Durch die DSGVO wird in der Europäischen Union und dem Europäischen Wirtschaftsraum der Datenschutz nun einheitlich geregelt.
Die DSGVO ist eine europäische Verordnung und verdrängt somit nationales Recht, das in der Vergangenheit von Land zu Land sich stark unterschieden hat. An einigen Stellen gibt es sog. Öffnungsklauseln, die den Nationalstaaten Konkretisierungen ermöglichen.
In Deutschland wird die DSGVO auf diese Weise durch das Bundesdatenschutzgesetz (BDSG-neu) ergänzt.
Die neue Datenschutz-Grundverordnung gilt für alle Unternehmen, Einrichtungen und Selbstständige, die personenbezogene Daten verarbeiten - unabhängig von der Unternehmensgröße und Branche.
Die DSGVO regelt den Datenschutz für alle EU Bürger und alle Menschen, die sich innerhalb der EU aufhalten.
Dabei wird nicht nach B2B (Business) oder B2C (Consumer) unterschieden.
Das betrifft z.B. auch Unternehmen, die nicht zur EU gehören, die jedoch ihre Leistungen in der EU anbietet.
Ebenso fällt z.B. ein Tourist in der EU unter den Schutz der DSGVO, wenn die Daten z.B. von einem Deutschen Unternehmen gespeichert und verarbeitet werden (Marktort Prinzip, Art. 3 EU-DSGVO).
Die Verantwortung für die Umsetzung und Einhaltung des Datenschutzes liegt immer bei der Unternehmensführung bzw. dem Firmeninhaber.
Nicht ohne Grund wird die Geschäftsführung im Datenschutz auch als die verantwortliche Stelle bezeichnet.
Rechtlich gesehen ist die Geschäftsführung immer die Stelle, die personenbezogene Daten für sich selbst (das Unternehmen) erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Die Geschäftsführung/Firmeninhaber kann beziehungsweise muss (unter bestimmten betrieblichen Voraussetzungen besteht eine Bestellpflicht) einen Datenschutzbeauftragten zur Beratung und Unterstützung benennen. Bei dem Datenschutzbeauftragten kann es sich um einen internen oder extern bestellten Beauftragten handeln.
Checkliste: Wichtige Datenschutzaufgaben für die Geschäftsleitung
Es sind folgende drei Bereiche zu überprüfen, um sagen zu können, ob eine Bestellung erforderlich ist.
Unternehmensgröße / Anzahl der Mitarbeiter
Ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, hängt vom Umgang mit personenbezogenen Daten ab. Im Fokus steht das Ausmaß der Datenverarbeitung. Sollten mehr als mindestens 20 Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, besteht die Pflicht.
Detailgrad der Daten
Sollten besondere Kategorien von personenbezogenen Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht ebenfalls eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.
Geschäftsfeld
Sollten personenbezogene Daten geschäftsmäßig übermittelt, erhoben, verarbeitet oder genutzt werden, d.h. besteht in diesen Verarbeitungsvorgängen die Kerntätigkeit des Unternehmens, besteht ebenfalls unabhängig von der Anzahl der Beschäftigten eine Verpflichtung.
Die Mindestaufgaben des Datenschutzbeauftragten ergeben sich aus
Art. 39 Abs. 1 DSGVO:
✓ Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten nach Datenschutzrecht
✓ Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften (Kontrolle/Audit)
✓ Beratung im Zusammenhang mit Datenschutz-Folgeabschätzungen
✓ Zusammenarbeit mit der Aufsichtsbehörde
✓ Anlaufstelle für die Aufsichtsbehörde in Fragen, die mit der Verarbeitung personenbezogener Daten zusammenhängen
Daraus ergeben sich weitere Aufgaben:
Die Ernennung erfolgt durch die Geschäftsleitung bzw. Führungskräften mit Prokura.
Im Rahmen der Bestellung sind Formalitäten einzuhalten. Es empfiehlt sich die Bestellung schriftlich in einer Bestellurkunde festzuhalten.
Aber vorab gilt es eine geeignete Person auszuwählen. Insgesamt ist das Anforderungsprofil, das an die Tätigkeit des betrieblichen DSB gestellt wird, als anspruchsvoll zu bezeichnen.
Die Funktion des Datenschutzbeauftragten darf eine Person nur ausüben, wenn sie folgende Anforderungen erfüllt:
Natürlich hat der Schulungsmarkt auf dien neuen DSB Anforderungen reagiert. Es werden zahlreiche Datenschutzbeauftragten Schulungen angeboten, welche die Mitarbeiter auf ihre künftigen Aufgaben als Datenschutzbeauftragte vorbereiten sollen.
Doch oft sind solche Schulungen als Kompromisslösung zu betrachten, da nur Basiswissen (z.B. Grundlagen der Datenverarbeitung und dem Datenschutz personenbezogener Daten) vermittelt werden kann.
Außerdem ist es in vielen kleinen und mittelständischen Unternehmen üblich, dass der Datenschutzbeauftragte den Datenschutz nur neben seines eigentlichen Jobs ausübt. Da bleibt nur wenig Zeit die Datenschutzanforderungen umzusetzen.
In solchen Fällen besteht ein hohes Risiko, dass trotz Schulungsmaßnahme weiterhin Fehler im Datenschutz gemacht werden.
Die Aufsichtsbehörde kann Fehler, die auf eine mangelnde Fachkunde beruhen, mit einer Bußgeld bestrafen und den Datenschutzbeauftragten abbestellen.
Grundsätzlich sind damit alle Daten gemeint, die sich einer bestimmten Person zuordnen lassen.
Dazu zählen Name, Anschrift und Telefonnummer. Aber auch IP-Adresse, Standortdaten, Cookies oder auch Merkmale wie Körpergröße, Haarfarbe oder der akademische Titel.
Die neue Datenschutz-Grundverordnung erweitert diese Definition noch (Artikel 4 Ziffer 1 DSGVO):
Personenbezogene Daten sind hiernach "Angaben, die bei Zuordnung zu einer natürlichen Person, Einblicke in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität ermöglichen."
Neben den bereits aufgezählten personenbezogenen Daten definiert das Bundesdatenschutzgesetz noch eine Anzahl Besonderer personenbezogener Daten.
In diese Gruppe fallen viele persönliche Daten. Ethnische Herkunft, politische Meinung, Mitgliedschaft in einer Gewerkschaft und religiöse oder weltanschauliche Überzeugungen gehören dazu. Darüber hinaus fallen Angaben zur persönlichen Gesundheit sowie Angaben zur sexuellen Orientierung oder Sexualleben unter diese Definition besonderer personenbezogener Daten. Es geht also um das Erheben von sensiblen Daten.
Nach der DSGVO gelten für Unternehmen und Betreiber von Webseiten in der Europäischen Union folgende Grundsätze:
Die Datenschutzbehörde der EU-Mitgliedsstaaten sowie in Deutschland die Datenschutzbehörden des Bundes und der Länder, sind für die Kontrolle der Einhaltung der DSGVO/BDSG verantwortlich.
Entspricht die Verarbeitung der Daten in den Unternehmen nicht der neuen Verordnung, weil ein Unternehmen z.B. keine Einwilligungen einholt, oder gegen die Zweckbindung verstößt, droht ein Bußgeld.
Dies kann teuer werden: Im schlimmsten Fall beträgt es 20 Millionen Euro oder vier Prozent des Jahresumsatzes – je nachdem, was höher liegt.
Verstöße gegen die EU-DSGVO könnten jedoch noch weitere juristische Konsequenzen für Unternehmen haben. Gemäß Art. 82 Abs. 1 der neuen Datenschutzverordnung hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz. Und das gegen den Verantwortlichen des Verstoßes beziehungsweise des Auftragsverarbeiters.
Damit ein Anspruch auf Schadensersatz besteht, müssen folgende Voraussetzungen erfüllt sein:
Nach Art. 82 Abs. 1 DSGVO können auch immaterielle Schäden geltend gemacht werden, wenn zum Beispiel personenbezogene Daten Dritten zugänglich gemacht werden. Hierdurch muss kein direkter Vermögensschaden, also materieller Schaden entstanden sein. Auch bei immateriellem Schaden haben Geschädigte in der EU das Recht, Schmerzensgeld zu verlangen.
Wichtig für Unternehmen, Betreiber von Online-Shops und Webseiten-Betreiber:
Die Nachweispflicht liegt in solchen Fällen bei den Verantwortlichen, nicht bei der klagenden Person.
Unternehmen und ihre Datenschutzbeauftragten müssen also im Zweifelsfall nachweisen, dass sie für den Umstand, durch den Schaden entstanden ist, nicht verantwortlich sind.