Die RKM Data ist
Ihr zuverlässiger Partner
in Fragen des Datenschutzes
Rechtsanwalt Stefan Burghardt
Zertifizierter Datenschutzbeauftragter (TÜV Nord)
Wir haben für Sie unser Siegel entwickelt. So ist für Ihre Geschäftspartner auf den ersten Blick erkennbar,
dass Sie im Sinne des Datenschutzes agieren.
Erfahren Sie, was wir für Sie tun können.
Stellen Sie sich gemeinsam mit unseren Experten den Herausforderungen der DSGVO.
Um Sie umfassend bei der Umsetzung Ihrer Anliegen im Datenschutz zu unterstützen,
bietet Ihnen die RKM Data umfängliche und kompetente Unterstützung .
Unsere Experten für Datenschutz vertreten Ihre Interessen kompetent, engagiert und lösungsorientiert.
Häufig gestellte Fragen (FAQs) zum Datenschutz
Was ist die DSGVO?
Die DSGVO ist, wegen ihres Verordnungscharakters, seit dem 25. Mai 2018 in allen Mitgliedsstaaten der EU einheitlich geltendes und direkt anzuwendendes Recht. Zeitgleich zur DSGVO trat in der Bundesrepublik Deutschland ein grundlegend reformiertes Bundesdatenschutzgesetz (BDSG) in Kraft, mit dem der nationale Gesetzgeber sich um die Ausgestaltung verbliebener oder eingeräumter Regelungskompetenzen bemüht. Die DSGVO enthält also verschiedene Öffnungsklauseln, die es dem nationalen Gesetzgeber ermöglichen, die DSGVO zu konkretisieren.
Für wen gilt die DSGVO?
Die DSGVO gilt für jeden, der personenbezogene Daten von natürlichen Personen (=Menschen) verarbeitet. Nicht erfasst sind damit Daten von juristischen Personen, also von Unternehmen, gleichgültig welche Rechtsform diese haben (GmbH, AG, OHG, KGaA…). Allerdings sind die Daten der Personen, die Teil der juristischen Person sind oder die bei selbiger beschäftigt sind wiederum vom Schutzbereich der DSGVO umfasst.
Welche Daten dürfen nicht erfasst werden?
Die DSGVO erfasst in Art. 9 besondere Kategorien von Daten, die grundsätzlich nicht verarbeitet werden dürfen. Dies sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Gesundheitsdaten, Daten zum Sexualleben oder andere genetische / biometrische Daten.
Die Verarbeitung dieser Daten ist allerdings dann erlaubt, wenn ein Ausnahmetatbestand vorliegt. Im Wesentlichen ist das der Fall, wenn die betroffene Person eingewilligt hat oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.
Ab wann braucht man einen (externen) DSB?
Nach alter Rechtslage brauchte man einen Datenschutzbeauftragten, wenn mindestens 10 Personen ständig personenbezogene Daten automatisiert verarbeiten. Dabei geht es nicht darum, dass alle Mitarbeiter des Unternehmens zusammengezählt werden, sondern nur diejenigen, die ständig mit der automatisierten Verarbeitung betraut sind. Ein bloßes „In-Berührung-Kommen“ mit Daten reicht hierfür nicht aus. Seit dem Datenschutzänderungsgesetz aus November 2019 wurde § 38 Abs. 1 S. 1 BDSG dahingehend geändert, dass nunmehr die maßgebliche Personenanzahl, ab der ein betrieblicher DSB zu benennen ist, von 10 auf 20 Mitarbeiter angehoben wurde. Damit sollte vor allem eine Entlastung von Kleinunternehmen erreicht werden. Aber Achtung: Selbst wenn Ihr Unternehmen unter die maßgebliche Personenanzahl fällt, entbindet Sie dieses nicht von der Pflicht zur Wahrung des Datenschutzes. Sie sind dadurch lediglich von der Pflicht befreit, einen DSB zu bestellen.
Gilt die DSGVO auch für Alt-Daten?
Die DSGVO findet auch auf die Daten Anwendung, die Sie rechtmäßig vor Ablauf der Umsetzungsfrist am 25. Mai 2018 erhoben haben („Alt-Daten“). Sind die Daten vor diesem Datum rechtmäßig erhoben und verarbeitet worden, resultieren daraus für Sie in der Regel keine großen Veränderungen. Die Rechtfertigungsgründe des BDSG in seiner alten Fassung stimmen vielfach mit den neuen gesetzlichen Ausnahmen überein; so gelten beispielsweise auch zuvor rechtmäßig eingeholte Einwilligungen weiterhin fort. Anders sieht die Rechtslage allerdings dann aus, wenn die Datenverarbeitung zum Stichtag noch nicht abgeschlossen wurde. In diesen Fällen muss eine Anpassung an die neue Rechtslage erfolgen.
Was passiert bei Verstößen gegen die DSGVO?
Um einen hohen Datenschutz-Standard zu gewährleisten, hat der europäische Gesetzgeber den Rahmen für Bußgelder erheblich erhöht. Während die Obergrenze für Bußgelder mit bis zu 20.000.000 Euro ohnehin schon sehr hoch ausfallen kann, ist sogar noch eine Erweiterung dieses Rahmens bei Unternehmen vorgesehen. Für Unternehmen kann ein Bußgeld auch – je nach Verstoß und Schwere – bis zu 4% des weltweiten Umsatzes des vergangenen Jahres betragen, wenn dieser Betrag höher ist als 20.000.000. Hierbei gilt, dass der Begriff des Unternehmens nicht nur dasjenige Unternehmen meint, welches den Datenschutzverstoß begangen hat, sondern sich generell auf die wirtschaftliche Einheit als Konzernverbund bezieht.
Was ist beim Einsatz einer ausländischen Cloud zu beachten?
Das Cloud-Computing ist als Auftragsverarbeitung in Art. 28 DSGVO geregelt und darf demnach nur auf Grundlage eines Auftragsverarbeitungsvertrages erfolgen, der alle Weisungen an den jeweiligen Cloud-Anbieter in Textform enthält. Neben der Problematik, dass der Gesetzgeber einen Datentransfer in Drittstaaten grundsätzlich nur unter strengen Voraussetzungen erlaubt, spielen gerade bei ausländischen Cloud-Diensten eine Reihe haftungsrechtlicher Aspekte im Falle einer „Datenpanne“ eine Rolle. Darüber hinaus ist zu beachten, dass ausländische Cloud-Dienste oftmals nicht den Datenschutz-Standard gewährleisten, der in den Mitgliedsstaaten der EU gelten muss.
Was ist bei der Einholung von Einwilligungen zu beachten?
Für die Einholung von Einwilligungen hat der europäische Gesetzgeber klare Vorstellungen. Der Einwilligende muss überhaupt einwilligungsfähig sein. Dies ist anzunehmen, wenn der Einwilligende das sechzehnte Lebensjahr vollendet hat. Weiterhin ist es für die Wirksamkeit der erklärten Einwilligung unabdingbar, dass die Betroffenen zuvor umfassen informiert wurden. Die Informationspflicht erstreckt sich dabei vor allem auf das jederzeitige Widerrufsrecht und darüber, dass die Einwilligung freiwillig und ausdrücklich abgegeben wird. Die Informationspflichten desjenigen, der Daten verarbeiten will sind sehr umfassend. Die Wirksamkeit der Einwilligung steht und fällt also mit der rechtmäßigen Erteilung der Informationen. Hier ist eine sorgfältige Protokollierung zu Beweiszwecken nötig!
Muss man Abmahnungen fürchten?
Verstöße gegen das Datenschutzrecht können einen Wettbewerbsvorteil für andere darstellen und berechtigen deshalb beispielsweise Konkurrenten zur Abmahnung. Besonders anfällig für Abmahnungen sind vor allem diejenigen Teile des Unternehmens, die eine gewisse Außenwirkung vorweisen. Beispielhaft ist hier die Datenschutzerklärung auf der Homepage oder eine etwaige E-Mail-Signatur zu nennen. Sämtliche vom Unternehmen getroffenen Maßnahmen mit Außenwirkung sollten daher im Einklang mit dem geltenden Datenschutzrecht stehen. Trotzdem darf nicht außer Acht gelassen werden, dass es sich bei den betroffenen DSGVO-Nomen auch gleichzeitig um marktverhaltensregelnde Normen halten muss, damit überhaupt der Anwendungsbereich für eine wettbewerbsrechtliche Abmahnung eröffnet ist. Das Ziel der DSGVO ist nämlich einzig, den Schutz von personenbezogenen Daten von natürlichen Personen zu gewährleisten.
Welche Dokumente sind zwingend zu erstellen?
Unabdingbar für eine saubere Außendarstellung ist eine korrekte Datenschutzerklärung auf Ihrer Homepage. Darüber hinaus sollte jedes Unternehmen über ein Verzeichnis der Verarbeitungstätigkeiten verfügen. – Diese Pflicht bestand übrigens schon, bevor die DSGVO in Kraft getreten ist. Auch ist es von elementarer Wichtigkeit, Auftragsverarbeitungsverträge zu schließen, wenn Sie in Ihrem Unternehmen entweder Daten für ein Dritten im Auftrag verarbeiten oder einen Dritten beauftragen, für Ihr Unternehmen weisungsgebunden Daten zu verarbeiten.
Gern sind wir Ihnen bei der Erstellung der o.g. Dokumente behilflich!