• Besuchen Sie unsere Webinare!Kostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
Besuchen Sie unsere Webinare!1 Webinar2 Webinar3 Webinar4 Webinar5 Webinar6

DS-GVO – Der Datenschutz-Countdown läuft! (Teil 1)28.11.2017

Mit der neuen EU-Datenschutz-Grundverordnung (DS-GVO) erwartet Unternehmen die größte Reform des europäischen Datenschutzrechtes seit 1995. Mit ihr werden die Regeln für den Umgang mit personenbezogenen Daten auf ein EU-einheitliches Niveau gehoben und sie bringt teils gravierende Änderungen mit sich. Auch das Bundesdatenschutzgesetz (BDSG) wurde in weiten Teilen neu gefasst. Bis zur Geltung des neuen Datenschutzrechts ab dem 25. Mai 2018 bleibt nun nicht mehr viel Zeit, insbesondere gibt es keine weiteren Übergangsfristen. Gerade für Unternehmen bedeutet dies: Jetzt handeln, der Countdown läuft! Was dabei im Einzelnen zu beachten ist, darüber berichten wir in diesem und im nächsten atrigaRatgeber.

Wie schnell die Zeit dann doch vergeht. Bereits im Januar 2012 stellte die Europäische Kommission erstmals den offiziellen Entwurf der DS-GVO vor. Eine Vielzahl von betroffenen Interessengruppen diskutierte seitdem mit den zuständigen Gremien die zu erwartenden wirtschaftlichen und politischen Auswirkungen, auch diejenigen auf Inkassodienstleister und Auskunfteien sowie deren Kunden.

Die EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ wurde schließlich am 04. Mai 2016 im Amtsblatt der EU verkündet und trat am 25. Mai 2016 in Kraft. Nach einer Übergangsfrist von zwei Jahren wird sie gemäß Art. 99 Abs. 2 DS-GVO ab dem 25. Mai 2018 in der gesamten EU geltendes Recht.

Auch das vor über 40 Jahren beschlossene deutsche BDSG hat bei der Umsetzung der DS-GVO durch den deutschen Gesetzgeber eine umfassende Überarbeitung erfahren. An seine Stelle tritt ein neues BDSG. Es wurde vom Deutschen Bundestag mit dem Gesetz „zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“ am 27. April 2017 verabschiedet. Der Bundesrat stimmte am 12. Mai 2017 ebenfalls zu. Das neue Gesetz wird auch am 25. Mai 2018 in Kraft treten und die Grundlage für die Anpassung anderer deutscher Gesetze an die DS-GVO bilden.

Es ist „5 vor 12“ – Was Unternehmer spätestens jetzt tun sollten

An erster Stelle sollte, soweit nicht schon längst geschehen, eine umfassende Analyse bestehender Datenschutzkonzepte stehen. Dabei geht es vor allen Dingen um die Fragen, welche personenbezogenen Daten sich im Unternehmen befinden, wie diese kategorisiert sind, wie mit ihnen im Detail verfahren wird, welche technischen Sicherheitsmaßnahmen implementiert sind und welche Handlungen zur Umsetzung der neuen datenschutzrechtlichen Vorgaben erforderlich sind.
Im Fokus sollten damit folgende 6 Prüfpunkte stehen, wobei anhand von Beispielen dargelegt wird, was darunter unter anderem jeweils zu verstehen ist:

(1) Wie ist das Unternehmen strukturiert? Wer ist verantwortlich?

  • Existenz von Datenschutzrichtlinien
  • Beschreibung von Datenschutzzielen
  • Regelungen zur Verantwortlichkeit für datenschutzrelevante Themen
  • Einbeziehung des ggf. vorhandenen betrieblichen Datenschutzbeauftragten bzw. Prüfung, weshalb ein solcher unter Umständen nicht erforderlich ist
  • ggf. Meldung des Datenschutzbeauftragten an die zuständige Aufsichtsbehörde (vgl. Art. 37 Abs. 8 DS-GVO)

(2) Welche Datenverarbeitungen finden im Unternehmen statt?

  • Vorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten im Unternehmen (vgl. Art. 30 DS-GVO)
  • Sicherstellung der Berücksichtigung datenschutzrechtlicher Belange bei Beginn bzw. bei der Änderung von Prozessen (sog. privacy by design)

(3) Werden Externe in die Prozesse des Unternehmens einbezogen?

  • Prüfung des Einsatzes von externen Dienstleistern, sog. Auftragsverarbeiter
  • Erstellen einer Übersicht der Auftragsverarbeiter
  • Vorhandensein von Vereinbarungen mit Auftragsverarbeitern sowie ggf. Überarbeitung bestehender Vereinbarungen mit Auftragsverarbeitern (vgl. Art. 28 Abs. 3 DS-GVO)

(4) Werden die Vorgaben für Transparenz sowie die Informationspflichten umgesetzt? Wie werden die Betroffenenrechte sichergestellt?

  • Vorhandensein sowie ggf. Anpassung von Informationstexten für Betroffene bei der Datenerhebung nach Maßgabe der Art. 13, 14 DS-GVO (Hinweis auf Kontaktdaten des Datenschutzbeauftragten; Nennung der Rechtsgrundlagen für die Datenverarbeitung; Angabe der Speicherdauer bzw. der Kriterien für die Festlegung dieser Dauer; ggf. Belehrung über Widerrufsrecht bei Einwilligungen; Recht auf Beschwerde bei der Aufsichtsbehörde)
  • ggf. Anpassung von Werbe-Einwilligungserklärungen (z. B. für Newsletter)
  • Implementierung eines Verfahrens bei Auskunftsbegehren von Betroffenen (vgl. Art. 15 DS-GVO) sowie bei Anträgen auf Datenübertragbarkeit (vgl. Art. 20 DS-GVO)

(5) Wie ist der Umgang mit Datenschutzrisiken geregelt?

  • Nachweise der Rechtmäßigkeit für die Verarbeitungstätigkeiten nach Zwecken, Kategorien personenbezogener Daten, Löschfristen usw. (vgl. Art. 5 Abs. 2 DS-GVO)
  • Nachweise über Vorliegen von ggf. erforderlichen Einwilligungen
  • Einrichtung eines Datenschutzmanagementsystems zwecks Sicherstellung von Nachweiserbringung gemäß DS-GVO
  • Anpassung von Prozessen zur Überprüfung der Sicherheit der Verarbeitungstätigkeiten (vgl. Art. 24 Abs. 1 DS-GVO)
  • ggf. Durchführung von Datenschutz-Folgeabschätzung (Prüfung, ob diese im Unternehmen erforderlich ist und, falls ja, Prozessimplementierung und -evaluierung)

(6) Welche Verfahrensweise wird bei Datenschutzverletzungen angewendet?

  • Sicherstellung nach Art. 33 DS-GVO, dass die Meldung von Datenschutzverletzungen personenbezogener Daten innerhalb von 72 Std. an die jeweils zuständige Aufsichtsbehörde möglich ist
  • Implementierung von Prozessen zum internen Umgang mit Datenschutzverletzungen
  • Festlegung, wer, wann und auf welche Art und Weise mit der Aufsichtsbehörde kommuniziert
    Schon aus den hier nur übersichtsweise dargestellten Themen wird klar, dass es sich aufgrund deren Vielschichtigkeit regelmäßig empfiehlt, auf die Expertise externer Dienstleister zurückzugreifen. Gerade Unternehmen ohne Datenschutzbeauftragten oder eigene Rechtsabteilung dürften sonst rasch überfordert sein.

Hohe Strafen bei Datenschutzverstößen

Vor allem bei kleinen und mittleren Unternehmen (KMU) wird die Umsetzung der DS-GVO teils noch stiefmütterlich behandelt. Doch aufgepasst! Die neuen Regelungen betreffen jedes Unternehmen, unabhängig von Größe und Branche. Und wer den umfassenden Pflichten ab dem Stichtag im Mai 2018 nicht nachkommt, muss mit drastischen Strafen rechnen. Bußgelder können in die Millionen gehen, vgl. Art. 83 Abs. 5 DS-GVO:
„(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
(…)“
Ferner können im Rahmen eines sog. Verbandsklagerechtes auch Verbraucherschutzverbände Datenschutzverstöße gerichtlich und behördlich verfolgen, weitergehend als dies bisher in Deutschland der Fall ist. Parallel dazu können Schadensersatzansprüche geltend gemacht werden.
Es sei nochmals vergegenwärtigt, dass es keine weiteren Übergangsfristen geben wird. Mithin können die Datenschutzaufsichtsbehörden ab Ende Mai 2018 damit beginnen, die Umsetzung der neuen Datenschutzvorgaben zu überprüfen und entsprechende Bußgelder verhängen.

Datenschutzbehörden in Lauerstellung: Erstes Urteil zur DS-GVO

Wohin die Reise gehen wird, zeigt ein Verfahren vor dem Verwaltungsgericht Karlsruhe zur neuen DS-GVO. Die Datenschutzbehörde in Baden-Württemberg hatte gegen ein Unternehmen eine Verfügung erlassen, wonach bestimmte personenbezogene Daten spätestens ab 25. Mai 2018 zu löschen seien, da die DS-GVO dies so vorsehe. Zwar führte die Datenschutzbehörde aus, dass die DS-GVO noch nicht anwendbar sei und nach heutigem Recht (BDSG in „alter“ Form) kein Datenschutzverstoß vorliegen würde. Jedoch vertrat die Behörde die Auffassung, es müssten Missstände verhindert werden, die nach dem 25. Mai 2018 zu erwarten seien. Dagegen klagte das Unternehmen.
Die Klage des Unternehmens hatte vor dem Verwaltungsgericht Erfolg. Mit Urteil vom 06. Juli 2017 zum Aktenzeichen 10 K 7698/16 stellte das Gericht klar, dass Datenschutzbehörden ihre Verfügungen und Sanktionen nicht auf die DS-GVO stützen dürfen, bevor die Verordnung wirksam wird. Und dies ist eben erst im Mai 2018 der Fall. Daher hob das Gericht die Verfügung der Datenschutzbehörde in Baden-Württemberg wieder auf.
Der Vorgang macht unmissverständlich deutlich, dass sich die Datenschutzbehörden in Stellung bringen. Es ist damit zu rechnen, dass die Behörden die neuen Vorgaben zur DS-GVO in jedem Fall durchsetzen und prüfen werden, wenn sie nun sogar schon vor Anwendbarkeit der DS-GVO aktiv sind.

Fazit

Datenschutzrechtlichen Erleichterungen für Unternehmen stehen strenge Anforderungen an die Einhaltung der neuen Regeln gegenüber. Letztlich bleibt es dabei: Datenschutz ist und bleibt – zu Recht – wichtig. Gerade mit Blick auf die Sanktionsmöglichkeiten sollten Unternehmen sich gut vorbereiten und, falls nicht bereits geschehen, sofort mit der Umsetzung der neuen Vorgaben beginnen.
Erfahren Sie im nächsten atrigaRatgeber, was die DS-GVO sonst noch mit sich bringt.

Über die Autoren

Steffen Himer, Syndikusanwalt und Prokurist
Head of Legal Services & Debt Collection
atriga GmbH, Langen

Kristin Pagnia, Syndikusanwältin und Prokuristin
Assistant Head of Legal Services & Debt Collection
atriga GmbH, Langen

Über atriga

atriga besitzt als eines der wenigen Inkasso-Unternehmen eine eigene IT-Entwicklungsabteilung mit der Erfahrung aus tausenden von Mandaten von über 25.000 Mandanten. Kleinere und mittlere Unternehmen, wie auch weltweit tätige Konzerne und Unternehmen aus den unterschiedlichsten Branchen (z. B. Assekuranz, Banken, eCommerce, Gesundheitswesen, Immobilien, Logistik, öffentlicher Personenverkehr, Payment, Telekommunikation, Verlage, Versandhandel, Versorger) nutzen diese umfassende Expertise. atriga ist Partner namhafter Payment-, Warenwirtschafts- und Shop-Software-Anbieter, Vertragspartner der SCHUFA Holding AG und der meisten Auskunfteien, Mitglied im BvCM Bundesverband Credit Management e.V., im Bundesverband für Inkasso und Forderungsmanagement BFIF e.V., in der Gesellschaft für Datenschutz und Datensicherheit GDD e.V. und im Bundesverband der Dienstleister für Online Anbieter BDOA e.V.

Mit Hilfe der selbst entwickelten modernsten IT-Lösungen realisiert atriga für Mandanten hochtransparente und automatisierte, völlig individuelle und maximal personalisierte Inkasso-Verfahren. Diese neuen Lösungen für personalisiertes Inkasso geben dem Mandanten die Möglichkeit, zusätzliche Erlös- und Kundenrückgewinnungspotenziale und – aufgrund maximaler Automatisierung – gleichzeitig innerbetriebliche Effizienzsteigerungen zu nutzen. Für den Mandanten mehr Ertrag – geringerer Aufwand.

Kontakt

atriga GmbH
Pittlerstraße 47
63225 Langen
Tel.: +49 (0)6103 3746-0
Fax +49 (0)6103 3746-100
E-Mail: info@atriga.com
Web: www.atriga.com

Rechtliche Hinweise: Diese Informationen stellen keine Rechtsberatung dar und können Ihnen nicht den ggf. nötigen Weg zum Rechtsanwalt ersparen. Es werden hier nur allgemeine Hinweise gegeben, die auf Ihren konkreten Einzelfall möglicherweise nicht angewendet werden können. Das besprochene Themengebiet kann im Rahmen solcher Informationen nur angeschnitten, niemals aber vollständig behandelt werden. Alle Angaben ohne Gewähr. Eine Haftung des Autors und der atriga GmbH ist in jeglicher Hinsicht ausgeschlossen. Alle Rechte bleiben vorbehalten.

Bild: I-vista / pixelio.de

Einkauf im Onlinehandel für deutsche Verbraucher selbstverständlich

22.10.2015
Wie bereits in den vergangenen vier Jahren veröffentlichen der Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh) und die Creditreform Boniversum GmbH (Boniversum) auch in diesem Herbst wieder aktuelle Zahlen zu Einkaufspräferenzen im Online- und Versandhandel. ... mehr

Jahresprognose für den Interaktiven Handel 2015 bestätigt

21.01.2016
Die deutschen Onlinehändler verzeichneten im Geschäftsjahr 2015 einen Umsatz von 46,9 Mrd. EUR. Dies entspricht einem Anteil von 89,6 Prozent am Gesamtumsatz des Interaktiven Handels (Online- und Versandhändler), die insgesamt 52,4 Mrd. EUR umsetzten. ... mehr

Betrugsprävention in Online-Shops

28.01.2016
Die Anzahl von Betrugsfällen im Internet ist in den vergangenen Jahren weiter angestiegen. Dabei sind die jeweiligen Maschen von Betrügern immer schwieriger zu durchschauen. Jedoch könnten kriminelle Machenschaften bei der Bestellung von Waren in vielen Fällen verhindert werden. ... mehr

Cyber-Sicherheit: Euler Hermes versichert Clouds, Datenleitungen und Ersatzinvestitionen

04.02.2016
Der Deutsche Bundestag wäre bei dem im letzten Sommer erfolgten Hackerangriff mit dem erweiterten Euler Hermes Premium XXL Versicherungsschutz zumindest finanziell auf der sicheren Seite gewesen. ... mehr

Interaktiver Handel in Deutschland 2015: Fast jeder achte Euro wird online ausgegeben

18.02.2016
Der Umsatz mit Waren betrug im Interaktiven Handel (d. h. Online- und Versandhandel) im vergangenen Jahr 52,37 Mrd. Euro (inkl. USt). Das ergab die groß angelegte Verbraucherstudie des Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh). ... mehr

10/18/12

Videobeiträge

...mehr Videos

KREFO.tv Standpunkte

KREFO.tv Report

03/24/11

Aktuelle Veranstaltungen

Newsletter

Ihre E-Mail-Adresse wird nicht an Dritte verkauft
und auch nicht unsachgemäß verwendet werden.

News zum "Pixelio-Fall"

Die Neuigkeiten zu dem gegen uns erlassenen Urteils des Landgerichts Köln 14 O 427/13…Mehr

03/15/11

Folgen sie uns auf ...

Folgt uns auf FacebookFolgt uns auf TwitterAbboniert unseren RSS-Feed

Dargestellte Logos und/oder Teile davon, sowie ausgewiesene Marken gehören ihren jeweiligen Eigentümern. krefo.de übernimmt keine Haftung für den Inhalt verlinkter externer Internetseiten.
Mit der Benutzung dieser Website erkennen Sie die AGB an. ©2011 krefo.de - Alle Rechte vorbehalten.
powered by iware