Ja. Denn entgegen einiger Gerüchte gilt die EU-DSGVO für jedes Unternehmen. Sie möchten wissen, von welchen Regelungen Ihr Unternehmen betroffen sein könnte? Erste Informationen finden Sie hier.

Das kommt auf den Einzelfall an. In der Tat fallen nach neuer Gesetzeslage viel mehr Unternehmen unter die Pflicht, einen Datenschutzbeauftragten zu bennen. Ihr Unternehmen ist z. B. betroffen, falls in Ihrem Unternehmen mehr als neun Mitarbeiter personenbezogene Daten elektronisch verarbeiten. Schon einfache E-Mail-Kommunikation zählt zu diesen Tätigkeiten. Insbesondere Mitarbeiter der IT-, Personal- und Finanzabteilungen haben in der Regel häufig mit personenbezogenen Daten zu tun. Zu beachten ist, dass auch z. B. freie Mitarbeiter, Auszubildende und Praktikanten mitzuzählen sind.

Bei nicht-automatisierter Verarbeitung gilt die Pflicht zur Bestellung eines Datenschutzbeauftragten ab einer Anzahl von 20 Mitarbeitern. Unabhängig von der Zahl der Mitarbeiter ist die Bestellung eines Datenschutzbeauftragten immer dann verpflichtend, wenn personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder zum Zwecke der Markt- und Meinungsforschung erhoben und verarbeitet werden.

Mehr Informationen finden Sie hier.

Zu den Aufgaben eines Datenschutzbeauftragten gehören z. B. die Umsetzung der gesetzlichen Anforderungen, Maßnahmen zur Datensicherheit, Gewährleistung der Unternehmenssicherheit, der Aufbau von datenschutzkonformen IT-Strukturen, Schulungen der Mitarbeiter im Datenschutz, die Beratung der Geschäftsführung und die Zusammenarbeit mit Aufsichtsbehörden.

Ein externer Datenschutzbeauftragter ist ein zertifizierter Datenschutzexperte, der die Aufgabe des betrieblichen Datenschutzbeauftragten im Rahmen der Bestellungspflicht für Ihr Unternehmen übernehmen kann.

Ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, kann der Geschäftsführer einen Angestellten mit dieser Aufgabe beauftragen, sofern dieser für die Tätigkeit qualifiziert ist. Zu beachten ist dabei, dass dieser Mitarbeiter nach der Berufung unter Kündigungsschutz steht (vergleichbar mit Betriebsratsmitgliedern) und mit der Benennung z. B. ein Recht auf Fortbildungen erwirbt.

Sowohl der interne als auch der externe Datenschutzbeauftragte muss schriftlich bestellt werden. Also wie ein Vertrag, den beide Parteien unterschreiben müssen.

Die Einhaltung der Datenschutzgesetze wird durch die Datenschutz-Aufsichtsbehörden kontrolliert. Diese haben auch das Recht, Bußgelder zu verhängen. Je nach Bundesland sind die Aufsichtsorgane unterschiedlichen Behörden zugeordnet.

Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes. Die Aufsichtsbehörden verfügen bei der Verhängung von Bußgeldern über einen Ermessensspielraum. Bei formalen Verstößen kann ein Bußgeld bis 50.000 € festgesetzt werden, bei materiellen Verstößen bis 300.000 €. Mit der Einführung des EU-DSGV am 25. Mai 2018 können Bußgelder in der Höhe von bis zu 20.000.000 € verhängt werden.

Personenbezogene Daten sind alle Informationen, die sich direkt oder indirekt auf einen Menschen beziehen. Zu den personenbezogenen Daten gehören schon so scheinbar harmlose Informationen wie Name und Adresse oder E-mail-Adresse. Weiterhin aber auch z. B. Personalausweisnummer, Kontoverbindungen, IP-Adresse, Geschlecht, Titel, Größe, Haarfarbe .... Zu den besonders sensiblen personenbezogenen Daten gehören: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Angaben zur Gesundheit, Angaben zum Sexualleben. Die Erhebung besonders sensibler personenbezogenen Daten gehört zu den Muss-Kriterien für die Pflicht zur Benennung eines Datenschutzbeauftragten.

Ja. Wenn in Ihrem Betrieb mehr als 9 Mitarbeiter (inklusive freier Mitarbeiter, Auszubildende etc.) regelmäßig am Computer, Tablet oder Smartphone solche Daten erfassen, dann ist Ihr Betrieb z. B. zur Bestellung eines Datenschutzbeauftragten verpflichtet. Erfassen Sie diese Daten ohne technische Hilfsmittel gilt diese Regelung ab einer Anzahl von 20 Mitarbeitern.

Zu den besonderen Arten personenbezogener Daten gehören: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Angaben zur Gesundheit und Angaben zum Sexualleben. Diese Daten gelten als besonders sensibel. Erfassen und verarbeiten Sie Daten dieser Art, dann sind Sie z. B. immer zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn die Grundverordnung oder eine andere Rechtsvorschrift dies erlaubt oder wenn der Betroffene ausdrücklich in die Erhebung, Verarbeitung oder Nutzung seiner Daten eingewilligt hat.

So dürfen personenbezogene Daten nach der Grundverordnung verarbeitet werden, wenn ein vertragliches oder vertragsähnliches Vertrauensverhältnis wie z. B. ein Arbeitsvertrag vorliegt. In jedem Fall muss jedoch die Zweckbindung der Erhebung, Verarbeitung, Nutzung und Übermittlung dieser personenbezogenen Daten gewahrt bleiben.

Ja, wenn der Gesprächspartner einverstanden ist. Vor Aktivierung des Lautsprechers muss also zwingend darauf hingewiesen werden. Das gilt auch für Telefonkonferenzen.

Ja. Sobald Sie personenbezogene Daten erheben oder verarbeiten, sind Sie für den Schutz dieser Daten verantwortlich. Wichtig: Sie haften auch im Falle von Fahrlässigkeit. Das heißt: selbst wenn Sie Ihren Arbeitsplatz nur kurz verlassen, sollten Sie Ihren PC z. B. mithilfe eines passwortgeschützten Bildschirmschoners sperren.

Eine E-mail ist quasi so etwas wie eine digitale Postkarte. Ohne Verschlüsselung kann sie  im Internet mitgelesen werden. Deshalb sollten personenbezogene Informationen immer verschlüsselt per Email übermittelt werden, selbst wenn es sich nur um Namen und Geburtstage handelt.

Das Recht am eigenen Bild ist im Urheberrechtsgesetz (UrhG) verankert. Das bedeutet, dass der Betroffene jeder Veröffentlichung, ob online oder offline, zustimmen muss. Diese Zustimmung kann übrigens jederzeit wirderrufen werden. Arbeitsrechtliche Nachteile dürfen dem Mitarbeiter aus einer solchen Verweigerung der Zustimmung nicht entstehen.

Auch betriebsinterne, personenbezogene Verzeichnisse (wie z. B. Telefonverzeichnisse) fallen unter das Bundesdatenschutzgesetze. Das bedeutet: Telefonverzeichnisse dürfen Unbefugten nicht zugänglich sein.

In der EU-DSGVO ist viel von "erheben", "verarbeiten" oder "nutzen" die Rede. „Erheben“ bedeutet übersetzt: die Beschaffung von Daten, mit „Verarbeiten“ ist das Speichern, Verändern, Übermitteln, Sperren, Löschen und mit „Nutzen“ ist die Verwendung der Daten gemeint.

Alle Bürgerinnen und Bürger, von denen Daten erhoben und verarbeitet wurden, haben ein Recht auf Auskunft darüber, welche Daten zu welchem Zweck erhoben und gespeichert wurden und wer gegebenenfalls diese Daten erhalten hat. Eine solche Auskunft muss kostenfrei erfolgen.

Wenn personenbezogene Daten durch eine beauftragte Stelle für Ihr Unternehmen erhoben, verarbeitet oder genutzt werden, spricht man von Auftragsdatenverarbeitung.

Eine sogenannte Auftragsdatenverarbeitung liegt vor, wenn Sie externe Unternehmen z. B. mit Ihrer Lohn- und Gehaltsabrechnung beauftragen, die Dienste eines Call-Centers oder Lettershops in Anspruch nehmen. Auch das Outsourcing von IT-Ressourcen (Cloud, Online-Speicherplatz, Rechenzentrum) zählt dazu. 

Mit solchen externen Dienstleistern ist ein sogenannter Auftragsdatenverarbeiter-Vertrag zu schließen.

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Es löst das alte Verfahrensverzeichnis ab. Neu ist: Mit Einführung der EU-DSGVO müssen Unternehmen nun die Verzeichnisse von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorhalten, ansonsten droht ein Bußgeld. Bisher war der Verstoß dagegen nicht direkt bußgeldbewehrt. Unabhängig von der abzuwartenden Bußgeldpraxis der Aufsichtsbehörden, bewegt sich der mögliche Rahmen hier bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass hier in jedem Fall zu entsprechender Vorsorge zu raten sein dürfte.

Jedes Unternehmen war nach dem alten Bundesdatenschutzgesetz verpflichtet, ein so genanntes Verfahrensverzeichnis zu führen. Es handelte sich dabei um  eine Auflistung der unternehmensinternen Datenverarbeitungsprozesse. Auf Antrag war es „jedermann in geeigneter Weise verfügbar“ zu machen (§ 4 g BDSG). Daher resultieren auch die Bezeichnungen „Verfahrensverzeichnis für jedermann“ oder „Jedermannverzeichnis“.

Das Verfahrensverzeichnis oder Jedermannverzeichnis gibt es nach der EU-DSGVO nicht mehr. Es wird ersetzt durch das Verzeichnis der Verarbeitungstätigkeiten, welches jedoch im Gegensatz zum Jedermannverzeichnis nur intern genutzt wird und auf Anfrage der Aufsichtsbehörde vorzulegen ist.

Einwilligungen von Nutzern, z.B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in), gelten grundsätzlich weiter.

Ausnahmen: Keine Daten gegen Inhalte (z.B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an Vertragsschluss. Um den eigenen Newsletterverteiler zu aktualisieren, sollte man, seine Kunden noch einmal anschreiben und sich den Bezug bestätigen lassen.

Das Informationsrecht des Betroffenen stellt wohl die gravierendste Neuerung im Rahmen der Betroffenenrechte des EU-DSGVO dar. Damit haben betroffene Personen das Recht auf die Information über die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, Zweck und Dauer der Datenverarbeitung sowie über Auskunfts- und Widerspruchsrechte ebenso wie über die die Rechtsgrundlage der Datenverarbeitung.

Der Betroffene muss über alle Betroffenenrechte informiert werden, also über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit.

Wichtig dabei ist, dass die betroffenen Personen sofort bei Datenerhebung über ihre Rechte informiert werden, also z.B. bei Bestellung eines Newsletters.

Auch an die Art der Vermittlung stellt das EU-DSGVO besondere Ansprüche. Es muss in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Jeder Betroffene kann Auskunft über die Datenverarbeitung, vor allem über den Zweck und über den Empfänger verlangen. Bei unrichtigen personenbezogenen Daten hat der Betroffene ein Recht auf unverzügliche Berichtigung. Außerdem hat jede betroffene Person das Recht zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.