Fragen und Antworten zur DSGVO
Wir haben hier für Sie die wichtigsten und häufigsten Fragen und Antworten („FAQs“) zu den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) zusammengestellt, so dass Sie einfach und konkret erfahren, was Sie in Ihrem Betrieb datenschutzrechtlich tun müssen.
Grundlagen zur DSGVO
Muss ich sowohl die DSGVO als auch das BDSG beachten?
Ja. Beide Gesetze enthalten Regelungen zum Datenschutz in Unternehmen. Die grundlegenden Vorschriften befinden sich in der DSGVO. Konkretisierungen liefert das BDSG, beispielsweise zum betrieblichen Datenschutzbeauftragten oder zum Beschäftigtendatenschutz.
Welche Arten von Daten sind durch die DSGVO geschützt?
Alle Arten von personenbezogenen Daten werden durch die DSGVO geschützt – unabhängig davon, um welche Personen es sich handelt. Geschützt sind demnach
- Mitarbeiterdaten,
- Kundendaten
- Lieferantendaten
Für die DSGVO und alle weiteren Datenschutzgesetze gilt: Sie sind immer dann zu beachten, wenn Unternehmen mit sogenannten „personenbezogenen Daten“ umgehen. Das sind alle Informationen, die sich direkt oder indirekt (zum Beispiel über eine Kennung) auf einen Menschen (sogenannte identifizierte oder identifizierbare natürliche Person bzw. betroffene Person) beziehen lassen. Um Angaben zu einer bestimmten Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt.
Beispiele für personenbezogene Daten:
- Name, Alter, Familienstand, Geburtsdatum
- Anschrift, Telefonnummer, E-Mail-Adresse
- Konto-, Kreditkartennummer
- Bonitätsdaten
- Kraftfahrzeugnummer, Kfz-Kennzeichen
- Personalausweisnummer, Sozialversicherungsnummer
- IP-Adresse
- genetische Daten und Krankendaten
- Werturteile (zum Beispiel Zeugnisse)
- Fotos
Sind Daten nicht personenbeziehbar (zum Beispiel anonymisierte Statistikdaten), so sind Datenschutzgesetze nicht zu beachten.
Gilt das Datenschutzrecht auch bei Dateien, die in Papierform verarbeitet werden?
Ja, wenn diese Papierform eine strukturierte Sammlung von personenbezogenen Daten enthält.
Was muss ich als Gewerbetreibender im Datenschutz tun?
Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (Auskunft über gespeicherte Daten, Berichtigung oder Löschen von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen nachweisen, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.
Es muss ein Verarbeitungsverzeichnis erstellt werden. Dies muss unter anderem Angaben zu den Kategorien der personenbezogenen Daten und den Verarbeitungszwecken enthalten. Beispiele gibt es beim Bayrischen Landesamt für Datenschutzaufsicht.
Die Datenschutzerklärung muss überarbeitet und um die Informationspflichten aus Artikel 13, 14 DSGVO ergänzt werden. Überwiegend handelt es sich um Informationen, die eine vollständige und ausführliche Datenschutzerklärung bisher auch enthalten hat. Neu anzugeben ist die Rechtsgrundlagen der Datenverarbeitung und Hinweise zur vorgesehenen Speicherdauer.
Werden die Daten durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletter-Versand über Agentur, externe Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.
Werden Daten aufgrund der Einwilligung des Betroffenen verarbeitet, sind im Einwilligungstext die Zwecke der Datenverarbeitung zu beschreiben und es ist ein Hinweis auf die Freiwilligkeit und jederzeitige Widerrufbarkeit zu geben. Andernfalls müssen die Einwilligungen neu eingeholt werden.
Es bestehen Meldepflichten, wenn es zu Verletzungen beim Schutz personenbezogener Daten kommt, sogenannte “Datenpannen” (zum Beispiel Datenverlust zu Personal- oder Kundendaten, Diebstahl oder Verlust von Tablet oder Smartphone mit unverschlüsselten Kundendaten, Fehlversendung von Rechnungen.
Die Meldung ist unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Datenschutzaufsichtsbehörde vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen. Betroffene Personen sind nur zu unterrichten, wenn ein hohes Risiko für sie besteht, dann allerdings ohne unangemessene Verzögerung. Die Benachrichtigung muss Angaben über die Art der Verletzung, die wahrscheinlichen Folgen sowie die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Diese Angaben müssen in klarer und einfacher Sprache abgefasst werden. Darüber hinaus sind – sofern die Pflicht zur Bestellung besteht – Name und Kontakt des Datenschutzbeauftragten zu nennen. Der Landesdatenschutzbeauftragte Baden-Württemberg stellt ein Online-Meldeformular bereit. Eine Meldung kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Ein Risiko – und damit eine Meldepflicht – besteht bei Verarbeitungen, die
- betroffene Personen um Rechte und Freiheiten bringt oder diese an der Kontrolle personenbezogener Daten hindert
- rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Gesundheitsdaten, Angaben zum Sexualleben, strafrechtliche Verurteilungen betreffen
- Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort, Ortswechsel, analysieren oder prognostizieren zwecks Profilings
- personenbezogene Daten schutzbedürftiger Personen, insbesondere Kinder, betreffen
- große Mengen personenbezogener Daten und eine große Anzahl von Personen betreffen.
Betriebsvereinbarungen (sofern vorhanden) sind anzupassen.
Verpflichtung der Mitarbeiter auf den Datenschutz und regelmäßige Schulungen sind vorzunehmen. Eine Vorlage für eine Verpflichtung auf den Datenschutz gibt es beim Bayrischen Landesamt für Datenschutzaufsicht.
Welche Rolle spielt die Datensicherheit im Rahmen der DSGVO?
Personenbezogene Daten, die im Unternehmen verarbeitet werden, müssen laut DSGVO auch technisch geschützt werden, indem sogenannte „technisch-organisatorische Maßnahmen“ getroffen sind. Diese hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab.
Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten – ob personenbezogen oder nicht – ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, so dass – verschlüsselte - Sicherungskopien an einem anderen Ort aufbewahrt werden sollten. Technische Standardmaßnahmen sind im Regelfall ausreichend. Dazu gehören unter anderem aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner sowie Zugriffsberechtigungen.
Ich habe nur Firmenkunden. Muss ich den Datenschutz trotzdem beachten?
Einzelangaben über juristische Personen, (zum Beispiel Kapitalgesellschaften oder eingetragene Vereine) sind keine personenbezogenen Daten. Etwas Anderes gilt nur, wenn sich die Angaben auch auf die natürlichen Personen beziehen, die hinter der juristischen Person stehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein.
In der Regel speichern Sie bei Firmenkunden einen Ansprechpartner und erheben zum Beispiel Name, personalisierte E-Mail-Adresse, Funktion im Unternehmen. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.
Fällt mein Kleingewerbe überhaupt unter die DSGVO?
Unternehmen aller Größen müssen ihre Datenverarbeitungsvorgänge an die neuen Vorgaben der DSGVO anpassen, denn unter die DSGVO fällt jede Stelle (also auch jedes Unternehmen unabhängig von der Mitarbeiterzahl oder Branche), die personenbezogene Daten (zum Beispiel Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse etc.) innerhalb der EU verarbeitet (das heißt erfasst, speichert, übermittelt, ausliest oder verändert).
Kleine Unternehmen sind lediglich von einzelnen wenigen Pflichten ausgenommen. Dies betrifft zum Beispiel unter bestimmten Umständen die Pflicht zur Bestellung eines Datenschutzbeauftragten. Ansonsten müssen sämtliche Vorgaben umgesetzt werden. Auch auf außereuropäische Unternehmen (auch ohne Sitz in der EU), die innerhalb der EU Waren oder Dienstleistungen anbieten oder deren Einsatz zum Beispiel mittels „Profiling“ überwachen, wird die DSGVO angewendet.
Gibt es besondere Stolperfallen für Start-ups?
Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein. Ansonsten müssen Start-ups die gleichen Datenschutz-Anforderungen erfüllen, wie jeder andere Gewerbebetrieb auch.
Welche Pflichten gibt es beim Datenschutz von Arbeitnehmern?
Auch Daten von Arbeitnehmern unterliegen den erhöhten Anforderungen der DSGVO. Dies muss unter anderem durch umfassende Informations- und Dokumentationspflichten sichergestellt werden. Zum Beschäftigtendatenschutz gehören
- die Einwilligung von Arbeitnehmern zur Verarbeitung persönlicher Daten, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist (zum Beispiel Fotos eines Mitarbeiters auf der Unternehmenswebsite)
- die Übereinstimmung von Betriebs- oder Dienstvereinbarungen mit den Vorgaben der DSGVO
- Regeln für den Datentransfer im Konzern (zum Beispiel über die Rechtsgrundlage „berechtigtes Interesse“)
Datenverarbeitung/-löschung, Einwilligungserklärungen, Werbung
Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten laut DSGVO zu beachten?
Die sogenannte Rechenschaftspflicht bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:
- Rechtmäßigkeit
Erarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung). - Transparenz
Keine „heimliche“ Verarbeitung; Gewährleistung der Wahrnehmung der Betroffenenrechte. - Zweckbindung
Zweckfestlegung, das heißt Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke. Zweckbindung im engeren Sinne, meint das Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck nicht mehr zu vereinbaren ist. - Datenminimierung
Beschränkung auf die für den Zweck der Verarbeitung erforderlichen Daten. - Richtigkeit der Daten
Verbot der Erhebung oder Speicherung von falschen Daten; Gebot der Aktualisierung unrichtig gewordener Daten und Gebot der Löschung oder Berichtigung solcher Daten. - Speicherbegrenzung
Personenbezogene Daten dürfen grundsätzlich nur solange gespeichert werden, wie dies für einen bestimmten Verarbeitungszweck erforderlich ist (zum Beispiel zur Abwicklung eines Kaufvertrags mit dem Kunden). Längstens dürfen Daten solange gespeichert werden, wie dies aufgrund gesetzlicher Vorgaben vorgeschrieben ist (regelmäßig sechs bis zehn Jahre nach handels- oder steuerrechtlichen Vorschriften). - Integrität und Vertraulichkeit
Schutz vor Verlust oder Zerstörung der Daten sowie Schutz der Daten vor unbefugter Kenntnisnahme oder Verarbeitung. Gewährleistet werden muss dies durch technische und organisatorische Maßnahmen zum Schutz der Daten nach Vorgaben der DSGVO.
Wann müssen personenbezogene Daten gelöscht werden?
Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind, also der Zweck, für den sie erhoben worden sind, erfüllt ist.
Die Daten sind allerdings nicht zu löschen, wenn gesetzliche Regelungen eine Aufbewahrung vorschreiben (zum Beispiel sechs Jahre bei Handelsbriefen oder aus steuerrechtlichen Gründen zehn Jahre). Wenn die Daten aus gesetzlichen Gründen noch aufzubewahren sind, tritt an die Stelle der Löschung die Einschränkung der Verarbeitung, das heißt nur bestimmte Personen dürfen Zugriff auf die Unterlagen haben.
Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sogenanntes „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.
Brauche ich für jede Datenerhebung/-verarbeitung immer eine Einwilligung?
Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, Interessenabwägung berechtigtes Interesse, vgl. Art. 6 Abs. 1 DSGVO). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein (zum Beispiel die Anmeldung für einen Newsletter oder die Geburtstagsliste von Mitarbeitern). Die für eine Vertragsanbahnung oder -durchführung erforderlichen Daten dürfen Sie auch ohne Einwilligung erfassen, da hier der Vertrag eine ausreichende Rechtsgrundlage bildet. Auch aus spezialgesetzlichen Regelungen können sich Rechtsgrundlagen ergeben, zum Beispiel im Beschäftigungsverhältnis.
Kann ich die Daten meiner Kunden für Werbung verwenden?
Wenn Sie Interessentenkontakte oder Kundendaten aus einem bereits bestehenden Vertrag dazu nutzen möchten, um diesen Personen Informationen mit Werbeinhalten oder werbeähnlichen Inhalten auf postalischem Wege zukommen zu lassen, benötigen Sie hierfür nicht zwingend die Einwilligung des Betroffenen. Hier kommt als datenschutzrechtliche Rechtfertigung auch eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Direktwerbung kann in der Regel ein solches berechtigtes Interesse darstellen. Der Betroffene darf also der Direktwerbung nicht widersprochen haben und seine Interessen dürfen in einer Abwägung nicht überwiegen. Der Werbende muss lediglich nachweisen, dass er diese Interessenabwägung tatsächlich durchgeführt hat und das Ergebnis zu seinen Gunsten ausfällt. Im Rahmen der Interessenabwägung ist die Wertung des § 7 Abs. 1 UWG heranzuziehen, wonach die Briefwerbung ohne Einwilligung zulässig ist, solange der Adressat nicht widersprochen hat. Die in die Abwägung einfließenden Interessen müssen im Rahmen der Informationspflicht bei der Erhebung der personenbezogenen Datengegenüber dem Betroffenen bekannt gegeben werden (Art. 13 Abs. 1 lit. d)); dies kann beispielsweise im Rahmen der Datenschutzerklärung erfolgen.
Die Einwilligung kann schriftlich erteilt werden. Wird sie elektronisch erklärt, sollten Sie sicherstellen, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (Nachweispflicht des Unternehmers).
Sofern Sie auf die Kommunikationskanäle Telefon oder E-Mail zurückgreifen, um dem Interessenten Werbung oder werbeähnliche Inhalte zukommen zu lassen, müssen Sie auch weiterhin die Vorschriften des § 7 Abs. 2 und 3 UWG beachten. Wenn Sie beispielsweise einem Interessenten per E-Mail-Werbung zuschicken möchten und dieser Interessent hat noch nie eine Leistung bei Ihnen bezogen, dann müssen Sie vorher die Einwilligung einholen. Bestandskunden (also Personen, die schon Leistungen bei Ihnen bezogen haben) dürfen Sie für eigene ähnliche Leistungen ohne Einwilligung per E-Mail bewerben, wenn bei der Erhebung der E-Mail-Adresse des Betroffenen und bei jeder Verwendung der Betroffene klar und deutlich darauf hingewiesen wurde, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen (§ 7 Abs. 3 Nr. 4 UWG). In vielen Fällen ist dieser Hinweis auf das Widerspruchsrecht bei Erhebung der E-Mail-Adresse aber unterblieben, sodass Sie bei Ihren Bestandskunden überprüfen müssen, ob dieser Hinweis erfolgt ist oder nicht. Ist der Hinweis nicht erfolgt, müssen Sie auch hier die Einwilligung einholen. Die Einwilligung muss getrennt zum Beispiel von der Einwilligung in AGBs eingeholt werden.
Datenschutzbeauftragte/-r
Benötigt mein Unternehmen eine/-n Datenschutzbeauftragte/-n?
Benötigt mein Unternehmen eine/-n Datenschutzbeauftragte/-n?
Unternehmen benötigen laut Bundesdatenschutzgesetz (§ 38 BDSG) einen Datenschutzbeauftragten,
- wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
oder
- wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten (im Sinne von Art. 37 Abs. 1 lit. b und c DSGVO) besteht, benötigen auch einen Datenschutzbeauftragten. Eine solche Kerntätigkeit ist jedoch bei den meisten Unternehmen nicht gegeben.
Hinweise zum Grenzwert von zwanzig Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind:
- Grundsätzlich sind sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, zu berücksichtigen, unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter, Auszubildende oder Praktikanten.
- Eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenzahl ist unerheblich; wenn eine Person zum Beispiel nur als Urlaubsvertretung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt wird, ist diese nicht mitzuzählen, da sie diese Aufgabe nicht regelmäßig ausübt.
- Unerheblich ist, in welchem Umfang die beschäftigte Person diese Aufgabe wahrnimmt, also ob sie beispielweise als Teilzeitkraft diese Aufgabe ausübt (also in einem geringeren zeitlichen Umfang als eine Vollzeitkraft).
Automatisierte Verarbeitung meint IT-gestützte Datenverarbeitung, wie sie mittels Mainframe, Personal Computern (Desktop und Laptop Computern), aber mittlerweile auch mittels Smartphones, Tablet PCs und anderen mobilen Endgeräten erfolgt.
Der Begriff „ständig“ bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann Daten verarbeitet, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (zum Beispiel monatlich) anfällt.
Muss Datenschutz nur beachtet werden, wenn ein betrieblicher Datenschutzbeauftragter bestellt ist?
Nein, auch ohne Datenschutzbeauftragten muss der Datenschutz eingehalten werden. Verantwortlich dafür ist die Unternehmensleitung. Gibt es keinen Datenschutzbeauftragten, muss die Unternehmensleitung Aufgaben, die üblicherweise dem Datenschutzbeauftragten obliegen, selbst übernehmen (wie Unterstützung bei der Erstellung des Verarbeitungsverzeichnisses, Schulung von Mitarbeitern, Beratung in datenschutzrelevanten Fragen).
Wer kann betrieblicher Datenschutzbeauftragter werden?
Einschränkungen bestehen lediglich darin, wer nicht Datenschutzbeauftragter eines Unternehmens werden kann: Alle Personen der Unternehmensleitung, IT-Leitung oder der/die Personalverantwortliche können die Aufgaben nicht übernehmen, um Interessenkollisionen zu vermeiden.
Was sind die Aufgaben eines Datenschutzbeauftragten?
Es gibt es drei Bereiche von Pflichtaufgaben:
- Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Belegschaft in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)
- Ansprechperson für die Aufsichtsbehörde
- Anlaufstelle für die Rechte betroffener Personen
Wo kann ich mich zum Datenschutzbeauftragten schulen lassen?
Bitte haben Sie Verständnis, dass wir als Vertretung der gewerblichen Wirtschaft der Wettbewerbsneutralität unterliegen und Ihnen daher keine Auswahl an Anbietern von Schulungen zum Datenschutzbeauftragten empfehlen dürfen. Bei der Suche hilft das Weiterbildungs-Informations-System der DIHK Service GmbH.
Kann die IHK einen externen Dienstleister als Datenschutzbeauftragten empfehlen?
Bitte haben Sie Verständnis, dass wir als Vertretung der gewerblichen Wirtschaft der Wettbewerbsneutralität unterliegen und Ihnen daher keine Experten zum Thema DSGVO oder externe Datenschutzbeauftragte empfehlen dürfen.
Rechtsanwälte aus dem Bereich Datenschutzrecht finden Sie bei der jeweiligen Rechtsanwaltskammer. Wir empfehlen Ihnen unter der Rubrik "Informationstechnologie-Recht" zu suchen und als Ort eine Großstadt in Ihrer Umgebung anzugeben.
Auch Vereine und Berufsverbände können Ihnen bei der Suche behilflich sein, zum Beispiel die Gesellschaft für Datenschutz und Datensicherheit e.V. oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.
Worauf ist bei der Beauftragung eines externen Dienstleisters als Datenschutzbeauftragten zu achten?
Bei der Auswahl eines externen Datenschutzbeauftragten empfiehlt es sich, mehrere Angebote mit Referenzen einzuholen und die Leistungen und Kosten zu vergleichen. Sie sollten für das Angebot vordefinieren, welche Leistungen pauschal abgedeckt sein sollen (zum Beispiel Beratung im Tagesgeschäft oder die Erstellung/Überprüfung von Dokumenten (Verarbeitungsverzeichnis, Datenschutzerklärung, technisch-organisatorische Maßnahmen) bzw. Überwachung/Einhaltung datenschutzrechtlicher Vorschriften (zum Beispiel Schulungen der Mitarbeiter, Auftragsverarbeitungen)). Denkbar ist auch ein Kontingent an Beratungsstunden pro Jahr mit einem Pauschalbetrag abdecken zu lassen und Beratungsbedarf darüber hinaus mit einem vorher vereinbarten Stundensatz abrechnen zu lassen.
Auftragsverarbeitung durch externe Dienstleister
Was ist Auftragsverarbeitung?
Häufig beauftragen Unternehmen für einzelne Tätigkeiten in ihrem Unternehmen externe Dienstleister. Das gilt auch für die IT, beispielsweise, wenn Externe die Unternehmenswebsite oder eine Kundendatenbank betreuen Externe haben dadurch Zugriff auf die personenbezogenen Daten, die der Auftraggeber für sein Unternehmen benötigt.
In einem solchen Falle muss neben dem eigentlichen Auftrag, die konkrete Dienstleistung zu erbringen, noch eine Vereinbarung über die Auftragsverarbeitung geschlossen werden. Darunter fallen auch Trackingsysteme, mit denen nachvollzogen werden kann, wer welche Webseiten besucht hat. Gibt es zudem dadurch Auslandsbezug, weil das Tracking-Unternehmen seinen Sitz beispielsweise in den USA hat, müssen weitere datenschutzrechtliche Anforderungen erfüllt werden. Gleiches gilt für die Nutzung von Cloud-Anwendungen oder die Verwendung von Social-Plug-Ins auf den Webseiten (Einbindung sozialer Medien).
Auch mit dem Steuerberater, der mit der Abwicklung der Lohnbuchhaltung betraut ist, ist eine Auftragsverarbeitung abzuschließen.
Keine Auftragsverarbeitung ist erforderlich, wenn die Daten an einen Dritten zur Durchführung einer Dienstleistung weitergegeben werden müssen, zum Beispiel an einen Paketversender. Hier liegt es im berechtigten Interesse des Unternehmens, die dafür erforderlichen personenbezogenen Daten an den Dienstleister zu übermitteln.
Weitere Informationen finden Sie im Kurzpapier der Datenschutzkonferenz (DSK).
Einen Mustervertrag finden Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.
Was ist beim Datenschutzrecht zu beachten, wenn ein externer Dienstleister mit der Verarbeitung der Daten beauftragt wird?
Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Für den Auftraggeber besteht hier eine Prüfpflicht. Es dürfen nur solche Auftragsverarbeiter eingesetzt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können beispielsweise genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.
Website des Unternehmens, Video-Überwachung
Müssen auch die Datenschutzerklärungen auf der Website angepasst werden?
Unternehmen mit einer geschäftlichen Internetseite müssen dort eine rechtskonforme Datenschutzerklärung verwenden. In einer Datenschutzerklärung sind die Pflichtangaben nach der DSGVO zu machen (Art. 13). Das sind unter anderem:
- Zwecke und Rechtsgrundlagen der Datenverarbeitung
- Speicherfristen
- Empfänger von Daten
- Betroffenenrechte
Je nachdem wie die Website betrieben wird, müssen auch Hinweise gegeben werden zu:
- Logfiles
- Cookies
- Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.)
- Registrierungsmöglichkeiten
- Einbindung sozialer Netzwerke
- Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.)
Auch vorhandene Newsletter-Systeme sollten im Zusammenhang mit dieser „Dateninventur“ für die Internet-Seite unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Die Einwilligung ist vom Unternehmen nachzuweisen, was beispielsweise über Double-Opt-In-Verfahren erfolgen kann.
Muster für eine Datenschutzerklärung auf der Website der IHK Region Stuttgart (DOCX-Datei, 76 KB)
Darf ich mein Geschäftslokal per Video überwachen?
Zur Wahrung des Hausrechts ist eine Videoüberwachung von Personen, die das Geschäftslokal betreten, zulässig, wenn sie insgesamt erforderlich ist, also kein weniger einschneidendes Mittel das Hausrecht wahren kann. Es muss jedoch frühzeitig, also zum Beispiel am Eingang zum Geschäftslokal darauf hingewiesen und bekannt gegeben werden, wer die Videoüberwachung verantwortet. Wird auch das Gelände vor dem Geschäftslokal überwacht, gilt dasselbe: Ein Hinweis auf die Überwachung und Angabe, wer überwacht, muss angebracht werden.
Die Daten der Videoüberwachung sind unverzüglich zu löschen, wenn sie zur Erreichung der Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Ob eine Sicherung des Materials notwendig ist, dürfte grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden können. Eine Löschung sollte aus Gründen der Datenminimierung grundsätzlich nach 48 Stunden erfolgen.
Weitere Informationen finden Sie im Kurzpapier der Datenschutzkonferenz (DSK).
Ein Muster für eine Hinweisbeschilderung finden Sie beim Bayrischen Amt für Datenschutzaufsicht.
Haftung, Überprüfung/Aufsichtsbehörde
Wer trägt die Verantwortung, wenn es zu Verletzungen des Datenschutzrechts kommt?
Die Verantwortung trägt das Unternehmen (sogenannte „verantwortliche Stelle“). Die DSGVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Sie werden nicht mehr nur zur Verantwortung gezogen für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens. Nach DSGVO ist das Unternehmen auch verantwortlich für Handlungen von Beschäftigten oder externen Beauftragten, die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.
Auch bei Auftragsverarbeitungsverhältnissen gibt es nach der DSGVO neue Haftungsszenarien. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DSGVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu sind auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen, das heißt Betroffene können bei Verstößen direkt ihnen gegenüber direkt Schadensersatzforderungen geltend machen.
Wie erfolgt eine Überprüfung durch die Datenschutzaufsicht?
Die Landesdatenschutzbeauftragten haben vielfältige Möglichkeiten, die Datenverarbeitung eines Unternehmens zu überprüfen. So kann die Aufsicht aus einem bestimmten Anlass (zum Beispiel Beschwerde eines Kunden die Vorlage des Verarbeitungsverzeichnisses verlangen und dadurch die einzelnen Verfahren in dem Unternehmen überprüfen. Dazu kann die Aufsicht das Unternehmen aufsuchen oder sich die Unterlagen übersenden lassen.
Nach der Prüfung erhält das Unternehmen Gelegenheit zur Stellungnahme, wenn es Beanstandungen gibt. Die Aufsichtsbehörde prüft dann, welche Maßnahmen sie ergreift, die bis zur Verhängung von Bußgeldern oder zur Aufforderung, die Datenverarbeitung einzustellen, gehen können.
Weiterführende Informationen
Weiterführende Online-Checklisten, FAQs und Fragebögen zur DSGVO-Umsetzung gibt es beispielsweise beim Bayrischen Landesamt für Datenschutzaufsicht.
Quelle: IHK Region Stuttgart