Kanzlei Mitarbeiter Kontakt Impressum  Suchen

Da­ten­schutz-Grund­ver­ord­nung: Hand­lungs­be­darf für alle Un­ter­neh­men

11.04.2017 | Datenschutz und IT-Sicherheit | Datenschutz- grundverordnung (DSGVO) | von Dr. Michael Karger

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ab diesem Zeitpunkt drohen allen Unternehmen, die die Anforderungen der DS-GVO nicht erfüllen, ein erhöhtes Haftungsrisiko und gravierende Sanktionen, insbesondere hohe Bußgelder.


Wir beraten Sie gerne zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

 

1. Warum besteht Handlungsbedarf?


Mit dem 25. Mai 2018 werden alle Bestimmungen der DS-GVO "scharf geschaltet". Eine Übergangsfrist nach diesem Datum für eine Anpassung der betrieblichen Prozesse gibt es nicht.


Bisher war das Datenschutzrecht für viele Unternehmen Nebensache. Bei Verstößen gegen Datenschutzrecht drohten eher milde Sanktionen. So liegt der Bußgeldrahmen bislang zwischen 50.000 ? bis 300.000 ?. In der Praxis wurden selten höhere als fünfstellige Bußgelder verhängt. Zum Vergleich die neuen Höchstbeträge für Bußgelder: Je nach Verstoß bis zu 10.000.000 ? bzw. 20.000.000 ? oder auch 2% bis 4% des weltweit erzielten Umsatzes. Untätigkeit kann angesichts dieses Risikos existenzgefährdend sein.

 

2. Ist unser Unternehmen betroffen?


Ja! Von den Anforderungen ist jedes Unternehmen betroffen, das mit personenbezogenen Daten arbeitet. Personenbezogene Daten können Daten von Kunden, von Geschäftspartnern oder von Mitarbeitern sein. Dabei ist der Begriff der personenbezogenen Daten so weit, dass darunter auch Daten fallen, die man herkömmlich als rein technische Daten betrachten würde, z.B. Log-Dateien oder IP-Adressen. Es gibt damit praktisch kein Unternehmen, das nicht betroffen ist.

 

3. Was ist zu tun und wie kann Sie TCI hierbei unterstützen?


Jedes Unternehmen sollte sich zunächst eine erste Übersicht über die neuen Anforderungen verschaffen, Handlungsbedarf identifizieren und umzusetzende Maßnahmen priorisieren. Für diesen Einstieg bietet TCI Inhouse-Workshops an, die auf Ihr Unternehmen und Ihre Branche zugeschnitten sind.


Die Umsetzung der Anforderungen ist ein echtes Projekt, bei denen alle relevanten Stakeholder im Unternehmen beteiligt werden sollten: Geschäftsleitung, Fachabteilungen, IT, Datenschutzbeauftragter, Compliance-Beauftragter und Betriebsrat. TCI bietet Ihnen hierzu projektbegleitende Unterstützung an.


Das Erreichen einer 100 %-Compliance ist für viele Unternehmen kein realistisch erreichbares Ziel. Man sollte pragmatisch vorgehen. Ziel sollte es sein, bis zum 25. Mai 2018 jedenfalls diejenigen Maßnahmen eingeleitet oder umgesetzt zu haben, die erforderlich sind, um das Sanktionsrisiko erheblich zu senken.

 

4. Ist das Team von TCI qualifiziert?


TCI ist auf IT-Recht und Datenschutzrecht spezialisiert. Alle Mitglieder des TCI-Datenschutzteams haben in diesen Bereichen langjährige praktische Erfahrung. Dr. Michael Karger, Stephan Schmidt, Christian Welkenbach und Carsten Gerlach sind als externe Datenschutzbeauftragte für Unternehmen diverser Branchen tätig. Dr. Michael Karger vertritt als Fachanwalt für Verwaltungsrecht Unternehmen in datenschutzrechtlichen Verwaltungsverfahren und vor den Verwaltungsgerichten.


5. Welche Einzel-Themen sind wichtig?


Im Folgenden sprechen wir Themen an, die für die allermeisten Unternehmen relevant sind. Wird diesbezüglich keine Compliance hergestellt, drohen die dargestellten Bußgeld und Haftungsrisiken.

 

a) Sanktions- und Haftungsrisiken


Zunächst die Risiken bei Nichteinhaltung der datenschutzrechtlichen Anforderungen. Diese treffen nicht - wie bisher - nur die verantwortliche Stelle, sondern neuerdings auch Auftragsdatenverarbeiter und damit viele Dienstleister im IT-Bereich. Neben den drastischen Bußgeldern drohen eine verschärfte zivilrechtliche Schadensersatzhaftung, die auch auf eine Haftung für immaterielle Schäden ("Schmerzensgeld") ausgeweitet wird - relevant vor allem für Geschäftsmodelle im B2C-Bereich.


Ein besonderes Risiko besteht auch darin, dass die Aufsichtsbehörden bei Datenschutzverstößen bestimmte Verfahren auch untersagen können. Das kann dazu führen, dass bestimmte Produkte vom Markt genommen werden müssen oder bestimmte Geschäftsmodelle eingestellt werden müssen.

 

b) Dokumentations- und Rechenschaftspflichten


Die Pflicht zur Dokumentation datenschutzrechtlich relevanter Vorgänge wird massiv ausgeweitet. Hier bestehen bei vielen Unternehmen schon jetzt erhebliche Defizite, weil es z.B. vielfach kein internes Verfahrensverzeichnis gibt. Die DS-GVO sieht in zahlreichen Bestimmungen eine Pflicht zu Dokumentation und entsprechende Rechenschaftspflichten vor. Das betrifft zum Beispiel die Dokumentation von technischen und organisatorischen Maßnahmen (TOMs) oder das Verzeichnis von Verarbeitungstätigkeiten.


Außerdem sind die Unternehmen gehalten, die Dokumentation schon aus Gründen des Selbstschutzes zu optimieren, da die DS-GVO teilweise eine Beweislastumkehr vorsieht. Das bedeutet, dass sich das Unternehmen bei datenschutzrechtlichen Problemen freibeweisen muss, was im Regelfall nur durch Vorlage der entsprechenden Dokumentation möglich ist.

 

c) Datenschutz-Folgenabschätzung


Bringt eine Datenverarbeitung, insbesondere bei Verwendung neuer Technologien voraussichtlich ein hohes datenschutzrelevantes Risiko für betroffene Personen mit sich, so muss das Unternehmen eine zu dokumentierende Folgenabschätzung vornehmen und unter Umständen auch mit der Aufsichtsbehörde abstimmen. Hiervon sind voraussichtlich eine Vielzahl von Prozessen und Geschäftsmodellen betroffen.

 

d) Produktentwicklung: Pflicht zu "Privacy by Design" und zu "Privacy by Default"


Bei der Produktentwicklung sind nunmehr explizit datenschutzrechtliche Belange zu berücksichtigen. "Privacy by Design" beinhaltet die Pflicht des Unternehmens zu technischen und organisatorischen Maßnahmen, die die Einhaltung Datenschutzvorschriften gewährleisten und begründet umfassende Anforderungen für die Produktentwicklung. "Privacy by Default" bedeutet, dass Standardeinstellungen (z.B. bei Software oder Online-Diensten) so zu gestalten sind, dass nur Daten verarbeitet werden, die für konkreten Zweck benötigt werden.

 

e) Einwilligungen


Viele Verarbeitungsvorgänge und Geschäftsmodelle bedürfen auch künftig einer ausdrücklichen Einwilligung des Betroffenen. Hier stellen sich viele Fragen, z.B. zu Fortgeltung von früher erteilten Einwilligungen oder die wirksame Einholung von Einwilligungen insbesondere im Online-Bereich, der Umgang mit Widersprüchen, etc.

 

f) Maßnahmen zur Umsetzung von Rechten der Betroffenen


Die DS-GVO gewährt den Betroffenen zahlreiche Rechte, die teilweise über die bislang geltenden Rechte hinausgehen. Hierzu zählen insbesondere das Recht auf Berichtigung, das Recht auf Löschen und Vergessenwerden, das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit. diesbezüglich müssen Umsetzungsmaßnahmen getroffen werden.

 

g) Informationspflichten


Die DS-GVO sieht des Weiteren zahlreiche Informationspflichten vor. Auch für diese sind Maßnahmen zu definieren.

 

h) Auftragsverarbeitung


Erhebliche Änderungen stehen für die Auftragsdatenverarbeitung an (die künftig "Auftragsverarbeitung" heißt). Dies betrifft insbesondere Unternehmen, die datenschutzrechtliche Leistungen an andere Unternehmen erbringen. Anders als bisher treffen solche Auftragsverarbeiter neue Verantwortlichkeiten und damit zugleich extrem erhöhte Bußgeld- und Haftungsrisiken.


Bestehende Verträge über Auftragsdatenverarbeitung sollten daher rechtzeitig vor Mai 2018 auf Änderungsbedarf überprüft und erforderlichenfalls angepasst werden. Bei Neuverträgen sollte bereits die künftige Rechtslage berücksichtigt werden.

 

i) Video-Überwachung


Änderungen ergeben sich auch im Hinblick auf die datenschutzrechtlich stets sensible Videoüberwachung. Hier ist insbesondere zu prüfen, ob eine Datenschutz-Folgenabschätzung (siehe oben) erforderlich ist.

 

j) Vorkehrungen für einen "Data Breach"


Unter bestimmten Voraussetzungen bestehen im Fall eines "Data Breach" Meldepflichten des Unternehmens. Der Zeitraum ist kurz (72 Stunden) und kann in der Regel nur eingehalten werden, wenn für diesen Fall bereits ein Prozess vordefiniert und erprobt ist.



Ihre Ansprechpartner:


Standort Berlin

Carsten Gerlach, cgerlach@tcilaw.de, Tel: 030 / 2005420


Standort Mainz

Stephan Schmidt, sschmidt@tcilaw.de, Tel: 06131 / 302 90 46-0


Standort München

Dr. Michael Karger, mkarger@tcilaw.de, Tel: 089 / 38 36 788-0


21.11.2017

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck