• Besuchen Sie unsere Webinare!Kostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
  • WebinarKostenfrei und unverbindlich!
Besuchen Sie unsere Webinare!1 Webinar2 Webinar3 Webinar4 Webinar5 Webinar6

DS-GVO – Der Datenschutz-Countdown läuft! (Teil 2)14.12.2017

Mit der neuen EU-Datenschutz-Grundverordnung (DS-GVO) und dem in weiten Teilen neu gefassten Bundesdatenschutzgesetz (BDSG) erwartet Unternehmen die größte Reform des europäischen Datenschutzrechtes seit 1995. Bis zur Geltung des neuen Datenschutzrechts ab dem 25. Mai 2018 bleibt nicht mehr viel Zeit, insbesondere gibt es keine weiteren Übergangsfristen. Im ersten Teil des atrigaRatgebers berichteten wir unter anderem darüber, welche Strafen bei Datenschutzverstößen drohen. Im zweiten Teil betrachten wir einzelne Neuerungen etwas näher.

Datenschutz-Folgenabschätzung: Wieso? Weshalb? Warum?

In Art. 35 DS-GVO wird ab Mai 2018 das neue Instrument der Datenschutz-Folgenabschätzung eingeführt. Dabei handelt es sich um nichts anderes, als die bereits bislang im deutschen Datenschutzrecht bekannte Vorabkontrolle nach Maßgabe des § 4d Abs. 5 BDSG alter Form (a. F.). Diese Vorabkontrolle ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG a. F. verarbeitet werden oder wenn die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Liegen solche Fälle vor, prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen. Sodann gibt er seine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Die Datenschutz-Folgenabschätzung dient ebenso wie die Vorabkontrolle der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Sie ist nach Art. 35 Abs. 1 DS-GVO immer dann durchzuführen, wenn

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, (…)“ hat.
Nach Art. 35 Abs. 3 DS-GVO ist die Datenschutz-Folgenabschätzung insbesondere in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Es wird deutlich, dass im Vergleich zur bisherigen Vorabkontrolle gemäß BDSG a. F. nach der DS-GVO künftig ein größerer Anwendungsbereich für die Datenschutz-Folgenabschätzung bleibt. Wie eine solche durchzuführen ist, wird in Art. 35 Abs. 7 DS-GVO näher ausgeführt, wonach sie zumindest Folgendes enthalten muss:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Wann benötigt das Unternehmen einen Datenschutzbeauftragten?

Neu ist, dass in Art. 37 ff. DS-GVO die Pflicht zur Ernennung eines Datenschutzbeauftragten auf ganz Europa ausdehnt wird. Dabei wird neuerdings von der Benennung statt der Bestellung eines Datenschutzbeauftragten gesprochen. Art. 37 Abs. 4 DS-GVO enthält eine sogenannte Öffnungsklausel, welche es den EU-Mitgliedsstaaten ermöglicht, weitergehende Regelungen zur Benennung des Datenschutzbeauftragten zu treffen.

Der deutsche Gesetzgeber hat dies mit § 38 Abs. 1 BDSG neuer Form (n. F.) umgesetzt, wonach auch weiterhin in den meisten Fällen ein Datenschutzbeauftragter zu benennen ist. Insoweit entspricht diese Klausel dem bisherigen § 4f Abs. 1 S. 4 BDSG a. F. Ein Datenschutzbeauftragter muss demnach benannt werden, wenn

  • mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
  • wegen eines hohen Risikos für die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO notwendig ist.
  • geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Das bedeutet für Unternehmen, die bisher bereits einen Datenschutzbeauftragten bestellen mussten, dass das Erfordernis als „Benennungspflicht“ auch zukünftig bestehen bleibt. Da die Benennungspflichten erweitert worden sind, sollten nun aber auch Unternehmen mit weniger als zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, prüfen, ob sie demnächst verpflichtet sind, einen Datenschutzbeauftragten zu benennen.

Schließlich besteht nach der DS-GVO die Pflicht, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen (z. B. auf der Website, wobei der Name selbst nicht zwingend veröffentlicht werden muss – es genügen spezifische Kontaktdaten) und diese Daten auch der zuständigen Aufsichtsbehörde mitzuteilen, vgl. Art. 37 Abs. 7 DS-GVO.

Im Übrigen sei nochmals darauf hingewiesen, dass ein betrieblicher Datenschutzbeauftragter dem besonderen Kündigungsschutz sowie der Verschwiegenheitspflicht unterliegt und schließlich nach wie vor ein Zeugnisverweigerungsrecht besitzt.

Auch das muss geregelt sein: Löschkonzepte im Unternehmen

Dort, wo automatisiert Daten verarbeitet werden, ist stets auch eine automatisierte Datenlöschung erforderlich. Das ist nicht völlig neu. Denn bereits bisher sind Unternehmen verpflichtet, personenbezogene Daten zu löschen, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen. Allerdings zeigt die Praxis, dass die wenigsten Unternehmen über ein entsprechendes Löschkonzept verfügen. Die DS-GVO sieht künftig klare Löschpflichten vor (u. a. das in Art. 17 DS-GVO verankerte „Recht auf Vergessenwerden“). Deshalb sollten Unternehmen Löschkonzepte und -routinen erarbeiten und umsetzen. Wie bereits im ersten Teil des atrigaRatgeber dargestellt, kann sonst bei Datenschutzverstößen rasch ein hohes Bußgeld drohen.

Zugegebenermaßen ist die Implementierung eines Löschkonzeptes ein anspruchsvolles und zeitaufwändiges Unterfangen. Mitunter wird als zulässige und womöglich weniger aufwändige Alternative die unumkehrbare Anonymisierung von Daten diskutiert. Wobei an dieser Stelle zu berücksichtigen ist, dass eine tatsächlich unumkehrbare Anonymisierung insbesondere hohe technische Anforderungen mit sich bringt. Ferner gibt es auch immer Konstellationen, in denen zwingend eine Löschung geboten ist (z. B. im Falle unberechtigt erhobener personenbezogener Daten).

Letztlich handelt es sich bei der Erarbeitung eines Löschkonzepts auch nicht um ein einmaliges Unterfangen. Denn die Weiterentwicklung von Prozessen, Änderungen von Gesetzen und Aktualisierungen bzw. Neuerungen von IT-Systemen bringen es erfahrungsgemäß mit sich, dass solche Konzepte permanent evaluiert und angepasst werden müssen.

Das kann teuer werden: Schmerzensgeldanspruch für Arbeitnehmer

In § 83 Abs. 2 BDSG n. F. wird künftig ein Schmerzensgeldanspruch für Verbraucher und damit auch für Arbeitnehmer eingeführt. Anders als nach der DS-GVO kann nunmehr eine betroffene Person auch wegen eines Schadens, der kein Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen. Dies kann der Fall sein, wenn ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach dem neuen Bundesdatenschutzgesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, Schaden zufügt.

Für Unternehmer kann das mit erheblichen wirtschaftlichen Risiken verbunden sein. Insbesondere erleichtern neue Verbandsklagerechte Verbrauchern und Verbänden die gerichtliche Geltendmachung und Durchsetzung entsprechender Ansprüche.

Richtig informieren nach der DS-GVO

Einer der wichtigsten datenschutzrechtlichen Aspekte ist die Transparenz, welche Betroffene in die Lage versetzt, die Datenerhebung, -verarbeitung und -nutzung nachvollziehen und prüfen zu können, damit ihnen bekannt ist, wer was wann und bei welcher Gelegenheit weiß. Die Informationspflichten betreffen sämtliche Verarbeitungen personenbezogener Daten, d. h. sowohl Verarbeitungen im Online- als auch im Offline-Bereich.

Unternehmern obliegen insoweit bereits nach bisherigem Recht gewisse Informationspflichten. Einen Schritt weiter geht nun die DS-GVO, welche die Informationspflichten in ihren Art. 13 und 14 sehr umfassend und in Katalogen regelt, die über das bisher Erforderliche hinausgehen. Es ist dabei zu unterscheiden, ob die Daten direkt beim Betroffenen erhoben werden oder nicht. Werden personenbezogene Daten beim Betroffenen erhoben, sind die in Art. 13 DS-GVO benannten Informationspflichten zu beachten. Werden personenbezogene Daten anderweitig erhoben (also nicht beim Betroffenen) ist Art. 14 DS-GVO einschlägig. Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen für den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen. Zu den Informationspflichten gehören u. a. Angaben

  • zur Identität des Verantwortlichen;
  • zu den Kontaktdaten des Datenschutzbeauftragten;
  • zu Verarbeitungszwecken und deren Rechtsgrundlage;
  • zum berechtigten Interesse, sofern die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen nach Art. 6 Abs. 1 f) DS-GVO erforderlich ist;
  • zu den Empfängern personenbezogener Daten, soweit eine Übermittlung stattfindet;
  • zur Dauer der Speicherung;
  • zu den Rechten von Betroffenen; 
  • zur Widerrufbarkeit von erteilten Einwilligungen, wobei die entsprechende Informationspflicht nur erfüllt ist, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann;
  • zum Beschwerderecht bei Aufsichtsbehörden.

Sämtliche Informationspflichten sind laut Art. 12 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.

Fazit

Es kann nur wiederholt werden: Gerade mit Blick auf die Sanktionsmöglichkeiten sollten Unternehmen sich gut vorbereiten und – falls nicht bereits geschehen – sofort mit der Umsetzung der neuen Vorgaben beginnen. Aus Unternehmenssicht ergeben sich aber durchaus auch Chancen. Einerseits wird das Datenschutzniveau innerhalb der EU grundsätzlich vereinheitlicht, wenn auch nicht vollharmonisiert. Auf der anderen Seite stärkt das Marktortprinzip gleiche Wettbewerbsbedingungen. Denn die DS-GVO ist nach diesem Prinzip auch auf Unternehmen außerhalb der EU anwendbar, wenn diese Unternehmen betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.
atriga wird über die weiteren Entwicklungen berichten und Kunden und Mandanten in gewohnter Weise kompetent zur Seite stehen.

Über die Autoren

Steffen Himer, Syndikusanwalt und Prokurist
Head of Legal Services & Debt Collection
atriga GmbH, Langen

Kristin Pagnia, Syndikusanwältin und Prokuristin
Assistant Head of Legal Services & Debt Collection
atriga GmbH, Langen

Über atriga

atriga besitzt als eines der wenigen Inkasso-Unternehmen eine eigene IT-Entwicklungsabteilung mit der Erfahrung aus tausenden von Mandaten von über 25.000 Mandanten. Kleinere und mittlere Unternehmen, wie auch weltweit tätige Konzerne und Unternehmen aus den unterschiedlichsten Branchen (z. B. Assekuranz, Banken, eCommerce, Gesundheitswesen, Immobilien, Logistik, öffentlicher Personenverkehr, Payment, Telekommunikation, Verlage, Versandhandel, Versorger) nutzen diese umfassende Expertise. atriga ist Partner namhafter Payment-, Warenwirtschafts- und Shop-Software-Anbieter, Vertragspartner der SCHUFA Holding AG und der meisten Auskunfteien, Mitglied im BvCM Bundesverband Credit Management e.V., im Bundesverband für Inkasso und Forderungsmanagement BFIF e.V., in der Gesellschaft für Datenschutz und Datensicherheit GDD e.V. und im Bundesverband der Dienstleister für Online Anbieter BDOA e.V.

Mit Hilfe der selbst entwickelten modernsten IT-Lösungen realisiert atriga für Mandanten hochtransparente und automatisierte, völlig individuelle und maximal personalisierte Inkasso-Verfahren. Diese neuen Lösungen für personalisiertes Inkasso geben dem Mandanten die Möglichkeit, zusätzliche Erlös- und Kundenrückgewinnungspotenziale und – aufgrund maximaler Automatisierung – gleichzeitig innerbetriebliche Effizienzsteigerungen zu nutzen. Für den Mandanten mehr Ertrag – geringerer Aufwand.

Kontakt

atriga GmbH, Pittlerstraße 47, 63225 Langen
Telefon +49 (0)6103 3746-0, Telefax +49 (0)6103 3746-100
E-Mail: info@atriga.com
Web:www.atriga.com

Rechtliche Hinweise: Diese Informationen stellen keine Rechtsberatung dar und können Ihnen nicht den ggf. nötigen Weg zum Rechtsanwalt ersparen. Es werden hier nur allgemeine Hinweise gegeben, die auf Ihren konkreten Einzelfall möglicherweise nicht angewendet werden können. Das besprochene Themengebiet kann im Rahmen solcher Informationen nur angeschnitten, niemals aber vollständig behandelt werden. Alle Angaben ohne Gewähr. Eine Haftung des Autors und der atriga GmbH ist in jeglicher Hinsicht ausgeschlossen. Alle Rechte bleiben vorbehalten.

Bild: Rainer Sturm / pixelio.de

Verjährung von Forderungen: Prosit Neujahr – auf Ihre Kosten?

09.10.2014
Als Lieferant von Waren oder Dienstleistungen sind Sie darauf angewiesen, dass Ihre Kunden ihre Rechnungen pünktlich und vollständig bezahlen. Besonders ärgerlich ist es dann, wenn säumige Kunden bei älteren unbezahlten Forderungen sich auf deren Verjährung berufen und deshalb endgültig die Zahlung verweigern. ... mehr

SOPLEX Branchen-Suite für das Forderungsmanagement mit SAP® IS-U

24.09.2014
SOPLEX bietet eine umfassende Branchenlösung für Unternehmen der Versorgungswirtschaft an: Die SOPLEX Forderungsmanagement-Suite für SAP® IS-U. ... mehr

Globale Benchmarking-Studie Kredit- und Forderungsmanagement

30.09.2014
Die größten kurzfristigen Vermögenswerte in den meisten Bilanzen sind die Forderungen. Um zu verstehen, wie Unternehmen diesen Vermögenswert optimieren, hat SunGard eine globale Benchmarking-Studie zu Kredit- und Forderungsmanagement durchgeführt. ... mehr

Wirtschaftsauskünfte effektiv einholen und verwalten mit Creditsafe Connect in SAP®

03.10.2014
SOPLEX-Experten stellen in kostenlosen und unverbindlichen Webinaren die Lösung für ein modernes Management von Wirtschaftsauskünften in SAP® vor. ... mehr

Der Bundeskongresses 2014 "Credit Management 2.0"

29.10.2014
Zum nunmehr 11. Mal trafen sich unter der Flagge des BvCM rund 500 Credit Manager sowie Dienstleister aus den Bereichen Credit- und Forderungsmanagement zu Diskussionen, Vorträgen und Workshops ... mehr

10/18/12

Videobeiträge

...mehr Videos

KREFO.tv Standpunkte

KREFO.tv Report

03/24/11

Aktuelle Veranstaltungen

Newsletter

Ihre E-Mail-Adresse wird nicht an Dritte verkauft
und auch nicht unsachgemäß verwendet werden.

News zum "Pixelio-Fall"

Die Neuigkeiten zu dem gegen uns erlassenen Urteils des Landgerichts Köln 14 O 427/13…Mehr

03/15/11

Folgen sie uns auf ...

Folgt uns auf FacebookFolgt uns auf TwitterAbboniert unseren RSS-Feed

Dargestellte Logos und/oder Teile davon, sowie ausgewiesene Marken gehören ihren jeweiligen Eigentümern. krefo.de übernimmt keine Haftung für den Inhalt verlinkter externer Internetseiten.
Mit der Benutzung dieser Website erkennen Sie die AGB an. ©2011 krefo.de - Alle Rechte vorbehalten.
powered by iware