Am 25. Mai 2018 treten die Regelungen der Datenschutzgrundverordnung der EU in Kraft. Ab diesem Tag werden diese Regelungen direkt als geltendes Recht in allen Mitgliedsstaaten gesehen, da die Verordnung zu der Vereinheitlichung des europäischen Datenschutzrechtes führen soll. Deshalb ist es gut zu wissen, was sich für Unternehmer im Beriech des Datenschutzes, insbesondere bei der Verarbeitung personenbezogener Daten, ändern wird.
Umfangreiche Informationspflichten
Die neuen Datenschutzregelungen sehen für Unternehmen, die Daten verarbeiten, umfangreiche Informationspflichten vor. Es müssen u.a. folgende Informationen den Personen, deren Daten verarbeitet werden, mitgeteilt werden:
- Name und Kontaktdaten des Verantwortlichen, ggf. Kontaktdaten des Datenschutzbeauftragten,
- Zweck und Rechtsgrundlage der Datenverarbeitung,
- Empfänger oder Kategorien von Empfängern der Daten,
- Dauer der Datenspeicherung,
- Belehrung über Betroffenenrechte.
Es gibt auch Ausnahmen von der Informationspflicht. So besteht kein Informationsanspruch der betroffenen Person, wenn sie bereits über die oben genannten Informationen verfügt oder, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder sogar unmöglich ist. Im letzten Fall muss aber der Unternehmer die oben genannten Informationen öffentlich bekanntmachen, z.B. auf einer Webseite.
{loadposition podtekstem}
Auskunftsrecht
Den betroffenen Personen steht ein Auskunftsrecht zu. Durch die neuen Regelungen können diese Personen Folgendes vom Unternehmer, der ihre Daten verarbeitet, verlangen:
- eine Kopie der gespeicherten Daten,
- eine Auskunft über die Übermittlung von Daten,
- eine Information, aus welcher Quelle die Daten stammen, zu welchen Zwecken werden die Daten verarbeitet und wie lange werden sie gespeichert.
Recht auf Vergessenwerden
Durch die neuen Regelungen wurde das „Recht auf Vergessenwerden“ gegründet. So muss ein Unternehmer die Daten jeder Person löschen, wenn diese Person es verlangt und:
- die Speicherung der Daten nicht mehr notwendig ist,
- die betroffene Person ihre Einwilligung zur Datenverarbeitung widerrufen hat,
- die Daten unrechtmäßig verarbeitet wurden.
Man muss aber beachten, dass das Recht auf Vergessenwerden keine Anwendung findet, u.a. wenn die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Ein Bespiel sind hier Onlineshops, die solche Daten für mögliche Gewähr- oder Garantieansprüche bedürfen.
Verantwortung für Verstoße im Bereich Datenschutz
Wird ein Verstoß gegen die Grundsätze der EU-Datenschutzgrundverordnung festgestellt, so kann dem Unternehmer ein Bußgeld von bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes seines Unternehmens auferlegt werden. Im Falle von Gesellschaften haftet nicht nur die Gesellschaft, sondern auch ihre Gesellschafter und Geschäftsführer bzw. Vorstandsmitglieder persönlich für sämtliche Datenschutzverstoße. Auch die Bestellung eines Datenschutzbeauftragten oder einer anderen Person, die für den Datenschutz im Unternehmen zuständig ist, bewirkt nicht, dass die genannten Personen von ihrer persönlichen Haftung befreit werden können.
Datenschutzbeauftragter
Durch die neuen Regelungen müssen Unternehmer, deren Tätigkeit einer besonderen Kontrolle unterliegt, einen Datenschutzbeauftragten bestellen. Dies gilt insbesondre für Unternehmer, die sich mit Telekomunikations-, Werbungs-, Marketings- und Versicherungsdienstleistungen beschäftigen. Wird kein Datenschutzbeauftragter berufen, so müssen seine Pflichten durch die Geschäftsführung bzw. den Vorstand des Unternehmens ausgeübt werden.
Zu den Hauptpflichten des Datenschutzbeauftragten gehören u.a.:
- Unterrichtung und Beratung im Bereich Datenschutz,
- Überwachung der Einhaltung der rechtlichen Regelungen,
- Zusammenarbeit mit der Aufsichtsbehörde, insbesondre ihre Benachrichtigung über mögliche Verletzung des Datenschutzes.
Benachrichtigung über Verletzung des Datenschutzes
Wie bereits erwähnt wurde, ist der Datenschutzbeauftragte für die Benachrichtigung der Aufsichtsbehörde, die für den Datenschutz zuständig ist, über mögliche Verletzungen und Verstoße gegen den Datenschutz verantwortlich. Dies soll innerhalb von 72 Stunden nach Bekanntwerden der Verletzung erfolgen. In manchen Fällen müssen auch Personen, deren Daten verletzt wurden, darüber benachrichtigt werden.
Der Aufsichtsbehörde muss Folgendes im Falle einer Verletzung mitgeteilt werden:
- die Beschreibung der Verletzung, die Angabe über die Kategorie der betroffenen Daten und die Anzahl der Betroffenen,
- die Beschreibung der Folgen der Datenschutzverletzung,
- die Beschreibung der Maßnahmen, die zur Behebung oder Abmilderung der Verletzung getroffen wurden.
Die Datenschutzbeauftragten wurden durch die neuen Regelungen auch verpflichtet, ein Register aller Verletzungen und Verstöße gegen die Regelungen des Datenschutzes zu führen. Solch ein Register muss insbesondre Informationen über die Verletzung, seine Folgen und die getroffenen Maßnahmen, beinhalten.
Was jetzt?
Oben wurden die wichtigsten Änderungen des Datenschutzes für Unternehmer aufgezählt, die am 25. Mai 2018 in Kraft treten. Die Unternehmer haben also noch genügend Zeit sich auf das neue Recht vorzubereiten. Die neuen Regelungen sind komplex. Es lohnt sich daher, vor der Einführung von bestimmten Maßnahmen den Rat eines Fachmannes, z.B. eines im Datenschutz spezialisierten Anwalts einzuholen.
Zum Autor:
Aleksander Giehsmann, in Polen als Rechtsanwalt zugelassen. Er führt eine Rechtsanwaltskanzlei mit Sitz in Wrocław und Kędzierzyn-Koźle, die kleine und mittlere Unternehmen bei der Unternehmensführung rechtlich begleitet.
