Datenschutz-Grundverordnung – Welle von wettbewerbsrechtlichen Abmahnungen befürchtet

0
69

Der Countdown läuft, die DSGVO tritt am 25. Mai 2018 verbindlich in Kraft. Viele Unternehmen sind noch nicht für die neue  Datenschutzgrundverordnung bereit.

Simon Alex ist Rechtsreferent bei der IHK für Ostfriesland und Papenburg und dort u.a. Ansprechpartner für Unternehmen aus dem IHK-Bezirk für das neue Datenschutzrecht.

Leserecho: Herr Alex, ab dem 25. Mai gelten die neuen Regelungen der Datenschutz-Grundverordnung. Was sollten Unternehmen bis dahin erledigt haben?

Alex: Bis zum 25. Mai bleibt nicht mehr viel Zeit. Jedes Unternehmen sollte sich zunächst die Frage stellen, mit welchen personenbezogenen Daten es arbeitet und welche Mitarbeiter mit diesen Daten zu tun haben. Auf dieser Grundlage kann dann ermittelt werden, in welchen Bereichen noch Handlungsbedarf besteht. Als Beispiele sind hier die Benennung eines betrieblichen Datenschutzbeauftragten, das Anlegen von Verzeichnissen der Verarbeitungstätigkeiten sowie das Anpassen von Verträgen zu nennen. Unternehmen mit einem eigenen Internetauftritt sollten außerdem darauf achten, dass dieser den neuen Regelungen entspricht.

 

Leserecho: Was genau sind eigentlich personenbezogene Daten?

Alex: Personenbezogene Daten sind laut Gesetz alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind zum Beispiel Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Kontonummer und so weiter. Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Leserecho: Sie haben den betrieblichen Datenschutzbeauftragten angesprochen. Braucht wirklich jedes Unternehmen einen Datenschutzbeauftragten?

Alex: Nicht unbedingt. Die Regelung betrifft zunächst einmal alle Unternehmen, in denen mehr als neun Mitarbeiter mit personenbezogenen Daten arbeiten. Ausgenommen sind Unternehmen, die mit besonders sensiblen Daten wie etwa Gesundheitsdaten arbeiten. Sie benötigen auch bei einer geringeren Mitarbeiterzahl einen Datenschutzbeauftragten. Neu ist, dass dieser bis zum Stichtag im Mai 2018 der Landesbeauftragten für den Datenschutz Niedersachsen gemeldet werden muss. Daher sollten nun im Vorfeld die Verantwortlichkeiten klar geregelt werden. Als Unternehmer hat man dabei die Wahl, ob man einen eigenen Mitarbeiter für diese Funktion auszubilden oder einen externen Dienstleister mit dieser Aufgabe beauftragen will.

Leserecho: Was hat es mit dem sogenannten Verarbeitungsverzeichnis auf sich?

Alex: Eigentlich ist das Verarbeitungsverzeichnis keine wirkliche Neuerung. Bereits nach der alten Datenschutzregelung gab es ein solches Verzeichnis – nämlich das Verfahrensverzeichnis. Unternehmen mit mehr als 250 Mitarbeitern sowie kleinere Betriebe, die nicht nur gelegentlich personenbezogene Daten verarbeiten, müssen ein solches Verzeichnis zukünftig anlegen. In diesem Verzeichnis sollen alle Schritte der Datenverarbeitung vom Erfassen bis zum Löschen dokumentiert werden. Aufgrund der Formulierung „gelegentlich“ empfehlen wir fast allen Unternehmen, solche Verarbeitungsverzeichnisse anzulegen und zu pflegen.

Leserecho: Was passiert, wenn Unternehmen gegen die neuen Regelungen verstoßen?

Alex: Ein Kernpunkt der Reform ist die drastische Erhöhung des Sanktionsrahmens bei Datenschutzverstößen. Die Bußgelder sollen hier eine abschreckende Wirkung haben. Bei Verstößen gegen die Grundprinzipien der Verordnung drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten letztjährigen Jahresumsatzes. Für leichtere Verstöße gegen Pflichten aus der Datenschutz-Grundverordnung ist ein Bußgeld von maximal zehn Millionen Euro oder von zwei Prozent des weltweiten letztjährigen Jahresumsatzes vorgesehen. Bisher liegt die Höchstgrenze für Bußgelder in Deutschland bei 300.000 Euro.

Leserecho: Müssen denn auch kleinere Unternehmen bei Verstößen mit solch harten Strafen zu rechnen?

Alex: Dies wird letztlich die Praxis zeigen. Ich denke aber, dass die Aufsichtsbehörden hier zwischen großen Unternehmen wie zum Beispiel Facebook oder Apple und kleinen Unternehmen differenzieren werden. Die Bußgelder für kleinere Unternehmen dürften bei weitem nicht so hoch ausfallen. Ich würde die Landesdatenschutzbeauftragte ohnehin eher als kompetente Helferin sehen. Die wesentlich größere Gefahr für kleine Unternehmen sind wettbewerbsrechtliche Abmahnungen.

Leserecho: Können Sie das etwas näher ausführen?

Alex: Die Gefahr, von einem Mitbewerber oder einem Verband wettbewerbsrechtlich abgemahnt zu werden, ist wesentlich größer als eine Abmahnung durch die Landesdatenschutzbeauftragte. Vor allem die Internetseite eines Unternehmens bietet hier natürlich eine Angriffsfläche. Betreiber von Internetseiten sind verpflichtet, eine den aktuellen Anforderungen entsprechende Datenschutzerklärung bereitzustellen und, wenn es ihn gibt, den betrieblichen Datenschutzbeauftragten zu benennen. Deshalb sollten alle Unternehmen Ihre Internetauftritte bis zum 25. Mai entsprechend anpassen.

Leserecho: Was ist hinsichtlich der Einwilligungserklärung bei E-Mail-Newslettern zu beachten?

Alex: Grundsätzlich ist eine Einwilligung des Interessenten notwendig. Laut der DS-GVO ist eine Datenverarbeitung dann rechtmäßig, wenn der Interessent der Verarbeitung seiner personenbezogenen Daten zugestimmt hat. Die Einwilligungserklärung gilt dann aber nur für eine oder mehrere bestimmte Zwecke. Das heißt, sie darf nicht zu pauschal formuliert werden. Es muss vielmehr klar ersichtlich sein, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden.

Leserecho: Ist für die Einwilligung eine bestimmte Form vorgeschrieben?

Alex: Nein. Es kommt darauf an, dass die betroffene Person mit einer eindeutig bestätigenden Handlung zu verstehen gibt, dass sie mit der Verarbeitung ihrer Daten einverstanden ist. Ein Beispiel wäre das Anklicken eines Kästchens beim Besuch auf einer Internetseite. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung im Sinne der neuen Datenschutz-Grundverordnung dar. Aufgrund der Nachweispflicht ist für die Einwilligung das Double-Opt-In-Verfahren zu empfehlen.

Leserecho: Was macht die IHK, um Ihre Mitglieder auf das neue Datenschutzrecht vorzubereiten?

Alex: Wir stellen auf unserer Internetseite eine Vielzahl an Merkblättern und Musterformularen für unsere Mitglieder zur Verfügung. Zudem haben wir in den vergangenen Wochen drei Info-Veranstaltungen zum neuen Datenschutzrecht angeboten, die alle sehr gut besucht waren. Die nächste Info-Veranstaltung findet am 24. April um 14 Uhr in Emden statt. Anmeldungen nehmen wir noch entgegen. Darüber hinaus werden wir uns als IHK natürlich weiter dafür einsetzen, dass zwischen dem berechtigten Schutz sensibler Daten und dem hohen Aufwand für Unternehmen eine Lösung mit Augenmaß gefunden wird.

Leserecho: Eine letzte Frage, was sollten Unternehmen auf keinen Fall vergessen?

Alex: Die Mitarbeiter müssen mitgenommen werden. Das heißt, die Mitarbeiter müssen über die neuen Regelungen informiert und vor allem auch sensibilisiert werden. Der Datenschutz geht alle an. Personalschulungen sind hier eine sinnvolle Maßnahme, um die neuen Arbeitsabläufe im Umgang mit personenbezogenen Daten zu vermitteln.

Weitere Informationen zum Thema finden Sie auf der Internetseite der IHK für Ostfriesland und Papenburg unter www.ihk-emden.de.


Anzeige:

DAS FRANCHISE-KONZEPT VON LESERECHO

Medien für Jung und Alt.

Monatszeitung + Onlineportale + Social Media

weitere Informationen – bitte HIER klicken 

132 total views, 2 views today