Kurzinformation für Geschäftsführer

Art. 1 DSGVO Gegenstand und Ziele

  1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

  2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

  3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Erwägungsgrund 1 zu Art. 1 DSGVO

1Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. 2Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

Anmerkung:

Ein Erwägungsgrund (EG) ist ein Teil der einer Rechtsnorm vorangehenden Erläuterung bestimmter Tatsachen, der dadurch aufzeigen soll, welche Überlegungen zum Erlass des Rechtsnorm geführt haben.

§ 2 Abs. 4 BDSG (neu) definiert eine nichtöffentliche Stelle wie folgt:

Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

Die wesentliche Grundsätze der Datenverarbeitung sind für alle Unternehmen gleich.
Es ist egal, ob sie ob ein nicht öffentliche Stelle 2 oder über 1.000 Mitarbeiter hat, die Auflagen des DSGVO muss jedes Unternehmen erfüllen, auch unabhängig davon, ob ein Datenschutzbeauftragter bestellt werden muss.

1. Räumlicher Anwendungsbereich – das Marktortprinzip

Die DS-GVO stellt für ihre räumliche Geltung nicht mehr auf den Sitz eines Unternehmens ab, sondern darauf ob ein Anbieter von entgeltlichen oder unentgeltlichen Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet.

2. Grundsätze der Datenverarbeitung

Art. 5 DS-GVO werden die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Zweckbindung, der Datensparsamkeit, der Richtigkeit, der Begrenzung der Speicherdauer genannt und durch die „Integrität und Vertraulichkeit” der Datenverarbeitung ergänzt. Die Nutzung von zweckgebunden erhobenen Daten zu einem mit dem ursprünglichen Erhebungszweck unvereinbaren Zweck ist nicht zulässig.

3. Verzeichnis aller Datenverarbeitungstätigkeiten

Art. 30 DS-GVO ordnet an, dass Verantwortliche und Auftragsverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten unter der Angabe der im Artikel genannten Punkte führen müssen. Dieses Verzeichnis ist nach Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.

4. Erweiterung der Informationspflichten

Der Betroffene ist vor Erhebung von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die in den Artikeln genannten Verwendungsgesichtspunkte zu informieren. Im Einzelnen sind dies:

  • Name und Kontaktdaten des für die Datenerhebung Verantwortlichen
  • die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke und die Rechtsgrundlage der Verarbeitung
  • das berechtigte Interesse des Verantwortlichen oder eines Dritten
  • Empfänger der personenbezogenen Daten
  • die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation

Daneben ist der Betroffene auch über

  • die voraussichtliche Dauer der Datennutzung
  • die betroffenen Rechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkungen dieser Rechte
  • das Recht auf jederzeitigen Widerruf der Einwilligung
  • das Beschwerderecht bei einer Aufsichtsbehörde
  • die Bereitstellung der personenbezogenen Daten
  • eine automatische Entscheidungsfindung

zu informieren. Falls die Daten nicht vom Betroffenen stammen, ist dieser in gleicher Weise zu informieren und darüber hinaus über die Quelle seiner Daten in Kenntnis zu setzen.

5. Meldepflicht von „Datenpannen“

Die Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche, beispielsweise das Unternehmen, ohne schuldhaftes Zögern und möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden, sofern nicht ein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeschlossen ist (Art. 33 DS-GVO).

Risiken

Gem. Art. 83 Abs. 3 DSGVO können mit einem maximalen Bußgeld von 10 Mio. oder 2 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen:

  • unzureichende Schutzmaßnahmen (technisch-organisatorische Maßnahmen)
  • keine oder ungenügende Vereinbarung zur Auftragsverarbeitung (NEU: auch gegen Auftragsverarbeiter)
  • fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten
  • Unterlassen einer Datenschutz-Folgenabschätzung
  • Unterlassen der Bestellung eines Datenschutzbeauftragen

Gem. Art. 83 Abs. 4 DSGVO können mit einem maximalen Bußgeld von 20 Mio. oder 4 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen Regelungen zu z.B.

  • der Grundsätze (Art. 5)
  • der Rechtmäßigkeit
  • der Einwilligung
  • der Rechte Betroffener
  • der Drittland-Übermittlung
  • der Zusammenarbeit mit der Aufsichtsbehörde

Art. 83 Abs. 5 DSGVO können mit einem maximalen Bußgeld von 20 Mio. oder 4 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen

  • Anordnungen der Aufsichtsbehörde

Art. 82 DSGVO Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.  Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.