Die neue Datenschutz-Grundverordnung (DSGVO), die ab 25.05.2018 gilt, ist in aller Munde. Lassen Sie sich nicht verunsichern. Hier ein Überblick, worauf Sie achten sollten:
· Personenbezogene Daten dürfen nur verwendet werden, wenn eine Einwilligung vorliegt oder wenn es das Gesetz (z.B. BDSG, TMG, DSGVO) bestimmt.
Der häufigste Fall einer zulässigen Datenverarbeitung dürfte sein, dass im Rahmen eines Vertragsverhältnisses freiwillig personenbezogene Daten von Kunden übermittelt werden. Das ist grundsätzlich zulässig, wenn auch im Onlinebereich unbedingt auf eine korrekte Datenschutzerklärung geachtet werden muss.
· Ohne eine ausdrückliche Einwilligung müssen Sie so sparsam wie möglich mit Daten Dritter umgehen.
· Die Daten dürfen ohne Einwilligung nur zu den Zwecken verwendet werden, für die sie erhoben wurden.
· NEU: Datensicherheit – Art. 32 DSGVO
Datenverarbeiter müssen „geeignete technische und organisatorische Maßnahmen“ treffen, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Welche konkreten Maßnahmen getroffen werden müssen, hängt vom Einzelfall ab. Maßnahmen können eine sichere SSL-zertifizierte Datenübertragung, organisierte Backup-Verwaltung Ihres Servers, regelmäßige Aktualisierung von Betriebssystemen, Verwendung von hochwertigen Antivirus-Programmen bis hin zur Implementierung eines (externen) Datenschutzbeauftragten sein.
· NEU: Recht auf Vergessenwerden – Art. 17 DSGVO
Die DSGVO nennt in § 17 die Fälle, in denen personenbezogene Daten gelöscht werden müssen. So z.B., wenn der Zweck für die Datenverarbeitung (Beendigung des Vertragsverhältnisses) weggefallen ist, der Betroffene die Einwilligung widerruft oder der Datenspeicherung widerspricht.
· Datenübertragbarkeit – Art. 20 DSGVO
Die Nutzer können verlangen, ihre personenbezogenen Daten in einem gängigen Format an einen anderen Verantwortlichen weiterzugeben. Für Datenverarbeiter ergibt sich damit die Pflicht, eines strukturieren Datenmanagements, insbesondere was die Vertragsdaten mit Ihren Kunden angeht.
In welchen Fällen benötigen Sie eine Einwilligung in die Datenerhebung-, bzw. Verarbeitung?
Werden Ihnen Daten freiwillig durch Kunden übertragen, die Sie zur Abwicklung eines Vertragsverhältnisses benötigen (Adressen, Telefonnummer, E-Mail, etc.) benötigen Sie keine gesonderte Einwilligung, wenn die Daten nur zur Abwicklung des Vertrags genutzt werden. Im Online-Bereich benötigen Sie aber dennoch eine Datenschutzerklärung.
Wenn Sie personenbezogene Daten über den Vertragszweck hinaus nutzen möchten, ist eine Einwilligung unbedingt einzuholen. Bei Onlineshops empfehlen wir dann, die Datenschutzerklärung (entsprechend den AGB) im Rahmen des Check-out-Prozesses im Opt-In-Verfahren durch eine zusätzliche Check-Box einzubeziehen. ACHTUNG KOPPELUNGSVERBOT: Die Einwilligung in die Datenverarbeitung darf nicht zwingende Voraussetzung für den Vertragsabschluss sein. Darüber hinaus kann bei der Verwendung von Cookies ein gesonderter „Cookie-Einwilligungs-Banner“ bei Eingabe der URL sinnvoll sein. Eine Einwilligung wird insbesondere in folgenden Fällen benötigt:
· Werbung: Werden personenbezogenen Daten zu Werbezwecken genutzt, ist eine Einwilligung grundsätzlich zulässig. Das gilt auch für Zwecke der Marktforschung. Hier besteht oft die Besonderheit, dass personenbezogene Daten anonymisiert werden, womit die Verwendung, auch ohne Einwilligung, zulässig sein kann.
· Newsletter: Hier ist das Douple-Opt-In-Verfahren zu verwenden. D.h. Newsletter dürfen nur versandt werden, wenn in einer Check-Box das Häkchen gesetzt wurde und der Newsletter-Versand nochmals per E-Mail bestätigt wird.
· Cookies (?): Derzeit benötigt man noch keine ausdrückliche Einwilligung in die Verwendung von Cookies. Das kann sich aber aufgrund von Gesetzesänderungen in näherer Zukunft ändern. Wir empfehlen deshalb, einen Cookie-Einwilligungs-Banner zu verwenden, wenn dieser technisch einfach umsetzbar ist. Ansonsten ist die Rechtsentwicklung zu beobachten: Sollte die entsprechende EU-Richtlinie umgesetzt werden, muss dann zwingend ein entsprechender Banner verwendet werden. Auf jeden Fall gilt aber, dass ein ausführlicher Hinweis über die Nutzung von Cookies in Ihrer Datenschutzerklärung enthalten sein muss.
Bei der konkreten Umsetzung einer neuen Datenschutzerklärung nach DSGVO stehen wir Ihnen natürlich jederzeit gerne mit Rat und Tat zur Seite.
Auch hinsichtlich des Einsatzes eines (externen) Datenschutzbeauftragten (DSB) haben uns bereits viele Mandanten angesprochen. Daher hier eine kurze Zusammenfassung:
· Datenschutzbeauftragter ist Pflicht, unter folgenden Voraussetzungen – §§ 35 DSGVO:
1. Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, vgl. § 9 DSGVO.
2. Sie üben eine „systematische umfangreiche Überwachung öffentlicher Bereiche“ aus, z.B. im Rahmen einer Diebstahlüberwachung Ihres Unternehmens, von der auch Mitarbeiter betroffen sind.
3. es sind (als Angestellte oder auch freie Mitarbeiter) mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst. Hierzu zählt auch Kassenpersonal, das Kredit-/EC-Karten verarbeitet. Bei sonstiger Verarbeitung personenbezogener Daten gilt die Pflicht zur Benennung eines Datenschutzbeauftragten ab 20 Personen.
Viele Unternehmen, die dieses Thema noch nicht auf dem Schirm haben, benötigen zwingend einen (externen) Datenschutzbeauftragten. Aufgrund einiger Anfragen haben wir uns entschlossen, ab 01.07.2018 die Betreuung als externer Datenschutzbeauftragter (DSB-TÜV), also die Einhaltung der datenschutzrechtlichen Vorgaben nach der neuen DSGVO, für unserer Mandanten zu übernehmen. Eine entsprechende Zertifizierung durch den TÜV SÜD findet Mitte Juni 2018 statt. Bei Fragen zu diesem Angebot stehen wir Ihnen jederzeit gerne unverbindlich zur Verfügung.
Leistungen des (externen) Datenschutzbeauftragten:
· Erfüllung der gesetzlichen Datenschutzpflichten für Unternehmen nach DSGVO.
· Überwachung der Datenschutzgrundsätze im Unternehmen.
· Führen eines Verarbeitungsverzeichnisses (AV).
· Ansprechpartner für Geschäftsführung, Kunden und Datenschutzbehörden bei Fragen zum Umgang mit personenbezogenen Daten.
Unterschied zwischen externem und internem Datenschutzbeauftragten:
· Ein interner Datenschutzbeauftragter wird aus der Belegschaft benannt. Er muss regelmäßig geschult werden, was relativ zeit- und kostenaufwändig ist. Zudem muss er für die Erfüllung seiner Pflichten als Datenschutzbeauftragten für eine unbestimmte Zeit von seinen regelmäßigen Aufgaben im Betrieb freigestellt werden. Dafür ist er mit den Vorgängen im Unternehmen besser vertraut.
· Als externer Datenschutzbeauftragter werden spezialisierte Rechtsanwälte oder besonders geschulte Datenschutzexperten benannt. Für den externen Datenschutzbeauftragten besteht bei der Einarbeitung in die Besonderheiten der betrieblichen Datenverarbeitungsabläufe ein etwas erhöhter Aufwand. Dafür entfällt der Aufwand der Grundschulung zum Datenschutzbeauftragten. Zudem können durch externe Spezialisten auch Arbeitsabläufe, die im mittelbaren Zusammenhang mit der Datenverarbeitung stehen (Vertragsgestaltung, Angebots- und Rechnungsstellung, Forderungsmanagement) optimiert werden. Es ist lediglich mit einem relativ geringen monatlichen Fixbetrag zu rechnen, ohne dass ein Mitarbeiter von seiner regelmäßigen Aufgaben abgestellt werden muss.
Neu in der DSGVO 2018: Datenschutz-Pflichten für Arbeitgeber:
· Arbeitgeber nach der DSGVO sind alle Unternehmer, die Arbeitnehmer beschäftigen, unabhängig von der Anzahl. Arbeitnehmer in diesem Sinn sind auch Leiharbeiter, Auszubildende und freie Mitarbeiter.
· Es dürfen nur die Daten erhoben werden, die zur Durchführung, Ausübung oder Beendigung des Arbeitsverhältnisses „erforderlich“ sind.
· Werden darüber hinaus Daten bei Arbeitgebern erhoben, muss eine freiwillige Einwilligung eingeholt werden. Die Freiwilligkeit ist in Anbetracht des Abhängigkeitsverhältnisses aber oft fraglich.
· Verstöße können mit Bußgeldern von 2 % des weltweiten Umsatzes oder mit bis zu 10 Mio. Euro von den Aufsichtsbehörden geahndet werden. Bei schweren Verstößen sind sogar 4 % oder 20 Mio. Bußgeld möglich. Zudem können Arbeitnehmer künftig auch immaterielle Schäden wegen Datenschutzverstößen einklagen. Der Arbeitgeber muss dann beweisen, dass er die Datenschutzbestimmungen der DSGVO eingehalten hat.
Rechtsanwälte als externe Datenschutzbeauftragte – Ihr Vorteil:
Datenschutz ist neben der technischen, eine zu großen Teilen rechtliche Materie. Spezialisierte Datenschutzjuristen bieten dabei ein Gesamtpaket an datenschutzrechtlicher Betreuung. Entscheidend: Eine Abgrenzung von Datenschutzrecht zu Arbeitsrecht, Strafrecht, Verwaltungsrecht sowie zum Vertrags- und Wettbewerbsrecht ist schlicht nicht möglich. Um das Gesamtspektrum unternehmensrechtlicher Kompetenz abzudecken, empfiehlt es sich Rechtsberatung von spezialisierten Anwälten aus einer Hand wahrzunehmen.
Unser Angebot als externe Datenschutzbeauftragte:
| Leistung | Basis | Komfort | Premium |
| Bestellung zum Datenschutzbeauftragten | inklusive | inklusive | inklusive |
| Analyse des aktuellen Stands der Datenverarbeitung, des Verzeichnisses der Verarbeitungstätigkeit (VdV) und der technisch-organisatorischen Maßnahmen | per Telefon, E-Mail & Beratung vor Ort | per Telefon, E-Mail & Beratung vor Ort | per Telefon, E-Mail & Beratung vor Ort |
| Datenschutz-Schulung für Mitarbeiter | Unterlagen (Selbststudium) | jährliche Schulung vor Ort | 3 jährliche Schulungen vor Ort |
| Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten (VdV), auch im Auftrag ausgeführte Verarbeitungstätigkeit (Art. 30 I und II DSGVO) | 5 Prozesse inklusive | 15 Prozesse inklusive | 30 Prozesse inklusive |
| Ausarbeitung eines technisch-organisatorischen Maßnahmen-Konzepts, Art. 32 DSGVO (inklusive Zuweisung Kompetenzen) | inklusive | inklusive | inklusive |
| Aktualisierte Datenschutzerklärung und Impressum für Ihre Websites | inklusive | inklusive | inklusive |
| Aktualisierte Web-Shop-AGB | – | inklusive | inklusive |
| Sonstige laufende Aufgaben des Datenschutzbeauftragten:
· Unterrichtung über datenschutzrechtliche Pflichten · Anpassung technisch-organisatorisches Maßnahmen-Konzept · Laufende Beratung bei der Datenschutz-Folgenabschätzung und Dokumentation Ihrer Durchführungen, Art. 35 DSGVO · Vertretung gegenüber der Aufsichtsbehörde sowie vorherige Konsultation gemäß Art. 36 DSGVO · Ausarbeitung von Arbeitsanweisungen · Anwaltliche Rechtsberatung zum Datenschutz- und Vertragsrecht (Workflow Vertragsschluss, Forderungsmanagement) |
Paket-Kontingent von 4h/Jahr, Mehraufwand nach Stundenabrechnung | Paket-Kontingent von 12h/Jahr, Mehraufwand nach Stundenabrechnung | Paket-Kontingent von 30h/Jahr, Mehraufwand nach Stundenabrechnung |
| Jährliches Statusgespräch | inklusive, vor Ort | inklusive, vor Ort | inklusive, vor Ort |
| Jährlicher Datenschutzbericht (Tätigkeitsbericht), Art. 5 II DSGVO | inklusive | inklusive | inklusive |
| Sofort-Support bei Datenschutzpannen | exklusive, nach Aufwand | exklusive, nach Aufwand | inklusive |
| Mindestlaufzeit | 12 Monate | 12 Monate | 12 Monate |
| Kündigungsfrist | 3 Monate zum Vertragsende | 3 Monate zum Vertragsende | 3 Monate zum Vertragsende |
| Monatliche Gebühr (netto) | 189,00 € | 389,00 € | 669,00 € |
| Weitere anwaltliche Rechtsberatung für Leistungen, die nicht als Pauschale im jeweiligen Paket enthalten sind, in den Bereichen Datenschutzrecht, Vertragsrecht, Wettbewerbsrecht, Marken- und Designrecht | 240,00 € | 180,00 € | 140,00 € |
Unser Abo-Angebot im Bereich Online-Datenschutz und Workflow Vertragsschluss/Forderungsmanagement:
| Leistung | Einmalig (pauschal) | Abo |
| Analyse des aktuellen Stands des Workflows im Bereich Vertragsschluss und Forderungsmanagement | kostenfrei | inklusive |
| Erstellung und Aktualisierung der Datenschutzerklärung auf Ihren Websites, inklusive Impressum | 240,00 € (netto)
(keine Aktualisierung) |
inklusive |
| (Aktualisierte) Web-Shop-AGB | 240,00 € (netto)
(keine Aktualisierung) |
inklusive |
| Ausarbeitung Vertragsschluss/Forderungsmanagement -Konzepts | kostenfrei | inklusive |
| Mindestlaufzeit | keine | 12 Monate |
| Kündigungsfrist | keine | 3 Monate zum Vertragsende |
| Monatliche Gebühr (netto) | Keine | 19,00 € |
| Weiteres anwaltliches Forderungsmanagement „Anwaltsinkasso“ (letzte Zahlungsaufforderung, Mahnverfahren, gerichtliche Beitreibung) | Gebühr nach dem Rechtsanwaltsvergütungsgesetzt (RVG). Die RVG-Gebühr wird in der Regel in voller Höhe mit der Hauptforderung von der Gegenseite eingefordert | Gebühr nach dem Rechtsanwaltsvergütungsgesetzt (RVG). Die RVG-Gebühr wird in der Regel in voller Höhe mit der Hauptforderung von der Gegenseite eingefordert. |
Preise verstehen sich zzgl. der gesetzlichen Umsatzsteuer von 19%.