Unter dem Titel: ” Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen” hat die DSK in der jüngsten Sitzung vorbehaltlich einer europäischen Regelung durch die EDSA einen einheitlichen Bußgeldrahmen vorgelegt. Wie die Datenschutzaufsichtsbehörden ausdrücklich betonen, richtet sich der Bußgeldrahmen nicht gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Im Umkehrschluss sollte allerdings festgehalten werden, dass auch natürliche Personen, soweit sie wirtschaftlich, zum Beispiel als Vermieter, tätig sind, sehr wohl vom Bußgeldrahmen erfasst werden.
Autor: Peter Dippold
Urteil des EuGH zu Cookies und “hidden identifiers” am 01.10.2019
Nun ist es also heraus, das, nach dem Vortrag des Generalanwalts des Europäischen Gerichtshofs (EuGH), Maciej Szpunar, zu erwartende Urteil des EuGH ist genau so ausgefallen, wie man es erwarten konnte. Wer sich bislang in Deutschland auf die Sonderregelungen des Telemediengesetzes gestützt hatte, muss nun umdenken und seinen Shop bzw. seine Website überarbeiten. Auch die Bundesregierung sieht sich nun in der Pflicht, das Telemediengesetz an die europäische Rechtslage anzupassen.
2019 – Das Jahr der Kontrollen und erste Abmahnwellen
Es hatte sich abgezeichnet: Waren 2018 die zuständigen Behörden der Länder stark mit Beratungsaufgaben bei Einführung der Datenschutzgrundverordnung beschäftigt, so wird 2019 der Fokus auf Kontrollen von öffentlichen und nicht-öffentlichen Stellen liegen. Baden-Württembergs Landesbeauftragter für Datenschutz kündigte am 8.4.2019 250 Kontrollen an:
Fünf Problembereiche bei der Umsetzung der DSGVO
Die DS-GVO stellt alle Unternehmen, unabhängig von ihrer Größe, vor neue Herausforderungen, die bewältigt werden wollen. Als externer Datenschutzbeauftragter helfe ich, gemeinsam mit meinem Team, diese Anforderungen kostengünstig zu bewältigen und Unternehmen DS-GVO konform aufzustellen.
Fünf Probembereiche – Hürden die gemeistert werden können
- fehlende, fehlerhafte oder unvollständige Verzeichnisse der Verarbeitungstätigkeiten nach Art 30 DS-GVO
- fehlende oder fehlerhafte Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO
- fehlende oder fehlerhafte Verträge zur gemeinsamen Verarbeitung nach Art. 26 DS-GVO
- fehlende oder unvollständige Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes gem. § 64 BDSG (neu)
- fehlende Bestellung oder Veröffentlichung des bestellten Datenschutzbeauftragten gem. Art. 37 DS-GVO und § 38 BDSG (neu), falls erforderlich.
Kleine und mittlere Unternehmen fühlen sich angesichts der nun geltenden Regelungen zum Schutz personenbezogener Daten häufig überfordert. Dazu hat nicht zuletzt eine wirklichkeitsverzerrte Darstellung in manchen Medien einen nicht geringen Beitrag geleistet. Fakt ist, Unternehmen, die die Anforderungen der vorgeschriebenen Pflichtdokumentationen erfüllen und geeignete Maßnahmen zum Datenschutz umsetzen, gewinnen sogar an Sicherheit in einer komplexen und vernetzten Umwelt.
Datenschutz und IT-Sicherheit gehören zusammen gedacht.
Die Aufstellung des Verzeichnisses sämtlicher Verarbeitungstätigkeiten in Verbindung mit einer sauberen Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes zeigt in der Praxis oftmals Lücken in den vorhandenen Infrastrukturen auf. Mitunter reichen kleine Maßnahmen der Umorganisation, um das Schutzniveau deutlich zu erhöhen. Ein verbesserter Schutz personenbezogener Daten geht häufig mit einem höheren Schutzniveau für das gesamte Unternehmen einher.
Verantwortliche und Auftragsverarbeiter
Die DS-GVO nimmt den Geschäftsführer oder Vorstandsvorsitzenden eines Unternehmens klar in die Pflicht: Wer personenbezogene Daten an Dritte zur Verarbeitung weiterreicht, ist und bleibt in der Verantwortung und hat durch eine entsprechende Vertragsgestaltung dafür Sorge zu tragen, dass diese sich ebenfalls an die gesetzlichen Bestimmungen halten.
Der Datenschutzbeauftragte
Die Bestellung eines Datenschutzbeauftragten ist vorgeschrieben, wenn
- 20 oder mehr Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, (auch Teilzeitmitarbeiter zählen hier voll) oder
- eine Datenschutzfolgeabschätzung nach Art. 35, § 67 BDSG (neu) geboten ist, oder
- sie personenbezogene Daten “geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung” verarbeiten. (§ 38 BDSG (neu))
Der Datenschutzbeauftragte verfügt nach DS-GVO im Unterschied zur vorherigen Regelung des BDSG (alt) über keinerlei Weisungsbefugnis. Er berät die Geschäftsleitung und überwacht die Umsetzung der Datenschutzvorschriften im Unternehmen und bei Auftragsverarbeitern.
Fachwissen und Zuverlässigkeit sind Voraussetzung für die Tätigkeit als Datenschutzbeauftragter, gleich ob extern oder intern. Die Bestellung des Geschäftsführers oder eines Familienmitglieds des GF zum Datenschutzbeauftragten ist nicht zulässig.
Auf dieser Seite finden Sie eine Übersicht über den Unterschied von externen und internen DSB.
Gern informieren wir Sie in einem kostenfreien Erstgespräch.
DS-GVO: Kein Grund zur Verzweiflung
Natürlich haben sich mit Inkrafttreten der DS-GVO die Rahmenbedingungen für Unternehmen, egal ob Weltkonzern mit Tätigkeit und/oder Kunden in der EU, oder KMU geändert. Die Möglichkeiten der Behörden, spürbare Bußgeldsanktionen zu verhängen und die deutlich gestärkten Rechte von Betroffenen sind der direkte Ausdruck der geänderten Gesetzeslage. Aber: Die Änderungen sind mit vertretbarem Aufwand durchaus zu bewältigen. Auch wenn angesichts der einen oder anderen unscharfen Formulierung im Gesetzeswerk interpretatorische Lücken vorhanden sind.