2019 – Das Jahr der Kontrollen und erste Abmahnwellen

Es hatte sich abgezeichnet: Waren 2018 die zuständigen Behörden der Länder stark mit Beratungsaufgaben bei Einführung der Datenschutzgrundverordnung beschäftigt, so wird 2019 der Fokus auf Kontrollen von öffentlichen und nicht-öffentlichen Stellen liegen. Baden-Württembergs Landesbeauftragter für Datenschutz kündigte am 8.4.2019 250 Kontrollen an:

Die insgesamt 250 Kontrollmaßnahmen betreffen die Bereiche öffentliche Sicherheit, Verkehr, Kommunales sowie das Gesundheits- und das Bildungswesen. Geprüft werden im Einzelnen unter anderem städtische und private Videoüberwachungen, Datenspeicherungen bei der Polizei, im Auto generierte Daten, Ratsinformationssysteme, Krankenhäuser, Arztpraxen und Apotheken, Versicherungen und Museen. Weiterhin werden eine größere Anzahl an Webseiten von Online-Shops auf die Datenweitergabe an Dritte (sog. Tracking) untersucht.“

https://www.baden-wuerttemberg.datenschutz.de/kontrollmassnahmen-zur-eu-dsgvo-stehen-fest/

Die bereits im vergangenen Jahr veröffentlichten Kontrollmaßnahmen des bayrischen Landesamtes für Datenschutzaufsicht geben einen Vorgeschmack auf die Kontrolltätigkeiten in diesem Jahr.

Hausaufgaben und Pflichten

Unternehmen, die ihre Hausaufgaben und Pflichten bearbeitet haben, sollten den Kontrollen einigermaßen gelassen entgegensehen können. Wer jetzt erst anfängt, sollte sich allerdings darüber im Klaren sein, dass alleine die Erstellung der Pflichtdokumentation nach DS-GVO ihre Zeit benötigt. Ganz abgesehen von möglichen notwendigen Veränderungen in Prozessen und Technologie.

Sollten Sie Hilfe benötigen, hier finden Sie einige grundlegende Informationen.

Abmahnverein gegründet

In Brandenburg hat sich ein Verein gegründet, der aktuell bundesweit Betreiber von Webseiten abmahnt die Formulare unverschlüsselt im Internet einsetzen. Natürlich ist der unverschlüsselte Einsatz von Formularen ein klarer Verstoß gegen den Datenschutz. Dennoch ist vor einer allzu schnellen Unterzeichnung der beigefügte Unterlassungserklärung und Bezahlung der geforderten Abmahngebühren zu warnen. Denn erstens ist aktuell noch vollkommen unklar, ob der selbsternannte Hüter des Datenschutzes überhaupt abmahnberechtigt ist und zweitens kann ein unbedachtes Handeln zu hohen Folgekosten führen. Unternehmen und Vereinen die eine derartige Abmahnung erhalten, ist die Konsultation eines Fachanwalts dringend zu raten.

Fünf Problembereiche bei der Umsetzung der DSGVO

Die DS-GVO stellt alle Unternehmen, unabhängig von ihrer Größe, vor neue Herausforderungen, die bewältigt werden wollen. Als externer Datenschutzbeauftragter helfe ich, gemeinsam mit meinem Team, diese Anforderungen kostengünstig zu bewältigen und Unternehmen DS-GVO konform aufzustellen.

Fünf Probembereiche – Hürden die gemeistert werden können

  1. fehlende, fehlerhafte oder unvollständige Verzeichnisse der Verarbeitungstätigkeiten nach Art 30 DS-GVO
  2. fehlende oder fehlerhafte Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO
  3. fehlende oder fehlerhafte Verträge zur gemeinsamen Verarbeitung nach Art. 26 DS-GVO
  4. fehlende oder unvollständige Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes gem. § 64 BDSG (neu)
  5. fehlende Bestellung oder Veröffentlichung des bestellten Datenschutzbeauftragten gem. Art. 37 DS-GVO und § 38 BDSG (neu), falls erforderlich.

Kleine und mittlere Unternehmen fühlen sich angesichts der nun geltenden Regelungen zum Schutz personenbezogener Daten häufig überfordert. Dazu hat nicht zuletzt eine wirklichkeitsverzerrte Darstellung in manchen Medien einen nicht geringen Beitrag geleistet. Fakt ist, Unternehmen, die die Anforderungen der vorgeschriebenen Pflichtdokumentationen erfüllen und geeignete Maßnahmen zum Datenschutz umsetzen, gewinnen sogar an Sicherheit in einer komplexen und vernetzten Umwelt.

Datenschutz und IT-Sicherheit gehören zusammen gedacht.

Die Aufstellung des Verzeichnisses sämtlicher Verarbeitungstätigkeiten in Verbindung mit einer sauberen Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes zeigt in der Praxis oftmals Lücken in den vorhandenen Infrastrukturen auf. Mitunter reichen kleine Maßnahmen der Umorganisation, um das Schutzniveau deutlich zu erhöhen. Ein verbesserter Schutz personenbezogener Daten geht häufig mit einem höheren Schutzniveau für das gesamte Unternehmen einher.

Verantwortliche und Auftragsverarbeiter

Die DS-GVO nimmt den Geschäftsführer oder Vorstandsvorsitzenden eines Unternehmens klar in die Pflicht: Wer personenbezogene Daten an Dritte zur Verarbeitung weiterreicht, ist und bleibt in der Verantwortung und hat durch eine entsprechende Vertragsgestaltung dafür Sorge zu tragen, dass diese sich ebenfalls an die gesetzlichen Bestimmungen halten.

Der Datenschutzbeauftragte

Die Bestellung eines Datenschutzbeauftragten ist vorgeschrieben, wenn

  • 10 oder mehr Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, (auch Teilzeitmitarbeiter zählen hier voll) oder
  • eine Datenschutzfolgeabschätzung nach Art. 35, § 67 BDSG (neu) geboten ist, oder
  • sie personenbezogene Daten „geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeiten. (§ 38 BDSG (neu))

Der Datenschutzbeauftragte verfügt nach DS-GVO im Unterschied zur vorherigen Regelung des BDSG (alt) über keinerlei Weisungsbefugnis. Er berät die Geschäftsleitung und überwacht die Umsetzung der Datenschutzvorschriften im Unternehmen und bei Auftragsverarbeitern.

Fachwissen und Zuverlässigkeit sind Voraussetzung für die Tätigkeit als Datenschutzbeauftragter, gleich ob extern oder intern. Die Bestellung des Geschäftsführers oder eines Familienmitglieds des GF zum Datenschutzbeauftragten ist nicht zulässig.
Auf dieser Seite finden Sie eine Übersicht über den Unterschied von externen und internen DSB.

Gern informieren wir Sie in einem kostenfreien Erstgespräch.

Datenschutzprüfungen 2019

Die ersten Aktivitäten der Landesbehörden Ende 2018, Anfang 2019 führten zu einer Ausdehnung der Prüfungsaktivitäten und ersten Bußgeldern. Diese lagen in Deutschland (noch moderat) zwischen 5000,- Euro für ein Kleinunternehmen wegen eines fehlenden Vertrages zur Auftragsverarbeitung und 80.000,- Euro, hier ist aktuell der Hintergrund nicht bekannt.
Die Prüfungs- und Kontrollaktivitäten der Landesämter dürften in 2019 deutlich ausgeweitet werden, auch weil die Zahl der Beschwerden Betroffener bei den Behörden deutlich zugenommen hat. Höhere Bußgelder sind, je nach Schwere der Verstöße, zu erwarten.

DS-GVO: Kein Grund zur Verzweiflung

Natürlich haben sich mit Inkrafttreten der DS-GVO die Rahmenbedingungen für Unternehmen, egal ob Weltkonzern mit Tätigkeit und/oder Kunden in der EU, oder KMU geändert. Die Möglichkeiten der Behörden, spürbare Bußgeldsanktionen zu verhängen und die deutlich gestärkten Rechte von Betroffenen sind der direkte Ausdruck der geänderten Gesetzeslage. Aber: Die Änderungen sind mit vertretbarem Aufwand durchaus zu bewältigen. Auch wenn angesichts der einen oder anderen unscharfen Formulierung im Gesetzeswerk interpretatorische Lücken vorhanden sind.