Serie: Datenschutzgrundverordnung – was ist zu tun? (1-8)

Kategorien: Management-Wissen

Schlagwörter: Datenschutz,Gründung,KMU,Rechtliches

Die Datenschutzgrundverordnung (DSGVO) wurde am 25.05.2016 verabschiedet. Nach einer Übergangsfrist von zwei Jahren trat sie am 25.05.2018 in Kraft. Als Verordnung ist sie in den Mitgliedstaaten unmittelbar anwendbar (vgl. Art. 288 Abs. 2 AEUV); es bedarf insoweit keines Umsetzungsakts wie bei Richtlinien. Zur Ausfüllung von Öffnungsklauseln und zur Anpassung des nationalen Datenschutzrechts an die Vorgaben der DSGVO wurde das deutsche Bundesdatenschutzgesetz (BDSG) – inzwischen bereits zweimal – geändert; die neue Fassung trat ebenfalls am 25.05.2018 in Kraft, die Änderungen durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind am 26.11.2019 in Kraft getreten.

Die DSGVO bringt einige Änderungen mit sich; insbesondere wurden die Sanktionen drastisch verschärft. Unternehmen sollten die Vorgaben der DSGVO daher ernst nehmen; Grund zur Panik besteht allerdings nicht. In unserer Artikelserie zeigen wir Ihnen, worauf zu achten ist:

Artikel 1: Rechtsgrundlagen, Anwendungsbereich und Grundprinzipien (dieser Artikel)
Artikel 2: Datenschutzbeauftragter (DSB)
Artikel 3: Verfahrensverzeichnis, Schutzmaßnahmen und Folgeabschätzung
Artikel 4: Informationspflichten und Betroffenenrechte
Artikel 5: Datenpannen: Melde- / Benachrichtigungspflichten
Artikel 6: Auftragsverarbeitung
Artikel 7: Zivilrechtliche Haftungsrisiken und Sanktionen
Artikel 8: Wesentliche Begriffe

Artikel 1: Rechtsgrundlagen, Anwendungsbereich und Grundprinzipien

1. Rechtsgrundlagen

Die DSGVO ist als EU-Recht vorrangig vor nationalem Recht anzuwenden. Sie betrifft die automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisiere Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder werden sollen. Dabei sind personenbezogene Daten nach Art. 4 Nr. 1 Hs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Hinweis: Jedes Unternehmen, das seine Lohnbuchhaltung, Personaldaten, Kundendaten etc. mittels EDV verarbeitet, muss sich mit den DSGVO-Regelungen befassen, d.h. grundsätzlich jeder, der beruflich oder wirtschaftlich tätig ist. Allein die persönliche und familiäre Datennutzung im Haushalt ist ausgenommen.            .

2. Anwendungsbereich

Die Bestimmung des Geltungsbereichs der DSGVO richtet sich nach dem Niederlassungsprinzip (vgl. Art. 3 Abs. 1 DSGVO). Dieses wird durch das Marktortprinzip erweitert (vgl. Art. 3 Abs. 2 DSGVO). Danach gilt die DSGVO für alle datenverarbeitenden Unternehmen mit dem Sitz in der EU und für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Angebote – gleich ob entgeltlich oder unentgeltlich – an Bürger in der EU richten oder das Verhalten von EU-Bürgern beobachten, sofern sich diese in der EU aufhalten.

3. Grundprinzipien

Es gilt das sog. Verbot mit Erlaubnisvorbehalt (vgl. Art. 6 DSGVO). Danach ist jede Verarbeitung personenbezogener Daten verboten, es sei denn, es gibt eine Erlaubnis. Wesentliche Erlaubnistatbestände stellen die Einwilligung des Betroffenen, die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die Verarbeitung aufgrund rechtlicher Verpflichtung sowie die Verarbeitung zur Wahrung berechtigter Interessen (vgl. Art. 6 DSGVO) dar. Personenbezogene Daten von Beschäftigten dürfen insbesondere für Zwecke des Beschäftigungsverhältnisses verarbeitet werden (Art 88 Abs. 1 DSGVO, § 26 Abs. 1 BDSG-neu)

Hinweis: Die Verarbeitung von personenbezogenen Daten der Arbeitnehmer im Rahmen der Lohnabrechnung ist für die Durchführung des Beschäftigungsverhältnisses erforderlich. Ferner bestehen rechtliche Verpflichtungen nach der Abgabenordnung und der Sozialgesetzbücher. Im Beschäftigungsverhältnis können ferner Kollektivvereinbarungen eine Rechtsgrundlage für die Datenverarbeitung begründen (vgl. Art. 88 DSGVO). Damit eigenen sich insbesondere Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (z.B. im Hinblick auf die Nutzung von Daten zur Unternehmenskommunikation etc.).

Eine Einwilligung eignet sich im Verhältnis zu den Beschäftigten als belastbare Grundlage für die Datenverarbeitung nur bedingt. Denn sie muss freiwillig erteilt worden sein, erfordert eine Belehrung des Einwilligenden und ist – mit Wirkung für die Zukunft – frei widerruflich. Musste die Einwilligungserklärung der Beschäftigten bisher zwingend schriftlich abgegeben werden, genügt gem. § 26 Abs. 2 Satz 3 BDSG n.F. nunmehr eine elektronische Erklärung. § 126a BGB verlangt insoweit, dass der Aussteller der Erklärung dieser seinen Namen hinzufügt und das Dokument mit einer qualifizierten elektronischen Signatur versieht.

Hinweis: Es ist unklar, ob § 126a BGB zur Konkretisierung der Anforderungen an eine elektronische Erklärung der Einwilligung gem. § 26 BDSG n.F. herangezogen werden kann. Die Einheit der Rechtsordnung spricht dafür, auf die allgemeinen Regelungen des BGB abzustellen. Der Zweck der Neuregelung, eine Erleichterung für den Rechtsverkehr zu schaffen, spricht allerdings dagegen, so dass ggf. auch eine einfache Email genügt. Bis zu einer klaren Positionierung der Datenschutzbehörden sollten allerdings die Anforderungen des § 126a BGB beachtet werden.                

Die Zweckbindung stellt ein weiteres wichtiges Prinzip dar. Hiernach dürfen Daten grundsätzlich nur für den Zweck verwendet werden, für den sie auch erhoben wurden. Sollen personenbezogene Daten für einen anderen Zweck verarbeitet werden, als für denjenigen, für den sie erhoben wurden, bedarf es grds. einer erneuten Erlaubnis (vgl. Art. 6 Abs. 4 DSGVO).

Unverändert von wesentlicher Bedeutung ist der Transparenzgrundsatz (Art. 5 Abs. 1 DSGVO). Der Verantwortliche muss die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten unterrichten. Art. 12 DSGVO verlangt dabei, dass dies in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache erfolgt.

Eine allgemeine Nachweispflicht des Verantwortlichen beinhaltet Art. 24 Abs. 1 DSGVO. Hiernach setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Art. 5 Abs. 2 DSGVO sieht eine Nachweispflicht für die Einhaltung der aufgeführten Grundsätze vor (sog. Rechenschaftspflicht).

Teilen Sie diesen Artikel. Wählen Sie Ihre Plattform

Alle Informationen und Angaben in unseren Artikeln und Informationen haben wir nach bestem Wissen zusammengestellt. Sie erfolgen jedoch ohne Gewähr. Diese Information kann eine individuelle Beratung im Einzelfall nicht ersetzen.

Kategorien

Neueste Artikel

Schlagwörter

Aktuelles Controlling Corporate Social Responsibility CSR Ready Projekt Datenschutz E-Cafe Projekt Eminent Projekt Erasmi Projekt Erasmus+ Finanzierung Fördermittel Führung Gründung Insolvenz KMU Kommunikation Krise Kunden Lieferanten Migration Navigating Tourism Project Netzwerke Personal Planung Preise Project Management Rechtliches SECURE Smart UP Projekt Stakeholder Supply Chain Tools Tourismus Verhandlungen Weiterbildung Ziele

Zugehörige Artikel

Folgende Artikel könnten für Sie ebenfalls interessant sein

Virtuelles Onboarding für neue Mitarbeiter – Erkenntnisse durch die Pandemie
Virtuelles Onboarding für neue Mitarbeiter – Erkenntnisse durch die Pandemie

Virtuelles Onboarding für neue Mitarbeiter – Erkenntnisse durch die Pandemie

August 19th, 2021|0 Comments
Souverän online präsentieren – 11 Tipps für ein erfolgreiches Webinar
Souverän online präsentieren – 11 Tipps für ein erfolgreiches Webinar

Souverän online präsentieren – 11 Tipps für ein erfolgreiches Webinar

August 19th, 2021|0 Comments
Einführung in das Stakeholdermanagement
Einführung in das Stakeholdermanagement

Einführung in das Stakeholdermanagement

August 19th, 2021|0 Comments
Agiles Projektmanagement
Agiles Projektmanagement

Agiles Projektmanagement

August 18th, 2021|0 Comments
Projektmanagement – eine kurze Einführung
Projektmanagement – eine kurze Einführung

Projektmanagement – eine kurze Einführung

August 18th, 2021|0 Comments
Führung: Worum es geht und warum Sie es verstehen müssen
Führung: Worum es geht und warum Sie es verstehen müssen

Führung: Worum es geht und warum Sie es verstehen müssen

August 18th, 2021|0 Comments