Arbeits- und datenschutzrechtlich wurde lange dem 25. Mai 2018 entgegengefiebert. Freitag, der 25. Mai 2018 ist nun vorbei, die Datenschutzgrundverordnung (DSGVO) kommt seit diesem Datum EU-weit zur Anwendung – und die Erde dreht sich dennoch weiter. Unternehmen, Behörden, aber auch Vereine hatten zwei Jahre Zeit, die DSGVO umzusetzen. Ab dem 25. Mai 2018 müssen u.a. Unternehmen in Deutschland die DSGVO und die entsprechenden deutschen Regelungen beachten, andernfalls drohen (hohe) Bußgelder. Für Bußgeldverfahren bei Versäumnissen gibt es über den 25. Mai 2018 hinaus keine weitere offizielle „Karenzzeit“. Die zuständigen Aufsichtsbehörden müssen sich aber selbst noch an die DSGVO gewöhnen, Mitarbeiter einarbeiten und ggf. neue Mitarbeiter einstellen.

Liebe Leserin, lieber Leser, die DSGVO soll den Datenschutz (personenbezogener Daten) in der EU vereinheitlichen und den Datenschutz auf den aktuellen Stand der Technik befördern. Die DSGVO gilt als Verordnung unmittelbar in allen Mitgliedstaaten und muss nicht durch ein nationales Gesetz umgesetzt werden.

Personenbezogene Daten

Personenbezogene Daten sind Daten, die sich unmittelbar oder mittelbar auf einen identifizierbaren Menschen beziehen. Beispielsweise gelten als personenbezogene Daten: Vorname, Nachname, Geburtsdatum, Geschlecht, Adresse, Telefonnummer, Gesundheitsdaten, Autokennzeichen etc.

Grundsätze und Ziele der DSGVO

Der Schutz personenbezogener Daten in der EU soll durch die DSGVO einheitlich und nicht mit deutlich unterschiedlichen nationalen Regelungen begegnet werden. Die DSGVO soll damit auch gleiche Wettbewerbsbedingungen schaffen. Für die Verarbeitung personenbezogener Daten gelten Grundsätze wie Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Es besteht grundsätzlich ein Verbot der Verarbeitung personenbezogener Daten, es sei denn, es liegt ein sog. „Erlaubnistatbestand“ vor. Erlaubnistatbestände sind Einwilligungen, die Erfüllung eines Vertrages oder die Durchführung vorvertraglicher Maßnahmen, die Verarbeitung aufgrund rechtlicher Verpflichtungen oder die Verarbeitung zur Wahrung berechtigter Interessen.

Kontrolle durch Aufsichtsbehörden

Die Einhaltung der DSGVO wird von unabhängigen Aufsichtsbehörden überwacht. In Deutschland sind das die Datenschutzbehörden der einzelnen Bundesländer. Die Datenschutzbehörden der Länder haben das Recht, die Einhaltung der DSGVO zu überprüfen und – bei Versäumnissen – Bußgeldverfahren einzuleiten. Hierzu dürfen die Aufsichtsbehörden beispielsweise schriftliche Informationen einholen, aber auch vor Ort Kontrollbesuche durchführen. Bußgelder dürfen bei Versäumnissen ab dem 25. Mai 2018 verhängt werden. Es ist jedoch davon auszugehen, dass trotz der zweijährigen Umsetzungsfrist nicht sofort deutschlandweit umfangreiche Datenschutzüberprüfungen durchgeführt werden. In vielen Bundesländern ist das Personal dieser Aufsichtsbehörden nicht wesentlich aufgestockt worden, so dass nach dem 25. Mai 2018 diese Datenschutzüberprüfung rein personell gar nicht im großen Umfang durchgeführt werden können.

To Do’s?

Viele Details der DSGVO sind noch unklar. Damit besteht eine gewisse Rechtsunsicherheit, was genau zu tun ist, um die Anforderungen der DSGVO einzuhalten. Dies ist jedoch auf der anderen Seite auch ein Vorteil. Wenn noch keine Klarheit darüber besteht, was genau zu tun ist, kann auch kein „Versäumnis“ vorliegen und damit kein Bußgeld festgesetzt werden, wenn die DSGVO (noch) nicht ins letzte Detail umgesetzt wurde. Eine Rechtfertigung ist dies jedoch nicht dafür, dass die DSGVO noch gar nichts oder fast nicht umgesetzt wurde. Datenschutzrechtler empfehlen deshalb, so gut wie möglich und soweit wie möglich die DSGVO umzusetzen, um – im Falle einer Datenschutzüberprüfung – den Aufsichtsbehörden darstellen und nachweisen zu können, dass das Unternehmen auf dem richtigen Weg ist. Etwaige kleinere Beanstandungen der Aufsichtsbehörden führen dann nicht gleich zu einem Bußgeldverfahren.

Was ist von der Unternehmensseite in jedem Fall zu tun bzw. zu überprüfen?

  • Ist die Bestellung eines Datenschutzbeauftragten erforderlich?
  • Führung eines Verfahrensverzeichnisses und der Folgenabschätzung.
  • Betroffenenrechte gewährleisten. Hierzu gehören die Rechte auf Auskunft, Recht auf Erhalt einer Kopie, Recht auf Berichtigung, Löschung, Benachrichtigung, Sperrung und Datenübertragbarkeit.
  • Berücksichtigung der Änderungen bei der Auftragsdatenverarbeitung.
  • Schaffung geeigneter Strukturen für die Umsetzung der DSGVO (Kommunikation, Notfallplan, Verantwortlichkeitsstruktur).

Die DSGVO wird Unternehmen und Gerichte noch lange beschäftigen. Gutes Gelingen bei der Umsetzung der DSGVO.