Die Kanzlei Wilder Beuger Solmecke hat in einem Video-Beitrag bereits erste Abmahungen gezeigt. Darin wurden Unterlassungserklärungen verschickt zur Verwendung von Google Fonts und zu fehlenden Datenschutzerklärungen.

Nähere Infos findet sich im Blogbeitrag der Kanzlei

Auch die Seite E-Recht24 hat bereits über Abmahnungen von zwei Kanzleien informiert

Wir haben mit Partnern zusammen die für Ihre Webseiten relevanten Informationen bezüglich der DSGVO gesammelt, um Ihnen die wichtigsten Fragen rund um die DSGVO zu beantworten.

Hier finden Sie eine kurze Zusammenfassung der Ausgabe „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine – das Sofortmaßnahmen-Paket“ von C.H. Beck, eine Checkliste und weiterführende empfehlenswerte Links zur DSGVO.

Unternehmen oder Vereine, die festgestellt haben, dass die DSGVO auch für sie, d. h. für ihr Unternehmen Bedeutung hat, was in den allermeisten Fällen gegeben sein dürfte, sind erst einmal ratlos. Sie wissen nicht, was das nun konkret für sie bedeutet und wo sie am besten anfangen sollen. Dieses Informationsseiten sollen eine Hilfestellung geben, welche Maßnahmen notwenig sind.

Für wen gilt die DSGVO?

Die DSGVO betrifft alle Unternehmen oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Beispiele dafür sind Onlineshop, Arzt, Sportverein, Einzelhandelsgeschäft, Kfz-Werkstatt, Steuerberater, Handwerksbetrieb, … (Art. 4 Nr. 18 DSGVO)

Hilfe zur Anwendung:

Eine einheitliche Hilfestellung für alle gibt es nicht. Dennoch hat sich für die Umsetzung der neuen gesetzlichen Anforderungen in den meisten Fällen folgende Herangehensweise be- währt:

  1. Machen Sie sich bewusst: Datenschutz ist Chefsache und nicht für umsonst zu haben.
  2. Verschaffen Sie sich einen Überblick – aus datenschutzrechtlicher Sicht – was Sie in Ihrem Unternehmen mit personenbezogenen Daten machen und erstellen Sie ein Verzeichnis aller Verarbeitungstätigkeiten dieser Daten (Art. 30 DSGVO).
  3. Überprüfen Sie, ob Sie zur Erfüllung Ihrer Aufgaben andere Unternehmen (Auftragsdatenverarbeiter) eingeschaltet haben und falls ja, ob Sie mit diesen die für die Verarbeitung personenbezogener Daten erforderlichen Verträge abgeschlossen haben.
  4. Machen Sie sich bewusst: Ihre Mitarbeiter, Lieferanten, Kunden, Mitglieder oder Interessenten, deren Daten Sie erhoben und gespeichert haben, können sog. Betroffenenrechte (z.B. auf Auskunft, Berichtigung usw.) geltend machen. Dann müssen Sie diese in kurzer Zeit vollständig und richtig erfüllen können.
  5. Prüfen Sie, ob die Verarbeitung personenbezogener Daten, die Sie in Ihrem Unternehmen praktizieren, datenschutzrechtlich zulässig ist und ob Sie diese Zulässigkeit der Verarbeitung auch jeweils nachweisen können.
  6. Prüfen Sie, ob Sie einen Datenschutzbeauftragten bestellen müssen.

Was muss das Verzeichnis der personenbezogenen Daten beinhalten?

Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Diese Ausdrucksweise sagt so viel, wie dass die Person nicht identifiziert werden muss. Es reicht, dass die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte.

Aussagekräftige personenbezogene Daten über:

  1. Namen
  2. Kontaktdaten
  3. Zweck der Verarbeitung (z.B. zur Neukundengewinnung, Beschäftigungsverhältnis, …)
  4. Beschreibung der Kategorien personenbezogner Daten (z.B. Angestellter, Interessent, Kunde, …)
  5. Kategorien von Empfängern von Daten einschließlich Empfänger in Drittstaaten
  6. Wenn möglich, vorgesehene Fristen zur Löschung

Das Verzeichnis kann in schriftlicher oder elektronischer Form geführt werden und muss regelmäßig aktualisiert werden.

Ist ein Cookie Hinweis Pflicht?

Die DSGVO regelt die Frage der Cookies nicht ausdrücklich. Dies soll ab 2019 die ePrivacy- Verordnung regeln. Alle Webseitenbetreiber, die Cookies nutzen, müssen die Datenschutzeklärung auf der Webseite neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.

Bei all unseren Webseiten die nach dem 28.5. veröffentlicht werden, wird der Cookie-Hinweis automatisch umgesetzt. Bei allen bisher erstellten Webseiten empfehlen wir, einen, Hinweis einzurichten um das Abmahnrisiko zu verringern.

Ab wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?

Sobald in einem Unternehmen oder einem Verein mindestens zehn Personen damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten, brauchen sie in jedem Fall einen Datenschutzbeauftragten (§38 Abs. 1 BDSG-neu).

Auch wenn die Verarbeitung von folgenden Daten eine Kerntätigkeit eines Unternehmens oder eines Vereis darstellt, ist ein Datenschutzbeauftragter notwendig. Dies betrifft personenbezogene Daten, wie Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung, genetische Daten, Daten aus denen die rassische oder ethnische Herkunft, aus denen politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen oder Daten über strafrechtliche Verurteilungen oder Straftaten.

Was muss der Vertrag beinhalten, der mit einem externen Unternehmen vereinbart wurde, der zur Verarbeitung von personenbezogenen Daten beauftragt wurde?

Eine Auftragsverarbeitung liegt vor, wenn ein anderes Unternehmen weisungsabhängig einen Auftrag erfüllt. Das liegt z.B. vor bei datenverarbeitungstechnischen Arbeiten für die Lohn- und Gehaltsabrechnungen, der Werbeadressenverarbeitung oder der Auslagerung von Telekommunkations-Anlagenbetrieben.

Für die Auftragsverarbeitung ist ein Vertrag zwischen dem Unternehmen (Verantwortlicher) und dem Auftragsverarbeiter zu schließen. Dieser muss folgende Punkte beinhalten:

  • das Weisungsrecht des Verantwortlichen
  • Beschreibung des Auftrages an den Datenverarbeiter
  • Einräumung von Kontrollrechten des Unternehmens an den Datenverarbeiter – Regeln zur Löschung der personenbezogenen Daten

Welches Recht wird den betroffenen Personen eingeräumt? Die DSGVO schützt die Rechte und Freiheiten natürlicher Personen, die durch die Europäische Menschenrechtskonvention (EMRK) und die EU-Grundrechtecharta geschützt werden.

Das Unternehmen oder der Verein, welcher mit personenbezogene Daten umgehen möchte, muss die Betroffenen in präziser, transparenter, verständlich und leicht zugänglicher Form darüber informieren, was zu welchem Zweck mit den personenbezogenen Daten gemacht werden soll. Konkret muss ein Unternehmen informieren über:

  • Namen und Kontaktdaten des Verantwortlichen, der mit den Daten umgeht
  • Kontaktdaten eines Datenschutzbeauftragten, sofern vorhanden
  • Zwecke, für die die Daten verarbeitet werden sollen und die Rechtsgrundlage dafür • Interessen des Verantwortlichen, wenn er die Daten verarbeiten möchte
  • Empfänger der Daten, wenn der Verantwortliche sie weitergeben möchte

Die betroffene Person hat das Recht, folgende Informationen zu erhalten:

  • Dauer und Speicherung der Daten oder Kriterien für die Löschung der Daten • Zweck der Verarbeitung
  • Kategorien personenbezogener Daten
  • Empfänger der Daten
  • Hinweis auf Recht auf Auskunft, Berichtigung, Löschung usw.
  • Hinweis, dass eine Einwilligung jederzeit grundlos widerrufen werden kann
  • Hinweis auf Beschwerderecht bei der Auskunftsbehörde

Diese müssen ihm in einem gängigen Format zur Verfügung gestellt oder auf Wunsch an einen anderen Verantwortlichen weitergegeben werden.

Wenn der Betroffene die Berichtigung oder Löschung seiner Daten wünscht, muss gefolgt werden. Außer zur Erfüllung des ursprünglichen Zwecks ist z.B. eine weitere Speicherung noch erforderlich. Als Nachweis reicht lediglich eine Information darüber, dass die Daten geändert oder gelöscht wurden.

Der Betroffene hat außerdem das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu sein, außer er hat einer Rechtsvorschrift zugestimmt, die dies erlaubt oder anordnet bzw. die betroffene Person hat ausdrücklich dazu eingewilligt.

Alle Betroffenenrechte (Löschung, Auskunft, Berichtigung oder Befreiung von Automatisie- rung) müssen „unverzüglich“, spätestens innerhalb eines Monats erfüllt werden. (Art. 12 DSGVO)

Ist Ihr Unternehmen berechtigt personenbezogene Daten zu verarbeiten?

Im Datenschutzrecht gilt das sog. Prinzip des „Verbots mit Erlaubnisvorbehalt“. Das bedeutet, dass niemand mit personenbezogenen Daten von anderen umgehen darf (also erheben, speichern oder weitergeben), wenn er nicht über eine ausdrückliche Einwilligung der betroffenen Person verfügt (Art. 6, Abs. 1 DSGVO) oder aber sich auf eine Rechtsgrundlage berufen kann, die ihm erlaubt oder sogar anordnet, mit den Daten umzugehen.

Einwilligung ist jede freiwillig, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Der Datenverarbeiter muss Einwilligungen nachweisen können und alle Zweifel gehen zu seinen Lasten (Art. 7 Abs. 1 DSGVO). Daher sollte für Nachweisbarkeit am besten in Schriftform gesorgt werden. Einwilligungshandlungen mit dem Zeitpunkt („timestamp“), am besten mit gekürzter IP-Adresse sollten bestätigt und immer wenn möglich mit einem Double-Opt-In und in einer Datenbank protokolliert werden.

Die Einwilligung ist nur wirksam, wenn:

  • sie freiwillig (d.h. ohne Zwang oder Druck) abgegeben wird
  • sie für einen bestimmten Fall abgegeben wird (d.h. Einwilligung zur Datenverarbeitung zu allen heute und in Zukunft relevanten Zwecken wäre unbestimmt und ungültig)
  • die betroffene Person klar und verständlich informiert wurde (wer die Einwilligung haben möchte, muss klar und deutlich sagen, für welchen konkreten Zweck die Daten verarbeitet werden sollen)
  • die betroffene Person darüber informiert wurde, dass sie die Einwilligung jederzeit widerrufen kann (ohne dass sie einen Grund angeben muss)
  • die Einwilligung schließlich durch eine eindeutig bestätigte Handlung erfolgt ist (z.B. schriftliche Erklärung, Ankreuzen einer Erklärung im Internet (sog. opt-in) – Beachten Sie: ein vor- angehaktes Kästchen reicht nicht aus (sog. opt-out).

Personenbezogene Daten dürfen auch erhoben werden, wenn Sie zur Erfüllung eines Vertrages notwendig sind oder zur Wahrnehmung rechtlicher Interessen des Verantwortlichen verarbeitet werden müssen (z.B. beim Kauf eines Autos).

Wie hoch sind Geldbussen nach der Grundverordnung?

Für bestimmte Rechtsverstöße droht die DSGVO im Extremfall mit Geldbußen von bis zu 40 Mio. EUR an (Art. 83 abs. 6 DSGVO). Kleine Unternehmen oder Vereine müssen bei ernsthaften Verstößen mit Geldbußen in vier- oder fünfstelliger Höhe rechnen. Denn Geldbußen müssen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein“ (Art. 83 Abs. 1 DSGVO).

Zudem hat jede betroffene Person, welcher wegen eines Verstoßes gegen die DSGVO ein materieller (messbarer Schaden in Geld) oder immaterieller Schaden (z.B. Rufverletzung) entstanden ist, einen Anspruch auf Schadensersatz (Art. 82 Abs. 1 DSGVO).

Wichtige Internetlinks