseitenbetreiber weitergeleitet wird, sobald ein einfacher Lesezugriff auf die Webseite erfolgt.

Was sollten Unternehmer jetzt beachten?

Verarbeitungsverzeichnis und Vorlagepflicht

Art. 30 EU-DSGVO verpflichtet Unternehmer weiterhin dazu, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis läuft dabei weitestgehend parallel zu den Informationspflichten gegenüber den betroffenen Personen, was auf den Transparenzgedanken des europäischen Gesetzgebers zurückzuführen sein dürfte.
Das Verzeichnis dient zum Nachweis der Einhaltung der DSGVO. Die Verantwortlichen und jeder Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Diese Regelung gilt zwar grundsätzlich nur für Unternehmer mit weniger als 250 Mitarbeitern, die Ausnahmen hierzu sind jedoch so umfassend ausgestaltet, dass sich das Regel-Ausnahme-Verhältnis als Farce entpuppt. In vielen Fällen wird deshalb selbst ein Einzelunternehmer dazu gezwungen sein, ein solches Verzeichnis anzulegen.

Data-Breach-Notification (Meldepflicht)

Im Falle einer Verletzung des Schutzes personenbezogener Daten (sog. Data-Breach-Notification) müssen Unternehmer nach Art. 34 Abs. 1 DSGVO binnen 72 Stunden die betroffenen Personen, nach Art. 33 Abs. 1 DSGVO die zuständige Aufsichtsbehörde informieren, was häufig auch das im vorherigen Abschnitt beschriebene Verzeichnis umfasst.

Die Aufsichtsbehörden haben nach Art. 30 Abs. 4 DSGVO das Recht, zur Aufklärung einer Datenschutzverletzung das gesamte Verzeichnis zu verlangen. Wichtig ist, dass die 72-Stunden-Frist auch an Feiertagen und Wochenenden läuft. Außerdem ist diese Benachrichtigung auch vom Transparenzgebot des Art. 12 Abs. 1 DSGVO erfasst, was bedeutet, dass die Mitteilung in klarer, einfacher und verständlicher Sprache erfolgen muss.

Die Meldepflichten sollen der Entstehung von Schäden vorbeugen. Zu nennen wären:

  • Verlust der Kontrolle über personenbezogenen Daten oder Einschränkung ihrer Rechte,
  • Diskriminierung,
  • Identitätsdiebstahl oder -betrug,
  • finanzielle Verluste,
  • unbefugte Aufhebung der Pseudonymisierung,
  • Rufschädigung.

Nur wenn geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, die sicherstellen, dass kein hohes Risiko für den Betroffenen besteht, kann im Einzelfall auf eine Benachrichtigung verzichtet werden, wenn etwa die Gefahr eines Identitätsbetrugs ausgeschlossen werden kann. Auch hier weisen wir jedoch ausdrücklich darauf hin, dass es noch keine Erfahrung zur Verwaltungspraxis gibt womit noch nicht absehbar ist, wo die Aufsichtsbehörden diese Grenze ziehen werden.

Das Verhältnis der DSGVO zur E-Privacy-Verordnung

Neben der DSGVO ist davon auszugehen, dass es in Zukunft eine weitere Verordnung, die sog. E-Privacy-Verordnung (ePVO) geben wird.

Zwar hat schon die DSGVO das Ziel, eine Vollharmonisierung im europäischen Datenschutzrecht zu erreichen, allerdings lässt sich eher als allgemeines Regelwerk begreifen, das zwar den größten Teil aller Problembereiche abdeckt, aufgrund seiner Konzipierung aber der besonderen Schutzwürdigkeit mancher Themenbereiche nicht gerecht wird.

Betroffen sind unter anderem Kommunikationsbereiche, in denen Daten anhaltend und in Echtzeit übertragen werden (sog. Data Stream). Ein Beispiel: Wer mit einem Navigationsgerät unterwegs ist, muss zu dessen Nutzung eine konstante Verbindung zum jeweiligen Satellit aufrechterhalten und diesem seinen Standort mitteilen.

Ähnliches gilt beim üblichen Surfen im Internet für Cookies, aber auch Dienste wie Skype, WhatsApp, usw. könnten mit der E-Privacy-Verordnung eine eigene Regelung erfahren, da sich solche speziellen Themenbereiche mit der DSGVO noch nicht adäquat rechtlich regeln lassen.

Das bedeutet nicht, dass die DSGVO in Zukunft durch die E-Privacy-Verordnung abgelöst wird. Vielmehr ist sie ein spezielleres Regelwerk, das punktuell Vorrang vor einigen Regeln in der DSGVO hat.

Die Mitgliedstaaten der Europäischen Union arbeiten mittlerweile seit mehreren Jahren daran, die ePrivacy-Verordnung verbindlich auf den Weg zu bringen.

Wie schon die DSGVO, wird auch die E-Privacy-Verordnung nach Verabschiedung auf EU-Ebene in Deutschland unmittelbar geltendes Recht, ohne dass es einer Umsetzung in nationalstaatliche Gesetze bedürfte. Es wird erwartet, dass vor allem im Bereich der durch Werbung finanzierten kostenlosen Internetinhalte, wie etwa Online-Zeitungen, zu drastischen Einschnitten kommen wird. Der Bundesverband Digitale Wirtschaft warnt diesbezüglich vor: „einer fundamentalen Gefährdung der heutigen Informationsgesellschaft“.

Das Verhältnis von DSGVO und IT-Sicherheitsgesetz (IT-SiG)

Der Bundestag hat am 15.07.2015 das IT-Sicherheitsgesetz (IT-SiG) beschlossen. Ziel des IT-Sicherheitsgesetzes ist insbesondere auch die Verbesserung der IT-Sicherheit bei Unternehmen. Um diese Ziele zu erreichen, wurden u. a. die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet. Sinn und Zweck des Gesetzes ist es, einen Mindeststandard für die Sicherheit in der Informationstechnik zu erarbeiten, um kritische Infrastrukturen vor Hackerangriffen schützen zu können. Es verpflichtet Betreiber „organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit (…)“ zu treffen. Die zuständige Aufsichtsbehörde ist in diesen Fällen die Bundesnetzagentur

Zu den kritischen Infrastrukturen zählen Einrichtungen, Anlagen oder Teile, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, sowie Finanz- und Versicherungswesen angehören. Aber auch Betreiber von größeren Online-Shops können theoretisch unter den Begriff der kritischen Infrastruktur gefasst werden.

Die Parallele zur DSGVO findet sich in Art. 32 Abs. 1 DSGVO, wo zum Schutz der Daten von Personen geeignete technische und organisatorische Maßnahmen unter Berücksichtigung vom jeweiligen „Stand der Technik“ verlangt werden. Denn ohne eine sichere Infrastruktur ist kein Datenschutz möglich.

Leider ist noch vollkommen unklar, was denn der „Stand der Technik“ genau ist. Eine präzisere Terminologie hat man absichtlich abgelehnt, da man damit die eigenen Schwachstellen in der IT-Infrastruktur quasi per Gesetz öffentlich machen würde. In jedem Fall wird die Rechtsprechung zum „Stand der Technik“ i.S.d. IT-Sicherheitsgesetzes Anforderungen definieren, die auch denen der DSGVO entsprechen oder diesen übertreffen werden.

Fazit

Die DSGVO gilt seit dem 25.05.2018, und wird immer weitergehend angewandt und durch die Rechtsprechung konkretisiert. Wir raten Unternehmen daher, sich im Datenschutzrecht rechtskonform aufzustellen, um unmittelbar auf Anfragen von Kunden, Datenschutzbehörden und sonstigen Dritten reagieren zu können, insbesondere auch zur Vermeidung von Bußgeldern und sonstigen rechtlichen und finanziellen Nachteilen für Unternehmen, Firmen und Betriebe.

Eine frühzeitige Beratung spart Kosten und im Zweifelsfall sind 72 Stunden wenig Zeit, um eine adäquate rechtliche und technische Lösungen zu erarbeiten. Profitieren Sie von unseren Erfahrungswerten und der Strategie der Problemvermeidung im Vorfeld.

Wir begleiten Ihr (IT-)Projekt von Anfang an und unterstützen Sie bei der datenschutzrechtlichen Absicherung Ihres Unternehmens.

(0681) 93 88 68 20 Kurzfristige Beratung am Telefon