+49 6345 / 91799 50 info@lexact.de Entwickelt & Konzipiert von Datenschutz- & Rechtsexperten

Lexact macht Datenschutzkonformität für Sie
leicht verständlich und sofort umsetzbar.

DSGVO-Info

Jeder Unternehmer, der in irgendeiner Form Daten von Kunden, Vertragsinteressenten oder anderen Dritten erhebt, speichert oder verarbeitet, ist zwingend von den gesetzlichen Vorschriften der Datenschutzgrundverordnung (DSGVO oder DS-GVO) betroffen und muss sich an diese halten. Das gilt unabhängig von der Größe oder der Rechtsform des Unternehmens. Die Einhaltung des Datenschutzes muss von der Einzelfirma ebenso geleistet werden wie von einer GmbH mit Hunderten von Angestellten. Verkürzt kann man sagen: die DSGVO betrifft nahezu jedes Unternehmen.

Ein zentraler Punkt und zugleich einer der größten landläufigen Irrtümer besteht dabei darin, dass die datenschutzrechtlichen Gesetzesvorschriften nicht nur von Unternehmen eingehalten werden müssen, die über einen intern oder extern bestellten Datenschutzbeauftragten verfügen, sondern von jedem Unternehmen, also auch von kleineren und kleinen Unternehmen mit weniger als zwanzig Mitarbeitern.
Deshalb ist es wichtig für Unternehmensinhaber, Geschäftsführer und Datenschutzbeauftragte sich mit dem Thema Datenschutz zu befassen und entsprechende Maßnahmen zur Einhaltung der gesetzlichen Datenschutzvorschriften zu ergreifen.

Dies gilt umso mehr seit dem Inkrafttreten der Datenschutzgrundverordnung im Mai 2018, da sich mit deren Einführung die Bußgelder immens erhöht haben und sich Verstöße gegen die datenschutzrechtlichen Gesetzesvorschriften für das datenverarbeitende Unternehmen im Einzelfall sogar existenzbedrohend auswirken können. So kann die Nichteinhaltung der Grundsätze und der Rechenschaftspflicht nach den Vorschriften der DSGVO mit einem Bußgeld in Höhe von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes geahndet werden (Art. 83 Abs. 5 lit. a).

Doch was ist die Datenschutz-Grundverordnung eigentlich und welchem Zweck dient sie?

Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private wie öffentliche Datenverarbeiter vereinheitlicht werden. Ihr Zweck ist eine ausgeglichene Balance zwischen Verbraucherinteressen und den Interessen der Wirtschaft zu schaffen, indem einerseits der Schutz personenbezogener Daten sichergestellt und zugleich andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden soll. Die Datenschutz-Grundverordnung gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten und besteht aus insgesamt 99 Artikeln.

Für den Datenverarbeiter, also auch und gerade für Sie als datenverarbeitendes Unternehmen, sieht die DSGVO die Einhaltung zahlreicher Grundsätze und Dokumentationspflichten vor, die unbedingt eingehalten werden müssen.

So enthält die DSGVO zahlreiche Dokumentationspflichten, wie beispielsweise das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DS-GVO) oder die Dokumentation von Weisungen bei Auftragsverarbeitungsverhältnissen (Art. 28 Abs. 3 lit. a) oder die rechtzeitige Meldung von Datenschutzvorfällen (Art. 33 Abs. 5 DS-GVO).

Unternehmen sind außerdem dazu verpflichtet, die Datenschutzvorschriften durch eine entsprechende Gestaltung der eingesetzten IT umzusetzen, so etwa durch auf Datenminimierung ausgerichtete IT-Systeme und eine möglichst frühzeitige Pseudonymisierung von personenbezogenen Daten.

Eines der wichtigsten Gebote ist das Transparenzgebot. Die von der Verarbeitung personenbezogener Daten betroffenen Personen müssen von der verantwortlichen Stelle über eine Vielzahl von Angaben bezüglich der geplanten Datenverarbeitung rechtzeitig informiert werden. Dies äußert sich in weitreichenden Mitteilungs- und Hinweispflichten an die betroffene Person (Art. 13 u. 14 DS-GVO). So müssen Zweck und Zweckänderung einer erstmaligen Erhebung oder geplanten Datenverarbeitung an den Betroffenen kommuniziert werden. Darüber hinaus müssen Unternehmen ein Löschkonzept mit entsprechenden Löschfristen entwickeln. Dies dient dazu, dass Daten nicht länger als erforderlich oder sogar zeitlich unbegrenzt aufbewahrt werden und abrufbar sind, sondern nach Ablauf einer bestimmten Frist gelöscht werden und damit nicht mehr zugänglich sind.

Ein weiterer wichtiger und unbedingt einzuhaltender Grundsatz ist das Beschwerdemanagement zur Wahrung der Betroffenenrechte. Nach der DSGVO stehen den von einer Datenverarbeitung betroffenen Personen mehrere Möglichkeiten zur Geltendmachung ihrer Rechte zur Verfügung. Dies äußert sich etwa in einem umfangreichen Auskunftsrecht nach Art. 15 DSGVO, dem Recht auf Berichtigung (Art. 16 DSGVO), dem „Recht auf Vergessen-werden“ (Art. 17 Abs. 2 DSGVO) oder dem Recht auf Widerspruch (Art. 21 DSGVO). Um diese Betroffenenrechte berücksichtigen und einhalten zu können, sollte jedes datenverarbeitende Unternehmen über ein entsprechendes Beschwerdemanagement verfügen, andernfalls droht eine Haftung oder ein Bußgeld seitens der Datenschutzaufsichtsbehörde.

Der Verantwortliche, also Sie als datenverarbeitendes Unternehmen, muss die Einhaltung all dieser Grundsätze nachweisen.

LEXACT ist die Chance für alle Unternehmen, die Daten verarbeiten und den Umstand nutzen, dass Datenverarbeitungen nach den Vorgaben der DSGVO nicht allein auf die Einwilligung des Betroffenen, sondern auch auf andere Rechtsgrundlagen gestützt werden können.
Datenverarbeitungen sind etwa auch ohne eine Einwilligung zulässig, wenn die Datenverarbeitung für die Erfüllung eines Vertrags (etwa mit einem Kunden) erforderlich ist. Auch kann eine Datenverarbeitung im Einzelfall auf überwiegende berechtigte Interessen des Datenverarbeiters oder eines Dritten gestützt werden. Dies kann gerade für Unternehmen wichtig sein, die – anders als große Internetplattformen – nicht ohne Weiteres die Einwilligung der Betroffenen einholen können, etwa weil sie mit ihren Kunden per Brief kommunizieren.

Die Erwägungsgründe der DS-GVO stellen klar, dass unter anderem die Datenverarbeitung zu Werbezwecken im Einzelfall ein legitimes Interesse darstellen kann. Unabhängig von der Wahl der Rechtsgrundlage sind jedoch die Informationspflichten der DS-GVO zu beachten. So muss der Betroffene insbesondere über den Zweck der Datenverarbeitung und die Rechtsgrundlage informiert werden.

Wir helfen Ihnen DSGVO-konform zu werden

Datenschutz für KMU’s, Vereine & Einzelunternehmer

Unkomplizierte Umsetzung der DSGVO-konformen Dokumentationspflicht für Sie mit Lexact