Nr. 1681652

Geänderte Regeln für Cookies

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) schafft eine einheitliche Grundlage für den Schutz von Nutzerdaten.

Allgemein

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) ist am 01.12.2021 in Kraft getreten. Ziel des neuen Gesetzes ist es, die seit der Einführung der Datenschutzgrundverordnung (DS-GVO) im Mai 2018 herrschenden Unsicherheiten zwischen der Anwendung von nationalen und europäischen Datenschutzbestimmungen zu beseitigen.
Anwendung findet das TTDSG auf „alle Unternehmen und Personen, die im Geltungsbereich eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen“. Das Gesetz gilt sowohl für die klassischen Kommunikationsdienste (Telefon, SMS) als auch für internetbasierte Kommunikationsdienste (E-Mail, Voice-over-IP-Telefonie, Videokonferenzen, Messenger-Dienste). Speziell wird versucht, die im Internet herrschende Cookie-Flut einzudämmen und den Nutzern von Websites mehr Kontrolle über die von ihnen dort erhobenen Daten zu geben.

Die Nutzereinwilligung im Cookie-Dschungel

Bei „Cookies“ handelt es sich um Textdateien, die beim Aufruf einer Internetseite auf dem jeweiligen Endgerät eines Nutzers gespeichert und zu einem späteren Zeitpunkt wieder abgerufen werden können. Bei „Tracking- oder Marketing-Cookies“ muss immer eine Einwilligung durch den Nutzer erfolgen. Im Bereich der technisch notwendigen, teilweise auch als funktionale oder essenzielle Cookies bezeichnet, bestand bisher eine gewisse Unklarheit, welche nun durch das TTDSG beseitigt wird (§ 25 TTDSG).
Keiner Einwilligung bedarf zukünftig die Speicherung zu dem Zweck, dem Nutzer eine Nachricht zu übermitteln. Gleiches gilt, wenn die Speicherung erfolgt, um dem Nutzer eine Dienstleistung zur Verfügung stellen zu können, z.B: Cookies, die für die Erstellung eines Warenkorbs im Online-Handel unerlässlich sind.

Dienste zur Einwilligungsverwaltung

Eine ebenfalls im TTDSG geregelte Neuheit sind „Dienste zur Einwilligungsverwaltung“, die sog. „PIMS“ (Personal Information Management Systems).
Nutzer können über Voreinstellungen für Cookies auf ihrem Endgerät treffen, welche beim Besuch einer Website übermittelt werden und somit in einigen Fällen das Erfordernis einer weiteren Einwilligungserklärung auf der aufgerufenen Website obsolet machen würden. Die Erstellung und das Management der „PIMS“ sind an enge Vorgaben, die sich aus dem TTDSG ergeben und nur kumulativ möglich sind, gebunden. Unter Anderem darf der Dienst keinen finanziellen Nutzen aus der Aufbewahrung der Daten ziehen und muss darüber hinaus von Unternehmen, die finanzielle Interessen an solchen Daten haben, unabhängig sein. Er soll quasi als „Datentreuhänder“ fungieren. Was für eine Auswirkung die PIMS in der Unternehmenspraxis haben werden und welche eventuellen rechtlichen Fragestellungen sich daraus ergeben wird sich zukünftig zeigen.
In Bezug auf die Gestaltung von Cookie-Bannern gibt es leider keine zufriedenstellende Lösung durch das TTDSG. Dort wird nicht geregelt, welche Mindestanforderungen (inhaltlicher oder visueller Natur) an Banner zum Zweck der Vereinheitlichung gestellt werden. Es besteht nur ein Verweis auf die Erfüllung der Anforderungen nach der DS-GVO (wie zuvor). Die Problematik der Beeinflussung von Internetnutzern durch die Ersteller der Cookie-Banner im Rahmen der sog. „dark patterns“ und „nudges“, welche zu einer schnelleren und datenschutzrechtlich bedenklicheren Entscheidung auf Nutzerseite führen können, wurde gänzlich unbeachtet gelassen.

Aufsicht

Die Aufsicht erfolgt umfassend, also auch im Hinblick auf die Verhängung von Bußgeldern durch den/die Bundesbeauftragten für Datenschutz als unabhängige Datenschutzaufsichtsbehörde (§ 29 TTDSG).

Folgen für Webseiten-Betreiber

Das TTDSG schafft Möglichkeiten für die Betreiber von Webseiten, die von ihnen genutzten Cookie-Banner unter Umständen zu reduzieren, wenn ein Nutzer z. B. ein „PIMS“ verwendet. Das könnte das Surfen im Internet in Zukunft angenehmer für Nutzer machen und für die Betreiber von Webseiten mehr Rechtssicherheit bringen.
Stand Dezember 2021
Sie haben noch Fragen? Gerne stehen wir zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Linksammlung zur Datenschutz-Grundverordnung

Ob allgemeiner Überblick oder Detailfragen - hier finden Sie eine Übersicht mit Links zu wichtigen Themen rund um die DS-GVO, etwa vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW), weiterer Aufsichtsbehörden oder der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD).
Informationen des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW):
Informationen anderer Aufsichtsbehörden und Institutionen:
Stand Juli 2021
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Die Bestellpflicht eines Datenschutzbeauftragten

Personengrenze für Bestellpflicht

Das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU ("Omnibusgesetz") ist am 25.11.2019 im BGBl 2019, 1626 verkündet und am 26.11.2019 in Kraft getreten. Damit ändert sich die Bestellpflicht für einen betrieblichen Datenschutzbeauftragten von 10 auf 20 Personen, § 38 Abs. 1 BDSG.
Die Personengrenze ist keine unmittelbare Regelung aus der Datenschutzgrundverordnung (DSGVO), sondern aus dem daneben anwendbaren Bundesdatenschutzgesetz (BDSG), welches durch das Omnibusgesetz mit Wirkung ab 26. November 2019 geändert wurde.
Bisher musste ab der Anzahl von 10 Personen, die im Betrieb in der Regel ständig automatisiert Daten verarbeiten, ein Datenschutzbeauftragter benannt werden. In Zukunft gilt hierfür die Grenze von 20 Personen.
Ziel der höheren Personengrenze ist die Entlastung von kleinen Unternehmen, da die Bestellung und kontinuierliche Schulung eines Datenschutzbeauftragten mit Kosten verbunden ist.
Wichtig: Alle anderen Pflichten, die sich durch die DSGVO ergeben, fallen durch diese Änderung nicht weg. Außer der heraufgesetzten Personengrenze hat sich hinsichtlich der Bestellung eines Datenschutzbeauftragten nichts geändert.
Keinen Datenschutzbeauftragten zu bestellen muss nicht weniger Arbeit bedeuten. Prüfen Sie deshalb genau, ob ein freiwillig bestellter Datenschutzbeauftragter von intern oder extern für Entlastung im Unternehmen sorgen kann, indem er sich um alle Pflichten, die sich aus der DSGVO ergeben, kümmert.
Wird ein Datenschutzbeauftragter bestellt, ist er dem Landesbeauftragten für Datenschutz und Informationsfreiheit zu melden.

Gut zu wissen: Personenanzahl richtig bestimmen

Die Merkmale, wann die Personengrenze erreicht ist, müssen richtig interpretiert werden.
  • Beim Begriff „Personen” kommt es nicht auf deren arbeitsrechtlichen Status als Arbeitnehmer an. Es sind also Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten sowie Beschäftigte im Home-Office oder in Tele-Arbeit hinzuzuzählen.
  • „In der Regel“ heißt, dass Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, nicht berücksichtigt werden. Sinken die Personen im Unternehmen kurzzeitig auf eine Anzahl unterhalb der Grenze ab, führt dies nicht zum Wegfall der Bestellpflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres.
  • „Ständig“ heißt, dass Personen mitzurechnen sind, die regelmäßig mit entsprechenden Aufgaben betraut sind. Nicht mitzurechnen sind Personen, die nur gelegentlich (z. B. Urlaubsvertretung) beschäftigt sind.
  • Es zählen nur die Personen, die „automatisiert Daten verarbeiten“, also wenn für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Datenverarbeitungsanlagen wie PCs, Tablets oder Smartphones verwendet werden. Nicht hinzuzuzählen sind Personen, die keine oder personenbezogenen Daten verarbeiten oder nur nicht-automatisiert Daten verarbeiten (z. B. Handwerker, Reinigungskräfte, LKW-Fahrer, oder Lager-Mitarbeiter, die ihre Aufträge nur auf Papier bekommen). Eine genaue Abgrenzung kann im Einzelfall schwierig sein und sollte konkret betrachtet werden.

Pflicht zur Bestellung für bestimmte Unternehmen

Im Übrigen ändert sich durch die Änderung der Personengrenze nichts an den weiteren Voraussetzungen in der DSGVO, wann ein Datenschutzbeauftragter benannt werden muss. Unabhängig von der Personengrenze muss in folgenden Fällen eine Benennung erfolgen:
  • Die Kerntätigkeit des Unternehmens besteht in Verarbeitungsvorgängen, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen.
    Eine regelmäßige (also nicht nur einmalige, sondern wiederholte) und systematische Überwachung (methodischer Technikeinsatz) kann beispielsweise sein:
    datengesteuerte Marketingaktivitäten wie verhaltensbasierte Werbung, Scoring zu Zwecken der Kreditvergabe oder Versicherungsprämien, Standortverfolgung, künstliche Intelligenz, die Daten in Alltagsgegenständen (z.B. Haushaltsgeräte, Autos) verarbeitet.
  • Es werden besonders sensible Daten (vergleiche hierzu Artikel 9 DSGVO) verarbeitet. Zum Beispiel das Erfassen und Auswerten von Gesundheitsdaten über integrierte Geräte (sog. Wearables).
Weitere Informationen finden Sie in unseren Artikeln zum und in unserem FAQ zur DSGVO.
Stand: Dezember 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Die Europäische Datenschutz-Grundverordnung (DSGVO)

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU) und hat
  • die Schaffung eines gleich hohen Datenschutzniveaus innerhalb der EU-Staaten (bisher konnten Unternehmen Standorte mit weniger strengen Datenschutzvorgaben wählen) und
  • eine stärkere Kontrolle und Transparenz der Verarbeitung personenbezogener Daten zum Ziel.
Die DSGVO gilt seit dem 25. Mai 2018 europaweit und löste in Deutschland das bisher geltende Bundesdatenschutzgesetz (BDSG) ab. Gleichzeitig mit der DSGVO trat das BDSG-neu in Kraft. Dieses Gesetz regelt den Datenschutz allerdings nur soweit wie die DSGVO vorsieht, dass bestimmte Datenschutzbereiche auf nationaler Ebene geregelt werden dürfen oder müssen (sog. „Öffnungsklauseln“). Die Vorschriften des BDSG-neu finden keine Anwendung, soweit die DSGVO unmittelbar gilt (§ 1 Abs. 5 BDSG-neu). Denn eine EU-Verordnung hat Vorrang gegenüber nationalem Recht.
Den vollständigen Text der DSVO finden Sie auf der Internetseite der EU.

Was regelt die DSGVO?

Die DSGVO regelt den Schutz personenbezogener Daten. Davon sind alle Informationen umfasst, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
Beispiele: Name, Geburtsdatum, Geschlecht, Telefonnummer, Kreditkarten- oder Personalnummer, Kontodaten, Kfz-Kennzeichen, das Aussehen, die Kundennummer oder die Anschrift zu den personenbezogenen Daten, Standortdaten oder IP-Adresse. Es fallen beispielsweise auch weniger eindeutige Informationen wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Beschäftigter seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, in die Kategorie personenbezogene Daten. Ebenso sind die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten „personenbezogene Daten“, wenn der Prüfling theoretisch identifiziert werden kann. Nicht nur objektive Informationen können personenbezogen sein. Subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen können personenbezogene Daten sein, etwa die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Beschäftigten. Für natürliche Personen beginnt und erlischt der Schutz mit ihrer Rechtsfähigkeit. Grundsätzlich erlangt ein Mensch diese Fähigkeit mit seiner Geburt und verliert sie mit seinem Tod. Für einen Personenbezug müssen Daten daher bestimmten oder bestimmbaren lebenden Personen zuzuordnen sein. Neben den allgemeinen personenbezogenen Daten sind die besonderen Kategorien personenbezogener Daten von hoher Relevanz, da sie ein höheres Schutzniveau genießen. Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.
Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es ist jedes Unternehmen betroffen, dass personenbezogene Daten ganz oder teilweise automatisiert oder nicht-automatisiert verarbeitet,
  • soweit die Verarbeitung durch eine Niederlassung in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (beispielsweise Outsourcing des Rechenzentrums);
  • soweit außereuropäische Unternehmen (auch ohne Sitz in der EU) Waren oder Dienstleistungen anbieten oder deren Verhaltensweisen zum Beispiel mittels „Profiling“ überwachen.

Was sind die Grundsätze der DSGVO?

Rechtmäßigkeit

Die DSGVO ist ein Verbot mit Erlaubnisvorbehalt. Eine Datenverarbeitung ist grundsätzlich verboten. Nur, wenn sie gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt. Weitere Zulässigkeitsgründe für eine Verarbeitung sind in der DSGVO aufgelistet (vgl. Artikel 6):
  • Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden.
  • Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten (Beispiel: Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer).
  • Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen der betroffenen Person überwiegen diese Interessen nicht. Hierunter kann zum Beispiel die Verarbeitung personenbezogener Daten für die Direktwerbung fallen.

Direkterhebung

Personenbezogene Daten sind grundsätzlich unmittelbar beim Betroffenen selbst zu erheben. Falls die Daten nicht vom Betroffenen stammen, ist dieser über die Quelle seiner Daten zu informieren.

Transparenz

Die betroffene Person muss wissen, welche Daten die Stelle für welchen Zweck verarbeitet und an welche Stellen innerhalb der EU oder im nichteuropäischen Ausland die Daten weitergegeben werden, oder eine Weitergabe beabsichtigt ist. Daher gibt es umfangreiche Betroffenenrechte (wie Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht). Die Betroffenenrechte sollen sicherstellen, dass die Personen ihre Rechte wahrnehmen und somit auch ihr Recht auf informationelle Selbstbestimmung ausüben können.

Zweckbindung

Die Daten dürfen nur für festgelegte, eindeutige Zwecke erhoben werden und dürfen nicht für andere Zwecke weiterverarbeitet werden. Ausnahmen sind vorgesehen für Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen müssen.

Datenminimierung

Es sollen so wenig personenbezogene Daten wie möglich verarbeitet werden und Daten sollen möglichst pseudonymisiert und anonymisiert werden. Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind. Dabei ist zu beachten, wann Daten nicht mehr benötigt und daher gelöscht werden müssen.

Richtigkeit

Die Daten müssen sachlich richtig und auf dem neuesten Stand sein, anderenfalls müssen sie berichtigt oder gelöscht werden.

Technischer Datenschutz

Die DSGVO verknüpft sehr stark den Datenschutz mit der Technik. IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (“Privacy by Design”/”Privacy by Default”).

Rechenschaftspflicht

Die verarbeitende Stelle ist verantwortlich für den Datenschutz und muss die Einhaltung aller zuvor genannten Datenschutzprinzipien nachweisen können. Dazu ist eine umfassende Dokumentation notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes können von den Aufsichtsbehörden verhängt werden. Für leichtere Verstöße gegen Pflichten aus der DSGVO ist ein Bußgeld von maximal zehn Millionen Euro oder von zwei Prozent des weltweiten Jahresumsatzes vorgesehen.

Welche Maßnahmen sind nach der DSGVO umzusetzen?

Die DSGVO verlangt von der verantwortlichen Stelle, also dem Unternehmen oder der Institution, die Erfüllung der sogenannten Rechenschaftspflicht. Damit ist die verantwortliche Stelle für die Einhaltung des Datenschutzes nach den Regeln der DSGVO verantwortlich. Eine erste Orientierung über mögliche Schritte im Unternehmen gibt der 10-Punkte-Plan des Landesbeauftragten für den Datenschutz Baden-Württemberg.
Dazu ist ein Datenschutzmanagement notwendig. Dessen Ausgestaltung ist abhängig von der Größe des Unternehmens, den personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Auch in kleinen und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.

Risikoanalyse und -bewertung

Die Risiken für die persönlichen Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, müssen analysiert werden hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden. Hierzu gehört auch die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen (sogenannte technisch-organisatorische Maßnahmen), die stetig auf ihre Wirksamkeit hin kontrolliert werden müssen, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen. Die Risikobewertung und die darauf passend ergriffenen Maßnahmen müssen dokumentiert werden.

Datenschutzmanagement

Um ihrer Rechenschafts- und Dokumentationspflicht nachzukommen, sollten Unternehmen ein Datenschutzmanagement entwickeln. Folgendes wird von einem Datenschutzmanagement verlangt:
  • die Festlegung der Zuständigkeiten für den Datenschutz im Unternehmen (hierzu gehört auch die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten)
  • die Sensibilisierung und Schulung der Mitarbeiter
  • die Verpflichtung auf das Datengeheimnis (das ist zwar gesetzlich nicht mehr vorgeschrieben, aber anzuraten; alternativ muss sichergestellt werden, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung tun. Für Auftragsverarbeiter ist vorgeschrieben, dass sie ihre Mitarbeiter auf die Vertraulichkeit verpflichten müssen.)
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden
  • den Einsatz datenschutzfreundlicher Technologien
  • die Beschreibung der technisch-organisatorischen Maßnahmen und den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
  • den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • den Prozess zur Durchführung einer Risikobewertung
  • den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)
Es sollte geprüft werden, ob es im Unternehmen Anknüpfungspunkte für ein Datenschutzmanagement gibt. Hierfür bieten sich zum Beispiele bereits bestehende Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.
Die Umsetzung der obigen Maßnahmen muss stetig auf ihre Wirksamkeit hin kontrolliert werden. Wird festgestellt, dass Anpassungen notwendig sind, müssen sie vorgenommen werden. Das Ergebnis muss jedenfalls sein, dass die Einhaltung der Datenschutzpflichten in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.
Unternehmen können mit Hilfe eines interaktiven Online-Tests des Bayerischen Landesamtes für Datenschutzaufsicht ermitteln, wie weit sie mit der internen Umsetzung der DS-GVO gekommen sind und an welchen Stellen nachgebessert werden sollte.
Stand: Dezember 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Fragen und Antworten zur DSGVO

Datenschutz ist momentan in aller Munde. Viele Unternehmen haben Sorge, die Anforderungen aus der EU-Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) nicht umsetzen zu können. Wir haben hier für Sie die wichtigsten und häufigsten Fragen und Antworten („FAQs“) zusammengestellt, so dass Sie einfach und konkret erfahren, was Sie in Ihrem Betrieb jetzt tun müssen.

Grundlagen zur DSGVO

Muss ich jetzt sowohl die DSGVO als auch das BDSG beachten?

Ja. Beide Gesetze enthalten Regelungen zum Datenschutz in Unternehmen. Die grundlegenden Vorschriften befinden sich in der DSGVO. Konkretisierungen liefert das BDSG, beispielsweise zum betrieblichen Datenschutzbeauftragten oder zum Beschäftigtendatenschutz.

Welche Arten von Daten sind durch die DSGVO geschützt?

Alle Arten von personenbezogenen Daten werden durch die DSGVO geschützt – unabhängig davon, um welche Personen es sich handelt. Geschützt sind demnach
  • Mitarbeiter-,
  • Kunden- und
  • Lieferantendaten.
Für die DSGVO und alle weiteren Datenschutzgesetze gilt: Sie sind immer dann zu beachten, wenn Unternehmen mit sogenannten „personenbezogenen Daten“ umgehen. Das sind alle Informationen, die sich direkt oder indirekt (zum Beispiel über eine Kennung) auf einen Menschen (sogenannte identifizierte oder identifizierbare natürliche Person bzw. betroffene Person) beziehen lassen. Um Angaben zu einer bestimmten Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt.
Beispiele für personenbezogene Daten:
  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail-Adresse
  • Konto-, Kreditkartennummer
  • Bonitätsdaten
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • IP-Adresse
  • genetische Daten und Krankendaten
  • Werturteile (zum Beispiel Zeugnisse)
  • Fotos
Sind Daten nicht personenbeziehbar (zum Beispiel anonymisierte Statistikdaten), so sind Datenschutzgesetze nicht zu beachten.

Gilt das Datenschutzrecht auch bei Daten, die in Papierform verarbeitet werden?

Ja, wenn diese Papierform eine strukturierte Sammlung von personenbezogenen Daten enthält.

Was muss ich als Gewerbetreibender im Datenschutz tun?

Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (Auskunft über gespeicherte Daten, Berichtigung oder Löschen von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen nachweisen, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.
Es muss ein Verarbeitungsverzeichnis erstellt werden. Dies muss unter anderem Angaben zu den Kategorien der personenbezogenen Daten und den Verarbeitungszwecken enthalten. Beispiele finden Sie beim Bayrischen Landesamt für Datenschutzaufsicht und beim Datenschutz in Sachsen-Anhalt.
Die Datenschutzerklärung muss überarbeitet und um die Informationspflichten aus Artikel 13, 14 DSGVO ergänzt werden. Überwiegend handelt es sich um Informationen, die eine vollständige und ausführliche Datenschutzerklärung bisher auch enthalten hat. Neu anzugeben ist die Rechtsgrundlagen der Datenverarbeitung und Hinweise zur vorgesehenen Speicherdauer.
Werden die Daten durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletter-Versand über Agentur, externe Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.
Werden Daten aufgrund der Einwilligung des Betroffenen verarbeitet, sind im Einwilligungstext die Zwecke der Datenverarbeitung zu beschreiben und es ist ein Hinweis auf die Freiwilligkeit und jederzeitige Widerrufbarkeit zu geben. Andernfalls müssen die Einwilligungen neu eingeholt werden.
Es bestehen Meldepflichten, wenn es zu Verletzungen beim Schutz personenbezogener Daten kommt (zum Beispiel Datenverlust zu Personal- oder Kundendaten, Diebstahl oder Verlust von Tablet oder Smartphone mit unverschlüsselten Kundendaten, Fehlversendung von Rechnungen. Die Aufsichtsbehörde ist darüber innerhalb von 72 Stunden zu informieren. Betroffene Personen sind nur zu unterrichten, wenn ein hohes Risiko für sie besteht.
Betriebsvereinbarungen (sofern vorhanden) sind anzupassen.
Verpflichtung der Mitarbeiter auf den Datenschutz und regelmäßige Schulungen sind vorzunehmen. Eine Vorlage für eine Verpflichtung auf den Datenschutz finden Sie beim Bayrischen Landesamt für Datenschutzaufsicht.

Welche Rolle spielt die Datensicherheit im Rahmen der DSGVO?

Personenbezogene Daten, die im Unternehmen verarbeitet werden, müssen laut DSGVO auch technisch geschützt werden, indem sogenannte „technisch-organisatorische Maßnahmen“ getroffen sind. Diese hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab.
Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten – ob personenbezogen oder nicht – ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, so dass – verschlüsselte - Sicherungskopien an einem anderen Ort aufbewahrt werden sollten. Technische Standardmaßnahmen sind im Regelfall ausreichend. Dazu gehören unter anderem aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner sowie Zugriffsberechtigungen.

Ich habe nur Firmenkunden. Muss ich die Datenschutzgesetze trotzdem beachten?

Einzelangaben über juristische Personen, (zum Beispiel Kapitalgesellschaften oder eingetragene Vereine) sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die natürlichen Personen beziehen, die hinter der juristischen Person stehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein.
In der Regel speichern Sie bei Firmenkunden einen Ansprechpartner und erheben zum Beispiel Name, personalisierte E-Mail-Adresse, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.

Fällt mein Kleingewerbe überhaupt unter die DSGVO?

Unternehmen aller Größen müssen ihre Datenverarbeitungsvorgänge an die neuen Vorgaben der DSGVO anpassen, denn unter die DSGVO fällt jede Stelle (also auch jedes Unternehmen unabhängig von der Mitarbeiterzahl oder Branche), die personenbezogene Daten (zum Beispiel Name, Vorname, Anschrift, Telefonnummer, E-Mail Adresse etc.) innerhalb der EU verarbeitet (das heißt erfasst, speichert, übermittelt, ausliest oder verändert).
Kleine Unternehmen sind lediglich von einzelnen wenigen Pflichten ausgenommen. Dies betrifft zum Beispiel unter bestimmten Umständen die Pflicht zur Bestellung eines Datenschutzbeauftragten. Ansonsten müssen sämtliche Vorgaben umgesetzt werden, Auch auf außereuropäische Unternehmen (auch ohne Sitz in der EU), die innerhalb der EU Waren oder Dienstleistungen anbieten oder deren Einsatz zum Beispiel mittels „Profiling“ überwachen, wird die DSGVO angewendet.

Gibt es besondere Stolperfallen für Startups?

Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein. Ansonsten müssen Startups die gleichen Datenschutz-Anforderungen erfüllen, wie jeder andere Gewerbebetrieb auch.

Welche neuen Pflichten gibt es beim Datenschutz von Arbeitnehmern?

Auch Daten von Arbeitnehmern unterliegen den erhöhten Anforderungen der DSGVO. Dies muss unter anderem durch umfassende Informations- und Dokumentationspflichten sichergestellt werden. Zum Beschäftigtendatenschutz gehören
  • die Einwilligung von Arbeitnehmern zur Verarbeitung persönlicher Daten, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist ( zum Beispiel Fotos eines Mitarbeiters auf der Unternehmenswebsite),
  • die Übereinstimmung von Betriebs- oder Dienstvereinbarungen mit den Vorgaben der DSGVO und
  • Regeln für den Datentransfer im Konzern (zum Beispiel über die Rechtsgrundlage „berechtigtes Interesse“).

Datenverarbeitung/-löschung, Einwilligungserklärungen, Werbung

Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten laut DSGVO zu beachten?

Die sogenannte Rechenschaftspflicht bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:
  • Rechtmäßigkeit
    Erarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung).
  • Transparenz
    Keine „heimliche“ Verarbeitung; Gewährleistung der Wahrnehmung der Betroffenenrechte.
  • Zweckbindung
    Zweckfestlegung, das heißt Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke. Zweckbindung im engeren Sinne, meint das Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck nicht mehr zu vereinbaren ist.
  • Datenminimierung
    Beschränkung auf die für den Zweck der Verarbeitung erforderlichen Daten.
  • Richtigkeit der Daten
    Verbot der Erhebung oder Speicherung von falschen Daten; Gebot der Aktualisierung unrichtig gewordener Daten und Gebot der Löschung oder Berichtigung solcher Daten.
  • Speicherbegrenzung
    Personenbezogene Daten dürfen grundsätzlich nur solange gespeichert werden, wie dies für einen bestimmten Verarbeitungszweck erforderlich ist (zum Beispiel zur Abwicklung eines Kaufvertrags mit dem Kunden). Längstens dürfen Daten solange gespeichert werden, wie dies aufgrund gesetzlicher Vorgaben vorgeschrieben ist (regelmäßig sechs bis zehn Jahre nach handels- oder steuerrechtlichen Vorschriften).
  • Integrität und Vertraulichkeit
    Schutz vor Verlust oder Zerstörung der Daten sowie Schutz der Daten vor unbefugter Kenntnisnahme oder Verarbeitung. Gewährleistet werden muss dies durch technische und organisatorische Maßnahmen zum Schutz der Daten nach Vorgaben der DSGVO.

Wann müssen personenbezogene Daten gelöscht werden?

Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind, also der Zweck, für den sie erhoben worden sind, erfüllt ist.
Die Daten sind allerdings nicht zu löschen, wenn gesetzliche Regelungen eine Aufbewahrung vorschreiben (zum Beispiel bei Handelsbriefen (sechs Jahre) oder aus steuerrechtlichen Gründen (zehn Jahre)). Wenn die Daten aus gesetzlichen Gründen noch aufzubewahren sind, tritt an die Stelle der Löschung die Einschränkung der Verarbeitung, das heißt nur bestimmte Personen dürfen Zugriff auf die Unterlagen haben.
Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sogenanntes „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.

Brauche ich für jede Datenerhebung/-verarbeitung immer eine Einwilligung?

Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, Interessenabwägung berechtigtes Interesse, vgl. Art. 6 Abs. 1 DSGVO). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein (zum Beispiel die Anmeldung für einen Newsletters oder die Geburtstagsliste von Mitarbeitern). Die für eine Vertragsanbahnung oder -durchführung erforderlichen Daten dürfen Sie auch ohne Einwilligung erfassen, da hier der Vertrag eine ausreichende Rechtsgrundlage bildet. Auch aus spezialgesetzlichen Regelungen können sich Rechtsgrundlagen ergeben, zum Beispiel im Beschäftigungsverhältnis.

Kann ich die Daten meiner Kunden für Werbung verwenden?

Wenn Sie Interessentenkontakte oder Kundendaten aus einem bereits bestehenden Vertrag dazu nutzen möchten, um diesen Personen Informationen mit Werbeinhalten oder werbeähnlichen Inhalten auf postalischem Wege zukommen zu lassen, benötigen Sie hierfür nicht zwingend die Einwilligung des Betroffenen. Hier kommt als datenschutzrechtliche Rechtfertigung auch eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.
irektwerbung kann in der Regel ein solches berechtigtes Interesse darstellen. Der Betroffene darf also der Direktwerbung nicht widersprochen haben und seine Interessen dürfen in einer Abwägung nicht überwiegen. Der Werbende muss lediglich nachweisen, dass er diese Interessenabwägung tatsächlich durchgeführt hat und das Ergebnis zu seinen Gunsten ausfällt. Im Rahmen der Interessenabwägung ist die Wertung des § 7 Abs. 1 UWG heranzuziehen, wonach die Briefwerbung ohne Einwilligung zulässig ist, solange der Adressat nicht widersprochen hat. Die in die Abwägung einfließenden Interessen müssen im Rahmen der Informationspflicht bei der Erhebung der personenbezogenen Datengegenüber dem Betroffenen bekannt gegeben werden (Art. 13 Abs. 1 lit. d)); dies kann beispielsweise im Rahmen der Datenschutzerklärung erfolgen.
Die Einwilligung kann schriftlich erteilt werden. Wird sie elektronisch erklärt, sollten Sie sicherstellen, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (Nachweispflicht des Unternehmers).
Sofern Sie auf die Kommunikationskanäle Telefon oder E-Mail zurückgreifen, um dem Interessenten Werbung oder werbeähnliche Inhalte zukommen zu lassen, müssen Sie auch weiterhin die Vorschriften des § 7 Abs. 2 und 3 UWG beachten. Wenn Sie beispielsweise einem Interessenten per E-Mail-Werbung zuschicken möchten und dieser Interessent hat noch nie eine Leistung bei Ihnen bezogen, dann müssen Sie vorher die Einwilligung einholen. Bestandskunden (also Personen, die schon Leistungen bei Ihnen bezogen haben) dürfen Sie für eigene ähnliche Leistungen ohne Einwilligung per E-Mail bewerben, wenn bei der Erhebung der E-Mail-Adresse des Betroffenen und bei jeder Verwendung der Betroffene klar und deutlich darauf hingewiesen wurde, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen (§ 7 Abs. 3 Nr. 4 UWG). In vielen Fällen ist dieser Hinweis auf das Widerspruchsrecht bei Erhebung der E-Mail-Adresse aber unterblieben, sodass Sie bei Ihren Bestandskunden überprüfen müssen, ob dieser Hinweis erfolgt ist oder nicht. Ist der Hinweis nicht erfolgt, müssen Sie auch hier die Einwilligung einholen. Die Einwilligung muss getrennt zum Beispiel von der Einwilligung in AGBs eingeholt werden.

Datenschutzbeauftragte/-r

Benötigt mein Unternehmen einen Datenschutzbeauftragten?

Unternehmen benötigen laut Bundesdatenschutzgesetz (§ 38 BDSG) einen Datenschutzbeauftragten,
  • wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
    oder
  • wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten (im Sinne von Art. 37 Abs. 1 lit. b und c DSGVO) besteht, benötigen auch einen Datenschutzbeauftragten. Eine solche Kerntätigkeit ist jedoch bei den meisten Unternehmen nicht gegeben.
Hinweise zum Grenzwert von zwanzig Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind:
  • Grundsätzlich sind sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, zu berücksichtigen, unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter, Auszubildende oder Praktikanten.
  • Eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenzahl ist unerheblich; wenn eine Person zum Beispiel nur als Urlaubsvertretung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt wird, ist diese nicht mitzuzählen, da sie diese Aufgabe nicht regelmäßig ausübt.
  • Unerheblich ist, in welchem Umfang die beschäftigte Person diese Aufgabe wahrnimmt, also ob sie beispielweise als Teilzeitkraft diese Aufgabe ausübt (also in einem geringeren zeitlichen Umfang als eine Vollzeitkraft).
Automatisierte Verarbeitung meint IT-gestützte Datenverarbeitung, wie sie mittels Mainframe, Personal Computern (Desktop und Laptop Computern), aber mittlerweile auch mittels Smartphones, Tablet PCs und anderen mobilen Endgeräten erfolgt.
Der Begriff „ständig“ bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann Daten verarbeitet, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (zum Beispiel monatlich) anfällt.

Muss Datenschutz nur beachtet werden, wenn ein betrieblicher Datenschutzbeauftragter bestellt ist?

Nein, auch ohne Datenschutzbeauftragten muss der Datenschutz eingehalten werden. Verantwortlich dafür ist die Unternehmensleitung. Gibt es keinen Datenschutzbeauftragten, muss die Unternehmensleitung Aufgaben, die üblicherweise dem Datenschutzbeauftragten obliegen, selbst übernehmen (wie Unterstützung bei der Erstellung des Verarbeitungsverzeichnisses, Schulung von Mitarbeitern, Beratung in datenschutzrelevanten Fragen).

Wer kann betrieblicher Datenschutzbeauftragter werden?

Einschränkungen bestehen lediglich darin, wer nicht Datenschutzbeauftragter eines Unternehmens werden kann: Alle Personen der Unternehmensleitung, IT-Leitung oder der/die Personalverantwortliche können die Aufgaben nicht übernehmen, um Interessenkollisionen zu vermeiden.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Es gibt es drei Bereiche von Pflichtaufgaben:
  • Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Belegschaft in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)
  • Ansprechperson für die Aufsichtsbehörde
  • Anlaufstelle für die Rechte betroffener Personen
Näheres erfahren Sie in unserem Artikel .

Wo kann ich mich zum Datenschutzbeauftragten schulen lassen?

Bitte haben Sie Verständnis, dass wir als Vertretung der gewerblichen Wirtschaft der Wettbewerbsneutralität unterliegen und Ihnen daher keine Auswahl an Anbietern von Schulungen zum Datenschutzbeauftragten empfehlen dürfen. Bei der Suche hilft das Weiterbildungs-Informations-Systems der DIHK Service GmbH.

Kann die IHK einen externen Dienstleister als Datenschutzbeauftragten empfehlen?

Bitte haben Sie Verständnis, dass wir als Vertretung der gewerblichen Wirtschaft der Wettbewerbsneutralität unterliegen und Ihnen daher keine Experten zum Thema DSGVO oder externe Datenschutzbeauftragte empfehlen dürfen.
Rechtsanwälte aus dem Bereich Datenschutzrecht finden Sie bei der jeweiligen Rechtsanwaltskammer. Wir empfehlen Ihnen unter der Rubrik "Informationstechnologie-Recht" zu suchen und als Ort eine Großstadt in Ihrer Umgebung anzugeben.
Auch Vereine und Berufsverbände können Ihnen bei der Suche behilflich sein, zum Beispiel die Gesellschaft für Datenschutz und Datensicherheit e.V. oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Worauf ist bei der Beauftragung eines externen Dienstleisters als Datenschutzbeauftragten zu achten?

Bei der Auswahl eines externen Datenschutzbeauftragten empfiehlt es sich, mehrere Angebote mit Referenzen einzuholen und die Leistungen und Kosten zu vergleichen. Sie sollten für das Angebot vordefinieren, welche Leistungen pauschal abgedeckt sein sollen (zum Beispiel Beratung im Tagesgeschäft oder die Erstellung/Überprüfung von Dokumenten (Verarbeitungsverzeichnis, Datenschutzerklärung, technisch-organisatorische Maßnahmen) bzw. Überwachung/Einhaltung datenschutzrechtlicher Vorschriften (zum Beispiel Schulungen der Mitarbeiter, Auftragsverarbeitungen)). Denkbar ist auch ein Kontingent an Beratungsstunden pro Jahr mit einem Pauschalbetrag abdecken zu lassen und Beratungsbedarf darüberhinaus mit einem vorher vereinbarten Stundensatz abrechnen zu lassen.

Auftragsverarbeitung durch externe Dienstleister

Was ist Auftragsverarbeitung?

Häufig beauftragen Unternehmen für einzelne Tätigkeiten in ihrem Unternehmen externe Dienstleister. Das gilt auch für die IT, beispielsweise wenn Externe die Unternehmenswebsite oder eine Kundendatenbank betreuen Externe haben dadurch Zugriff auf die personenbezogenen Daten, die der Auftraggeber für sein Unternehmen benötigt.
In einem solchen Falle muss neben dem eigentlichen Auftrag, die konkrete Dienstleistung zu erbringen, noch eine Vereinbarung über die Auftragsverarbeitung geschlossen werden. Darunter fallen auch Trackingsysteme, mit denen nachvollzogen werden kann, wer welche Webseiten besucht hat. Gibt es zudem dadurch Auslandsbezug, weil das Tracking-Unternehmen seinen Sitz beispielsweise in den USA hat, müssen weitere datenschutzrechtliche Anforderungen erfüllt werden. Gleiches gilt für die Nutzung von Cloud-Anwendungen oder die Verwendung von Social-Plug-Ins auf den Webseiten (Einbindung sozialer Medien).
Auch mit dem Steuerberater, der mit der Abwicklung der Lohnbuchhaltung betraut ist, ist eine Auftragsverarbeitung abzuschließen.
Keine Auftragsverarbeitung ist erforderlich, wenn die Daten an einen Dritten zur Durchführung einer Dienstleistung weitergegeben werden müssen, zum Beispiel an einen Paketversender. Hier liegt es im berechtigten Interesse des Unternehmens, die dafür erforderlichen personenbezogenen Daten an den Dienstleister zu übermitteln.
Weitere Informationen finden Sie im Kurzpapier der Datenschutzkonferenz (DSK).
Einen Mustervertrag finden Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Was ist beim Datenschutzrecht zu beachten, wenn ein externer Dienstleister mit der Verarbeitung der Daten beauftragt wird?‎

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Für den Auftraggeber besteht hier eine Prüfpflicht. Es dürfen nur solche Auftragsverarbeiter eingesetzt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können beispielsweise genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.

Unternehmenswebsite, Videoüberwachung

Müssen auch die Datenschutzerklärungen auf der Unternehmenswebsite angepasst werden?

Unternehmen mit einer geschäftlichen Internetseite müssen dort eine rechtskonforme Datenschutzerklärung verwenden. In einer Datenschutzerklärung sind die Pflichtangaben nach der DSGVO zu machen (Art. 13). Das sind unter anderem:
  • Zwecke und Rechtsgrundlagen der Datenverarbeitung
  • Speicherfristen
  • Empfänger von Daten
  • Betroffenenrechte
Je nachdem wie die Webseite betrieben wird, müssen auch Hinweise gegeben werden zu:
  • Logfiles
  • Cookies
  • Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.)
  • Registrierungsmöglichkeiten
  • Einbindung sozialer Netzwerke
  • Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.)
Auch vorhandene Newsletter-Systeme sollten im Zusammenhang mit dieser „Dateninventur“ für die Internetseite unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Die Einwilligung ist vom Unternehmen nachzuweisen, was beispielsweise über Double-Opt-In-Verfahren erfolgen kann.

Darf ich mein Geschäftslokal per Video überwachen?

Zur Wahrung des Hausrechts ist eine Videoüberwachung von Personen, die das Geschäftslokal betreten, zulässig, wenn sie insgesamt erforderlich ist, also kein weniger einschneidendes Mittel das Hausrecht wahren kann. Es muss jedoch frühzeitig, also zum Beispiel am Eingang zum Geschäftslokal darauf hingewiesen und bekannt gegeben werden, wer die Videoüberwachung verantwortet. Wird auch das Gelände vor dem Geschäftslokal überwacht, gilt dasselbe: Ein Hinweis auf die Überwachung und Angabe, wer überwacht, muss angebracht werden.
Die Daten der Videoüberwachung sind unverzüglich zu löschen, wenn sie zur Erreichung der Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Ob eine Sicherung des Materials notwendig ist, dürfte grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden können. Eine Löschung sollte aus Gründen der Datenminimierung grundsätzlich nach 48 Stunden erfolgen.
Weitere Informationen finden Sie im Kurzpapier der Datenschutzkonferenz (DSK).
Ein Muster für eine Hinweisbeschilderung finden Sie beim Landesbeauftragten für den Datenschutz Niedersachsen.

Haftung, Überprüfung/Aufsichtsbehörde

Wer trägt die Verantwortung, wenn es zu Verletzungen des Datenschutzrechts kommt?

Die Verantwortung trägt das Unternehmen (sogenannte „verantwortliche Stelle“). Die DSGVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Sie werden nicht mehr nur zur Verantwortung gezogen für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens. Nach DSGVO ist das Unternehmen auch verantwortlich für Handlungen von Beschäftigten oder externen Beauftragten, die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.
Auch bei Auftragsverarbeitungsverhältnissen gibt es nach der DSGVO neue Haftungsszenarien. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DSGVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu sind auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen, das heißt Betroffene können bei Verstößen direkt ihnen gegenüber direkt Schadensersatzforderungen geltend machen.

Wie erfolgt eine Überprüfung durch die Datenschutzaufsicht?

Die Landesdatenschutzbeauftragten haben vielfältige Möglichkeiten, die Datenverarbeitung eines Unternehmens zu überprüfen. So kann die Aufsicht aus einem bestimmten Anlass (zum Beispiel Beschwerde eines Kunden die Vorlage des Verarbeitungsverzeichnisses verlangen und dadurch die einzelnen Verfahren in dem Unternehmen überprüfen. Dazu kann die Aufsicht das Unternehmen aufsuchen oder sich die Unterlagen übersenden lassen.
Nach der Prüfung erhält das Unternehmen Gelegenheit zur Stellungnahme, wenn es Beanstandungen gibt. Die Aufsichtsbehörde prüft dann, welche Maßnahmen sie ergreift, die bis zur Verhängung von Bußgeldern oder zur Aufforderung, die Datenverarbeitung einzustellen, gehen können.

Weiterführende Informationen

Gute Informationsangebote und Online-Checklisten gibt es beispielsweise beim Bayrischen Landesamt für Datenschutzaufsicht.
Detaillierte Informationen zu einzelnen Aspekten der DSGVO bietet Ihnen die IHK-Merkblätter-Sammlung:
Stand Juli 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Checkliste für Unternehmen - EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DS-GVO) gilt seit dem 25. Mai 2018. Hinzu kommt die Änderung des Bundesdatenschutzgesetzes, die zeitgleich mit der Datenschutz-Grundverordnung (DS-GVO) in Kraft tritt. Unternehmen müssen ihre Prozesse an die neuen Datenschutz-Anforderungen anpassen. Viele der Anforderungen mussten auch schon bisher eingehalten werden. So war die Führung eines Verfahrensverzeichnisses bereits nach dem Bundesdatenschutzgesetz verpflichtend, gleiches gilt für die Vorabkontrolle.
Die Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine Nachweispflicht verdeutlicht, die sich auch in den Bußgeldern bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes niederschlägt.
Unternehmen können mithilfes dieses interaktiven Online-Tests des Bayerischen Landesamtes für Datenschutzaufsicht ermitteln, wie weit sie mit der internen Umsetzung der DS-GVO gekommen sind und an welchen Stellen nachgebessert werden sollte. Eine Checkliste beim Landesbeauftragten für den Datenschutz Niedersachsen ist ebenfalls verfügbar.

Was ist zu tun?

Es ist sinnvoll, jetzt – beispielsweise mithilfe des Fragebogens – eine Bestandsaufnahme zu machen und zu prüfen, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob sie mit der DS-GVO kompatibel sind. Insbesondere:
  • Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
  • Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
  • Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.
Der Transparenz wird große Bedeutung zugemessen. Insofern ist über die wesentlichen Verarbeitungen personenbezogener Daten zu informieren, um den Betroffenenrechten dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO vorhanden sind und eingehalten werden:
  • Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist?
  • Wie und von wem werden Auskunftsersuchen beantwortet?
  • Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?
Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.

Verantwortlichkeit liegt bei Geschäftsleitung

Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DS-GVO trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht zukünftig im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.

Weiterführende Informationen

Weitere Informationen zur DS-GVO erhalten Sie über den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg , oder in unseren Fragen und Antworten zur DSGVO.
Stand Mai 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Datenschutz für Gründer

Datenschutz – Nicht nur für Startups

Die Bedeutung des Datenschutzes ist in einer sich immer weiter digitalisierenden Welt stetig gestiegen, weil Datensammlung, Datenverarbeitung, Datenerfassung, Datenweitergabe und Datenanalyse immer einfacher und als Geschäftsmodell erkannt werden. Facebook, WhatsApp, Snapchat, Instagram, Twitter und andere soziale Netzwerke und Nachrichtendienste verbinden die ganze Welt und bringen Privates und Geschäftliches ins Internet, das nichts mehr vergisst. Bei Nutzung dieser Angebote werden im Zuge der Leistungserbringung zwangsläufig personenbezogene Daten verarbeitet und gespeichert. Spätestens nach dem Safe Harbour Urteil des Europäischen Gerichtshofs sowie der Diskussion um Vorratsdatenspeicherung und die Ausweitung von Videoüberwachung ist das Thema Datenschutz auch in der breiten Öffentlichkeit angekommen und aktueller denn je. Über die datenschutzrechtlichen Auswirkungen und Anforderungen im Umgang mit personenbezogenen Daten besteht nicht nur bei vielen Startups oftmals noch Unkenntnis.

Rechtliche Rahmenbedingungen

Die meisten Datenschutzvorschriften sind Verbotsgesetze mit Erlaubnisvorbehalt. Für den Umgang mit personenbezogenen Daten und den Schutz sowie die Sicherung der von Ihnen verwendeten Kundendaten gelten verschiedene gesetzliche Regelungen. Eine Übersicht der wichtigsten gesetzlichen Regelungen zum Thema Datenschutz:
  1. EU-Datenschutz-Grundverordnung (ab 25.05.2018)
  2. ePrivacy-Richtlinie (ab 25.05.2018)
  3. Artikel 2 Abs. 1 des Grundgesetzes (Recht auf informationelle Selbstbestimmung)
  4. Bundesdatenschutzgesetz (BDSG)
  5. Besondere Vorschriften für die Telekommunikation und datenschutzrechtliche Vorschriften in Nebengesetzen (TMG, TKG, etc.)
  6. Landesdatenschutzgesetz Baden-Württemberg (LSDG)
Die neue EU-Datenschutz-Grundverordnung (DS-GVO) und die ePrivacy-Richtlinie erweitern in weiten Teilen das europäische Datenschutzrecht und betreffen vor allem junge Unternehmen aus der Digitalwirtschaft. Damit es nicht zu Problemen bei der Umsetzung der künftigen Verpflichtungen kommt, ist es bereits jetzt wichtig, sich mit den wesentlichen Änderungen zu beschäftigen und die richtigen Maßnahmen zu ergreifen.

Technische und organisatorische Maßnahmen

Um den Schutz personenbezogener Daten zu gewährleisten, sehen die datenschutzrechtlichen Vorschriften technische und organisatorische Maßnahmen vor. Dabei kommt es in erster Linie darauf an, dass die getroffenen Maßnahmen geeignet bzw. verhältnismäßig sind, um die Datensicherheit zu gewährleisten.
Zu den organisatorischen Schutzmaßnahmen können unter anderem die Sensibilisierung der Mitarbeiter auf den Datenschutz durch regelmäßige Schulungen, die Einführung einer Passwortrichtlinie, regelmäßige Datenschutz-Audits oder die Erstellung von Verfahrensverzeichnissen gezählt werden. Zu den technischen Maßnahmen gehören etwa individuelle Benutzeridentifikationen und Passwörter der Mitarbeiter, Sicherheitsschlösser an allen Zugangstüren, Back-up- und Berechtigungskonzepte.

Auftragsdatenverarbeitung

Die allermeisten Start-ups und Unternehmen arbeiten mit externen IT-Dienstleistern zusammen. Oft haben diese Unternehmen ihren Hauptsitz in den USA, was eine Kontrolle über die Daten erschwert. Neben Cloud-Speicher-Anbietern, zählen E-Mail-Dienste, CMS/CRM-Systeme, Error-Tracking und Logging-Tools zu jenen Anbietern, die im Auftrag der Start-ups besonders häufig personenbezogene Daten verarbeiten.
Abhängig vom Unternehmenssitz dieser Anbieter, muss die Zusammenarbeit durch einen Vertrag über die Auftragsdatenverarbeitung (ADV) oder durch EU-Standardvertragsklauseln legitimiert werden. Denn durch diese Verträge wird der Auftragnehmer verpflichtet, seinerseits technische und organisatorische Maßnahmen zu ergreifen, durch welche die Datensicherheit gewährleistet ist.

Haftungsrisiken

Werden datenschutzrechtliche Vorschriften nicht eingehalten, etwa weil personenbezogene Daten ohne gesetzliche Legitimationsgrundlage oder Einwilligung verarbeitet werden, so sieht die DS-GVO sogar Bußgelder bis zu 20 Mio. EUR oder 4 Prozent des Jahresumsatzes vor. Neben den rechtlichen Konsequenzen führt der falsche Umgang von personenbezogenen Daten auch zu wirtschaftlichen Schäden. Denn ist das Sicherheitsgefühl der Kunden erst einmal verloren, kommt es so schnell nicht wieder. Mit Blick auf die gesetzlichen Anforderungen und den möglichen Gefahren kann es sich deshalb anbieten – sofern innerbetrieblich nicht vorhanden – einen fachkundigen Experten hinzuzuziehen.

Der Datenschutzbeauftragte

Als Experte unterstützt ein Datenschutzbeauftragter die Unternehmensführung bei der Einhaltung gesetzlicher Vorschriften und sollte daher unbedingt die notwendige Fachkunde besitzen. Ab zwanzig Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten sogar gesetzlich vorgeschrieben.
Der Datenschutzbeauftragte kann ein geeigneter Mitarbeiter des Unternehmens oder ein externer Dienstleister sein. Bei der Wahl des internen Datenschutzbeauftragten ist zu beachten, dass dieser unabhängig agieren können muss und in keinem Interessenkonflikt stehen darf. Das bedeutet, dass die Geschäftsführer und leitenden Mitarbeiter, wie etwa die Personal-, oder IT-Verantwortlichen, die Aufgaben des Datenschutzbeauftragten nicht übernehmen dürfen. Zudem kann der Datenschutzbeauftragte auch nicht ohne Weiteres abberufen, also auch nicht mehr gekündigt werden. Sogar befristete Beschäftigungsverhältnisse werden durch die Bestellung zum Datenschutzbeauftragten faktisch unbefristet.
Oft stellt der externe Datenschutzbeauftragte deshalb gerade für Start-ups die bessere Alternative dar. Denn dieser besitzt bereits die erforderliche Fachkunde, die notwendig ist, um das Datenschutzmanagement zuverlässig und schnell im Unternehmen umzusetzen.

Vorteil Datenschutz - von Anfang an

Wird ein Datenschutzmanagement von Anfang an im Unternehmen umgesetzt, so werden die damit verbundenen Sicherheitsmaßnahmen frühzeitig Bestandteil der Unternehmenskultur. Gerade deshalb sollten auch schon kleinere Unternehmen die Einführung eines Datenschutzmanagements und die Benennung eines betrieblichen oder externen Datenschutzbeauftragten erwägen und die hierfür notwendigen Investitionen tätigen. Die Beachtung von Datenschutz bedeutet auch einen Vorteil im Wettbewerb durch die Schaffung von Kundenvertrauen. Das ist gerade für junge Unternehmen wichtig. Wenn beispielsweise plötzlich bekannt wird, dass sich das Unternehmen mit personenbezogenen Daten nicht gesetzeskonform verhält, entstehen schnell große Imageschäden und das gerade gewonnene Kundenvertrauen geht wieder verloren. Auch der verantwortungslose Umgang mit Mitarbeiterdaten kann einen großen Imageschaden nach sich ziehen. Imageschäden nach einem Datenschutzvorfall sind für Unternehmen schwer „aufzufangen“.
Die Unternehmensführung hat den Vorteil, dass sie mit einem regelkonformen Datenschutz das eigene Haftungsrisiko minimieren kann. Denn Geschäftsführer einer GmbH können beispielsweise für einen Gesetzesverstoß im Bereich Datenschutz mit ihrem Privatvermögen haften. Empfehlung für die Praxis Gerade auch Startups sollten daher die Chance nutzen, so früh wie möglich sinnvolle und notwendige Maßnahmen zu ergreifen und den Datenschutz von Beginn an als wichtigen Teil der Unternehmenskultur ansehen. Hinsichtlich der beschriebenen gesetzlichen Anforderungen und Risiken bietet es sich an, einen Experten bei der Umsetzung hinzuzuziehen oder durch entsprechende Weiterbildungsmaßnahmen das erforderliche Fachwissen bei den eigenen Mitarbeitern zu entwickeln.
Datenschutz nicht nur im Startup? Je früher desto besser!
Stand Dezember 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Betroffenenrechte

Die EU-Datenschutz-Grundverordnung (DSGVO) stärkt spürbar die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Die DSGVO enthält umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerspruchsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. Der Anspruch richtet sich in der Regel gegen den Verantwortlichen. Er ist verpflichtet, der betroffenen Personen die Ausübung ihrer Rechte (Art. 12 Abs. 2 DSGVO) zu erleichtern. Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 innerhalb eines Monats antworten. Zwar gibt es Möglichkeiten der Fristverlängerung, allerdings müssen die Gründe dafür ebenfalls in der Monatsfrist mitgeteilt werden, so dass in jedem Fall schnell reagiert werden muss. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Der Verantwortliche im Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten.

Art. 12 DSGVO – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Betroffenenrechte

Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen werden schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt; ausnahmsweise auch mündlich, sofern die betroffene Person dies verlangt und die Identität der betroffenen Person nachgewiesen wurde.
Geht ein Antrag (beispielsweise auf Auskunft) einer betroffenen Person bei dem Verantwortlichen ein, kann dieser entweder tätig werden und Maßnahmen ergreifen z. B. eine Auskunft erteilen (Art. 12 Abs. 3) oder davon absehen. Wird der Verantwortliche aber nicht tätig (Art. 12 Abs. 4), hat er neben den Gründen hierfür die betroffene Person auch über die Möglichkeit zu unterrichten, bei einer Aufsichtsbehörde Beschwerde oder bei Gericht einen entsprechenden Rechtsbehelf einzulegen. Wird der Verantwortliche tätig, muss er auf den Antrag der betroffenen Person grundsätzlich unverzüglich reagieren (Art. 12 Abs. 3), aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Allerdings muss dann die betroffene Person innerhalb eines Monats über die Fristverlängerung unter Nennung der Gründe für die Verzögerung unterrichtet werden (Art. 12 Abs. 3). Die Auskunftserteilung erfolgt unentgeltlich. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann ein angemessenes Entgelt verlangt werden oder eine Weigerung erfolgen, aufgrund des Antrags tätig zu werden; der Verantwortliche hat hierfür aber die Nachweispflicht (Art. 12 Abs. 5).

Art. 13 DSGVO – Informationspflicht bei Datenerhebung beim Betroffenen

Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13) oder bei einer dritten (Art. 14) erhoben werden. „Direkterhebung“ meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person. Werden die Daten bei der betroffenen Person erhoben, so muss der Verantwortliche zum Zeitpunkt der Datenerhebung (Art. 13 Abs. 1) die betroffene Person umfassend über die Verarbeitung informieren und Folgendes mitteilen:
  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke der Verarbeitung und Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten,
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: berechtigtes Interesse des Verantwortlichen,
  • ggf. Empfänger oder Kategorien von Empfängern,
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
  • Dauer der Datenspeicherung,
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a),
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22).
Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten, als zu dem für den die personenbezogenen Daten erhoben wurden, so erfordert dies vorab eine erneute Information des Betroffenen. Der Verantwortliche muß über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Art. 13 Abs. 2 den Betroffenen aufklären (zuvor ist zu prüfen, ob eine solche Zweckänderung im Rahmen von Art. 6 Abs. 4 überhaupt zulässig ist).
Ausnahmen: Nach Art. 13 Abs. 4 entfällt die Information bei Direkterhebung, wenn und soweit die betroffene Person bereits über die Information verfügt. Weitere geringfügige Ausnahmen hierzu enthält auch § 32 BDSG.

Art. 14 DSGVO – Informationspflicht, wenn Datenerhebung nicht beim Betroffenen erfolgt

Erfolgt die Datenerhebung nicht beim Betroffenen, sind die Informationspflichten weitgehend parallel zu Art. 13 Abs. 1 und 2 geregelt. Abweichungen sind folgende:
  • Es müssen die Kategorien personenbezogener Daten, die verarbeitet werden, genannt werden, zum Beispiel Kundendaten, Mitarbeiterdaten.
  • Es muss genannt werden, aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen.
  • Außerdem muss nicht über die Pflicht zur Bereitstellung der Daten informiert werden, also ob es sich um eine freiwillige Angabe handelt oder nicht.
Des Weiteren gibt es im Unterschied zu Art. 13 detailliertere Regelungen zum Zeitpunkt der Informationserteilung (Art. 14 Abs. 3) und zu den Ausschlusstatbeständen nach Art. 14 Abs. 5, wenn die Informationspflicht entfällt.
Auch hier sind weitere Ausnahmen in den §§ 29, 33 des BDSG zu finden. Auch zur Videoüberwachung gibt es in § 4 Abs. 2 des BDSG Ausnahmen.
Grundsätzlich sollte das verantwortliche Unternehmen sicherstellen können, dass diese Datenschutzinformationen den oben genannten Anforderungen entsprechen und insbesondere ein Nachweis über die Mitteilung der Informationen geführt werden kann.

Art. 15 DSGVO – Auskunftsrecht

Das Auskunftsrecht der betroffenen Person über beim Verantwortlichen gespeicherte personenbezogene Daten ist das zentrale Recht, um bei Bedarf gezielt weitere Rechte, z. B. Recht auf Berichtigung, Löschung etc. geltend zu machen. Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person bezüglich dieser personenbezogenen Daten ein Recht auf Auskunft über:
  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer,
  • soweit möglich über die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer,
  • Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen die Verarbeitung,
  • über das Beschwerderecht bei der Aufsichtsbehörde,
  • über die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden,
  • soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
  • wenn Übermittlung an Drittländer/internationale Organisation, dann Unterrichtung über die geeigneten Garantien gemäß Art. 46 DSGVO.
Das OLG Köln entschied, dass Gesprächsnotizen und Telefonvermerke ebenfalls dem Auskunftsrecht unterliegen (OLG Köln, Urteil vom 26.07.2019, Az. 20 U 75/18)
Form der Auskunftserteilung: je nach Sachverhalt schriftlich, elektronisch oder mündlich, möglichst in Form einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3). Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund Nr. 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet. Auch hier sieht das BDSG Erleichterungen bzw. Modifizierungen vor (§§ 29, 30, 34).

Art. 16 DSGVO – Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Korrektur von falschen personenbezogenen Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

Art. 17 DSGVO – Recht auf Löschung, Recht auf Vergessenwerden

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende Daten unverzüglich gelöscht werden, wenn folgende Gründe vorliegen (Art. 17 Abs. 1):
  • Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig,
  • die betroffene Person widerruft ihre Einwilligung (Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a), und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen, berechtigten Gründe für die weitere Verarbeitung vor,
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
  • die Löschung der personenbezogenen Daten ist aufgrund eines spezielleren Gesetzes erforderlich, d. h. zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt,
  • die personenbezogenen Daten wurden in Bezug auf direkt gegenüber einem Kind angebotene Dienste der Informationsgesellschaft erhoben.
Hier geht es um die Idee des „digitalen Radiergummis“, wobei dies nicht nur für den Online-Bereich gilt. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zur Löschung verpflichtet (Art. 17 Abs. 1), muss er nach Art. 17 Abs. 2 unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihm die Löschung aller Links zu diesen personenbezogene Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Ein Verantwortlicher muss also andere Verantwortliche darüber informieren, dass der Betroffenen die Löschung etwa aller Links oder Kopien verlangt.
Ausnahmen (Art. 17 Abs. 3): Es besteht für den Verantwortlichen keine Pflicht zur Löschung, wenn die weitere Speicherung der personenbezogenen Daten aus einem der folgenden Gründe erforderlich ist:
  • Ausübung des Rechts auf freie Meinungsäußerung und Information,
  • Erfüllung einer rechtlichen Verpflichtung (z. B. gesetzliche Aufbewahrungspflichten), die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten erfordert oder zur Wahrung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die den Verantwortlichen übertragen wurde,
  • Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit,
  • im öffentliche Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke,
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Weitere Ausnahmen etwa für in Papierform gespeicherte Daten sieht § 35 BDSG vor.

Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung

Unter „Einschränkung der Verarbeitung“ sind nach den Erwägungsgründen Methoden zur Beschränkung der Verarbeitung personenbezogener Daten zu verstehen, z. B. dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Webseite entfernt werden. Die betroffene Person hat das Recht, von dem Verantwortlichen diese Einschränkung der Verarbeitung zu verlangen, wenn die nachfolgend aufgezählten Voraussetzungen vorliegen:
  • Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der Daten zu überprüfen,
  • die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der Daten ab und verlangt stattdessen eine Einschränkung der Verarbeitung,
  • der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,
  • die betroffene Person hat Widerspruch gegen eine auf berechtigte Interessen des Verantwortlichen gestützte Verarbeitung eingelegt, und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Wurde die Verarbeitung auf Antrag des Betroffenen eingeschränkt, so dürfen diese personenbezogenen Daten – mit Ausnahme ihrer Speicherung – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates verarbeitet werden. Außerdem muss der Verantwortliche die betroffene Person vor Aufhebung der Einschränkung unterrichten (Art. 18 Abs. 3).
Ausnahmen finden sich in § 35 BDSG.

Art. 20 DSGVO – Recht auf Datenübertragbarkeit

Eine betroffene Person, die einem Verantwortlichen die betreffenden personenbezogenen Daten bereitgestellt hat, hat das Recht, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus ist die betroffene Person berechtigt, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten ursprünglich bereitgestellt wurden, zu übermitteln. Dies gilt allerdings nur, sofern die Verarbeitung
  • auf einer Einwilligung oder einem Vertrag beruht und
  • mit Hilfe automatisierter Verfahren erfolgt.
Der Betroffene kann also erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen übermittelt werden, soweit dies technisch möglich ist.
Ausnahmen gelten, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ferner dürfen die Rechte und Freiheiten anderer Personen durch die Ausübung nicht beeinträchtigt werden. Das Recht auf Löschung gem. Art. 17 DSGVO bleibt davon unberührt.

Art. 21 DSGVO – Recht auf Widerspruch

Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch für ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer er kann
  • zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder
  • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6).
Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einer verständlichen und von anderen Informationen getrennter Form hingewiesen werden.
§ 36 BDSG schränkt das Widerspruchsrecht gegenüber öffentlichen Stellen ein, bei einem zwingenden öffentlichen Interesse oder einer zur Verarbeitung verpflichtenden Rechtsvorschrift ein.

Art. 22 DSGVO – Automatisierte Entscheidung im Einzelfall

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei hat die betroffene Person insbesondere das Recht auf Eingreifen einer Person aufseiten des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auch auf Anfechtung der Entscheidung. Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, gilt nicht, wenn die Entscheidung
  • für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
  • aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung de Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
  • mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Geringfügige Ausnahmen finden sich in § 37 BDSG.

Stand Oktober 2020
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Melde- und Benachrichtigungspflichten

Unternehmen unterliegen im Falle einer Verletzung des Schutzes personenbezogener Daten der Meldepflicht gegenüber der Aufsichtsbehörde und der Benachrichtigungspflicht gegenüber dem Betroffenen (Artikel 33 der Europäischen Datenschutz-Grundverordnung (DS-GVO).

I. Meldepflicht gegenüber Aufsichtsbehörde

1. Für wen gilt die Meldepflicht?

Adressat der Regelung ist jeder Verantwortliche im Sinne der DS-GVO. Dies ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die – allein oder gemeinsam – über die Zwecke und Mittel der Datenverarbeitung entscheidet. Innerhalb eines Unternehmensverbundes können auch mehrere als gemeinsam Verantwortliche kooperieren, sogenannte Joint Controllers. Liegt eine Auftragsverarbeitung vor, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Dieser nimmt dann die Meldung an die Aufsichtsbehörde vor.

2. Wann besteht die Meldepflicht?

Grundsätzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Nach der DS-GVO stellt jede Verletzung der Sicherheit (egal ob unbeabsichtigt), die zur Vernichtung, zum Verlust, zur Veränderung, zum unbefugten Zugang, oder zur unbefugten Offenlegung von personenbezogenen Daten führt, eine meldepflichtige Verletzung dar.
Die Meldung ist unverzüglich und möglichst binnen 72 Stunden vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen. Eine Meldung kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Ein Risiko – und damit eine Meldepflicht – besteht bei Verarbeitungen, die
  • zu physischem, materiellen oder immateriellen Schaden, Diskriminierung, Identitätsdiebstahl/-betrug, finanziellem Verlust, Rufschädigung, Vertraulichkeitsverlust von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung, erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen können;
  • betroffene Personen um Rechte und Freiheiten bringt oder diese an der Kontrolle personenbezogener Daten hindert;
  • rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Gesundheitsdaten, Angaben zum Sexualleben, strafrechtliche Verurteilungen betreffen;
  • Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort, Ortswechsel, analysieren oder prognostizieren zwecks Profilings;
  • personenbezogene Daten schutzbedürftiger Personen, insbesondere Kinder, betreffen
  • große Mengen personenbezogener Daten und eine große Anzahl von Personen betreffen.

3. Was ist Inhalt der Meldung?

Die Meldung an die Aufsichtsbehörde muss mindestens die Beschreibung der Art der Verletzung, die Angabe von Kategorien und ungefährer Zahl der Betroffenen und der Datensätze enthalten. Außerdem ist – sofern die Pflicht zur Bestellung besteht – Name und Kontakt des Datenschutzbeauftragten zu benennen. Abschließend hat eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung, sowie der von dem Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung zu erfolgen.

II. Benachrichtigungspflicht gegenüber dem Betroffenen


1. Wann ist zu benachrichtigen?

Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge, hat der Verantwortliche den Verstoß nicht nur der zuständigen Aufsichtsbehörde zu melden, sondern muss darüber hinaus die betroffene Person ohne unangemessene Verzögerung benachrichtigen. Die Benachrichtigung sollte so rasch wie möglich und in enger Absprache mit der zuständigen Aufsichtsbehörde erfolgen.

2. Ausnahme von der Benachrichtigungspflicht

Eine Benachrichtigung muss nicht erfolgen, wenn
  • Risiken für die betroffene Person durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausgeschlossen wurden oder
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für Rechte und Freiheiten der betroffenen Person nicht mehr besteht oder
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen.

3. Inhalt der Benachrichtigung

Die Benachrichtigung muss Angaben über die Art der Verletzung, die wahrscheinlichen Folgen sowie die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Diese Angaben müssen in klarer und einfacher Sprache abgefasst werden. Darüber hinaus sind – sofern die Pflicht zur Bestellung besteht – Name und Kontakt des Datenschutzbeauftragten zu nennen.

III. Was passiert bei Verstoß gegen die Melde-/ oder Benachrichtigungspflicht?

Bei Verstoß gegen die Melde- und Benachrichtigungspflichten können gegen Unternehmen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres verhängt werden.



Unternehmen unterliegen im Falle einer Verletzung des Schutzes personenbezogener Daten der Meldepflicht gegenüber der Aufsichtsbehörde und der Benachrichtigungspflicht gegenüber dem Betroffenen (Artikel 33 der Europäischen Datenschutz-Grundverordnung (DS-GVO). Diese Pflichten sind im Vergleich zu der bisher geltenden Regelung des Bundesdatenschutzgesetzes umfangreicher. Sie gelten seit dem 25. Mai 2018.

I. Meldepflicht gegenüber Aufsichtsbehörde

1. Für wen gilt die Meldepflicht?

Adressat der Regelung ist jeder Verantwortliche im Sinne der DS-GVO. Dies ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die – allein oder gemeinsam – über die Zwecke und Mittel der Datenverarbeitung entscheidet. Innerhalb eines Unternehmensverbundes können auch mehrere als gemeinsam Verantwortliche kooperieren, sogenannte Joint Controllers. Liegt eine Auftragsverarbeitung vor, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Dieser nimmt dann die Meldung an die Aufsichtsbehörde vor.

2. Wann besteht die Meldepflicht?

Grundsätzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Nach der DS-GVO stellt jede Verletzung der Sicherheit (egal ob unbeabsichtigt), die zur Vernichtung, zum Verlust, zur Veränderung, zum unbefugten Zugang, oder zur unbefugten Offenlegung von personenbezogenen Daten führt, eine meldepflichtige Verletzung dar.
Die Meldung ist unverzüglich und möglichst binnen 72 Stunden vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen. Eine Meldung kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Ein Risiko – und damit eine Meldepflicht – besteht immer bei Verarbeitungen, die
  • zu physischem, materiellen oder immateriellen Schaden, Diskriminierung, Identitätsdiebstahl/-betrug, finanziellem Verlust, Rufschädigung, Vertraulichkeitsverlust von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung, erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen können;
  • betroffene Personen um Rechte und Freiheiten bringt oder diese an der Kontrolle personenbezogener Daten hindert;
  • rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Gesundheitsdaten, Angaben zum Sexualleben, strafrechtliche Verurteilungen betreffen;
  • Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort, Ortswechsel, analysieren oder prognostizieren zwecks Profilings;
  • personenbezogene Daten schutzbedürftiger Personen, insbesondere Kinder, betreffen
  • große Mengen personenbezogener Daten und eine große Anzahl von Personen betreffen.

3. Was ist Inhalt der Meldung?

Die Meldung an die Aufsichtsbehörde muss mindestens die Beschreibung der Art der Verletzung, die Angabe von Kategorien und ungefährer Zahl der Betroffenen und der Datensätze enthalten. Außerdem ist – sofern die Pflicht zur Bestellung besteht – Name und Kontakt des Datenschutzbeauftragten zu benennen. Abschließend hat eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung, sowie der von dem Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung zu erfolgen.

II. Benachrichtigungspflicht gegenüber dem Betroffenen

1. Wann ist zu benachrichtigen?

Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge, hat der Verantwortliche den Verstoß nicht nur der zuständigen Aufsichtsbehörde zu melden, sondern muss darüber hinaus die betroffene Person ohne unangemessene Verzögerung benachrichtigen. Die Benachrichtigung sollte so rasch wie möglich und in enger Absprache mit der zuständigen Aufsichtsbehörde erfolgen.

2. Ausnahme von der Benachrichtigungspflicht

Eine Benachrichtigung muss nicht erfolgen, wenn
  • Risiken für die betroffene Person durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausgeschlossen wurden oder
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für Rechte und Freiheiten der betroffenen Person nicht mehr besteht oder
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen.

3. Inhalt der Benachrichtigung

Die Benachrichtigung muss Angaben über die Art der Verletzung, die wahrscheinlichen Folgen sowie die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Diese Angaben müssen in klarer und einfacher Sprache abgefasst werden. Darüber hinaus sind – sofern die Pflicht zur Bestellung besteht – Name und Kontakt des Datenschutzbeauftragten zu nennen.

III. Was passiert bei Verstoß gegen die Melde-/ oder Benachrichtigungspflicht?

Bei Verstoß gegen die Melde- und Benachrichtigungspflichten können gegen Unternehmen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres verhängt werden.
Stand Mai 2018
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Merkblatt zur Videoüberwachung

Bei einer Videoüberwachung ist aus datenschutzrechtlicher Sicht sehr viel zu beachten. Zahlreiche Informationen dazu finden Sie im aktuellen Merkblatt "Videoüberwachung durch nicht-öffentliche Stellen" des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.
Stand Juli 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.

Beschäftigtendatenschutz

Die EU-Datenschutz-Grundverordnung (DSGVO) trifft keine inhaltlichen Regelungen zum Datenschutz im Beschäftigungsverhältnis, sondern überlässt es dem nationalen Gesetzgeber, hierzu Vorschiften zu erlassen. Der deutsche Gesetzgeber hat das innerhalb der Änderung des Bundesdatenschutzgesetzes (BDSG) mit § 26 getan.

Rechtsgrundlagen

Die Geltung der Vorschriften der DSGVO und des BDSG setzt keine IT-gestützte Verarbeitung von Personaldaten voraus; sie gelten auch für in Papierform geführte Personalakten, § 26 Abs. 7 BDSG.
Die Datenverarbeitung ist zulässig, wenn sie zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses (z. B. Bewerberdaten), für seine Durchführung oder Beendigung erforderlich ist. Dazu gehören Pflichten, die sich aus Gesetzen (z. B. Steuer- oder Sozialgesetze), aus Tarifverträgen sowie Betriebs- oder Dienstvereinbarungen ergeben.
Die Verarbeitung besonderer Kategorien von Daten (z. B. Religionszugehörigkeit, Gesundheitsdaten) ist nach Art. 9 Abs. 2 Buchstabe b) DSGVO, § 26 Abs. 3 BDSG zulässig.

Wer ist Beschäftigter?

Nach § 26 Abs. 8 BDSG umfasst der Begriff auch LeiharbeitnehmerInnen sowie BewerberInnen und ausgeschiedene ArbeitnehmerInnen.

Einwilligung

Falls der Arbeitgeber für die Datenverarbeitung eine Einwilligung des Beschäftigten benötigt, muss sie nach § 26 Abs. 2 BDSG in Schriftform eingeholt werden. Die Freiwilligkeit der Einwilligung wird vermutet, wenn sich für den Arbeitnehmer ein rechtlicher oder wirtschaftlicher Vorteil ergibt (z. B. betriebliche Altersversorgung). Der Beschäftigte ist dabei auf die jederzeitige Widerrufsmöglichkeit seiner Einwilligung hinzuweisen. Insofern muss jedes Unternehmen überprüfen, ob bisherige Einwilligungen, die von den Beschäftigten eingeholt wurden, noch gültig sind. Die Anforderungen ergeben sich aus Art. 7 DSGVO. Fehlt es also an dem Hinweis auf das jederzeitige Widerrufsrecht und an der Darstellung des Zwecks der mit der Einwilligung verfolgten Datenverarbeitung, bestehen berechtigte Zweifel an der Gültigkeit der vor dem 25.05.2018 eingeholten Einwilligungen.
Nach Art. 22 Abs. 2 Buchstabe c) DSGVO bedarf eine automatisierte Entscheidung z. B. in Fällen elektronischer Scoring-Verfahren im Personalbereich einer ausdrücklichen Einwilligung der Beschäftigten.
Die Einwilligungen z. B. zur Verwendung eines Fotos des Beschäftigten im Internet oder zur privaten Nutzung von E-Mail und Internet mit Überprüfungsrecht des Arbeitgebers sollten auf vom Arbeitsvertrag getrennten Dokumenten eingeholt werden, weil sonst bei jedem neuen Einwilligungserfordernis der Arbeitsvertag geändert werden müsste.

Kollektivvereinbarungen

Bisherige Betriebs- oder Dienstvereinbarungen müssen ebenfalls auf ihre Übereinstimmung mit der DSGVO überprüft werden. Dabei geht es insbesondere um die erhöhten Transparenzplichten nach Art. 13 und 14 DSGVO, also die Informationspflichten gegenüber der betroffenen Person, hier den Beschäftigten. Die Informationspflichten betreffen insbesondere den genauen Datenkranz, der verarbeitet wird, die Zwecke sowie die Angaben, an wen die Daten übermittelt werden. Davon umfasst ist auch der Hinweis auf etwaige Übermittlungen in Drittstaaten. Die Beschäftigten müssen auch über ihre Rechte nach Art. 12 DSGVO informiert werden:
  • Auskunftsrecht, Art. 15
  • Recht auf Berichtigung der Daten, Art. 16
  • Recht auf Löschung von Daten, Art. 17
  • Recht auf Einschränkung der Verarbeitung, Art. 18
  • Recht auf Datenübertragbarkeit, Art. 20.

Datentransfer im Konzern

Als Rechtsgrundlage für eine Übermittlung von Personaldaten innerhalb eines Konzerns z. B. an die Tochter oder an die Konzernmutter, die die gesamte Personalverwaltung durchführt, kann auf Art. 6 Abs. 1 Buchstabe f) DSGVO gestützt werden, wenn die Erforderlichkeit für den Transfer dargelegt werden kann. Damit wäre auch eine Übermittlung von Daten in Drittstaaten zulässig, wenn das angemessene Datenschutzniveau nach den Mechanismen der Art. 44 ff. DSGVO nachgewiesen werden kann.

Datenschutz-Folgenabschätzung

Da zur Erfüllung z. B. der Verpflichtung zur Abführung der Kirchensteuer die Religionszugehörigkeit erfasst werden muss, muss für die Verarbeitung der Personalstammdaten eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Das gilt auch wegen der Verarbeitung von Gesundheitsdaten (z. B. Krankmeldungen, betriebliches Wiedereingliederungsmanagement) oder automatisierte Personalentscheidungen.

Prüfschema für Betriebsvereinbarungen

1. Anforderungen nach DSGVO
Für Betroffene muss klar erkennbar sein, welche sie betreffenden personenbezogene Daten verarbeitet bzw. in welchem Umfang personenbezogene Daten gegenwärtig oder künftig verarbeitet werden, insbesondere muss deutlich werden:
  • die Identität des Verantwortlichen
  • die Zwecke der Verarbeitung
  • die Informationen, die eine faire und transparente Verarbeitung gewährleisten
  • das Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogene Daten verarbeitet werden
  • die Aufklärung über Risiken, Rechte, Garantien hinsichtlich der Datenverarbeitung
  • die Aufklärung darüber, wie Rechte geltend gemacht werden können.
Außerdem müssen die Grundsätze nach Art. 5 DSGVO ihren Niederschlag finden.
Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben in einer nachvollziehbaren Weise nur für einen festgelegten zu einem eindeutigen und legitimen Zweck erfolgen.
Dies galt auch schon nach bisherigem Recht.
Neu: Die DSGVO erfordert darüber hinaus angemessene und besondere Maßnahmen im Hinblick auf die Transparenz der Verarbeitung oder über eingesetzte Arbeitsmittel.
Zu beachten:
  • die Identifizierung des Arbeitnehmers darf nur so lange möglich sein, wie es für den Zweck der Verarbeitung erforderlich ist,
  • die Speicherfristen sind auf das unbedingt erforderliche Mindestmaß beschränken.
2. Prüfschema für bestehende Betriebsvereinbarungen
a) Werden auf Grundlage der Betriebsvereinbarung personenbezogene Daten verarbeitet?
b) Enthält die Betriebsvereinbarung Angaben zu den Grundprinzipien nach Art. 5 DSGVO?
aa) Rechtmäßigkeit (= Erlaubnistatbestände vorhanden?)
Verarbeitung rechtmäßig, nach Treu und Glauben und in nachvollziehbarer Weise?
vgl. Art. 6 I a-f DSGVO, EG 39 und Art. 12 ff. DSGVO
bb) Zweckbindungsgrundsatz
Zweck deutlich vereinbart (konkret und detailliert)?
Falls Verarbeitung zu anderem Zweck erfolgt: Vereinbarkeit mit altem Zweck?
cc) Datenminimierung
Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke erforderliche Maß beschränkt?
Sind Strategien und Maßnahmen getroffen (Pseudonymisierung, techn. Vorrichtungen)?
dd) Datenrichtigkeit
Wurden Maßnahmen getroffen, um zu gewährleisten, dass personenbezogene Daten, die hinsichtlich des Zwecks ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden?
Dienstvereinbarung sollte Regelungen zu Korrekturprozessen enthalten.
ee) Speicherbegrenzung
Sind klare Regelungen zu Speicherdauer von personenbezogenen Daten in Dienstvereinbarung getroffen?
ff) Integrität und Vertraulichkeit
Sind technisch-organisatorischen Maßnahmen vorhanden, um den Schutz vor unbefugter, unrechtmäßiger Verarbeitung sowie vor Schädigung, Zerstörung oder Verlust zu gewährleisten? Ist die Verarbeitung besonderer Datenkategorien (z. B. Religionszugehörigkeit, Gesundheitsdaten, biometrische Daten) ausreichend gesichert?
3. Werden besondere Kategorien personenbezogener Daten verarbeitet?
Dann Art. 9 DSGVO beachten. Besonders relevant bei: Zutrittssystemen mit biometrischer Datenverarbeitung, Einsatz von elektronischen Personalakten, Ausgestaltung des BEM, Durchführung von Assessmentcentern mit elektronischer Datenverarbeitung der Bewerberdaten.
4. Sind Maßnahmen getroffen worden, um die Informationspflichten zu erfüllen?
Der Arbeitgeber muss Angaben machen zu: Name des Verantwortlichen, seines Vertreters, des betrieblichen Datenschutzbeauftragten, den Zweck sowie die Rechtsgrundlage der Verarbeitung, Speicherfristen, Betroffenenrechte, Empfänger der Daten, Beschwerderechte und Rechtsbehelfe, Datenverarbeitung im Drittland.
5. Sind Maßnahmen getroffen worden, um die Betroffenenrechte zu berücksichtigen?
Sind die Angaben zu den Betroffenenrechten nach Art. 15 sowie Mitteilungen nach Art. 16 ff. DSGVO enthalten?
Die umfangreichen Angaben sollten als Anhang zum Arbeitsvertrag oder in der Betriebsvereinbarung abgebildet werden.
Praxistipp:
Eine Alternative zur Änderung aller Betriebsvereinbarungen könnte der Abschluss einer „Dach“-Betriebsvereinbarung sein, in der ausschließlich datenschutzrechtliche Aspekte geregelt werden und die Bezug nimmt auf die speziellen Vereinbarungen z. B. zur Arbeitszeit usw. Zumindest könnte aber eine schriftliche allgemeine Information der Beschäftigten darüber erfolgen, welche Daten für welche Zwecke in dem Unternehmen verarbeitet werden.

Stand Oktober 2018
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht

Gesellschaft für Datenschutz und Datensicherheit e.V.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) bietet Schulungen zur Aus- und Weiterbildung der Datenschutz- und Sicherheitsbeauftragten in Unternehmen und Behörden an. Grundlage des Ausbildungskonzepts der GDD-Datenschutz-Akademie sind die Anforderungen an die Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG.
Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Pariser Str. 37
53117 Bonn
Tel.: 0288 694313
Fax: 0228 695638
E-Mail: info@gdd.de
Das Programm finden Sie auf der Homepage des GDD.
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.