Wagner-Arbitration

Das neue Datenschutzrecht im Unternehmen – ein kleiner Leitfaden

Die Flut der E-Mails, mit denen um die Erteilung der Einwilligung zum Erhalt diverser Newsletter gebeten wurde, ist abgeebbt, die gefürchtete Mahnwelle ist ausgeblieben und die meisten Datenschutzerklärungen, über die man im Internet stolpert, unternehmen zumindest den Versuch, die Anforderungen der Datenschutzgrundverordnung („DSGVO“) zu erfüllen.

Ob es das jetzt war mit der ganzen Aufregung oder ob die Datenschutzbehörden tatsächlich anfangen, horrende Bußgelder zu verhängen, bleibt abzuwarten. In jedem Fall bietet es sich an, die derzeitige Verschnaufpause zu nutzen um zu prüfen, ob neben der überarbeiteten Datenschutzerklärung vielleicht noch weiterer Handlungsbedarf in Sachen DSGVO besteht. Auch wenn dieser von Unternehmen zu Unternehmen sicherlich unterschiedlich komplex ausfällt, soll der folgende Leitfaden eine erste Orientierung bieten.

1. Werden im Unternehmen personenbezogene Daten verarbeitet?

Personenbezogen sind Daten grundsätzlich dann, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sobald eine Angabe einer bestimmten Person zuzuordnen ist, liegt ein personenbezogenes Datum vor.

Der Begriff des Verarbeitens ist sehr weit gefasst und beinhaltet im Prinzip alles, was man mit Daten machen kann: erheben, erfassen, organisieren, speichern, anpassen, verändern, auslesen, abfragen, verwenden, offenlegen durch Übermittlung, verbreiten oder eine andere Form der Bereitstellung, abgleichen, verknüpfen, einschränken, löschen, und vernichten. Darüber hinaus versteht die DSGVO unter dem Begriff der Verarbeitung nicht nur die Verarbeitung mittels automatisierter Verfahren (also zum Bespiel das Speichern einer IP-Adresse beim Besuch einer Website), sondern auch das analoge Ablegen einer Visitenkarte eines Kunden in der Schreibtischschublade.

Hier einige Beispiele für klassische Verarbeitungsvorgänge im Unternehmen:

  • Lohnabrechnung
  • Betrieb einer Website
  • Kundenverwaltung
  • Zahlungsabwicklung bei Kunden (z.B. über einen externen Dienstleister)
  • Werbemaßnahmen zur Kundengewinnung und -bindung

2. Sind alle diese Verarbeitungsvorgänge nach der DSGVO erlaubt?

Merke: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, die DSGVO erlaubt sie.  Das ist nur dann der Fall, wenn einer der Erlaubnistatbestände aus Artikel 6 Absatz 1 Satz 1 DSGVO greift. Die „gängigsten“ Erlaubnistatbestände sind:

  • Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen, Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO
  • Berechtigtes Interesse des Verantwortlichen oder eines Dritten, Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO
  • Einwilligung der betroffenen Person (= Person, deren personenbezogene Daten verarbeitet werden), Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO

3. Was ist im Falle einer Einwilligung zu beachten?

Wird ein Verarbeitungsvorgang auf die Einwilligung der Person, deren Daten verarbeitet werden (sog. betroffene Person) gestützt, muss diese Einwilligung besonderen Anforderungen genügen. Zum Beispiel muss die betroffene Person bereits im Zeitpunkt der Einwilligung auf Ihr Recht zum Widerruf hingewiesen werden und sie muss Ihre Einwilligung freiwillig erteilen. Bei der Einwilligung eines Kindes (unter 16 Jahren) müssen die Voraussetzungen des Artikel 8 DSGVO vorliegen.

Wie man sieht, bringt die Verarbeitung aufgrund einer Einwilligung viel „wenn und aber“ mit sich. Daher sollte man grundsätzlich immer erst prüfen, ob die Verarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann.

4. Muss für Verarbeitungsvorgänge, die im Unternehmen stattfinden, ein Verarbeitungsverzeichnis erstellt werden und was ist das überhaupt?

Bei dem Verarbeitungsverzeichnis handelt es sich um eine Auflistung aller Prozesse in einem Unternehmen, in deren Rahmen personenbezogene Daten verarbeitet werden (siehe Ziffer 1.). Sobald das Unternehmen regelmäßig personenbezogene Daten verarbeitet, muss ein solches Verzeichnis geführt werden (siehe hierzu die Muster der Datenschutzkonferenz auf der Seite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Stand 10. Juli 2018: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Verzeichnis_Verarbeitungstaetigkeiten.html).

5. Muss ein Datenschutzbeauftragter benannt werden und was ist seine Aufgabe?

Bei den folgenden handelt es sich um die häufigsten Voraussetzungen, unter denen ein Datenschutzbeauftragter benannt werden musss:

  • Es sind regelmäßig mindestens 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt.
  • Bei den personenbezogenen Daten handelt es sich um solche des Artikel 9 DSGVO. Dabei handelt es sich um besonders „sensible“ Daten, aus denen z.B. die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen etc. hervorgehen.
  • Die Datenverarbeitung birgt ein hohes Risiko für die für die Rechte und Freiheiten natürlicher Personen (eher selten der Fall).

Der Datenschutzbeauftragte ist zuständig für die Überwachung der Datenverarbeitungsprozesse und wirkt darauf hin, dass das Datenschutzrecht im Unternehmen eingehalten wird. Außerdem unterrichtet und berät er die Unternehmensführung in Sachen Datenschutzrecht und sensibilisiert und schult die Mitarbeiter. Darüber hinaus ist er der Ansprechpartner für die Datenschutzbehörde. Daher müssen die Kontaktdaten des Datenschutzbeauftragten der Datenschutzbehörde gemeldet werden.

6. Bestehen Informations- und Auskunftspflichten gegenüber den betroffenen Personen?

Ja. Zum einen hat jeder Verantwortliche (jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) den betroffenen Personen schon bei der Datenerhebung mittels einer Datenschutzerklärung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Der Inhalt der Datenschutzerklärung ist durch die DSGVO sehr viel umfangreicher geworden (vgl. Artikel 13 DSGVO). So muss in der Datenschutzerklärung beispielsweise mitgeteilt werden, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten erfolgt und wie lange die Daten gespeichert werden.

Zum anderen ist den betroffenen Personen auf deren Verlangen Auskunft über ihre personenbezogenen Daten zu erteilen.

7. Was ist Auftragsverarbeitung und was muss man dabei beachten?

Auftragsverarbeitung liegt in der Regel vor, wenn ein externer Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt wird, wenn also z.B. der Newsletter-Versand über eine Marketing-Plattform erledigt wird. Für diesen Auftrag ist ein schriftlicher Vertrag zu erstellen, der ganz bestimmte Voraussetzungen erfüllen muss. So muss der Vertrag u.a. konkrete Angaben zu Art und Zweck der Verarbeitung sowie Art der personenbezogenen Daten beinhalten, aber auch die Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers u.ä. (siehe hierzu die Muster der Datenschutzkonferenz auf der Seite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Stand 10. Juli 2018: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Auftragsverarbeitung.html).

8. Was ist die Datenschutzfolgenabschätzung und wer braucht sie?

In der Datenschutzfolgenabschätzung werden die Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beschrieben, bewertet und es werden Maßnahmen festgelegt, mit denen diese Risiken eingedämmt werden sollen. Allerdings ist eine Datenschutzfolgenabschätzung nur unter bestimmten Voraussetzungen erforderlich, insbesondere dann, wenn von der Verarbeitung der Daten hohes Risiko für die betroffenen Personen ausgeht. Ein hohes Risiko ist jedoch die Ausnahme. Eine Liste mit entsprechenden Verarbeitungsvorgängen ist auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu finden: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/ListeVerarbeitungsvorgaenge.html (Stand: 10.07.2018).

9. Was tun, wenn Datenschutzvorschriften verletzt wurden?

Sobald feststeht, dass datenschutzrechtliche Vorschriften verletzt wurden (z. B. wurde der Online-Shop gehackt und Kundendaten gestohlen), muss diese Verletzung innerhalb von 72 Stunden der Aufsichtsbehörde mitgeteilt werden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der betroffenen Person selbst ist die Verletzung nur bei einem hohen Risiko für ihre Rechte und Freiheiten mitzuteilen, was eher selten der Fall ist.

Darüber hinaus müssen die Verletzungen dokumentiert werden. Es sollte also schon vor Eintritt des Ernstfalls festgelegt werden, wer was wann zu tun hat.

Autor:in

Wagner-Arbitration-Stephanie-Wagner
Stephanie Wagner

Stephanie Wagner war von März bis  Juli 2018 wissenschaftliche Mitarbeiterin bei WAGNER Arbitration; zuvor im Legal Management & Marketing bei WAGNER Arbitration. Außerdem hat sie als Werbetexterin und Projektmanagerin im Online Marketing mit Schwerpunkt Social Media sowie Eventmanagement bei verschiedenen Werbeagenturen gearbeitet sowie als juristische Mitarbeiterin in einer mittelständischen, überregionalen Wirtschaftsrechtskanzlei.

About Wagner Arbitration

The law firm WAGNER Arbitration has its offices in Berlin and specializes in dispute resolution with a focus on arbitration. In addition, the firm offers comprehensive counseling services related to domestic and international business disputes and transactions.