E-Mail oder Benutzername: Passwort: Passwort vergessen?
ODER Login mit Facebook Login mit Google
Sicherer Server
Mehr Infos
Fragen? 0761 21 609 789-0
Jetzt Angebot einholen
Jetzt Angebot einholen
yourXpert wurde ausgezeichnet
1. Platz Internetauftritt und Datensicherheit
Online-Beratung
Testsieger
in der
ZDF-Sendung WISO
Im Test: 5 Anbieter
Sendung vom 28.10.2013
Kundenmeinungen
Qualifizierte Experten
Bereits 12.981 Kundenbewertungen bestätigen den hohen Beratungsstandard unserer Experten!

» Mehr dazu hier
Zahlungsarten
Zahlungsarten: Sofort, PayPal, VISA, MasterCard, Vorkasse
Fragen?
Rufen Sie uns an!
Mo - Fr 9:00 bis 18:00 Uhr:
0761 21 609 789-0

Oder schicken Sie uns eine E-Mail an
kundenservice@yourxpert.de

» Kundenservice / Häufige Fragen

EU-DSGVO Check - Datenschutz im Unternehmen

Datenschutz im Unternehmen

Die EU Datenschutzverordnung trat am 24. Mai 2016 in Kraft. Seit dem 25. Mai 2018 gilt sie nun. Ab diesem Zeitpunkt führen Rechtsverstöße zu Bußgeldzahlungen bis hin zu 20 Mio. € Bußgeld oder 4% des Jahresumsatz, je nach dem was höher ist. Daher sollte das eigene Unternehmen so schnell wie möglich auf die neuen Anforderungen vorbereitet werden. Verlieren Sie deshalb keine Zeit und lassen sich von einem spezialisierten Rechtsanwalt beraten.  

Es bedarf hierbei nicht nur Schnelligkeit, sondern einer umfassenden Beratung - denn die Anforderungen der Datenschutzgrundverordnung sind umfangreich. Dazu gehören allgemeine Pflichten wie Datensparsamkeit und die Erstellung von Datenschutzkonzepten. Aber auch ganz spezielle Aufgaben fallen an, wie die Aktualisierung von Datenschutzerklärungen, die Einhaltung von Löschpflichten und die Erstellung von Verzeichnissen. Dabei ist von den Aufsichtsbehörden, trotz der umfangreichen Pflichten, keine Milde erwartbar. Diese argumentieren damit, dass die Verordnung erst mit zwei Jahren Vorlaufzeit rechtswirksam geworden ist. Auf der sicheren Seite sind Sie daher, wenn Sie sich von einem geschulten Anwalt von yourXpert beraten lassen. Die Anwälte bieten eine schnelle und komfortable Gesamtlösung zu einem Festpreis an. Das beinhaltet die Prüfung Ihrer datenschutzrechtlich relevanten Rechstexte und beantwortet Ihre individuellen Fragen.

  • Kostenlose telefonische Erstberatung

    Ein auf Datenschutz spezialisierter Rechtsanwalt wird mit Ihnen die Anforderungen für Ihre individuelle Beratung zum Datenschutz im Unternehmen bezüglich der EU-DSGVO besprechen, um Ihnen ein passendes Angebot machen zu können. Sie geben lediglich Ihre Telefonnummer an und unser auf Datenschutzrecht spezialisierter Anwalt meldet sich bei Ihnen.

    Jetzt kostenlose telefonische Erstberatung anfordern!

  • Sofort

    Ein Rechtsanwalt überprüft Ihre Angaben und Sie erhalten direkt ein individuelles Angebot für die Beratung zur EU DSGVO sowie zur Prüfung Ihrer Rechtstexte. 

  • Rechts- und abmahnsicher

    Ihre Rechtstexte werden von zertifizierten Rechtsanwälten des ZDF-WISO Testsiegers yourXpert auf Abmahnsicherheit und Rechtssicherheit überprüft und rechtlich angepasst.

  • Preisgünstig

    Die umfassende Beratung und Überarbeitung Ihrer Dokumente zum Festpreis durch Anwälte bei yourXpert ist preisgünstig und unkompliziert. Keine versteckten Kosten, Abos oder Mitgliedsbeiträge. 

  • Checklisten
    Sie erhalten von unserem Anwalt ausführliche und individualisierte Checklisten zur Umsetzung der DSGVO in Ihrem Unternehmen.

  • Kostenlose Rückfragen
    Bei Rückfragen steht Ihnen unsere kostenlose Rückfrage-Möglichkeit zur Verfügung. 

  • Datensicherheit

    Wir nehmen Datensicherheit ernst! Alle Informationen werden beim Upload mit SSL (Secure Socket Layer) geschützt und wir geben Ihre persönlichen Daten NICHT an Dritte weiter!

  • Laufende Überwachung und Aktualisierung Ihrer AGB inkl. Haftungsübernahme

    Durch eine optionale Hinzubuchung unseres AGB-Update-Service werden Sie von unseren Rechtsanwälten über Gesetzesänderungen, die Ihr Geschäftsmodell betreffen, informiert und erhalten neue rechtssichere Formulierungen. Selbstverständlich inkl. Haftungsübernahme.

Leistungsumfang

Enthaltene Leistungen
Erstellung einer individuellen Datenschutzerklärung unter Berücksichtigung der neuen Gesetzeslage, insbesondere der EU DSGVO.  
Prüfung und Aktualisierung Ihrer AGB, sowie des Impressums. 
Beantwortung der wichtigsten Fragen in einer umfassenden telefonischen Beratung. 
Erstellung einer individuellen Checkliste, inklusive Handlungsempfehlung, zur Umsetzung der EU DSGVO in Ihrem Unternehmen. 
Zusätzliche Analyse wann Einwilligungserklärungen zur Datenspeicherung notwendig sind.  
Optional: Überprüfung des Bestellprozesses auf Ihrer Website. 

So einfach funktioniert's: EU-DSGVO Check - Datenschutz im Unternehmen

1. Angebot einholen

  • Kontaktdaten angeben

  • Geschäftsmodell beschreiben

  • Vorhandene Rechtstexte hochladen

  • Angebot erhalten

2. Angebot annehmen

  • Angebot einfach über den Link annehmen. 

3. Zahlungsmodalität auswählen

  • Paypal, Sofortüberweisung, Kreditkarte (VISA, Mastercard), Vorkasse

4. Kontaktaufnahme mit Ihnen durch den Experten

  • Telefonische Beratung

  • Anpassen der Dokumente

  • Checklisten erhalten

5. Rückfragen inklusive

  • Gerne beantwortet Ihnen Ihr Anwalt Ihre Rückfragen.

Ratgeber Datenschutz EU DSGVO

(Lesezeit: 8 Minuten)

Das Thema Datenschutz ist über viele Jahre hinweg stiefmütterlich behandelt worden, obwohl mit dem Bundesdatenschutzgesetz (BDSG) schon lange eine Kodifizierung des Rechtes vorliegt. In vielen Unternehmen fristete der Datenschutz nur ein Schattendasein. Grund dafür war vor allem die mangelnde Möglichkeit zur Sanktionierung von Verstößen gegen datenschutzrechtliche Bestimmungen. Wurde bisher ein Verstoß an die zuständige Aufsichtsbehörde gemeldet, so sprach diese zunächst nicht mehr als eine Warnung aus. Dies ändert sich aber nun mit der Datenschutzgrundverordnung (DSGVO). 

Das Wichtigste in Kürze

Die DSGVO bringt schärfere Regelungen zum Datenschutz mit sich, von denen eine Vielzahl von Personen und Unternehmen betroffen sind, die oftmals gar nichts davon wissen. Die Konsequenzen bei Verstößen sind empfindlich und eine vollständige und rechtssichere Umsetzung eines neuen Datenschutzkonzeptes ohne Hinzuziehung eines Experten meist nicht möglich.

Inhalt

  1.  Ab wann gelten die schärferen Datenschutzbestimmungen?
  2. Von der DSGVO ist fast jeder betroffen
  3. Empfindliche Konsequenzen bei Datenschutzverletzungen
  4. Verarbeitungstätigkeit und Datenschutz-Folgeabschätzung
  5. Auftragsverarbeitung
  6. Pflicht zur Bestellung eines Datenschutzbeauftragten
  7. Weitere kritische Änderungen durch die DSGVO
  8. Verhältnis zwischen BDSG und DSGVO
  9. Unterstützung bei der Umsetzung der Datenschutzbestimmungen
  10. Fazit

1. Ab wann gelten die schärferen Datenschutzbestimmungen

Ab dem 25. Mai 2018 entfaltet die DSGVO ihre volle Wirkung. Abmahnungen wegen Verletzungen der Vorschriften sind ab diesem Datum durch Mitbewerber möglich. Ein großer Unterschied zur bisherigen Handhabung ist dabei die Möglichkeit der Aufsichtsbehörde zur sofortigen Verhängung eines Bußgeldes, wenn eine Datenschutzverletzung vorliegt. Es gibt weder eine Warnung, noch eine Übergangsfrist. Denn die DSGVO trat bereits im Jahr 2016 in Kraft, ohne dass die konkreten Normen angewendet werden mussten. Diese zweijährige Übergangszeit hat der europäische Gesetzgeber als ausreichend angesehen, um sich auf die bevorstehenden Änderungen vorbereiten zu können. 

2. Von der DSGVO ist fast jeder betroffen

Die DSGVO trifft dabei, entgegen einer weit verbreiteten Meinung, nicht nur große Unternehmen, sondern gleichermaßen Einmannbetriebe, Online-Shops und sogar private Blogger. Betroffen ist von der Verschärfung der Regelungen jeder, der personenbezogene Daten verarbeitet. Unter die Verarbeitung fällt dabei eine Vielzahl von Vorgängen, namentlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten. 

Personenbezogene Daten sind dabei nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. 
Beispiele von personenbezogenen Daten sind etwa:

  • Name
  • Anschrift
  • Telefonnummer
  • E-Mail
  • Adresse
  • IBAN Nummer
  • IP-Adresse

Oft geschieht die Erhebung solcher Daten noch nicht einmal bewusst, sondern automatisiert, etwa auch wenn nur eine simple Wordpress-Seite betrieben wird und Cookies gespeichert werden, wobei auch noch eine Reihe von Plugins zum Einsatz kommen, die Daten erheben und an Dritte übertragen. 
Neben dem sachlichen Anwendungsbereich ist räumlich nach Art. 3 DSGVO jeder betroffen, der einen Sitz oder eine Niederlassung in der Europäischen Union hat. Dies gilt auch dann, wenn die Verarbeitung der Daten außerhalb der EU von statten geht, etwa weil der Server im nicht europäischen Ausland stationiert ist.

3. Empfindliche Konsequenzen bei Datenschutzverletzungen

Wer sich um den internen Datenschutz nicht kümmert und/oder eine unzureichende Datenschutzerklärung auf der Webseite vorhält, riskiert nicht nur eine teure Abmahnung durch Mitbewerber, sondern auch ein empfindliches Bußgeld durch die Aufsichtsbehörde. Da die im Internet stehenden Informationen zudem regelmäßig von jedermann eingesehen werden können, ist eine Verfolgung von Verstößen besonders einfach umzusetzen. Aber auch innerhalb der Unternehmensstruktur muss auf die Einhaltung datenschutzrechtlicher Vorschriften penibel geachtet werden.

Die Landesdatenschutzbeauftragten verschiedener Bundesländer, als zuständige Aufsichtsbehörden, haben bereits angekündigt, hart durchgreifen zu wollen und keine Kompromisse bei der Verfolgung von Datenschutzverstößen einzugehen. Wenn der Startschuss Ende Mai 2018 gefallen ist, hängt der Datenschutz daher wie ein Damoklesschwert über all jenen, die sich bislang nicht mit dem Thema auseinandergesetzt haben. Die DSGVO gewährt den Behörden die Möglichkeit die Unternehmen dort zu treffen, wo es besonders wehtut. Nach Art. 83 DSGVO kann die Aufsichtsbehörde ein Bußgeld in Höhe von 4% des Jahresumsatzes oder bis zu 20 Mio. Euro festsetzen.

4. Verarbeitungstätigkeit und Datenschutz-Folgeabschätzung

Hinter dem Begriff der Verarbeitungstätigkeit verbirgt sich ein Verzeichnis, welches gemäß Art. 30 DSGVO zu führen ist. Das Verzeichnis von Verarbeitungstätigkeiten muss erheblich umfangreicher ausfallen, als das früher geltende Verfahrensverzeichnis. Auf Verlangen muss das Verzeichnis jederzeit der Aufsichtsbehörde vorgelegt werden könnte. Die Behörde ist zur anlasslosen Kontrolle berechtigt, sodass das Anlegen eines solchen Verzeichnisses eine der grundsätzlichen Aufgaben ist, um der DSGVO zu entsprechen. Das Dokument muss beinhalten, welche personenbezogene Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen (TOM) zum Schutz dieser Daten dabei getroffen wurden. Die Pflicht zur Führung eines solchen Verzeichnisses trifft jedes Unternehmen, auf das eine der folgenden Voraussetzungen zutrifft:

  • Es sind mindestens 250 Mitarbeiter beschäftigt oder
  • es besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung oder
  • es werden besondere personenbezogene Daten gemäß Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, Religion, biometrische Daten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO verarbeitet.

Insbesondere das Risiko für die Rechte und Freiheiten der betroffenen Person ist gesetzlich nicht klar definiert, sodass es sich vorsorglich empfiehlt ein solches Verzeichnis zu führen und aktuell zu halten.
Eine Datenschutz-Folgeabschätzung ist gemäß Art. 35 DSGVO notwendig, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Personen zur Folge hat, von denen Daten erhoben werden. Dies ist insbesondere der Fall, wenn besondere personenbezogene Daten (siehe Auflistung unter Ziff. 6) verarbeitet werden, aber auch bei einer Video-Überwachung öffentlicher Bereiche oder beim Profiling. Die Folgeabschätzung muss zumindest folgende Inhalte aufweisen:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

5. Auftragsverarbeitung

Oft sträflich vernachlässigt ist die Auftragsverarbeitung (AV), früher bekannt unter dem Begriff Auftragsdatenverarbeitung. Eine Auftragsverarbeitung liegt immer dann vor, wenn personenbezogene Daten im Auftrag verarbeitet werden. Anwendungsbereiche aus der Praxis sind etwa die Beauftragung eines IT-Dienstleisters, die Nutzung von Onlinespeicherdiensten (z.B. Google Drive, Dropbox) oder der Versand von Newslettern durch Dritte. Das mit der Verarbeitung beauftragte Unternehmen muss hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Zur Abstimmung und Gewährleistung der Einhaltung von datenschutzrechtlichen Bestimmungen sollten beide Parteien einen Vertrag schließen, der zumindest die nach Art. 28 Abs. 3 DSGVO festgeschriebenen Inhalte aufweist. Nach neuem Recht sind dabei sowohl das beauftragte Unternehmen, als auch der Auftraggeber, haftbar für Verstöße bei der AV. 

6. Pflicht zur Bestellung eines Datenschutzbeauftragten

Von der Pflicht zur Bestellung eines Datenschutzbeauftragten ist nicht jedes Unternehmen betroffen. Das Gesetz schreibt in § 38 BDSG (n.F.) dazu vor, dass die Bestellung erforderlich ist, wenn das Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Weiterhin ist die Bestellung auch unabhängig von der Unternehmensgröße verpflichtend, wenn besondere personenbezogene Daten verarbeitet werden. Darunter fallen Informationen aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. 

Das Gesetz stellt an den Datenschutzbeauftragten keine konkret ausgestalteten Anforderungen. Gemäß Art. 37 Abs. 5 DSGVO hat die Person die Fachkunde auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis zu besitzen. Diese Fachkenntnis muss auf Verlangen auch belegt werden können. Es ist daher nicht zwingend erforderlich, dass der Datenschutzbeauftragte eine Zertifizierung erwirbt, aber grundsätzlich sehr empfehlenswert. Neben der internen Lösung durch einen geschulten Mitarbeiter, kann die Aufgabe auch von einer externen Person (z.B. einem Rechtsanwalt) übernommen werden. Die interne Lösung hat dabei für den Arbeitgeber den Nachteil, dass nicht nur Schulungen des Mitarbeiters bezahlt werden müssen, sondern dieser auch über einen besonderen Kündigungsschutz verfügt.

7. Weitere kritische Änderungen durch die Datenschutz-Grundverordnung

Durch die DSGVO wird der Datenschutz in Deutschland deutlich verschärft. Neben den bereits angesprochenen Sanktionen und erweiterten Nachweispflichten, ist auch ein besonderes Augenmerk auf die Übertragung von personenbezogenen Daten in ein Drittland zu legen. Drittland ist dabei jedes Land außerhalb der Europäischen Union. In den meisten praxisrelevanten Fällen ist dies die USA, in der Datenkraken wie Google, Facebook und Cco. sitzen. An die Übertragung in ein Drittland werden strenge Anforderungen geknüpft. Maßgeblich ist dabei vor allem das Abkommen der EU mit den Vereinigten Staaten von Amerika über den Datenschutz. Dem sogenannten Privacy Shield, welches das für rechtswidrig erklärte Safe Harbour Abkommen abgelöst hat, sind bereits zahlreiche Unternehmen beigetreten. Die überwiegende Mehrheit, insbesondere an kleineren und mittelgroßen Firmen, hat sich jedoch (noch) nicht zertifizieren lassen und genau hier liegt das Problem. Denn die Übertragung an ein Unternehmen in ein Drittland wie der USA ist nach Art. 45 DSGVO nur dann zulässig, wenn sich das Unternehmen zertifiziert hat oder sich aufgrund von internen Firmenübereinkommen (sogenannte BCR, relevant in Unternehmen mit Niederlassungen in der EU und in Drittländern) verpflichtet hat, an die Bestimmungen des Datenschutzes zu halten. Dadurch ist ab Ende Mai 2018 die Weitergabe von Daten in die USA in sehr vielen Fällen unzulässig und kann bestraft werden. Es empfiehlt sich daher dringend die eigene Webseite auf Funktionen überprüfen zu lassen, die Daten unbefugt in Drittländer versenden und damit nach der DSGVO rechtswidrig sind. Gleiches gilt für das Outsourcing von Datenverarbeitungsvorgängen in Niedriglohnländer wie etwa Indien.

8. Verhältnis zwischen BDSG und DSGVO

Vielfach kann man lesen, dass das BDSG von der DSGVO ersetzt wird. Dies ist jedoch nicht korrekt. Stattdessen sind beide Gesetzeswerke parallel anwendbar. Das BDSG wird darüber hinaus in einer neuen Fassung überarbeitet, die zeitgleich mit dem Startschuss der DSGVO in Kraft tritt. Die DSGVO muss auch nicht erst vom deutschen Gesetzgeber umgesetzt werden, denn es handelt sich nicht um eine Richtlinie (wie z.B. die Cookie-Richtlinie), sondern eine Verordnung, die unmittelbar gilt. Als europäische Verordnung geht die DSGVO zudem dem deutschen BDSG vor, auch wenn viele Regelungen identisch sind und in absehbarer Zeit zunehmend angeglichen werden.

9. Unterstützung bei der Umsetzung der Datenschutzbestimmungen

Die vollständige Umsetzung eines neuen Datenschutzkonzeptes ist ein großes Unterfangen, das für viele Unternehmen, insbesondere wenn keine darauf spezialisierte Rechtsabteilung vorhanden ist, kaum bewerkstelligt werden kann. In den Bereichen, in denen es um die Dokumentation des Umgangs mit dem Datenschutz geht, ist dies durch geschultes Personal oft noch möglich. Wenn es jedoch an die Erstellung von Rechtstexten wie z.B. der Datenschutzerklärung sowie Einwilligungstexten oder um Spezialfragen zur Einhaltung von Vorschriften geht, ist die Konsultation eines Anwaltes dringend zu empfehlen. Der Gesetzestext ist für den juristischen Laien nicht nur schwer verständlich, er muss zudem im Lichte der Rechtsprechung und anderer Gesetze, sowie der zugrundeliegenden Erwägungsgründe der Normen ausgelegt werden. 

10. Fazit

Wer sich mit dem Thema Datenschutz im Unternehmen oder für den Internetauftritt noch nicht beschäftigt hat, für den steht die Uhr auf 5 vor 12. Ab dem 25. Mai 2018 hat die Stunde geschlagen. Jeder der zu diesem Zeitpunkt noch keine Vorkehrungen getroffen hat, um den Datenschutz zu gewährleisten und die Anforderungen nach der DSGVO zu erfüllen, sollte dies unverzüglich nachholen. Die auf yourXpert tätigen Rechtsanwälte stehen Ihnen bei der Beratung und der Umsetzung von datenschutzrechtlichen Konzepten gerne zur Verfügung.

Bereits beantwortete Fragen Bereich Datum Bewertung
Arbeitszeugnis prüfen lassen - Premium Arbeitsrecht 11.11.2018
Bauvertrag prüfen Vertragsrecht 11.11.2018
Bauträgervertrag prüfen Immobilienrecht 10.11.2018
Arbeitszeugnis prüfen lassen - Premium Arbeitsrecht 10.11.2018
Arbeitszeugnis prüfen lassen - Pro Arbeitsrecht 10.11.2018
Arbeitszeugnis prüfen lassen - Pro Arbeitsrecht 10.11.2018
Arbeitszeugnis prüfen lassen - Pro Arbeitsrecht 10.11.2018
Gewerbemietvertrag prüfen Mietrecht 09.11.2018
Arbeitszeugnis prüfen lassen - Pro Arbeitsrecht 09.11.2018
Arbeitszeugnis prüfen lassen - Pro Arbeitsrecht 09.11.2018
4,9 von 5 Sterne auf der Grundlage von 4157 Bewertungen Mehr...

Häufige Fragen

Ist es sinnvoll auch für kleine Unternehmen den Datenschutz gemäß EU DSGVO überprüfen zu lassen?

Die Datenschutzgrundverordnung gilt schon, wenn man in der EU ansässig ist und personenbezogene Daten verarbeitet. Hierbei beginnt die Verarbeitung zum Beispiel, wenn man Daten von Kunden an Dritte weitergibt oder in seinem Datensystem speichert.
So kann es ohne wirksame, auf die neue Rechtslage eingestellte Einwilligungserklärungen, rechtlich unmöglich sein z.B. Kundendaten an Lieferanten oder Inkassounternehmen weiterzuleiten.

Gibt es eine Schonfrist für kleinere Unternehmen?

Die Aufsichtsbehörden haben bereits angekündigt keine Schonfristen zu gewähren. Sie verweisen auf die zweijährige Übergangszeit in der Verstöße gegen die Datenschutzgrundverordnung nicht sanktioniert wurden. Für kleine Unternehmen bedeutet dies, dass sie vom 25.Mai 2018 an ein Datenschutzkonzept vorweisen müssen.
Es ist damit zu rechnen, dass kleinere Unternehmen im Fokus der Aufsichtsbehörden stehen werden. Kurz gesagt: Wer kein ausreichendes Datenschutzkonzept vorweisen kann, riskiert empfindliche Bußgelder.

Ich habe mich bis jetzt an das Bundesdatenschutzgesetz gehalten, reicht das nicht?

Nein, das reicht nicht! Die neue Datenschutzgrundverordnung hat das Bundesdatenschutzgesetz nicht nur verändert, sie genießt als EU Gesetz auch Vorrang.
Sie müssen sich auf die neue Datenschutzgrundverordnung einstellen, unabhängig von dem was im Bundesdatenschutzgesetz steht. Das Bundesdatenschutzgesetz gilt in seiner neuen Fassung aber weiterhin. Insbesondere wenn es präziser oder strenger formuliert ist, ist hierauf Rücksicht zu nehmen. Im Ergebnis wird hierdurch das Datenschutzrecht wesentlich komplizierter.

Welche Arten von Unternehmen sind vom EU DSGVO betroffen?

Die EU DSGVO betrifft alle Unternehmen mit Sitz oder Tätigkeit in der EU.

Ich beschäftige nur wenige Mitarbeiter, brauche ich eine Datenschutzüberprüfung?

Die EU DSGVO gilt für alle Unternehmen, unabhängig von der Mitarbeiterzahl.
Zudem gelten unabhängig von der Mitarbeiterzahl besondere Vorschriften bei der Erhebung von besonders sensiblen Daten, wie zum Beispiel Gesundheitsdaten, Daten zur sexuellen Orientierung oder ethnischen Zugehörigkeit. Hier ist regelmäßig juristischer Rat sehr sinnvoll.
Weiterhin gilt, wer mehr als neun Personen zur automatischen Verarbeitung von personenbezogenen Daten beschäftigt, ist verpflichtet einen Datenschutzbeauftragten zu benennen. Als Mitarbeiter zählen alle, die mit der Datenverarbeitung zu tun haben, z.B. auch Praktikanten, Azubis und auch die Geschäftsführer selbst. Dabei liegt die automatische Bearbeitung  schon vor, wenn hierfür ein Computer genutzt wird. Es ist wegen dieser niedrigen Hürden ratsam sich rechtlichen Rat zu holen und die Notwendigkeit eines Datenschutzbeauftragten zu überprüfen. 

Kann ein betrieblicher Datenschutzbeauftragter die Datenschutzüberprüfung vornehmen?

Ja, jedoch sollten die rechtlichen Hürden (s. § 4f BDSG) und Kosten für einen internen Datenschutzbeauftraften nicht unterschätzt werden. Dieser muss ausreichende Rechtskenntnisse nachweisen können und in der Lage sein, Mitarbeiter zu schulen. Die Kenntnisse müssen auch zum Zeitpunkt der Bennenung bereits vorhanden sein. Zudem gelten für betriebliche Datenschutzbeauftragte z.B. besondere Kündigungsschutzvorschriften. Für kleinere und mittelständische Unternehmen lohnt sich daher oft die Option eines externen Datenschutzbeauftragten. Ihre Optionen kann Ihnen ein rechtskundiger Rechtsanwalt darlegen. 

Kann mein bisheriger Anwalt kein Datenschutzkonzept erstellen?

Die DSGVO (Datenschutzgrundverordnung) verändert das geltende Recht umfassend. Nur ein Anwalt der explizit datenschutzrechliche Beratung im Sinne der DSGVO anbietet, kann hier den Überblick behalten. Zumal einige Punkte in der DSGVO noch umstritten sind.
Nach der neuen Rechtslage (Art. 5 Abs. 2 DSGVO) muss auch ein Nachweis über ausreichende rechtliche Beratung geführt werden. Dieser muss mehr beinhalten als eine allgemeine Rechtsberatung des Unternehmens und darlegen können, auf welche Weise am Datenschutzkonzept gearbeitet wurde.

Wer kann meine Anfrage bezüglich der Datenschutz-Grundverordnung lesen? Wird meine Anfrage öffentlich sichtbar sein?

Lediglich Sie und Ihr Anwalt können Ihren Auftrag einsehen. Aus datenschutzrechtlichen Gründen ist Ihre Anfrage zu keiner Zeit öffentlich einsehbar.

Welche Zahlungsmöglichkeiten habe ich?

Auf yourXpert stehen Ihnen alle relevanten Zahlungsweisen zur Verfügung, u.a.:

  • Paypal
  • Sofort
  • Kreditkarte (VISA, MasterCard)
  • Vorkasse

Wie viel kostet eine Überprüfung des Datenschutzkonzepts? 

Sie erhalten von unserem Anwalt ein individuelles Angebot mit einem Festpreis. Keine versteckten Kosten, Abos oder Mitgliedsbeiträge. 

Wie viel kostet der AGB-Update-Service?

Bei einer Laufzeit von 12 Monaten kostet der AGB-Update-Service 156,00 € zzgl. MwSt (13,00 € / Monat)

Bei einer Laufzeit von 24 Monaten kostet der AGB-Update-Service 264,00 € zzgl. MwSt (11,00 € / Monat)

Bildnachweis: © fotolia.com – Vasily Merkushev