Die Datenschutzgrundverordnung

    Mit Einführung der EU-Datenschutzgrundverordnung (folgend: DSGVO) zum 25. Mai 2018 besteht derzeit eine große Unsicherheit. Dies ist insbesondere wie folgt begründet:

    • Bezüglich der Umsetzung gibt es kaum Praxiserfahrung aber
    • bereits mit Einführung werden hohe Bußgelder angedroht.

    Die Bußgelder können bis zu einer Höhe von 20 Millionen Euro oder 4 % des weltweiten Unternehmensumsatzes verhängt werden. Damit unterscheidet sich die DSGVO erheblich zu den bisherigen Regelungen des Bundesdatenschutzgesetzes. Da es sich bei den vorgenannten Bußgeldern um Höchstgrenzen handelt, hängt das zu entrichtende Bußgeld letztlich stets vom Einzelfall ab. Neben Bußgeldern ist auch damit zu rechnen, dass Mitbewerber, Rechtsanwälte und Aufsichtsbehörden Abmahnungen erteilen.

    Dennoch empfehlen wir derzeit Ruhe zu bewahren

    Die DSGVO regelt nicht alles neu. Viele „Neu“-Regelungen sind eher als Verschärfung des bestehenden Datenschutzes anzusehen. So bestand auch bisher in bestimmten Fällen die Pflicht zur Bestellung eines Datenschutzbeauftragten. Neu ist aber, dass nach Art. 37 Abs. 7 DSGVO der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutz-beauftragten veröffentlichen und diese Daten der Aufsichtsbehörde mitteilen muss.

    Neu hinzugekommene Pflichten sind beispielsweise die Pflicht zur Einführung eines Datenschutz-Managements und die Pflicht zur unverzüglichen Meldung einer Verletzung des Schutzes personenbezogener Daten. (Art. 33 Abs. 1 DSGVO).

    Zum besseren Verständnis im Umgang mit den Neuregelungen werden in der DSGVO die zentralen Begriffe geregelt. Nachfolgend sind für den ersten Überblick einige genannt.

    Was sind personenbezogene Daten?

    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

    Welche Unternehmen haben den Schutz von personenbezogenen Daten zu gewährleisten?

    Jedes Unternehmen welches personenbezogene Daten verarbeitet und damit fast alle Unternehmen.

    Als Verarbeitung gilt jeder ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

    Was ist unter einer Verletzung des Schutzes personenbezogener Daten zu verstehen?

    Dabei handelt es sich um eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

    Wann ist ein Datenschutzbeauftragter zu bestellen?

    Da der Bundesgesetzgeber von einer entsprechenden Öffnungsklausel in der DSGVO Gebrauch gemacht hat, bleibt es diesbezüglich bei der bisher geltenden Rechtslage: Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auskunfteien, Adresshändler sowie Markt- und Meinungsforschungsinstitute müssen in jedem Fall einen Datenschutzbeauftragten bestellen. Auch ergeben sich für Ärzte und sonstige Angehörige eines Gesundheitsberufes, die mit gesundheitlichen Daten im Sinne der DSGVO umgehen, Besonderheiten:

    1. Praxen mit 10 oder mehr Beschäftigten müssen einen Datenschutzbeauftragten benennen.
    2. Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.
    3. Praxisgemeinschaften mit weniger als 10 Beschäftigten ist aufgrund der Bußgeldrisiken ebenfalls zu empfehlen, einen Datenschutzbeauftragten zu benennen.
    4. Einzelärzte mit weniger als 10 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.

    Anmerkung: Gesundheitliche Daten im Sinne der DSGVO sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Diese sind besonders Schutzwürdig.

    Welche Rechte stehen den Betroffenen zu?

    Durch die DSGVO wurden die Rechte der Betroffenen, deren Daten verarbeitet werden, erheblich gestärkt. Danach stehen dem Betroffenen neben dem Auskunftsrecht, ein Recht auf Berichtigung und Löschung der personenbezogenen Daten, sowie die Einschränkung der Verarbeitung zu. Nach wie vor kann der Betroffene der Verarbeitung trotz vorheriger Zustimmung jederzeit widersprechen.

    Bei der Beantwortung der Fragen, welche Maßnahmen Sie für Ihr Unternehmen konkret ergreifen müssen bzw. sollten, sind wir Ihnen natürlich sehr gerne behilflich. Kontaktieren Sie uns daher gerne.

    Auch empfehlen wir Ihnen die Arbeitshilfe des bayrischen Landesamts für Datenschutzaufsicht für kleine Unternehmen und Vereine.

    Diese Arbeitsempfehlung finden Sie unter dem folgenden Link:

    https://www.lda.bayern.de/de/kleine-unternehmen.html