Form

0381/49761-0

Thema

Neues, strenges Datenschutzrecht tritt am 25. Mai 2018 in Kraft

06.05.2019

Ab dem 25. Mai 2018 werden die Regelungen der Datenschutz-Grundverordnung (DSGVO) unmittelbar geltendes Recht in allen Staaten der Europäischen Union (EU). Damit wird ein einheitliches Datenschutzniveau in den Mitgliedstaaten gewährleistet. Die Wahlmöglichkeiten, welche die DSGVO vorsieht, hat Deutschland im Bundesdatenschutzgesetz (BDSG neu) ausgeübt. Das BDSG neu tritt ebenfalls am 25. Mai 2018 in Kraft.

Die Datenschutzaufsichtsbehörden erhalten zur Durchsetzung umfangreiche Befugnisse und haben demgemäß ihre Personalkapazitäten aufgestockt. Flankiert werden die erweiterten Befugnisse durch eine Ausweitung des Bußgeldrahmens bei Verstößen. Bisher konnten max. 300.000 € als Bußgeld festgesetzt werden. Zukünftig sind Bußgelder bis 20 Millionen € oder 4 % vom Jahresumsatz zulässig, wobei der jeweils höhere Wert gilt.

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten natürlicher Personen, ohne dies genauer zu definieren. Im Zweifel sollte, z. B. bei der Speicherung einer IP-Adresse, vom Personenbezug ausgegangen werden.

Anzuwenden sind die Datenschutzbestimmungen, wenn die Verarbeitung der Daten im Rahmen der Tätigkeiten einer Niederlassung in der EU erfolgt. Die Verarbeitung selbst kann auch außerhalb der EU stattfinden. Hat ein Unternehmen seine Niederlassung außerhalb der EU, muss es die Regelungen trotzdem beachten, wenn es Waren oder Dienstleistungen in der EU anbietet und die Datenverarbeitung mit seinem Angebot zusammenhängt.

Folgende Grundprinzipien sind zu beachten:

  • Verbot mit Erlaubnisvorbehalt: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Einwilligung oder eine in der DSGVO normierte Ausnahme vor. Eine solche Ausnahme kann z. B. die Verarbeitung zur Erfüllung eines Vertrags oder zur Erfüllung einer rechtlichen Verpflichtung sein.
  • Datensparsamkeit: Die Verarbeitung personenbezogener Daten muss auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sowie dem Zweck angemessen und sachlich relevant sein.
  • Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.
  • Datensicherheit: Der Unternehmer hat geeignete technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen. Dabei hat er neben dem Stand der Technik und den Implementierungskosten, den Zweck der Datenverarbeitung, aber auch die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte zu berücksichtigen. Eine Verletzung des Schutzes personenbezogener Daten muss der Unternehmer unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Datenschutzbehörde melden. Es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen.
  • Betroffenenrechte: Unternehmen haben gegenüber den Betroffenen weitreichende Informationspflichten zu erfüllen, z. B. über den Zweck und die Rechtsgrundlage der Datenverarbeitung. Sie müssen gegenüber einer anfragenden Person Auskunft darüber geben, ob und ggf. welche Daten dieser Personen sie verarbeitet haben. Darüber hinaus können Betroffene von Unternehmen verlangen, dass unzutreffende personenbezogene Daten berichtigt oder Daten gelöscht werden, weil z. B. die Einwilligung zur Datenverarbeitung widerrufen wurde.
  • Datenschutz-Folgenabschätzung: Diese muss der Unternehmer vorab vorsorglich durchführen, wenn die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten birgt.
  • Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist u. a. zu benennen, wenn ein deutsches Unternehmen mehr als zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Muss ein Unternehmen eine Datenschutz-Folgenabschätzung durchführen, ist ein Datenschutzbeauftragter unabhängig von der Anzahl der Beschäftigten, die personenbezogene Daten verarbeiten, zu benennen.

Das neue Datenschutzrecht beinhaltet umfangreiche und detaillierte Pflichten für Unternehmen. Es müssen interne Prozesse angepasst bzw. neu etabliert werden. Auch eine Schulung der Mitarbeiter ist unerlässlich. Unternehmen sollten unverzüglich, ggf. unter Hinzuziehung ihres Rechtsberaters oder eines Datenschutz-Dienstleisters, mit der Umsetzung beginnen.

Zitat des Tages

"Ich liege lieber grob richtig als exakt falsch"

Autor: F.J. Strauß
bg

Aktuelles aus der Kanzlei

  • Dreijährige Renovierungsphase - keine Erbschaftsteuerbefreiung für ein Familienheim

    Das Finanzgericht Münster entschied, dass der Erwerb eines Familienheims nicht steuerbefreit ist, wenn der Erbe das Objekt erst nach einer dreijährigen Renovierungsphase bezieht.

  • Tipps zum Einlösen von Geschenkgutscheinen

    Haben Sie an Weihnachten einen Gutschein geschenkt bekommen? Dann sollten Sie darauf achten, diesen rechtzeitig einzulösen.

  • "Crowdworker" ist kein Angestellter

    Eine Vereinbarung eines "Crowdworkers" mit dem Betreiber einer Internetplattform, die keine Verpflichtung zur Übernahme von Aufträgen enthält, begründet kein Arbeitsverhältnis. Dies entschied das Landesarbeitsgericht München.

  • Höheres Elterngeld bei monatlichen Umsatzbeteiligungen

    Das Landessozialgericht Niedersachsen-Bremen entschied, dass Arbeitnehmer, die neben ihrem Angestelltengehalt monatliche Umsatzbeteiligungen erhaten, Anspruch auf ein höheres Elterngeld haben.

  • Seit 01.01.2020: Austauschprämie für Ölheizungen

    Der Austausch einer alten Ölheizung gegen eine neue, effizientere und klimafreundlichere Anlage wird seit 1. Januar 2020 mit der Austauschprämie für Ölheizungen gefördert.

  • Steuerliche Neuregelungen für Arbeitnehmer ab 2020

    Zum 01.01.2020 traten verschiedene steuerliche Änderungen in Kraft. Die wichtigsten Neuregelungen für Arbeitnehmer im Überblick:

  • Ausgabepflicht von Kassenbelegen kann bei Vorliegen von sachlichen Härten entfallen

    Die Bundesregierung erklärte auf Anfrage, dass auf die Pflicht zur Ausgabe von Kassenbelegen im Fall des Vorliegens sog. sachlicher Härten in Ausnahmefällen verzichtet werden kann.

  • Entgeltfortzahlung auch bei weiterem Krankheitsfall auf sechs Wochen beschränkt

    Grundsätzlich ist der gesetzliche Anspruch auf Entgeltfortzahlung im Krankheitsfall auch dann auf die Dauer von sechs Wochen beschränkt, wenn während bestehender Arbeitsunfähigkeit eine neue, auf einem anderen Grundleiden beruhende Krankheit auftritt, die ebenfalls Arbeitsunfähigkeit zur Folge hat (Grundsatz der Einheit des Verhinderungsfalls).

  • Ab 2020 wesentliche Änderungen für Arbeitgeber durch das Bürokratieentlastungsgesetz III

    Durch das Bürokratieentlastungsgesetz III ergeben sich u. a. Änderungen für Arbeitgeber, wie z. B. die Anhebung der Grenzen zur Lohnsteuerpauschalierung bei kurzfristiger Beschäftigung.

  • Lohnsteuerliche Behandlung von unentgeltlichen oder verbilligten Mahlzeiten von Arbeitnehmern ab 2020

    Die Sachbezugswerte ab Kalenderjahr 2020 sind durch die Elfte Verordnung zur Änderung der Sozialversicherungsentgeltverordnung vom 29.11.2019 festgesetzt worden. Darauf weist das Bundesministerium der Finanzen hin.