Die neue EU-Datenschutzgrundverordnung - Was ändert sich ab Mai 2018?

Ab dem 25.05.2018 gilt auch in Deutschland die Datenschutzgrundverordnung (DSVGO) der Europäischen Union. Durch das neue EU-Recht werden das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, abgelöst. Zeitgleich tritt das deutsche Ergänzungsgesetz (Datenschutz-Anpassungs- und Umsetzungsgesetz – DSAnpUG) in Kraft, welches die DSVGO modifiziert bzw. konkretisiert.

I. Allgemeines

Die DSVGO gilt für jedes Unternehmen, jeden Gewerbetreibenden und selbständig Tätigen. Lediglich Privatpersonen und die Strafverfolgungsbehörden sind ausgenommen.

Im Datenschutz sind Selbständige, Betriebsinhaber oder Geschäftsführer die verantwortlichen Personen, die die Vorschriften der DSGVO einhalten und überwachen müssen.

II. Ist jetzt in jedem Betrieb ein Datenschutzbeauftragter notwendig?

Nur unter bestimmten Voraussetzungen ordnet die DSGVO an, dass Unternehmen/Betriebe zwingend einen Datenschutzbeauftragten für ihren Betrieb vorhalten bzw. beschäftigen müssen. Dies ist nur im Fall des Vorliegens von § 37 Abs. 1 Nr. 1 c (sensible Daten nach Art. 9 DSGVO werden erhoben) und des neuen § 38 Abs. 1 BDSG (wenn mindestens 10 Personen im Betrieb personenbezogene Daten verarbeiten/bzw. darauf Zugriff haben) zwingend vorgeschrieben. Dann muss auch eine sogenannte Folgenabschätzung gemacht werden.

Fälle des § 37 Abs. 1 Nr. 1c DSGVO dürften kaum eine Rolle spielen und die Ingenieure nicht betreffen, da hierunter nur die Erhebung besonders sensibler Daten wie Rasse, ethnische Herkunft, politische Meinung, religiöse Weltanschauung, genetische oder biometrische Daten, Gesundheitsdaten und sexuelle Orientierung/Sexualleben fällt.

Wesentlich relevanter hingegen ist die Regelung im § 38 BDSG (neu). Der Gesetzgeber hat kleinere Betriebe hiervon ausgenommen, wenn weniger als 10 Beschäftigte mit der Datenverarbeitung zu tun haben. Jedoch ist zu beachten, dass zu den Mitarbeitern, die die personenbezogenen Daten verarbeiten, nicht nur Vollzeitangestellte, sondern auch jeder 450-Euro-Jobber oder Teilzeitbeschäftigte zählt, sowie auch der Betriebsinhaber bzw. der Geschäftsführer. Wer bei der Erfassung unsicher ist, sollte den Datenschutzbeauftragten des Landes oder die zuständige Aufsichtsbehörde schnellstmöglich kontaktieren.

III. Was müssen Geschäftsführer, Betriebsinhaber oder Selbständige beachten?

Auch wenn kein Datenschutzbeauftragter für den Betrieb tätig werden muss, müssen immer folgende Mindestvorgaben eigenverantwortlich eingehalten werden:

  • Grundsatz der Datenminimierung
    (nur Speichern was für die Arbeit notwendig ist, nichts darüber hinaus)
  • Grundsatz der Speicherbegrenzung
    (nur solange, wie es für den betrieblichen Zweck erforderlich ist)
  • Grundsatz der Integrität und Vertraulichkeit
    (durch technische und organisatorische Vorkehrungen müssen Daten vor Missbrauch, Verlust und Beschädigung geschützt sein, Backups und Aktualisierungen sind durchzuführen)

Um die Vorgaben der DSVGO zu erfüllen, muss ein „Verzeichnis der Verarbeitungstätigkeiten“ angelegt werden. Dies bedeutet einen bürokratischen Mehraufwand. Es muss in einer Tabelle aufgelistet werden, welche Daten wann, wie und warum im Unternehmen erhoben werden. Das betrifft Kundendaten, Adresse, Telefonnummern etc. Zudem muss eine strenge Dokumentation erfolgen, wie mit der Datenverarbeitung im Betrieb umgegangen wird. Es sind Dokumentationsprozesse festzulegen. Den Auftraggebern muss bereits bei Auftragserteilung mitgeteilt werden, dass und welche Daten gespeichert werden und dass sie die Löschung ihrer Daten verlangen können.

Es müssen darüber hinaus die Einwilligungen der eigenen Mitarbeiter z. B. in den Arbeitsverträgen geprüft werden. Enthält der Arbeitsvertrag einen Verweis auf das BDSG, so sollte nunmehr eine Aktualisierung auf Einhaltung der DSVGO erfolgen.

Fazit:

Bei der genauen Umsetzung der Vorgaben der DSVGO ist noch vieles unklar. Die Anforderungen an den Datenschutz wurden deutlich erhöht. Es werden für Verstöße hohe Bußgelder angedroht. Deshalb sollten bei Unklarheiten die Datenschutzbeauftragten oder die Aufsichtsbehörde um Auskunft gebeten werden.

Dr. Dr. Stefanie Theis LL.M.
Fachanwältin für Bau- und Architektenrecht
Fachanwältin für Vergaberecht

Hinweis:

Seminare zur neuen Datenschutzgrundverordnung finden am 24.04.2018 in Koblenz und am 9.05.2018 in Mainz, jeweils von 12:30-17:30 Uhr, statt. Weitere Informationen und die Möglichkeit zur Anmeldung finden Sie  hier.