EU-DSGVO: Die europäische Datenschutzgrundverordnung

Es verging fast kein Tag in den letzten Wochen und Monaten an dem nicht durch Presse, Funk und Fernsehen von dem Thema No. 1 für alle Firmen und Selbständigen berichtet wurde.

Datenschutz, ein wichtiges Thema. Datenschutz geht uns alle an.

Doch wie so oft gilt: Gut gemeint ist noch lange nicht gut gemacht.
Ob allein durch (einige, wenige) Anwälte da gewollte Verunsicherung verbreitet, oder ob es als (ewig sprudelnde) Geldquelle entdeckt wurde, die Verunsicherung unter den Selbständigen, Unternehmen, Vereinen, Fotografen… ist groß.

Guter Rat ist nicht allein sprichwörtlich teuer. So habe ich Angebote gesehen, wo allein das einfügen von Datenschutzerklärung (natürlich, das ist den Anbietern zu Gute zu halten, inklusive individuelle Anpassung), das Anpassen des Kontaktformulars, entsprechende Überarbeitung für das Impressum mit Preisen von 500 EUR oder auch noch darüber angeboten wurde.

Und? Sie werden es kaum glauben, solche Angebote wurden genutzt. Nein, nicht nur von wenigen, sondern von vielen Hunderten, Tausenden Webseitenbetreibern.
OK. Daneben gibt es auch Angebote, die eine Datenschutzerklärung völlig kostenfrei anbieten. Naja, was bedeutet kostenfrei? Auch dort haben die Nutzer mit der Währung bezahlt, die die EU-DSGVO besonders schützen soll, mit der Bekanntgabe der eigenen Daten, natürlich inklusive der Einwilligung von dem Anbieter des Tools entsprechend kontaktiert zu werden.

Oft sind es auf Internetrecht spezialisierte Anwaltskanzleien, die sich so eben mal fix den eigenen Stamm an potentiellen Kunden um einige Tausend/Zehntausend vergrößert haben.
Also ganz selbstlos, diese Anwälte. Oder doch nicht?
Nun, es geht ganz einfach darum, sich als Anwalt als Spezialist darzustellen, so dass eben mit dem kostenfreien Angebot, der Nutzer so in Zukunft als „Danke-Aktion“, dann daran erinnert, wenn mal wieder eine Abmahnung ins Haus flattert.
Nach verschiedenen Statsitiken (Ja, nicht nur von den selbst erstellten) ist es ja so, dass zumindest 1/3 aller Webseitenbetreiber bereits in der Vergangenheit einmal oder auch mehrmals die teure und nicht wirklich beliebte Post in Form einer Abmahnung erhalten hat.

Abmahnung?

Rechtslexikon: Geschäftsführung ohne Auftrag

Das Rechtsinstitut der Geschäftsführung ohne Auftrag (GoA) führt dazu, dass ein Handelnder ohne Beauftragung eine Entschädigung dafür erhält, dass er ein Geschäft für einen Dritten in seinem Interesse getätigt hat. Hierfür sind sämtliche Aufwendungen zu erstatten, die der Handelnde zur Tätigung des fremden Geschäfts im Interesse des Dritten für erforderlich halten durfte.

Wird beispielsweise ein Urheberrechtsverletzer abgemahnt, hat dieser mit der Argumentation die Rechtsanwaltskosten der Abmahnung zu tragen, da es zumindest auch in seinem Interesse ist, auf den Rechtsverstoß aufmerksam gemacht zu werden, damit er sein rechtswidriges Verhalten abstellen kann.

(Quelle: http://brh-rechtsanwaelte.de/rechtsgebiete/rechtslexikon/geschaftsfuhrung-ohne-auftrag/)

Vermutlich wird die Anzahl derer die eine Abmahnung erhalten (haben) in naher Zukunft kräftig steigen. Die Angst, die unter den Selbständigen, Unternehmen, Vereinen und Fotografen umgeht ist durchaus berechtigt.
Dazu fallen mir zuerst folgende Gründe ein:

  1. Wer sich nicht an die Bestimmungen der EU DSGVO hält, erzielt gegenüber den Unternehmen, die sich an die Datenschutzgrundverordnung halten, einen Wettbewerbsvorteil.
    Ergebnis: Abmahnung von Mitbewerbern
  2. Wer nicht in dem von der DSGVO vorgegebenen Zeitrahmen auf Anfragen von Kunden/Interessenten reagiert, wird an die Datenschutzbehörde des (Bundes-)Landes gemeldet.
    Ergebnis: Ermittlungstätigkeit der Behörde mit möglichem Bußgeld
  3. Verstöße gegen das informelle Selbstbestimmungsrecht
    Ergebnis: Schadenersatzforderung

Wichtig zu wissen: Wird man durch einen Verband, eine Anwaltskanzlei oder einen Mitbewerber abgemahnt und es kommt zum Prozess, dann muss auch die Datenschutzbehörde ermitteln, sie hat dann einen Ermittlungszwang.

Neben dem Kostenrisiko der teuren Abmahnung steht damit zusätzlich die Geldbuße durch die Datenschutzbehörde.
Fazit: Vorsorge ist viel, viel besser, als das Nachsehen zu haben

In der DSGVO ist das Regelbußgeld nach oben auf 20 Mio. Euro bzw. 4 % des letztjährigen globalen Umsatzes begrenzt. Dabei gilt der kleinere Rahmen von bis zu 10 Mio. Euro bzw. 2 % als Ausnahme für einige konkret bestimmte Fälle (vgl. Art. 83 Abs. 4 DSGVO).
In den letzten Monaten habe ich oft genug mit verschiedenen Anwälten und Datenschutzbeauftragen gesprochen, geschrieben, zig Seminare und Webinare besucht, die einhellige Meinung ist (zumindest bisher), dass die Datenschutzbehörden nicht unbedingt die oben angegeben Summen bei jedem Verstoß aufrufen werden.

Doch die DSGVO schreibt den Aufsichtsbehörden eindeutig vor, dass Geldbußen in jedem Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen.

Ein Anwalt, spezialisiert auf die Umsetzung der DSGVO, antwortete mir auf die Frage, mit welchen Kosten wegen Verstoßes gegen die DSGVO zu rechnen sei: „Kalkulieren Sie bei Verstößen mit einem Kostenbetrag im mittleren 4-stelligen bis 5-stelligen Bereich.“

Nun, ob das jede Firma, jeder Selbständige oder gar ein Verein (einfach) tragen kann?

Lassen Sie es also auf keinen Fall so weit kommen.
Nehmen Sie am besten jetzt gleich mit mir Kontakt auf.
Telefonisch: 03525-518683
auch gern per E-Mail-Formular

Ein wichtiger Punkt, der von vielen im Rahmen der Vorbereitungen für die Umsetzung der DSGVO für die eigene Webseite übersehen wurde:

Verfahrensverzeichnisse (nach DSGVO Verzeichnisse von Verarbeitungstätigkeiten)

Verzeichnis der Verarbeitungstätigkeiten?
WTF?

Das Gesetz bindet die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung stattfindet. Wenn diese stattfindet, so muss sie im Verzeichnis dokumentiert werden. Eine Verarbeitung im Sinne der DSGVO wiederum findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Dazu der Wortlaut aus dem Gesetz (Auszug)

… jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung …

Art. 4 Nr. 2 DSGVO

Kurzum, das Gesetz bindet die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen daran, das eine Verarbeitung stattfindet. Dies bedeutet, wenn eine Verarbeitung stattfindet, so muss diese im Verzeichnis dokumentiert werden Im Sinne der Datenschutzgrundverordnung findet diese immer dann statt, wenn personenbezogene Daten manuell oder automatisch/automatisiert verarbeitet werden.

Ähm, halt, dazu gab es doch Ausnahmen die von der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten befreien?
Lassen Sie es mich so formulieren: Jein!

Und zwar für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dann muss das Verzeichnis nicht aufgestellt werden, allerdings nur, wenn einige zusätzliche Kriterien zutreffen.

es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Art. 30 (5) DSGVO

Sie verstehen nur noch Bahnhof?
Nun, dann hier einmal auf EINE Zeile herunter gebrochen:
es sei denndie Verarbeitung erfolgt nicht nur gelegentlich

Diese Einschränkung der Ausnahme von der Verpflichtung zur Führung des Verzeichnisses von Verarbeitungstätigkeiten führt dazu, soweit die einschlägige Meinung verschiedenster Rechtsanwaltskanzleien, dass der Anwendungsbereich des Art. 30 DSGVO entsprechend erweitert wird.
Fast alle Unternehmen werden personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern „nicht nur gelegentlich“, sondern im Rahmen ihrer normalen Geschäftsprozesse verarbeiten.
Bei Kleinstbetrieben, z.B. einem Spielwarengeschäft oder einem Friseurstudio wird das unter Umständen in einer einfachen Form möglich sein, da hier im Unternehmen nur Lieferantendaten und Kundendaten (z.B. für Stammkunden oder Newsletter) und unter Umständen Mitarbeiterdaten (Mitarbeiterdatei, Urlaubs- und Krankenstandsaufzeichnungen) als personenbezogene Daten verarbeitet werden.

Das Verzeichnis von Verarbeitungstätigkeiten ist gem. Art 30 DSGVO verpflichtend zu führen.

Sie brauchen Hilfe?
Nehmen Sie am besten jetzt gleich mit mir Kontakt auf.
Telefonisch: 03525-518683
auch gern per E-Mail-Formular