Handwerksbetriebe und KMU DSGVO: Das ändert sich durch die EU-Datenschutzgrundverordnung

Zugehörige Themenseiten:
Datenschutz und IT-Recht

Durch die EU-Datenschutzgrundverordnung (DSGVO) wird das alte Bundesdatenschutzgesetz internationalen EU-Bestimmungen angepasst. Die letzte Übergangsfrist für die neuen Vorgaben endet am 25. Mai 2018. So erfüllen Sie als Handwerksunternehmer alle Anforderungen.

EU-Datenschutzgrundverordnung (DSGVO)
Am 25. Mai 2018 ist der Stichtag: Dann endet die Übergangsfrist für die EU-Datenschutzgrundverordnung. Die DSGVO ersetzt dann in Form des BDSG-neu die alte Fassung des BDSG. - © SWerner-Ney

Zunächsteine kleine Beruhigungspille: Letztlich sind die Auswirkungen der neuen EU-Datenschutzgrundverordnung (DSGVO) gar nicht so gravierend, wie es im ersten Moment scheint. Da Deutschland bereits ein sehr strenges Datenschutzrecht auf Basis des alten Bundesdatenschutzgesetzes (BDSG) hat, haben Sie, wenn Sie sich bisher an alle Regeln gehalten haben, bereits den größten Teil der Vorgaben der neuen DSGVO erfüllt.

Trotzdem lauern mit der neuen Verordnung einige Tücken auf Handwerksunternehmer. Wer die DSGVO nicht beachtet und alles beim Alten lässt, läuft Gefahr, hohe Strafen und Sanktionen zu kassieren – das gilt für alle Betriebsgrößen. Wenn Sie die folgenden Aspekte beachten, sind Sie aber für das Ende der Übergangsfrist am 25. Mai 2018 gut vorbereitet und haben keine bösen Überraschungen zu befürchten:

Datenschutzbeauftragter nur bei größeren Unternehmen

Nach der DSGVO (Art. 37) ist die Bestellung eines Datenschutzbeauftragten bei nicht öffentlichen Stellen nur notwendig, wenn die Kerntätigkeit des Unternehmens in der Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten) oder in einer systematischen Überwachung von betroffenen Personen besteht. Hier sollten also die Gesundheitsgewerke wie Optiker, Hörgeräteakustiker oder Orthopädiemechaniker genauer hinschauen.

Da die Verordnung aber im gleichen Artikel den Mitgliedstaaten das Recht auf weitere, ergänzende Bestimmungen einräumt, gilt in Deutschland zusätzlich, dass ein Datenschutzbeauftragter notwendig wird, wenn sich „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ (§ 38 BDSG-neu). Eine automatisierte Verarbeitung von Daten liegt vor, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt. Das sind in erster Linie Computer, Server oder Smartphones, es können aber auch Kopierer sein, wenn sie, wie heute üblich, über ein Speichermedium verfügen. Das heißt im Klartext: Kleinbetriebe mit weniger als 20 Mitarbeitern sind per se nicht betroffen, bei größeren Unternehmen kommt es auf die Zahl der Mitarbeiter an, die sich ständig mit automatisierten Kundendaten befassen.

Datenschutzbeauftragter: In diesen Fällen ist er nötig

Die EU-Datenschutzgrundverordnung regelt genau, wann ein Betrieb einen Datenschutzbeauftragten ernennen muss. Bei folgenden betrieblichen Voraussetzungen ist ein Datenschutzbeauftragter Pflicht (bei öffentlichen Stellen und Behörden ist ein Datenschutzbeauftragter obligatorisch):

  • Automatisierte Verarbeitung personenbezogener Daten:
    Bei einer automatisierten Verarbeitung personenbezogener Daten, wie z. B. mit Computern, Servern, Smartphones oder modernen Kopierern mit Speichermedium muss ein Datenschutzbeauftragter ab zehn Mitarbeitern eingesetzt werden, die sich ständig mit der Verarbeitung personenbezogener Daten beschäftigen.
  • Verarbeitung personenbezogener Daten mit Vorabkontrolle:
    Betriebe, die personenbezogene Daten verarbeiten, die dazu bestimmt sind, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, müssen immer einen Datenschutzbeauftragten ernennen. Auch wenn beide genannten Schwellen unterschritten werden. Konkret geht es hierbei um die Verarbeitung von Gesundheitsdaten (wie etwa im Hörgeräteakustiker-Handwerk oder bei den Orthopädiemechanikern) oder wenn mit den Daten Persönlichkeitsprofile erstellt werden sollen.
  • Personenbezogene Daten für die Marktforschung:
    Wenn personenbezogene Daten für die Markt- oder Meinungsforschung automatisiert verarbeitet werden, muss immer ein Datenschutzbeauftragter eingesetzt werden.
  • Überwachung von Personen:
    Ein Datenschutzbeauftragter ist Pflicht, wenn die Kerntätigkeit eines Betriebseine umfangreiche, regelmäßige und systematische Überwachung mit sich bringt.
  • Besonders sensible Daten:
    Besteht die Kerntätigkeit eines Betriebs in der umfangreichen Verarbeitung besonders sensibler, personenbezogener Daten, ist ein Datenschutzbeauftragter ebenfalls nötig.

Tipp: So finden Sie einen Datenschutzbeauftragten

Sie können einen Datenschutzbeauftragten in Festanstellung einstellen oder auf einen externen Berater zurückgreifen. Für KMU ist letzteres sicher praktischer – und günstiger. Die Datenschutzexperten übernehmen dabei für Unternehmen, Vereine oder Freiberufler die Aufgaben gemäß den Bestimmungen des geänderten Bundesdatenschutzgesetzes (BDSG 2018) nach EU-Datenschutzgrundverordnung (DSGVO). Hiereine Übersicht, wo Sie geeignete Experten finden:

Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD):

Unter bvdnet.de/bvd-stellenboerse finden Sie zertifizierte Datenschutzbeauftragte füreine
Festanstellung oder als externe Berater.

TÜV:

Auch der TÜV bietet mit seiner TÜV-Süd Sec-IT GmbH externe Datenschutzbeauftragte für Ihren Datenschutz (tuev-sued.de/fokus-themen/it-security/externer-datenschutzbeauftragter).

Datenschutz-Unternehmen:

Einige IT-Unternehmen haben sich auf Datenschutz spezialisiert und übernehmen mit ihren Experten die Rolle des externen Datenschutzbeauftragten. Beispiele sind die Intersoft Consulting Services AG ( intersoft-consulting.de/datenschutzbeauftragter/externer-datenschutzbeauftragter), die ActiveMind AG (activemind.de/datenschutz/datenschutzbeauftragter) und mein-datenschutzbeauftragter.de der Herold Unternehmensberatung GmbH.

Jederzeitiges Widerrufsrecht

Beim Verkauf von Waren oder Dienstleistungen im Handwerk spricht man von der Anbahnung beziehungsweise der Erfüllung eines Vertragsverhältnisses. Hierfür werden verschiedene Informationen über den Kunden benötigt, wie beispielsweise dessen Namen bzw. Ansprechpartner, seine Anschrift und die Telefonnummer. Für diese Daten brauchen Sie, wie bisher auch, grundsätzlich keine zusätzliche Erlaubnis zur Erfassung oder Verarbeitung. Für darüber hinausgehende Daten wie beispielsweise die E-Mail-Adresse, das Geburtsdatum oder Interessen, benötigen Sie aber die Einwilligung des Kunden. Brauchen Sie die Daten nicht mehr, müssen Sie sie löschen. Ausnahme: Sie dürfen Daten weiter speichern, wenn die Aufbewahrung aufgrund von Gesetzen notwendig ist (z. B. Steuerrecht, Handelsrecht).

Neu durch die DSGVO ist das jederzeitige Widerrufsrecht: In der Einwilligungserklärung des Kunden, dass beispielsweise seine E-Mail-Adresse oder sein Geburtsdatum gespeichert werden, müssen Sie nun unbedingt auf das jederzeitige Widerrufsrecht hinweisen. Diese Einwilligung kann elektronisch eingeholt werden. Allerdings ist es nicht erlaubt,eine Online-Einwilligungserklärung im Netz mit einem Häkchen zu versehen, sodass der Dateneigentümer in der Praxis der Einwilligung widersprechen und das Häkchen entfernen muss. Außerdem müssen Sie die Einwilligung dokumentieren. Ob Einwilligungen, denen nicht alle durch die DSGVO geforderten Informationen zugrunde liegen, neu eingeholt werden müssen, ist bei Experten noch umstritten. Die Klärung dieser Frage wird wohl wie so oft in den nächsten Jahren von Gerichten entschieden.

Im Regelfall müssen Sie den Dateneigentümer über folgende Punkte informieren:

  • Geschäftsanschrift: Wer erhebt beziehungsweise verarbeitet die Daten?
  • Datenschutzbeauftragter (falls notwendig): Wer ist der Datenschutzbeauftragte und wie ist er zu erreichen?
  • Grund für Datenverarbeitung: Warum werden die Daten erhoben? Sie müssen hierfür das berechtigte Interesse an der Erhebung beziehungsweise der Verarbeitung nachweisen.
  • Dritte: An wen werden die Daten eventuell weitergegeben? Hier kann es auch ausreichen, wenn lediglich die Kategorie der Empfänger genannt wird.
  • Die Dauer der Speicherung.
  • Die Rechte des Dateninhabers .
  • Rechtliche Grundlage: Die Grundlage der Datenerhebung, die sich aus Gesetzen sowie Verträgen ergibt, und die Folgen, wenn die Daten nicht zur Verfügung gestellt werden.
  • Informationspflicht für Kundenprofil: Sie habeneine spezielle Informationspflicht, wenn – eventuell auch mithilfe anderer, zusätzlicher Daten – ein Profil des Kunden erstellt wird.
Erheben Sie die Daten dabei direkt beim Eigentümer, muss er sofort informiert werden. Kommen die Daten über Dritte, wie beispielsweise Lieferanten oder Onlineportale, reichteine spätere Information. Die Information kann theoretisch auch mündlich erfolgen, was aber aus Gründen der Beweissicherung nicht zu empfehlen ist. Die Information kann in einigen Fällen auch ganz entfallen, beispielsweise wenn damit ein unverhältnismäßig hoher Aufwand verbunden wäre. Diese Ausnahme gilt jedoch nur, wenn die Daten nicht direkt beim Eigentümer erhoben wurden und dieser dazu die Möglichkeit hat, sich über allgemein zugängliche Wege zu informieren (beispielsweise auf Ihrer Website). Grundsätzlich muss der Dateneigentümer aber immer informiert werden, wenn seine Daten erhoben, verändert, gespeichert oder gelöscht werden.

Anspruch auf Auskunft

Das Recht der Dateneigentümer auf Information ist durch die EU-Datenschutzgrundverordnung dahingehend erweitert worden, dass Kunden aucheine Auskunft auf elektronischem Weg verlangen können und einen Anspruch darauf haben, dass Sie ihneneine Kopie der erhobenen Daten zur Verfügung stellen . Das Informationsrecht des Dateneigentümers umfasst dabei die Bekanntgabe, woher Sie seine Daten haben, wem die Daten zur Verfügung gestellt wurden, welchen Zwecken die Datenerhebung dient und wie lange die Daten bei der Erstellung eines Kundenprofils gespeichert werden.

Neu ist der Anspruch eines Dateninhabers auf Löschung seiner Daten. Bisher musste das Löschen von Daten immer von einem Gericht festgestellt werden. Nach der Datenschutzgrundverordnung hat der Dateninhaber jetzt aber ein Recht auf Löschung der Informationen, wenn die Notwendigkeit der Datenspeicherung weggefallen ist, der Dateninhaber seine Einwilligung zur Datenspeicherung oder -verarbeitung widerruft oder die Daten aufgrund von rechtlichen Vorgaben gelöscht werden müssen. Außerdem kann der Dateneigentümer verlangen, dass seine Daten korrigiert beziehungsweise ergänzt werden, wenn diese falsch oder unvollständig sind.

Allerdings gibt es auch Gründe, dieeine Löschung von Daten verhindern. Beispielsweise wenn durch die Löschung höhere Rechtsgüter verletzt würden oder rechtliche Vorschriften und übergeordnete Interessen einer Löschung im Wege stehen. Für Sie als Handwerksunternehmer dürfte von besonderer Bedeutung sein, dass Sie einer Löschung widersprechen können, wenn die Daten zur Bearbeitung von Rechtsansprüchen benötigt werden.

Strenge Regeln bei Online-Shops

Betreiben Sie einen Online-Shop, kann der Dateneigentümer verlangen, dass seine Daten nicht für sogenannte „automatisierte Einzelfallentscheidungen“ herangezogen werden. Eine solche Entscheidung wäre beispielsweise die Ablehnung eines Auftrages aufgrund von diversen Kriterien, die automatisch, also ohne Einfluss einer natürlichen Person, erfolgt. Auch das Erstellen von Profilen zur Bestimmung von bestimmten Käufergruppen kann zu „automatisierten Einzelfallentscheidungen“ gehören, beispielsweise wenn dabei Persönlichkeitsmerkmale wie Gesundheitszustand, Vorlieben, Hobbys, Interessen und Verhaltensmuster zugrunde gelegt werden. Außerdem müssen Sie offenlegen, ob und welche Cookies Sie einsetzen und ob die Seite getrackt wird. Wird dies von einem Dienstleister (wie z. B. etracker) übernommen, müssen hierzu Vereinbarungen über die Auftragsverarbeitung geschlossen werden. Befindet sich der Dienstleister außerhalb der EU, müssen Sie prüfen, ob die Datenweitergabe entsprechend der EU-Standardvertragsklauseln oder über „Privacy Shield“ abgesichert ist. „Privacy Shield“ sind Vereinbarungen zwischen der EU und den USA zur Angemessenheit des Datenschutzniveaus. Sollten Sie hiervon betroffen sein, setzen Sie sich umgehend mit Ihrem Provider in Verbindung.

Bei einem Internetauftritt, bei dem ebenfalls Daten erhoben und gespeichert werden, ist vor allem darauf zu achten, dass bei einer Datenverarbeitung auf einem fremden Server eine Vereinbarung über die Auftragsverarbeitung geschlossen ist, da der IT-Dienstleister die Daten nur nach Ihrer Weisung verarbeiten darf. Liegen die Daten auf Ihrem eigenen Server, Sie nutzen dabei abereine Cloud-Anwendung, ist zu klären, ob die Daten in Deutschland, in der EU oder in den USA gespeichert werden. Werden die Daten außerhalb der EU gespeichert, benötigen Sieeine gesonderte Grundlage und Einwilligung zur Übermittlung der Daten. Haben Dritte wie zum Beispiel ein Webdesigner die Möglichkeit, an die gespeicherten Daten heranzukommen, muss auch hiereine Vereinbarung über die Auftragsverarbeitung geschlossen werden.

Regelungen für Lieferanten und Mitarbeiter

Die für die Abwicklung eines normalen Vertragsverhältnisses notwendigen Lieferanten-Daten müssen nicht zusätzlich vom Lieferanten genehmigt werden. Für Daten, die darüber hinausgehen und personenbezogen sind, muss jedocheine Einwilligung eingeholt werden.

Bei Mitarbeitern ist die Sache etwas komplizierter: Werden die Daten der Mitarbeiter beispielsweise zur Lohnabrechnung außer Haus gegeben, muss mit dem Empfänger (z. B. dem Steuerberater) ein Dienstvertrag geschlossen werden, der die weitergehende Nutzung der überlassenen Daten ausschließt. Erlauben Sie den Mitarbeitern die private Nutzung der Firmen-PCs, sollten Sie auf jeden Fall klare Vereinbarungen treffen, in denen geregelt wird, inwieweit die Rechner privat genutzt werden dürfen und dass die Einhaltung dieser Vereinbarungen überwacht werden darf. Da gerade die Prüfung der Einhaltung immer wieder zu r echtlichen und gerichtlichen Auseinandersetzungen führt, ist es jedoch im Zweifel ratsam,eine private Nutzung der Firmengeräte generell zu verbieten. Wirdeine Vereinbarung getroffen, muss diese schriftlich erfolgen. Zusätzlich müssen Sie die Mitarbeiter auf die vertrauliche Behandlung der erhobenen beziehungsweise verarbeiteten Kundendaten verpflichten. Dies, wie aucheine angemessene Schulung bezüglich der Datenvertraulichkeit, muss unbedingt schriftlich dokumentiert werden. Was sich im Arbeitsrecht im Umgang mit Mitarbeitern durch die DSGVO ändert, haben wir für Sie in der Checkliste „Mitarbeiter“ zusammengefasst:

Mitarbeiter: Die wichtigsten DSGVO-Änderungen

Die Vorgaben der EU-Datenschutzgrundverordnung und dem dazu auf nationaler Ebene verabschiedeten Datenschutz-, Anpassungs- und Umsetzungsgesetz EU bringeneine neue Fassung des Bundesdatenschutzgesetzes in Deutschland. Der auf Handwerksthemen spezialisierte Kölner Rechtsanwalt Jens Köhler fasst die wichtigsten Änderungen durch die EU-DSGVO, das DSAnpUG-EU und das BDSG-neu 2018 im Arbeitsrecht zusammen.

  • Mitarbeiter-Daten:
    Bei jeglichen Mitarbeiterdaten, die auf der Homepage veröffentlicht werden, handelt es sich um „personenbezogene Daten“. In § 3 BDSG 2018 spricht man hier lediglich von der „Verarbeitung“ personenbezogener Daten. Darunter fallen neben der Website das Intranet, mobile Apps, Facebook, XING und Tweets. Hier muss der Mitarbeiter um Einwilligung gebeten werden. Ausnahme: Bei offiziellen Ansprechpartnern (Funktionsträgern) wie z. B. Kundenbetreuern bei Mängeleinwendungen, Juristen oder Geschäftsführern ist die Veröffentlichung von „Basisdaten“ weiterhin ohne Einwilligung erlaubt (Geburtsdatum und Berufsabschluss sind keine Basisdaten).
  • Mitarbeiter-Fotos:
    Nach § 22 KUG bedarf die Veröffentlichung von Fotos immer der Einwilligung der betroffenen Mitarbeiter.
  • Einwilligung des Mitarbeiters:
    Die Einholung der Einwilligung des Mitarbeiters zur Verwendung seiner personenbezogenen Daten kann auf der Grundlage von Kollektivvereinbarungen intern erfolgen. Darüber hinaus bedarf nach § 26 Abs. 2 Satz 3 BDSG 2018 die Einwilligung zur Veröffentlichung von Mitarbeiter-Daten grundsätzlich der Schriftform. Dazu muss der Mitarbeiter in Textform über die konkrete Verwendung seiner Daten aufgeklärt werden. Die einzelnen Verwendungszwecke für die Daten müssen genau bezeichnet und aufgelistet werden. Wichtig: Alles sollte freiwillig geschehen – Sanktionen und Zwang bei Nichteinwilligung sind verboten.
  • Widerrufsrecht:
    Aus Art. 7 III DSGVO ergibt sich, dass der Mitarbeiter vor Abgabe der Einwilligung auf sein jederzeitiges Widerrufsrecht hingewiesen werden muss. Dabei hat der Arbeitgeber die beschäftigte Person über den konkreten Verwendungszweck und das Widerrufsrecht in Textform hinzuweisen (neu in
    § 26 Abs. 2 4 BDSG 2018).
  • Beendigung des Arbeitsverhältnisses:
    Nach dem Prinzip der Zweckbindung ist die Einwilligung des Mitarbeiters in der Regel auf den Zeitraum des Beschäftigungsverhältnisses beschränkt. Einen gesicherten Einwilligungsfortbestand gibt es nicht.

Dokumentation nötig

Nach der DSGVO muss jetzt auch ein „Verzeichnis für die Verarbeitungstätigkeiten“ angelegt werden. Folgende Punkte sind bei der Dokumentation festzuhalten:
  • Kontaktdaten: Name und Kontaktdaten des Verantwortlichen für die Datenerhebung und -verarbeitung. Außerdem die Kontaktdaten seines Stellvertreters und des Datenschutzbeauftragten (falls vorhanden).
  • Zweck: Zu welchem Zweck werden die Daten erhoben beziehungsweise verarbeitet?
  • Rechtsgrundlage: Welche Rechtsgrundlage besteht für die Datenverarbeitung beziehungsweise -erhebung?
  • Kategorisierung: Sie müssen festhalten, nach welchen Kategorien Personen und personenbezogene Daten sowie die Empfänger der Daten festgehalten werden.
  • Drittstaaten: Werden Daten in Drittstaaten außerhalb der EU übermittelt, muss dies festgehalten werden.
  • Zeiträume: Zeiträume der Datenspeicherung beziehungsweise deren Löschfristen.
  • Organisation: Allgemeine Beschreibung Ihrer technischen und organisatorischen Maßnahmen zur Datensicherung.
  • Sicherheitsmaßnahmen: Wie wird verhindert, dass nicht berechtigte Personen auf die Daten zugreifen können? Wie wird das kontrolliert?
  • Daten-Trennung: Wie stellen Sie sicher, dass Daten nur zum vorgesehenen Zweck genutzt werden? Die Datenbestände müssen unbedingt getrennt werden.

Stellen Sie Dritten persönliche Daten zur Verfügung, muss ein Dienstvertrag geschlossen werden, der auch den Umgang mit diesen Daten regelt. Dritte können beispielsweise der Steuerberater, Inkassounternehmen, aber auch elektronische Bezahldienste des Internetshops sein.

Da nicht mehr benötigte Daten gelöscht werden müssen, müssen Sie einen Plan erstellen, welche Daten wann gelöscht werden. Hierbei sind die gesetzlichen Aufbewahrungsfristen – beispielsweise von steuerrelevanten Unterlagen – zu beachten (z. B. sechs Jahre Geschäftsbriefe, zehn Jahre steuerrelevante Unterlagen und sechs Monate Bewerbungsunterlagen). In einem „Löschkonzept“ sollte auch festgehalten werden, wie die Daten gelöscht werden. Ein Beispiel hierfür ist die Zerstörung der Daten beziehungsweise Datenträger und Papierunterlagen durch Schreddern.

Kunden: So sollten Sie mit Kundendaten umgehen

Das Bundesdatenschutzgesetz erlaubt ein Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung, wenn es um die Erfüllung eigener Geschäftszwecke geht – alles, was darüber hinausgeht, führt zu komplizierten Maßnahmen, die Sie ergreifen müssen. Hier ein Überblick:

  • Daten, die der Erfüllung des Geschäftszwecks dienen:
    Ein Handwerksbetrieb darf alle Daten in Absprache mit dem Kunden erfassen, die er benötigt, um seine Arbeiten zu erledigen (z. B. Maße des Raums, Adresse des Kunden). Diese Daten darf er nicht ohne Einwilligung des Kunden an Dritte weitergeben.
  • Speicherfrist:
    Speichern darf der Betrieb die Daten so lange, bis der Auftrag erledigt ist. Will er sie in einer Datenbank archivieren, bedarf das einer Genehmigung.
  • Schriftliche Genehmigung:
    Für alles, was die Erfüllung des Geschäftszwecks übersteigt, bedarf es der schriftlichen Einwilligung des Kunden – etwa, wenn der Betrieb die Kunden nach Abschluss der Arbeiten für Werbezwecke erneut kontaktieren möchte.
  • Kunden-Datenbank:
    Will ein Betrieb die Daten seiner Kunden in einer Datenbank speichern oder ein Kundenprofil anlegen, muss er die Kunden darüber informieren und sich dies schriftlich genehmigen lassen. Dazu muss der Kunde unbedingt vorab über den Zweck sowie den Umfang der Verwendung seiner Daten und die Bedeutung seiner Einwilligung aufgeklärt werden.
  • Datengeheimnis:
    Personen, die Kundendaten verarbeiten, sind bei Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Dieses besteht auch nach Beendigung ihrer Tätigkeit fort.

Wie geht es in Zukunft weiter mit der DSGVO?

Insgesamt erfährt das Thema Datenschutz durch die neue EU-Datenschutzgrundverordnung einen deutlichen Wandel: War es früher eher Randthema, steht es jetzt auf einer Stufe mit Arbeitsschutz oder Produkthaftung . Trotz dem Ende der Übergangsfrist am 25. Mai 2018 sind noch nicht alle Fragen geklärt: Beispielsweise ist es wie beschrieben noch offen, ob alte Einwilligungen, die die DSGVO nicht zu 100 Prozent erfüllen, ihre Gültigkeit behalten – oder neu eingeholt werden müssen. Das werden Gerichtsurteile in den kommenden Monaten und Jahren zeigen. Generell gilt: Ganz ohne Risiko für Geschäftsführer geht es nicht. Es ist daher auch nicht unwahrscheinlich, dass hierfür bald Versicherungslösungen angeboten werden. Derzeit ist der Versicherungsmarkt auf diesem Gebiet aber noch im Fluss. handwerk magazin wird das weiterhin beobachten.

Strafen: Diese Sanktionen drohen Ihnen bei Verstößen

Die Vorschriften zu Sanktionen bei Verstößen gegen die DSGVO sind in den Artikeln 83 und 84 der EU-Datenschutzgrundverordnung zu finden. Das droht Ihnen bei Nichteinhaltung der neuen Regeln:

Bußgelder:

Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes Ihres Unternehmens im vorangegangenen Geschäftsjahr (je nachdem, welcher Wert der höhere ist). Entscheidend ist der Jahresumsatz des Betriebs, nicht der einzelnen juristischen Person.

Bemessungskriterien:
Der Bußgeldkatalog des Artikels 83 enthält folgende Kriterien, die die Höhe des Bußgelds bestimmen:
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere bei Selbstanzeige
  • Art, Schwere und Dauer des Verstoßes
  • die getroffenen Maßnahmen zur Minderung des entstandenen Schadens
  • Einhaltung von früher angeordneten Maßnahmen
  • Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 DSGVO oder genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO
  • etwaige einschlägige frühere Verstöße
  • Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
Sonstige Sanktionen:

Als weitere Sanktionen drohen die Gewinnabschöpfung und Anordnungen zur Beendigung des Verstoßes wie beispielsweiseeine Rüge, die Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen, oder ein zeitlich begrenztes bzw. endgültiges Verbot der Datenverarbeitung.