KWP, Klosterstraße 64, 10179 Berlin || Tel: 030 - 23 45 66 30 || Fax: 030 - 23 45 66 336 || E-Mail kontakt(at)kwp-kanzlei.de
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Die Änderungen zur Datenschutz-Grundverordnung (DSGVO) zum 25. Mai 2018


Die Änderungen zur Datenschutz-Grundverordnung (DSGVO) zum 25. Mai 2018


Unternehmen, Freiberufler, Ärzte und Kaufleute sollten auf die Anforderungen der DSGVO vorbereitet sein, um sich vor den drohenden erheblichen Bußgeldern zu schützen.


Ab dem 25. Mai 2018 gilt in der Europäischen Union ein einheitliches Datenschutzrecht. Es ist in der Datenschutz-Grundverordnung (DS-GVO) geregelt. Diese Verordnung bringt eine ganze Reihe an neuen Anforderungen und Verpflichtungen mit sich, die mit der Einführung am 25. Mai 2018 in Ihrem Betrieb mit sofortiger Wirkung umzusetzen sind.


Neu ist auch die Rechtsform, in der das neue Datenschutzrecht erlassen wurde, nämlich in Form einer Europäischen Verordnung. Solche Verordnungen gelten unmittelbar in allen Mitgliedsstaaten der EU. Eine Umsetzung durch die Gesetzgeber der Mitgliedsstaaten ist somit nicht erforderlich. Durch sog. Öffnungsklauseln kann der nationale Gesetzgeber aber noch ergänzende Regelungen treffen, so dass in Deutschland neben der DSGVO auch das Bundesdatenschutzgesetz (BDSG) zu beachten ist.


Neu ist auch, dass der europäische Gesetzgeber die Datenschutzaufsichtsbehörden ermächtigt, für Verstöße gegen die Verordnung Geldbußen in Höhe von bis zu 20 Millionen Euro festzusetzen, bei Unternehmen alternativ bis zu 4 % des Weltjahresumsatzes. Schon aus diesem Grund ist es dringend geboten, sich umgehend mit den neuen Anforderungen der DSGVO vertraut zu machen und diese umzusetzen.


Betroffen ist in Prinzip jeder, der personenbezogene Daten seiner Kunden, Patienten oder Mandanten, unabhängig ob digital oder analog, erhebt. Dabei kommt es auch nicht auf die Größe des Betriebes an.


Dies spielt allein bei der Beantwortung der Frage, ob ein interner oder externer Datenschutzbeauftragter notwendig ist, eine Rolle. Dieser ist nach § 38 Abs. 1 BDSG ab zehn Mitarbeitern zwingend notwendig. Bei der Bestellung eines internen Datenschutzbeauftragten ist zu beachten, dass zunächst einmal dessen Qualifikation nachzuweisen ist. Weiter kann ihm diese Funktion nur unter sehr engen Voraussetzungen wieder entzogen werden, weshalb er nach § 6 Abs. 4 S. 2 BDSG einen besonderen Kündigungsschutz genießt. Ist somit eine Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben, ist anzuraten, einen externen qualifizierten Datenschutzbeauftragten zu beauftragen. Zumal mit dem externen Datenschutzbeauftragten die Möglichkeit besteht, vertraglich eine Haftungsfreistellung zu vereinbaren.


Aber auch ohne Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist jeder, der personenbezogene Daten verarbeitet verpflichtet, die Anforderungen der DSGVO zu erfüllen.


Der Zweck der DSGVO ist, den Einzelnen davor zu schützen, dass er im Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Dazu muss der betroffene Betrieb zunächst ein sog. Verarbeitungsverzeichnis erstellen und dieses im Rahmen einer Datenschutz-Folgenabschätzung analysieren.


Es sollte jedem, der Daten verarbeitet, bewusst sein, dass die Verarbeitung nach der DSGVO an sich verboten ist und nur unter einem Erlaubnisvorbehalt gestattet wird.


Dies setzt nach Art. 6 DSGVO entweder eine Einwilligung der betreffenden Person voraus oder dient der Erfüllung des Vertrages oder unterliegt einer gesetzlichen Verpflichtung.


Mit anderen Worten ist eine Datenverarbeitung ohne vorherige Einwilligung nicht mehr möglich. Diese Einwilligung ist zudem zwingend zu dokumentieren.


Weiter muss der Verarbeitende sicherstellen, dass der betroffenen Person jederzeit Auskunft über seine erhobenen Daten erteilt werden kann, diese auf Verlangen berichtigt oder gelöscht (Recht auf Vergessenwerden) werden.


Problematisch ist auch die Weitergabe der Daten an Dritte, die sog. Auftragsverarbeiter. z.B. Lohnbuchhaltung, Inkassounternehmen, etc.


Sollte sich ein Betroffener bei der Aufsichtsbehörde beschweren oder diese selbst bei einer Prüfung Unregelmäßigkeiten feststellen, hat das Unternehmen die Umsetzung der DSGVO im Betrieb zumindest durch Vorlage des Verarbeitungsverzeichnisses sowie der Risiko-Folgeabschätzung und ggf. die Benennung des qualifizierten Datenschutzbeauftragten nachzuweisen. Andernfalls drohen erhebliche Geldbußen durch die Aufsichtsbehörde.


Es ist somit jedem Unternehmen, Freiberufler, Arzt oder Kaufmann dringend geraten, sich auf die Umsetzung der DSGVO im Betrieb vorzubereiten. Die Nichtbeachtung der neuen Anforderungen durch die DSVGO ist mit einem erheblichen Risiko verbunden. Was sehr schnell sehr teuer werden kann. Deshalb sollte sich jeder betroffene Betrieb jetzt durch einen auf Datenschutz spezialisierten Rechtsanwalt oder TÜV / DEKRA zertifizierten Datenschutzbeauftragten bei der Umsetzung beraten lassen.



Zum Artikel
Vereinbaren Sie ein Beratungsgespräch

Tel: 030 - 23 45 66 30



oder füllen Sie das Kontaktformular aus. Wir werden uns umgehend bei Ihnen melden.

RA Sascha Kugler