Wagner-Arbitration

Das neue Datenschutzrecht im Unternehmen – ein kleiner Leitfaden

Die Flut der E-Mails, mit denen um die Erteilung der Einwilligung zum Erhalt diverser Newsletter gebeten wurde, ist abgeebbt, die gefürchtete Mahnwelle ist ausgeblieben und die meisten Datenschutzerklärungen, über die man im Internet stolpert, unternehmen zumindest den Versuch, die Anforderungen der Datenschutzgrundverordnung („DSGVO“) zu erfüllen.

Ob es das jetzt war mit der ganzen Aufregung oder ob die Datenschutzbehörden tatsächlich anfangen, horrende Bußgelder zu verhängen, bleibt abzuwarten. In jedem Fall bietet es sich an, die derzeitige Verschnaufpause zu nutzen um zu prüfen, ob neben der überarbeiteten Datenschutzerklärung vielleicht noch weiterer Handlungsbedarf in Sachen DSGVO besteht. Auch wenn dieser von Unternehmen zu Unternehmen sicherlich unterschiedlich komplex ausfällt, soll der folgende Leitfaden eine erste Orientierung bieten.

1. Werden im Unternehmen personenbezogene Daten verarbeitet?

Personenbezogen sind Daten grundsätzlich dann, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sobald eine Angabe einer bestimmten Person zuzuordnen ist, liegt ein personenbezogenes Datum vor.

Der Begriff des Verarbeitens ist sehr weit gefasst und beinhaltet im Prinzip alles, was man mit Daten machen kann: erheben, erfassen, organisieren, speichern, anpassen, verändern, auslesen, abfragen, verwenden, offenlegen durch Übermittlung, verbreiten oder eine andere Form der Bereitstellung, abgleichen, verknüpfen, einschränken, löschen, und vernichten. Darüber hinaus versteht die DSGVO unter dem Begriff der Verarbeitung nicht nur die Verarbeitung mittels automatisierter Verfahren (also zum Bespiel das Speichern einer IP-Adresse beim Besuch einer Website), sondern auch das analoge Ablegen einer Visitenkarte eines Kunden in der Schreibtischschublade.

Hier einige Beispiele für klassische Verarbeitungsvorgänge im Unternehmen:

  • Lohnabrechnung
  • Betrieb einer Website
  • Kundenverwaltung
  • Zahlungsabwicklung bei Kunden (z.B. über einen externen Dienstleister)
  • Werbemaßnahmen zur Kundengewinnung und -bindung

2. Sind alle diese Verarbeitungsvorgänge nach der DSGVO erlaubt?

Merke: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, die DSGVO erlaubt sie.  Das ist nur dann der Fall, wenn einer der Erlaubnistatbestände aus Artikel 6 Absatz 1 Satz 1 DSGVO greift. Die „gängigsten“ Erlaubnistatbestände sind:

  • Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen, Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO
  • Berechtigtes Interesse des Verantwortlichen oder eines Dritten, Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO
  • Einwilligung der betroffenen Person (= Person, deren personenbezogene Daten verarbeitet werden), Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO

3. Was ist im Falle einer Einwilligung zu beachten?

Wird ein Verarbeitungsvorgang auf die Einwilligung der Person, deren Daten verarbeitet werden (sog. betroffene Person) gestützt, muss diese Einwilligung besonderen Anforderungen genügen. Zum Beispiel muss die betroffene Person bereits im Zeitpunkt der Einwilligung auf Ihr Recht zum Widerruf hingewiesen werden und sie muss Ihre Einwilligung freiwillig erteilen. Bei der Einwilligung eines Kindes (unter 16 Jahren) müssen die Voraussetzungen des Artikel 8 DSGVO vorliegen.

Wie man sieht, bringt die Verarbeitung aufgrund einer Einwilligung viel „wenn und aber“ mit sich. Daher sollte man grundsätzlich immer erst prüfen, ob die Verarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann.

4. Muss für Verarbeitungsvorgänge, die im Unternehmen stattfinden, ein Verarbeitungsverzeichnis erstellt werden und was ist das überhaupt?

Bei dem Verarbeitungsverzeichnis handelt es sich um eine Auflistung aller Prozesse in einem Unternehmen, in deren Rahmen personenbezogene Daten verarbeitet werden (siehe Ziffer 1.). Sobald das Unternehmen regelmäßig personenbezogene Daten verarbeitet, muss ein solches Verzeichnis geführt werden (siehe hierzu die Muster der Datenschutzkonferenz auf der Seite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Stand 10. Juli 2018: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Verzeichnis_Verarbeitungstaetigkeiten.html).

5. Muss ein Datenschutzbeauftragter benannt werden und was ist seine Aufgabe?

Bei den folgenden handelt es sich um die häufigsten Voraussetzungen, unter denen ein Datenschutzbeauftragter benannt werden musss:

  • Es sind regelmäßig mindestens 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt.
  • Bei den personenbezogenen Daten handelt es sich um solche des Artikel 9 DSGVO. Dabei handelt es sich um besonders „sensible“ Daten, aus denen z.B. die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen etc. hervorgehen.
  • Die Datenverarbeitung birgt ein hohes Risiko für die für die Rechte und Freiheiten natürlicher Personen (eher selten der Fall).

Der Datenschutzbeauftragte ist zuständig für die Überwachung der Datenverarbeitungsprozesse und wirkt darauf hin, dass das Datenschutzrecht im Unternehmen eingehalten wird. Außerdem unterrichtet und berät er die Unternehmensführung in Sachen Datenschutzrecht und sensibilisiert und schult die Mitarbeiter. Darüber hinaus ist er der Ansprechpartner für die Datenschutzbehörde. Daher müssen die Kontaktdaten des Datenschutzbeauftragten der Datenschutzbehörde gemeldet werden.

6. Bestehen Informations- und Auskunftspflichten gegenüber den betroffenen Personen?

Ja. Zum einen hat jeder Verantwortliche (jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) den betroffenen Personen schon bei der Datenerhebung mittels einer Datenschutzerklärung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Der Inhalt der Datenschutzerklärung ist durch die DSGVO sehr viel umfangreicher geworden (vgl. Artikel 13 DSGVO). So muss in der Datenschutzerklärung beispielsweise mitgeteilt werden, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten erfolgt und wie lange die Daten gespeichert werden.

Zum anderen ist den betroffenen Personen auf deren Verlangen Auskunft über ihre personenbezogenen Daten zu erteilen.

7. Was ist Auftragsverarbeitung und was muss man dabei beachten?

Auftragsverarbeitung liegt in der Regel vor, wenn ein externer Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt wird, wenn also z.B. der Newsletter-Versand über eine Marketing-Plattform erledigt wird. Für diesen Auftrag ist ein schriftlicher Vertrag zu erstellen, der ganz bestimmte Voraussetzungen erfüllen muss. So muss der Vertrag u.a. konkrete Angaben zu Art und Zweck der Verarbeitung sowie Art der personenbezogenen Daten beinhalten, aber auch die Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers u.ä. (siehe hierzu die Muster der Datenschutzkonferenz auf der Seite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Stand 10. Juli 2018: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Auftragsverarbeitung.html).

8. Was ist die Datenschutzfolgenabschätzung und wer braucht sie?

In der Datenschutzfolgenabschätzung werden die Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beschrieben, bewertet und es werden Maßnahmen festgelegt, mit denen diese Risiken eingedämmt werden sollen. Allerdings ist eine Datenschutzfolgenabschätzung nur unter bestimmten Voraussetzungen erforderlich, insbesondere dann, wenn von der Verarbeitung der Daten hohes Risiko für die betroffenen Personen ausgeht. Ein hohes Risiko ist jedoch die Ausnahme. Eine Liste mit entsprechenden Verarbeitungsvorgängen ist auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu finden: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/ListeVerarbeitungsvorgaenge.html (Stand: 10.07.2018).

9. Was tun, wenn Datenschutzvorschriften verletzt wurden?

Sobald feststeht, dass datenschutzrechtliche Vorschriften verletzt wurden (z. B. wurde der Online-Shop gehackt und Kundendaten gestohlen), muss diese Verletzung innerhalb von 72 Stunden der Aufsichtsbehörde mitgeteilt werden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der betroffenen Person selbst ist die Verletzung nur bei einem hohen Risiko für ihre Rechte und Freiheiten mitzuteilen, was eher selten der Fall ist.

Darüber hinaus müssen die Verletzungen dokumentiert werden. Es sollte also schon vor Eintritt des Ernstfalls festgelegt werden, wer was wann zu tun hat.

Autor:in

No results found.

OLYMPUS DIGITAL CAMERA
Pablo Ortega Krstulovic

Pablo Ortega Krstulovic is a Chilean-qualified lawyer who joins us as a visiting professional from the new class of the IDR LL.M at HU. He grew up in Arica, Chile and completed his legal education at the University of Chile in Santiago. Before moving to Berlin, Pablo gained experience as an associate lawyer at one of […]

OLYMPUS DIGITAL CAMERA
Diego Melendez Hirezi

Diego Melendez Hirezi is a Salvadorean-qualified lawyer. He graduated from the Superior School of Business and Economics of El Salvador. Currently, he is a student in the International Dispute Resolution LL.M program at Berlin Humboldt University. For more than five years, he worked as an associate in the litigation and arbitration department of Arias Law, a […]

OLYMPUS DIGITAL CAMERA
Filippo Furlano

Filippo Furlano is a qualified lawyer in the province of Ontario, Canada, and a current candidate of the International Dispute Resolution LL.M. program at the Humboldt-Universität zu Berlin. He holds a Bachelor of Laws degree from the University of Leicester, and a Bachelor of Arts degree in Political Science and History from McGill University. Prior to […]

About Wagner Arbitration

The law firm WAGNER Arbitration has its offices in Berlin and specializes in dispute resolution with a focus on arbitration. In addition, the firm offers comprehensive counseling services related to domestic and international business disputes and transactions.

Awards

Various recommendations of individual lawyers in the "Best Lawyers in Germany" ranking since 2014 - "Lawyer of the Year" 2016, 2021, 2023, Berlin, International Arbitration and Mediation
Best Lawyers
Multiple awards to individual lawyers in the "Germany's Best Lawyers" ranking since 2015, as well as various Arbitration and Mediation "Lawyer of the Year" awards
Handelsblatt
Selected as one of Germany’s leading business law firms in the field of arbitration since 2017
Focus
Recognized as one of Germany's first arbitration boutiques since 2013
Juve
Annual recommendation of individual lawyers as leading professionals in the field of arbitration since 2017, as well as awards as "Thought Leader", "Global Leader" and "National Leader"
Who's Who Legal
Selected as one of Germany’s best 400 law firms overall in 2022
Brand Eins
Chosen as one of the 30 most prestigious German law firms for arbitration in 2021
Wirtschaftswoche
Wagner-Arbitration

Wagner Arbitration
Partnerschaft von Rechtsanwälten mbB
Hegelplatz 1 | 10117 Berlin

Tel. +49 30 225027600
Fax +49 30 225027609

Follow us
Linkedin | Instagram