Datenschutzrecht Deutschland

//Datenschutzrecht Deutschland
Datenschutzrecht Deutschland2018-07-01T11:35:15+00:00

Datenschutzrecht Deutschland

Datenschutzrecht, Datenschutz, Datenschutz Rechtsanwalt

Datenschutzrecht Deutschland – Die Rechtsanwälte unserer Kanzlei bieten Ihnen Beratung und kompetente Unterstützung im Bereich Datenschutzrecht.

Datenschutzrecht – Grundlagen des DSGVO

Die Rahmenbedingungen im Datenschutzrecht unterliegen einem raschen Wandel. Für viele Unternehmen gehört die digitale Welt zum alltäglichen Geschäft. Daher sollten mögliche Risiken durch den falschen Umgang mit Daten von Anfang an vermieden werden. Umso mehr gilt dies mit in Kraft treten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018.

Das Datenschutzrecht wird aus dem Recht auf informationelle Selbstbestimmung hergeleitet. Aus diesem ergibt sich, dass jeder grundsätzlich selbst entscheiden kann, wie mit seinen personenbezogenen Daten umgegangen werden soll. Dieser Begriff der „personenbezogenen Daten“ spielt im Datenschutzrecht eine zentrale Rolle.

Denn nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen, kommt das Datenschutzrecht zur Anwendung. Zu personenbezogenen Daten gehören demnach unter anderem Name, Geburtstag, Adresse, Bankverbindung, E-Mail-Adresse und die IP-Adresse.

Gesetzliche Grundlagen des Datenschutzrechts

Gesetzliche Grundlage ist aktuell noch das Bundesdatenschutzgesetz (BDSG). Ab dem 25. Mai 2018 kommt für alle EU-Mitgliedsstaaten die Datenschutzgrundverordnung (DSGVO) unmittelbar zur Anwendung. Parallel dazu tritt die neue Fassung des BDSG in Kraft, welches die DSGVO konkretisiert.

Dabei ist zu berücksichtigen, dass die DSGVO als EU-Verordnung dem nationalen Recht der jeweiligen EU-Mitgliedsstaaten vorgeht. Denn soweit die DSGVO Regelungen trifft, sind diese abschließend. Nur bei sogenannten Öffnungsklauseln besteht für den nationalen Gesetzgeber Spielraum für eigene Regelungen. Von diesen hat der deutsche Gesetzgeber Gebrauch gemacht.

Kritiker wenden ein, dass die neue Fassung des BDSG die EU-weite Harmonisierung des Datenschutzrechts gefährde und mithin europarechtswidrig sei. Dies bleibt jedoch abzuwarten. Die Unternehmen sollten sich damit auch auf das neue BDSG einstellen.

Die wichtigsten Grundsätze des Datenschutzrechts

Zu den wichtigsten Grundsätzen des Datenschutzrechts gehören:

  • Verbot mit Erlaubnisvorbehalt
    Danach darf der Umgang mit Daten nur erfolgen, wenn es hierfür eine gesetzliche Grundlage gibt oder der Betroffene zugestimmt hat.
  • Rechtmäßige Verarbeitung nach Treu und Glauben, Transparenz
    Die Daten müssen auf rechtmäßiger Weise, nach dem Grundsatz von Treu und Glauben und in eine für die betroffene Person nachvollziehbare Weise verarbeitet werden.
  • Zweckbindung
    Die für einen bestimmten Zweck erhobenen bzw. gespeicherten Daten, dürfen auch nur für diesen Zweck verwendet werden.
  • Datenminimierung
    Der Grundsatz der Datenminimierung besagt, dass die Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
  • Speicherbegrenzung
    Sobald der verfolgte Zweck erreicht ist, müssen die Daten gelöscht werden. Die Speicherung der Daten ist nur so langen erlaubt, bis es für die verfolgten Zwecke erforderlich ist.
  • Richtigkeit der Daten
    Die Daten müssen sachlich richtig und auf dem neuesten Stand sein.
  • Integrität und Vertraulichkeit
    Mit der DSGVO wird nun auch dieser neue Grundsatz im Datenschutzrecht festgeschrieben. Danach müssen durch geeignete technische und organisatorischen Maßnahmen, die personenbezogenen Daten in einer Weise verarbeitet werden, welche die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie bearbeitet werden, erforderlich ist.

Datenschutzverordnung (DSGVO) tritt in Kraft – Worauf ist zu achten?

Aufgrund zahlreicher nationaler Gesetze in den EU-Mitgliedsstaaten soll durch die DSGVO ein einheitlicher Rechtsrahmen zum Schutz personenbezogener Daten geschaffen werden. Im Gegensatz zu einer Richtlinie entfaltet einer Verordnung, so auch die DSGVO, unmittelbare Wirkung in den Mitgliedsstaaten der Europäischen Union.

Um den Mitgliedsstaaten einen gewissen Spielraum zu bieten, hat die Verordnung einige Detailfragen offen gelassen. Der deutsche Gesetzgeber hat von diesen „Öffnungsklauseln“ Gebrauch gemacht und diese in die neue Fassung des Bundesdatenschutzgesetzes implementiert, das auch am 25. Mai 2018 in Kraft tritt.

Aufgrund der vielen neuen Pflichten besteht insbesondere für Unternehmen Handlungsbedarf.

Warum sich Unternehmen um Datenschutzrecht kümmern sollten

Es gibt wirtschaftliche Gründe für Unternehmen sich um Datenschutz zu kümmern. Fehler im datenschutzrechtlichen Bereich können den Ruf eines Unternehmens in der Öffentlichkeit schädigen und auch etwaige Schadensersatzansprüche nach sich ziehen.

Des Weiteren drohen bei falschem Umgang mit Daten Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens.

Unsere Anwälte beraten Sie zu allen Fragen des Datenschutzrechts. Unter anderem unterstützen wir Sie:

  • beim Schutz vor einstweiligen Verfügungen und Abmahnungen
  • beim richtigen Umgang mit Mitarbeiter- und anderen im Personalwesen anfallenden Daten
  • für das Erstellen von Datenschutzerklärungen
  • bei rechtssicherer Auftragsverarbeitung

Von Unternehmen zu beachtende relevante Neuerungen

  1. Erweiterung des Anwendungsbereich

    Gemäß Art. 3 DSGVO gilt das Marktortprinzip. Danach kann die DSGVO auch auf außerhalb der EU ansässige Unternehmen Anwendung finden. Diese territoriale Erweiterung der DSGVO zählt zu den zentralen Neuerungen im europäischen Datenschutzrecht.

  1. Erweiterung der Informationspflichten

    Eine erhebliche Erweiterung haben nach Art. 14 und 15 DSVGO die Informationspflichten der Datenverarbeiter gegenüber den Betroffenen erfahren.

  2. „Recht auf Vergessenwerden“

    Art. 17 DSGVO bestimmt das sogenannte „Recht auf Vergessenwerden“. Danach kann der Betroffene vom Verantwortlichen aus bestimmten Gründen verlangen, dass personenbezogene Daten unverzüglich gelöscht werden.

  3. Neue Maßgaben für Einwilligung und Umgang mit bereits, also vor dem 25.Mai. 2018, erteilten Einwilligungen

    Unternehmen müssen zur Verarbeitung personenbezogener Daten die ausdrückliche Zustimmung ihrer Kunden einholen, Art. 7 DSGVO.

    Dabei muss die Zustimmung freiwillig sein. An der Freiwilligkeit fehlt es dann, wenn die Erfüllung eines Vertrags von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

    Weiter regelt Art. 8 DSGVO, dass die Einwilligung in die Datenverarbeitung personenbezogener Daten erst mit 16 Jahren möglich ist. Von der Öffnungsklausel, wonach die Altersgrenze vom Mitgliedsstaat durch Rechtsvorschrift bis auf die Altersgrenze von 13 Jahren gesenkt werden kann, hat der deutsche Gesetzgeber keinen Gebrauch gemacht.

    Die vor dem 25.Mai 2018 eingeholten Einwilligungen gelten fort, wenn sie den Anforderungen des DSGVO entsprechen. Das ist in der Regel dann der Fall, wenn die Einwilligungen im Einklang mit dem BDSG eingeholt wurden.

  4. Unverzügliche Meldepflicht bei Datenpannen

    Das Unternehmen muss bei Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, Art. 33 Abs.1 DSGVO. Die Meldepflicht entfällt aber, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

  5. Datenschutzbeauftragter

    Den Datenschutzbeauftragten gibt es gemäß der DSGVO nun EU-weit. Den deutschen Unternehmen ist die Figur des Datenschutzbeauftragten aus dem bisherigen deutschen Recht bekannt. Der deutsche Gesetzgeber hat von der Öffnungsklausel Gebrauch gemacht und in § 38 BDSG n.F. geregelt, dass ein Datenschutzbeauftragter zu bestellen ist, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

    Die Bestellung eines Datenschutzbeauftragten ist gemäß Art. 37 Abs. 7 DSGVO der Aufsichtsbehörde anzuzeigen und zu veröffentlichen.

  6. Datenschutzerklärung

    In Art. 13 DSGVO ist die Pflicht einer Datenschutzerklärung geregelt. Diese dient dazu Transparenz über die Verarbeitung der Daten zu schaffen. Gleichzeitig ist die Datenschutzerklärung auch ein Zeichen für Seriosität im Umgang mit den sensiblen Daten des Nutzers.

    Die Datenschutzerklärung muss an die neuen Anforderungen, die sich aus Art. 13 DSGVO ergeben, angepasst werden. Die Pflichtinformationen gehen dabei über die Pflichten der früheren Regelungen hinaus. Zu den Neuerungen gehören unter anderem die Nennung der Rechtsgrundlage für die Datenverarbeitung, neue Informationspflichten im Hinblick auf die Rechte der Betroffenen und das in Art. 21 DSGVO eingeführte Widerspruchsrecht des Betroffenen.

  7. Verzeichnis von Verarbeitungstätigkeiten

    Art. 30 DSGVO setzt voraus, dass der Verantwortliche bzw. sein Vertreter ein „Verzeichnis der Verarbeitungstätigkeiten“ zu führen hat. Im Vergleich zur bisherigen Rechtslage sind weitere Angaben, wie Kontaktdaten und Name des Datenschutzbeauftragten und Löschfristen, zu machen. Zudem ist das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.

  8. Datenschutz-Folgenabschätzung

    Die mit Art. 35 DSGVO eingeführte Datenschutz-Folgenabschätzung entspricht grundsätzlich der Pflicht zur Vorabkontrolle nach dem BDSG.

  9. Grundsatz des „One-Stop-Shop“

    Mit dem neu eingeführten sogenannten „One-Stop-Shop“ soll für grenzüberschreitende Datenverarbeitung innerhalb der EU die Aufsichtsbehörde am Sitz der Hauptniederlassung federführend zuständig sein. Für Unternehmen bietet der „One-Stop-Shop“ bei grenzüberschreitender Verarbeitung personenbezogener Daten, den Vorteil, dass sie sich wegen derselben Verarbeitung nicht mit mehreren Aufsichtsbehörden auseinandersetzen müssen.

  10. Auftragsverarbeitung

    Die Auftragsverarbeitung ist auch nach dem DSGVO erlaubt. Eine der wichtigsten Neuerungen für den Auftragsverarbeiter ist die Pflicht, ein Verarbeitungsverzeichnis zu erstellen, Art 30 Abs. 2 DSGVO.

    Auch bei der Haftung von Rechtsverstößen gibt es eine Neuerung. Für Schäden bei der Datenverarbeitung sieht Art. 82 Abs.2 DSGVO eine gemeinsame Haftung des Auftragsverarbeiters und des Auftraggebers vor.

Die Anwälte der Kanzlei Herfurtner klären mit Ihnen Ihre Verpflichtungen im Bereich Datenschutz und unterstützen Sie bei der Festlegung und Umsetzung der notwendigen Maßnahmen in Ihrem Unternehmen. So vermeiden Sie kostspielige Abmahnungen und Bußgelder.

KOSTENFREIE ANFRAGE

Wir beraten Sie gerne.
Jetzt kostenfrei anfragen.

KONTAKTFORMULAR

Bewerten Sie unsere Seite:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (7 Bewertungen, Durchschnitt: 5,00 von 5)
Laden...