Passwort vergessen?
ODER Login mit Google
Sicherer Server
Kundenservice: +49 761 21 609 789-0

EU-DSGVO Check - Datenschutz im Unternehmen

Datenschutz im Unternehmen

Ratgeber Datenschutz EU DSGVO

(Lesezeit: 8 Minuten)

Das Thema Datenschutz ist über viele Jahre hinweg stiefmütterlich behandelt worden, obwohl mit dem Bundesdatenschutzgesetz (BDSG) schon lange eine Kodifizierung des Rechtes vorliegt. In vielen Unternehmen fristete der Datenschutz nur ein Schattendasein. Grund dafür war vor allem die mangelnde Möglichkeit zur Sanktionierung von Verstößen gegen datenschutzrechtliche Bestimmungen. Wurde bisher ein Verstoß an die zuständige Aufsichtsbehörde gemeldet, so sprach diese zunächst nicht mehr als eine Warnung aus. Dies ändert sich aber nun mit der Datenschutzgrundverordnung (DSGVO). 

Das Wichtigste in Kürze

Die DSGVO bringt schärfere Regelungen zum Datenschutz mit sich, von denen eine Vielzahl von Personen und Unternehmen betroffen sind, die oftmals gar nichts davon wissen. Die Konsequenzen bei Verstößen sind empfindlich und eine vollständige und rechtssichere Umsetzung eines neuen Datenschutzkonzeptes ohne Hinzuziehung eines Experten meist nicht möglich.

Kostenlose Ersteinschätzung erhalten

Inhaltsverzeichnis

  1.  Ab wann gelten die schärferen Datenschutzbestimmungen?
  2. Von der DSGVO ist fast jeder betroffen
  3. Empfindliche Konsequenzen bei Datenschutzverletzungen
  4. Verarbeitungstätigkeit und Datenschutz-Folgeabschätzung
  5. Auftragsverarbeitung
  6. Pflicht zur Bestellung eines Datenschutzbeauftragten
  7. Weitere kritische Änderungen durch die DSGVO
  8. Verhältnis zwischen BDSG und DSGVO
  9. Unterstützung bei der Umsetzung der Datenschutzbestimmungen
  10. Fazit: Kostenlose anwaltliche Ersteinschätzung

1. Ab wann gelten die schärferen Datenschutzbestimmungen

Ab dem 25. Mai 2018 entfaltet die DSGVO ihre volle Wirkung. Abmahnungen wegen Verletzungen der Vorschriften sind ab diesem Datum durch Mitbewerber möglich. Ein großer Unterschied zur bisherigen Handhabung ist dabei die Möglichkeit der Aufsichtsbehörde zur sofortigen Verhängung eines Bußgeldes, wenn eine Datenschutzverletzung vorliegt. Es gibt weder eine Warnung, noch eine Übergangsfrist. Denn die DSGVO trat bereits im Jahr 2016 in Kraft, ohne dass die konkreten Normen angewendet werden mussten. Diese zweijährige Übergangszeit hat der europäische Gesetzgeber als ausreichend angesehen, um sich auf die bevorstehenden Änderungen vorbereiten zu können. 

2. Von der DSGVO ist fast jeder betroffen

Die DSGVO trifft dabei, entgegen einer weit verbreiteten Meinung, nicht nur große Unternehmen, sondern gleichermaßen Einmannbetriebe, Online-Shops und sogar private Blogger. Betroffen ist von der Verschärfung der Regelungen jeder, der personenbezogene Daten verarbeitet. Unter die Verarbeitung fällt dabei eine Vielzahl von Vorgängen, namentlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten. 

Personenbezogene Daten sind dabei nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. 
Beispiele von personenbezogenen Daten sind etwa:

  • Name
  • Anschrift
  • Telefonnummer
  • E-Mail
  • Adresse
  • IBAN Nummer
  • IP-Adresse

Oft geschieht die Erhebung solcher Daten noch nicht einmal bewusst, sondern automatisiert, etwa auch, wenn nur eine simple Wordpress-Seite betrieben wird und Cookies gespeichert werden, wobei auch noch eine Reihe von Plugins zum Einsatz kommen, die Daten erheben und an Dritte übertragen. 
Neben dem sachlichen Anwendungsbereich ist räumlich nach Art. 3 DSGVO jeder betroffen, der einen Sitz oder eine Niederlassung in der Europäischen Union hat. Dies gilt auch dann, wenn die Verarbeitung der Daten außerhalb der EU vonstattengeht, etwa weil der Server im nicht europäischen Ausland stationiert ist.

3. Empfindliche Konsequenzen bei Datenschutzverletzungen

Wer sich um den internen Datenschutz nicht kümmert und/oder eine unzureichende Datenschutzerklärung auf der Webseite vorhält, riskiert nicht nur eine teure Abmahnung durch Mitbewerber, sondern auch ein empfindliches Bußgeld durch die Aufsichtsbehörde. Da die im Internet stehenden Informationen zudem regelmäßig von jedermann eingesehen werden können, ist eine Verfolgung von Verstößen besonders einfach umzusetzen. Aber auch innerhalb der Unternehmensstruktur muss auf die Einhaltung datenschutzrechtlicher Vorschriften penibel geachtet werden.

Die Landesdatenschutzbeauftragten verschiedener Bundesländer, als zuständige Aufsichtsbehörden, haben bereits angekündigt, hart durchgreifen zu wollen und keine Kompromisse bei der Verfolgung von Datenschutzverstößen einzugehen. Wenn der Startschuss Ende Mai 2018 gefallen ist, hängt der Datenschutz daher wie ein Damoklesschwert über all jenen, die sich bislang nicht mit dem Thema auseinandergesetzt haben. Die DSGVO gewährt den Behörden die Möglichkeit die Unternehmen dort zu treffen, wo es besonders wehtut. Nach Art. 83 DSGVO kann die Aufsichtsbehörde ein Bußgeld in Höhe von 4 % des Jahresumsatzes oder bis zu 20 Mio. Euro festsetzen.

4. Verarbeitungstätigkeit und Datenschutz-Folgeabschätzung

Hinter dem Begriff der Verarbeitungstätigkeit verbirgt sich ein Verzeichnis, welches gemäß Art. 30 DSGVO zu führen ist. Das Verzeichnis von Verarbeitungstätigkeiten muss erheblich umfangreicher ausfallen, als das früher geltende Verfahrensverzeichnis. Auf Verlangen muss das Verzeichnis jederzeit der Aufsichtsbehörde vorgelegt werden könnte. Die Behörde ist zur anlasslosen Kontrolle berechtigt, sodass das Anlegen eines solchen Verzeichnisses eine der grundsätzlichen Aufgaben ist, um der DSGVO zu entsprechen. Das Dokument muss beinhalten, welche personenbezogene Daten das Unternehmen mithilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen (TOM) zum Schutz dieser Daten dabei getroffen wurden. Die Pflicht zur Führung eines solchen Verzeichnisses trifft jedes Unternehmen, auf das eine der folgenden Voraussetzungen zutrifft:

  • Es sind mindestens 250 Mitarbeiter beschäftigt oder
  • es besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung oder
  • es werden besondere personenbezogene Daten gemäß Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, Religion, biometrische Daten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO verarbeitet.

Insbesondere das Risiko für die Rechte und Freiheiten der betroffenen Person ist gesetzlich nicht klar definiert, sodass es sich vorsorglich empfiehlt ein solches Verzeichnis zu führen und aktuell zu halten.
Eine Datenschutz-Folgeabschätzung ist gemäß Art. 35 DSGVO notwendig, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Personen zur Folge hat, von denen Daten erhoben werden. Dies ist insbesondere der Fall, wenn besondere personenbezogene Daten (siehe Auflistung unter Ziff. 6) verarbeitet werden, aber auch bei einer Video-Überwachung öffentlicher Bereiche oder beim Profiling. Die Folgeabschätzung muss zumindest folgende Inhalte aufweisen:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

5. Auftragsverarbeitung

Oft sträflich vernachlässigt ist die Auftragsverarbeitung (AV), früher bekannt unter dem Begriff Auftragsdatenverarbeitung. Eine Auftragsverarbeitung liegt immer dann vor, wenn personenbezogene Daten im Auftrag verarbeitet werden. Anwendungsbereiche aus der Praxis sind etwa die Beauftragung eines IT-Dienstleisters, die Nutzung von Onlinespeicherdiensten (z.B. Google Drive, Dropbox) oder der Versand von Newslettern durch Dritte. Das mit der Verarbeitung beauftragte Unternehmen muss hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Zur Abstimmung und Gewährleistung der Einhaltung von datenschutzrechtlichen Bestimmungen sollten beide Parteien einen Vertrag schließen, der zumindest die nach Art. 28 Abs. 3 DSGVO festgeschriebenen Inhalte aufweist. Nach neuem Recht sind dabei sowohl das beauftragte Unternehmen, als auch der Auftraggeber, haftbar für Verstöße bei der AV. 

6. Pflicht zur Bestellung eines Datenschutzbeauftragten

Von der Pflicht zur Bestellung eines Datenschutzbeauftragten ist nicht jedes Unternehmen betroffen. Das Gesetz schreibt in § 38 BDSG (n.F.) dazu vor, dass die Bestellung erforderlich ist, wenn das Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Weiterhin ist die Bestellung auch unabhängig von der Unternehmensgröße verpflichtend, wenn besondere personenbezogene Daten verarbeitet werden. Darunter fallen Informationen aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. 

Das Gesetz stellt an den Datenschutzbeauftragten keine konkret ausgestalteten Anforderungen. Gemäß Art. 37 Abs. 5 DSGVO hat die Person die Fachkunde auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis zu besitzen. Diese Fachkenntnis muss auf Verlangen auch belegt werden können. Es ist daher nicht zwingend erforderlich, dass der Datenschutzbeauftragte eine Zertifizierung erwirbt, aber grundsätzlich sehr empfehlenswert. Neben der internen Lösung durch einen geschulten Mitarbeiter kann die Aufgabe auch von einer externen Person (z.B. einem Rechtsanwalt) übernommen werden. Die interne Lösung hat dabei für den Arbeitgeber den Nachteil, dass nicht nur Schulungen des Mitarbeiters bezahlt werden müssen, sondern dieser auch über einen besonderen Kündigungsschutz verfügt.

7. Weitere kritische Änderungen durch die Datenschutz-Grundverordnung

Durch die DSGVO wird der Datenschutz in Deutschland deutlich verschärft. Neben den bereits angesprochenen Sanktionen und erweiterten Nachweispflichten, ist auch ein besonderes Augenmerk auf die Übertragung von personenbezogenen Daten in ein Drittland zu legen. Drittland ist dabei jedes Land außerhalb der Europäischen Union. In den meisten praxisrelevanten Fällen ist dies die USA, in der Datenkraken wie Google, Facebook und Co. sitzen. An die Übertragung in ein Drittland werden strenge Anforderungen geknüpft. Maßgeblich ist dabei vor allem das Abkommen der EU mit den Vereinigten Staaten von Amerika über den Datenschutz. Dem sogenannten Privacy Shield, welches das für rechtswidrig erklärte Safe Harbour Abkommen abgelöst hat, sind bereits zahlreiche Unternehmen beigetreten. Die überwiegende Mehrheit, insbesondere an kleineren und mittelgroßen Firmen, hat sich jedoch (noch) nicht zertifizieren lassen und genau hier liegt das Problem. Denn die Übertragung an ein Unternehmen in ein Drittland wie der USA ist nach Art. 45 DSGVO nur dann zulässig, wenn sich das Unternehmen zertifiziert hat oder sich aufgrund von internen Firmenübereinkommen (sogenannte BCR, relevant in Unternehmen mit Niederlassungen in der EU und in Drittländern) verpflichtet hat, an die Bestimmungen des Datenschutzes zu halten. Dadurch ist ab Ende Mai 2018 die Weitergabe von Daten in die USA in sehr vielen Fällen unzulässig und kann bestraft werden. Es empfiehlt sich daher dringend die eigene Webseite auf Funktionen überprüfen zu lassen, die Daten unbefugt in Drittländer versenden und damit nach der DSGVO rechtswidrig sind. Gleiches gilt für das Outsourcing von Datenverarbeitungsvorgängen in Niedriglohnländer wie etwa Indien.

8. Verhältnis zwischen BDSG und DSGVO

Vielfach kann man lesen, dass das BDSG von der DSGVO ersetzt wird. Dies ist jedoch nicht korrekt. Stattdessen sind beide Gesetzeswerke parallel anwendbar. Das BDSG wird darüber hinaus in einer neuen Fassung überarbeitet, die zeitgleich mit dem Startschuss der DSGVO in Kraft tritt. Die DSGVO muss auch nicht erst vom deutschen Gesetzgeber umgesetzt werden, denn es handelt sich nicht um eine Richtlinie (wie z.B. die Cookie-Richtlinie), sondern eine Verordnung, die unmittelbar gilt. Als europäische Verordnung geht die DSGVO zudem dem deutschen BDSG vor, auch wenn viele Regelungen identisch sind und in absehbarer Zeit zunehmend angeglichen werden.

9. Unterstützung bei der Umsetzung der Datenschutzbestimmungen

Die vollständige Umsetzung eines neuen Datenschutzkonzeptes ist ein großes Unterfangen, das für viele Unternehmen, insbesondere wenn keine darauf spezialisierte Rechtsabteilung vorhanden ist, kaum bewerkstelligt werden kann. In den Bereichen, in denen es um die Dokumentation des Umgangs mit dem Datenschutz geht, ist dies durch geschultes Personal oft noch möglich. Wenn es jedoch an die Erstellung von Rechtstexten wie z.B. der Datenschutzerklärung sowie Einwilligungstexten oder um Spezialfragen zur Einhaltung von Vorschriften geht, ist die Konsultation eines Anwaltes dringend zu empfehlen. Der Gesetzestext ist für den juristischen Laien nicht nur schwer verständlich, er muss zudem im Lichte der Rechtsprechung und anderer Gesetze, sowie der zugrundeliegenden Erwägungsgründe der Normen ausgelegt werden. 

10. Fazit: Kostenlose anwaltliche Ersteinschätzung

Wer sich mit dem Thema Datenschutz im Unternehmen oder für den Internetauftritt noch nicht beschäftigt hat, für den steht die Uhr auf 5 vor 12. Ab dem 25. Mai 2018 hat die Stunde geschlagen. Jeder der zu diesem Zeitpunkt noch keine Vorkehrungen getroffen hat, um den Datenschutz zu gewährleisten und die Anforderungen nach der DSGVO zu erfüllen, sollte dies unverzüglich nachholen. Verlieren Sie deshalb keine Zeit und lassen sich von einem spezialisierten Rechtsanwalt beraten.

Kontaktieren Sie online unsere erfahrenen Rechtsanwälte auf yourXpert.de für eine kostenlose und unverbindliche Ersteinschätzung.

War dieser Ratgeber hilfreich?

Kostenlose Ersteinschätzung erhalten
Bereits beantwortete Fragen Bereich Datum Bewertung
Digitale Unterschriften mit DocuSeal Datenschutzrecht 02.08.2024
Löschung meines Autorenprofils beim Bundesamt für magische Wesen Datenschutzrecht 02.08.2024
DSGVO Beratung Datenschutzrecht 31.05.2023
Datenschutz Frage Telefonie Datenschutzrecht 05.09.2022
Datenschutz im Internet Datenschutzrecht 09.08.2022
Zusatzangebot zu Ihrem Auftrag "Prüfung AGB/Datenschutzerklärung /Erstellung Datenschutzkonzept" Datenschutzrecht 18.07.2022
Verstoss Dsgvo Datenschutzrecht 11.07.2022
Datenschutz Fotografin Kleingewerbe Datenschutzrecht 26.04.2022
Angebot für zusätzliche anwaltliche Leistungen einholen Datenschutzrecht 10.03.2022
Datenschutz für Jobplattform! Datenschutzrecht 05.02.2022
Mehr...

Häufige Fragen

Wie funktioniert die kostenlose Ersteinschätzung?

Nach Schilderung Ihres Anliegens, meldet sich innerhalb weniger Stunden  einer*eine unserer Anwält*innen bei Ihnen und, soweit im Einzelfall möglich, erhalten Sie eine kostenlose und unverbindliche Ersteinschätzung zu Ihrem Anliegen.

Wie ist der Ablauf nach der kostenlosen Ersteinschätzung?

Bei weiterem Handlungsbedarf erhalten Sie von Ihrem*Ihrer Anwält*in ein individuelles unverbindliches Festpreisangebot. Sie können dann in Ruhe entscheiden, ob Sie das Angebot annehmen möchten. Dabei fallen für Sie keine Kosten an.

Was ist der Unterschied zwischen einer kostenlosen Ersteinschätzung und einer kostenpflichtigen Rechtsberatung?

Eine Ersteinschätzung kann als Orientierungshilfe dienen. Sie erfahren hier gegebenenfalls, ob Ihr Anliegen Aussichten auf Erfolg hat, welche nächsten Schritte bzw. welcher Aufwand in Ihrem Fall notwendig wäre, oder welche Möglichkeiten Sie haben weiter vorzugehen.

Bitte beachten Sie, dass in manchen Fällen eine Ersteinschätzung nicht erfolgt, zum Beispiel wenn eine solche mit einer umfangreichen Prüfung verbunden wäre.

Im Gegensatz zu einer kostenlosen Ersteinschätzung stellt eine Rechtsberatung eine fundierte und umfassende rechtssichere Beratung dar, welche auf alle relevanten Aspekt eingeht und eine umfangreiche Prüfung Ihres Anliegens beinhaltet. Diese Rechtsberatung muss auch als solche vergütet werden, jedoch nur, wenn Sie das unverbindliche Beratungsangebot annehmen.

Im Rahmen der Ersteinschätzung erhalten Sie deshalb auch ein Angebot für eine abschließende Rechtsberatung.

Welche Kosten entstehen?

Die Ersteinschätzung ist kostenlos und unverbindlich. Der Preis für die abschließende Rechtsberatung wird individuell im unverbindlichen Angebot angegeben. Kosten entstehen für Sie also immer erst, wenn Sie nach der Ersteinschätzung das individuelle, anwaltliche Festpreisangebot annehmen.

Wer kann meine Anfrage bzw. meine Dokumente lesen? (Wird meine Anfrage öffentlich sichtbar sein?)

Aus datenschutzrechtlichen Gründen ist Ihre Anfrage zu keiner Zeit öffentlich einsehbar und lediglich die für die Bearbeitung infrage kommenden Rechtsanwält*innen können die Anfrage einsehen. Die Übersendung Ihrer Daten erfolgt sicher und verschlüsselt. Unsere Server, auf denen die Daten gespeichert sind stehen, ausschließlich in Deutschland. Bitte beachten Sie darüber hinaus unsere Datenschutzerklärung.

Sie haben keine kostenlose Ersteinschätzung erhalten?

Bitte beachten Sie, dass in Einzelfällen eine Ersteinschätzung nicht möglich ist, da diese Beispielsweise einer umfangreichen Prüfung bedarf, welche nicht im kostenlosen Rahmen möglich ist.

Wann erhalte ich die Ersteinschätzung?

Die Ersteinschätzungen auf Ihre Anfrage erhalten Sie in der Regel bereits nach wenigen Stunden. Der*die Anwält*in teilt Ihnen im Preisangebot auch die für Ihre Anfrage benötigte Bearbeitungszeit mit, sodass Sie sicher sein können, dass Ihr Auftrag innerhalb der vereinbarten Frist bearbeitet wird. Sollte Ihre Anfrage sehr zeitkritisch sein, vermerken Sie dies bitte gleich beim Einstellen Ihrer Anfrage, sodass der*die Anwält*in hierauf entsprechend reagieren kann. Vielen Dank.

Kostenlose Ersteinschätzung erhalten

Bildnachweis: © fotolia.com – Vasily Merkushev

Qualifizierte Experten
Bereits 171.510 Beratungen bestätigen den hohen Beratungsstandard unserer Expert*innen:
4,8 / 5,0
sehr gut
» Mehr dazu hier

So funktioniert's:

  1. Kostenlose anwaltliche Ersteinschätzung
  2. Unverbindliches Festpreisangebot
  3. Angebot annehmen und Rechtsberatung erhalten
Anliegen schildern