Rechtsanwalt Leverkusen Opladen FSP Scholemann & Partner Steuerberater Leverkusen

Rechtsberatung & Steuerberatung für Unternehmen und Selbständige

01.08.2018 – Rechtstipps: Die neue Datenschutzgrundverordnung (DS-GVO) – erste Information für Unternehmen und Vereine

Unternehmen, Freiberufler, Vereine und ähnliche Organisationen sind tagtäglich mit dem Umgang persönlicher Daten ihrer Kunden, Mitglieder oder Mandanten vertraut. Nicht selten bieten diese Daten tiefe Einblicke in die privaten Verhältnisse der betroffenen Personen.

Seit dem 25. Mai 2018 gilt nun die neue Datenschutzgrundverordnung der Europäischen Union. Doch was bedeutet das nun für Unternehmen oder Vereine? Was hat sich hiermit konkret geändert und auf was müssen Unternehmen, Freiberufler, Vereine und ähnliche Organisationen ab jetzt konkret im Umgang mit personenbezogenen Daten achten, um nicht hohen Bußgeldstrafen ausgesetzt zu sein?

 

I. Anwendungsbereich

Zunächst ist die Frage zu klären, wann überhaupt die Datenschutzgrundverordnung greift, sodass ihre Vorgaben von Unternehmen, Freiberuflern, Vereinen und ähnlichen Organisationen zu beachten sind.

Allgemein findet die DS-GVO immer dann Anwendung, wenn es darum geht personenbezogene Daten zu verarbeiten.
Personenbezogene Daten sind insbesondere der Name einer Person, ihr Wohnort, die Steuernummer oder auch die Religionszugehörigkeit. Anhand dieser Daten ist es möglich eine Person zu identifizieren. Das bedeutet, immer, wenn eine Identifizierung bzw. die exakte Zuordnung zu einer Person möglich sind, handelt es sich um personenbezogene Daten.
Eine Verarbeitung von eben diesen Daten liegt immer dann vor, wenn Unternehmen, Vereine, Freiberufler oder ähnlichen Organisationen solche erheben und speichern, aber auch wenn sie geändert oder übermittelt werden. Ein Verarbeiten liegt offen gesprochen immer dann vor, wenn mit den Daten „irgendetwas gemacht“ wird.

Als Merksatz gilt, dass immer wenn Waren oder Dienstleistungen in Deutschland oder der EU angeboten werden und / oder man mindestens einen Mitarbeiter in seinem Unternehmen hat, ist der Anwendungsbereich der DS-GVO eröffnet, da zu diesem Zweck zwingend Daten verarbeitet werden.

II. Verzeichnis über die Tätigkeiten der Datenverarbeitung

Grundsätzlich ist nach Art. 30 DS-GVO erforderlich, dass die Verantwortlichen, das heißt wer mit personenbezogenen Daten umgeht, ein Verzeichnis über alle Verarbeitungstätigkeiten anzulegen hat, die in dem jeweiligen Unternehmen oder Verein vorgenommen werden. Dieses Verarbeitungsverzeichnis soll Unternehmen bzw. Vereinen in der Hinsicht helfen, als dass sie hierdurch einen Überblick darüber bekommen, wann mit personenbezogenen Daten gearbeitet wird. Das Verzeichnis über die anfallenden Tätigkeiten der Datenverarbeitung muss allerdings nicht öffentlich gemacht werden, es dient lediglich der internen Kontrolle bzw. Überblicksverschaffung.

Von der Pflicht zur Aufstellung eines Verzeichnisses über die Verarbeitungstätigkeiten kann man sich auch befreien lassen. Allerdings ist dieser Kreis sehr eng. Die Befreiung zur Aufstellung eines Verzeichnisses über die Tätigkeiten der Datenverarbeitung greift nur dann, wenn in einem Unternehmen weniger als 250 Mitarbeiter sind und eine Datenverarbeitung nur gelegentlich erfolgt. Stellt man regelmäßig Lohnabrechnungen aus oder hält seine Mitgliederversammlung auf dem Laufenden, greift die Befreiungsoption schon nicht mehr, da hier nicht mehr nur gelegentlich, sondern regelmäßig Daten verarbeitet werden.

III. Verarbeitung von personenbezogenen Daten

Bei der Verarbeitung von personenbezogenen Daten arbeitet die Datenschutzgrundverordnung mit dem Prinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass personenbezogene Daten dann und solange nicht verarbeitet werden dürfen, als die betroffene Person hierüber ihre Einwilligung (= freiwillig erteilte Erklärung, mit der man sich mit der Verarbeitung der personenbezogenen Daten einverstanden zeigt) nicht erteilt hat. Liegt beispielsweise dem Unternehmen eine solche Einwilligung vor, so dürfen die entsprechenden personenbezogenen Daten verarbeiten. Wichtig für die betroffenen Personen ist, dass sie ihre erteilte Einwilligung jederzeit widerrufen können bzw. der weiteren Verarbeitung ihrer Daten widersprechen können.

Für die Verarbeitung eben dieser Daten gilt insbesondere, dass trotz der Einwilligung der betroffenen Personen mit den Daten sorgfältig umgegangen werden muss. Das bedeutet im Einzelnen, dass auf die Richtigkeit der Daten geachtet werden muss, bei jeder Form der Verarbeitung eine Zweckbindung dahintersteht und die Verarbeitung im Einzelfall erforderlich ist.

Unabhängig von der im übrigen Rechtmäßigkeit der Datenverarbeitung kann diese auch ohne Einwilligung der betroffenen Person erfolgen, wenn sie zur Vertragserfüllung dienen oder unter Wahrung der berechtigten Interessen des Verantwortlichen dies notwendig ist und sofern die Interessen des Betroffenen nicht überwiegen. Beispielsweise wird ein Kunde wohl damit rechnen müssen, dass der Laden oder auch Internetshop, bei dem der Kunde eingekauft hat, seine Daten nach Kunden, gekauften Produkten und Regionen auswerten wird.
Bei der Verarbeitung von personenbezogenen Daten aufgrund der Vertragserfüllung sind auch nachträgliche Verarbeitungen erlaubt, die mit dem ursprünglichen Vertrag in Zusammenhang stehen. Kauft man sich ein neues Auto darf der entsprechende Händler dem Kunden auch Werbung für neue Winterreifen zuschicken. Allerdings gilt dies auch hier nur insoweit, als der betroffene Kunde hiergegen kein Widerspruch geäußert hat.

IV. Rechte der Betroffenen

Sollte es doch einmal vorkommen, dass entgegen des Willen der Betroffenen personenbezogene Daten verarbeitet werden oder auch sonst kein Rechtfertigungsgrund einschlägt, stellt sich die Frage was man als Betroffener in der Situation für Rechte hat.

Allgemein wird durch die Datenschutzrundverordnung insbesondere das Recht der betroffenen Personen auf Schutz der personenbezogenen Daten geschützt. Um dies tatsächlich zu gewährleisten sieht die DS-GVO verschiedene Betroffenenrechte vor. Hierdurch sollen die Betroffenen in erster Linie erfahren, wer welche Informationen zu welchem Zweck über sie gespeichert hat. Die jeweiligen Unternehmen sind dazu verpflichtet die Betroffenen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über die Verarbeitung ihrer personenbezogenen Daten zu informieren und zu welchem Zweck dies erfolgen soll, bevor es tatsächlich erfolgt.

Verstößt beispielweise ein Unternehmen gegen die Pflicht nur mit Einwilligung oder bei Vorleigen eines Rechtfertigungsgrundes ordnungsgemäß die jeweiligen Daten zu verarbeiten, so wird dies mit hohen Bußgeldstrafen für das jeweilige Unternehmen sanktioniert. Weiterhin haben die Betroffenen in einem solchen Fall einen Anspruch darauf, dass das Unternehmen ihre Daten nicht mehr verarbeitet, sondern dass ihre Daten gelöscht werden.

Was in der jeweiligen Situation vorzunehmen ist, wie die Rechte der Betroffenen am besten eingehalten werden, welche konkreten Maßnahmen zu treffen sind, ist vom Einzelfall abhängig und ggf. immer unterschiedlich zu entscheiden.

Als Unternehmen sollten sie sich allerdings merken, dass sie ihre Kunden rechtzeitig informieren sollten und sich ihr Einverständnis einholen sollte. Wie sie dies am besten machen, wird im Einzelfall entschieden.

 

Disclaimer
Die in diesem Beitrag enthaltenen Informationen sind allgemeiner Natur und ohne vorherige Beratung im Einzelfall nicht als Entscheidungsgrundlage geeignet. Sie ersetzen insbesondere keine rechtliche Beratung im Einzelfall. Für die Vollständigkeit und Richtigkeit der in dieser Veröffentlichung enthaltenen Informationen wird keine Haftung übernommen.

Impressum     Datenschutz