Seit dem 25.05.18 ist die DSGVO in Kraft. Was haben Klein- und mittelständische Unternehmen zu beachten? Welche Haftungsrisiken entstehen hier für die Geschäftsführer? Der Artikel versucht das Wichtigste kurz zusammenzufassen.
Betroffen vom DSGVO sind alle Firmen die Personenbezogene Daten verarbeiten. Was sind personenbezogene Daten?
Hier die Definition per Gesetz (Art. 4 Abs. 1 Nr. 1)
„Im Sinne dieser Verordnung bezeichnet der Ausdruck personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
Verständlich zusammengefaßt:
- Identifizierte Daten
- Name
- Adresse
- E-Mail-Adresse
- Identifizierbare Daten
- Kundennummer
- Gehalt
- Kreditkartennummer
- Telefonnummer
- IP-Adresse
Ein Verstoß kann empfindliche Bußgelder von bis zu 20 Mio. EUR oder 4% des Umsatzes nach sich ziehen. Für Inhaber bzw. Geschäftsführer eines Unternehmens ergeben sich hier auch noch zusätzliche Haftungsrisiken aus dem Strafrecht. Die Zusätzlichen Gefahren könnten z.B. sein:
- Verletzung des vertraulichen Worts
- Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen
- Verletzung des Briefgeheimnisses
- Ausspähen von Daten
- Abfangen von Daten („Hacker-Paragrafen“)
- Vorbereiten des Ausspähens und Abfangen von Daten („Hacker-Paragrafen“)
- Verletzung von Privatgeheimnissen (Ärzte, Apotheker, Anwälte, Notare, etc.)
- Verwertung fremder Geheimnisse
- Verletzung des Post-und Fernmeldegeheimnisses
- Computerbetrug
- Täuschung im Rechtsverkehr bei Datenverarbeitung
- Sachbeschädigung
- Datenveränderung
- Computersabotage
- Zerstörung wichtige Arbeitsmittel
Welchen Grundsätzen muß die Verarbeitung von personengebundener Daten folgenden?
- Daten dürfen nur für den bei Erhebung genannten Zweck genutzt werden (Zweckgebunden)
- Der Zugriff auf die Daten darf Dritten nicht möglich sein.
- Änderung an Informationen und Systemen sind immer offensichtlich und nachvollziehbar. (Integrität)
- Informationen und Systeme sind zum benötigten Zeitpunkt verfügbar. (Verfügbarkeit)
- Die Verfahren und Prozesse und Aktionen sind vollständig, zeitnah und prüfbar zu dokumentieren (Transparenz)
- Die Identität von Personen sowie Systemen kann ohne Zweifel nachgewiesen werden (Authentizität)
- Es dürfen nur für den Prozess notwendige Daten erhoben und verarbeitet werden. (Datensparsamkeit)
- An der Verarbeitung beteiligte Personen können zweifelsfrei nachgewiesen werden. (Revisionsfähigkeit)
- Daten können im Unternehmen nicht für andere Zwecke verwendet werden (Nichtverkettbarkeit)
Es ist verboten Daten von natürlichen Personen zu erheben und zu verarbeiten, es sei denn der Betroffene hat eingewilligt.
Worüber muß der Betroffene vor Erhebung seiner Daten informiert werden?
- Welche Daten werden erhoben?
- Zweck der Erhebung / Rechtsgrundlage
- Information über seine Rechte (Widerruf, Löschung…)
- Muß freiwillig sein
- Darf nicht mit weiteren Leistungen verknüpft werden
- Muß genauso einfach widerrufen werden können
- Muß vom Verantwortlichen nachgewiesen werden
Sonderregelungen für:
- Einwilligung durch Beschäftigte (§26 Abs. 2 BDSG neu)
Wichtig! Ein Auskunftsersuchen des Betroffenen muß innerhalb von einem Monat beantwortet werden.
Sollte es zu einer Verletzung des Datenschutzes kommen muß der Betroffen über den Verstoß informiert werden. Gleichzeitig sollte unbedingt eine Meldung an die zuständige Behörde erfolgen. Mann erspart sich hier eventuelle Bußgeldverfahren. Auch hier gilt, Melden macht frei. 😊 Art und Umfang ist im § 33 DSGVO geregelt. Wichtig ist, daß die Meldung unverzüglich, d.h. binnen 72 Stunden ab Kenntnis erfolgen muß.
Wann wird ein Datenschutzbeauftragter zur Pflicht?
Für Firmen mit über 10 Beschäftigten die Personen gebundene Daten verarbeiten. Ab dem ersten Mitarbeiter, wenn eine geschäftsmäßige Verarbeitung von personenbezogenen Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder zum Zwecke der Meinungsforschung geleistet. Außerdem wenn gem. § 35 DSGVO eine Form der Verarbeitung stattfindet, wo insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Pikanterweise hätte hier jeder Bundestagsabgeordnete seinen persönlichen Datenschutzbeauftragten benötigt, als die Damen und Herren das dann auch feststellten, nach dem sie das Gesetzt durch gewunken hatten bastelten sie sich flugs eine Ausnahmereglung.