Mögliche Bußgelder

Grundlage ist der Artikel 83 DSGVO

https://dsgvo-gesetz.de/art-83-dsgvo/

Übersicht zur Datenschutzverletzung

• Die Sanktionen, die ein Verstoß gegen den Datenschutz nach sich ziehen kann, richten sich maßgeblich nach den Angaben im Bundesdatenschutzgesetz (BDSG). Ab Mai 2018 sind zudem für alle EU-Mitgliedstaaten die Strafen verbindlich, die die Datenschutz-Grundverordnung vorsieht.
• Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.
• Ein Verstoß gegen das Bundesdatenschutzgesetz kann derzeit noch zu einem Bußgeld bis 300.000 Euro führen oder gar zu einer bis zu zweijährigen Freiheitsstrafe. Die hierin enthaltenen Sanktionen werden mit der Neuerung auf wenige Delikte eingeschränkt.

Ein Verstoß gegen den Datenschutz kostet: Schadensersatz-Ansprüche, Geldbußen, Geldstrafen oder gar Freiheitsstrafen können die Folge sein.

Quelle: https://www.datenschutz.org/verstoss/

Bei den Ordnungswidrigkeiten wird zwischen zwei Bußgeldstufen differenziert:

• bis zu 50.000 Euro Bußgeld kann z. B. ein folgender Verstoß gegen den Datenschutz nach sich ziehen: Verstoß gegen die Meldepflicht, die Auskunftspflicht, die Zweckbindung oder unzulässige Erhebung von personenbezogenen Daten entgegen den Willen des Betroffenen.
• bis zu 300.000 Euro Bußgeld sieht das BDSG z. B. in den folgenden Fällen vor: unbefugte Datenerhebung von nicht allgemein zugänglichen personenbezogenen Daten, Erschleichung einer Datenübermittlung, Nutzung personenbezogener Daten zu Werbezwecken trotz Widerruf des Betroffenen, Verstoß gegen die Informationspflicht bei Kenntnis unrechtmäßiger Datenerhebung.
• Ein vorsätzlicher Verstoß nach § 43 Absatz 2 BDSG hingegen kann strafrechtlich relevant sein, wenn dieser in der Absicht der Bereicherung oder gegen Entgelt erfolgte: Dann kann der Verstoß gegen Datenschutz eine empfindliche Strafe nach sich ziehen: eine Geldstrafe oder gar eine Freiheitsstrafe bis zu zwei Jahren.

Die DSGVO Regelt Strafen bis 10. Millionen bzw. 2% vom Unternehmens (Konzern) Umsatzes. In besonders schwierigen Fall verdoppelt sich die maximal mögliche Strafe auf bis zu 20 Millionen Euro bzw. 4% des Unternehmensumsatzes (je Geschäftsjahr).

Straf- und Bußgeldvorschriften

In Ergänzung zu den in Art. 83 DSGVO vorgeschriebenen Sanktionen, welche von den Aufsichtsbehörden bei Verstößen verhängt werden können, werden auch im BDSG-neu Sanktionsvorschriften gemacht. Zum einen macht § 42 Strafvorschriften. Hierzu ist die DSGVO, wie bereits erwähnt, nicht befugt, weshalb dies durch ein nationales Gesetz wie das BDSG-neu erfolgen muss.

Vorgesehen sind zum Beispiel Freiheitsstrafen von bis zu zwei Jahren oder eine Geldstrafe, wenn personenbezogene Daten ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschlichen werden und hierbei die Absicht einer Schädigung oder Bereicherung vorliegt.

Eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe muss befürchten, wer personenbezogene Daten einer großen Zahl von Personen ohne Berechtigung an Dritte übermittelt oder anderweitig zugänglich macht. Ab wann eine solche „große Zahl“ vorliegt, wird allerdings im Gesetzestext nicht konkretisiert, sodass hier Arbeit auf Gerichte zukommt, um eine solche Zahl im Einzelfall festzulegen.

An Bußgeldern, die über diejenigen der DSGVO hinausgehen, werden in § 43 BDSG-neu vor allem diese beiden Fälle reguliert: Bei Verstößen gegen § 30 BDSG-neu, also die Vorschriften zu den Verbraucherkrediten, kann von den Aufsichtsbehörden eine Geldbuße von bis zu 50.000 Euro verhängt werden. Zum anderen wird festgelegt, dass gegen Behörden und andere öffentliche Stellen keine Geldbußen ausgesprochen werden.

Die BDSG-Neu ist kein eigenständiges und umfassendes Gesetz, sondern das Datenschutzrecht, das die EU-DSGVO vorgibt, an den notwendigen Stellen ergänzt und konkretisiert. Daher kann es nur in Verbindung mit der DSGVO betrachtet werden.

Neues Bundesdatenschutzgesetz

Mit Wirksamkeit der Datenschutz-Grundverordnung müssen alle nationalen Gesetze auf die jeweiligen Bestimmungen entsprechend zugeschnitten werden. Obwohl es dabei keiner separaten Übertragung in nationales Recht bedarf, müssen die Einzelgesetze dennoch derart umformuliert werden, dass sie den Bestimmungen in der DSGVO nicht zuwiderlaufen. Sie dürfen Sie lediglich ergänzen.

Im neuen BDSG werden mithin auch die Bußgeld- und Strafvorschriften entsprechend abgewandelt. Ein direkter Bezug zu den betreffenden Passagen der DSGVO wird hergestellt. Die Regelungen sind dann auf insgesamt drei Paragraphen verteilt (§§ 41 bis 43 BDSG). Diese ergänzen dabei nur die DSGVO und sind bezogen auf den Katalog an Verstößen umfassend gekürzt.

Ein Datenschutzverstoß kann auch strafrechtliche Konsequenzen haben.

Bei einem Verstoß gegen den Datenschutz werden die Strafen gemäß (neuem) BDSG zum Teil sogar angehoben:

1. Die wissentliche, gewerbsmäßige und unberechtigte Weitergabe zahlreicher personenbezogener Daten kann eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe zur Folge haben. Beim Erschleichen von Daten oder unberechtigter und entgeltlicher Datenverarbeitung bleibt der derzeitige Strafrahmen bestehen.
2. Die Geldbuße bei einem ordnungswidrigen Verstoß wurde auf 50.000 Euro gedeckelt. Betrachtet werden ab Mai 2018 dabei aber nur noch zwei Tatbestände gesondert: der Verstoß gegen das Auskunftsrecht sowie die nicht rechtzeitige Unterrichtung des Betroffenen.

Die Streichung von Delikten aus dem BDSG bedeutet aber nicht, dass ab Wirksamkeit des neuen Entwurfs nur noch diese sanktioniert werden können. Vielmehr verdankt sich dies der Tatsache, dass die meisten anderen zuvor geführten Verstöße nunmehr in die DSGVO aufgenommen wurden. In dieser sind eigens Strafen für einen Verstoß gegen den Datenschutz vorgesehen.

Von der Freiwilligkeit die Abhängigkeit des Beschäftigungsverhältnisses sowie die besonderen Umstände der Erteilung zu berücksichtigen sind. Demnach kann eine Einwilligung dann freiwillig gegeben werden, wenn

• ein rechtlicher oder wirtschaftlicher Vorteil für den Beschäftigten erreicht wird oder
• Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Zudem muss die Einwilligung in Schriftform vorliegen und der Beschäftigte schriftlich zum einen über den Zweck der Datenverarbeitung und zum anderen über sein Widerrufsrecht informiert werden.

Scoring und Bonitätsauskünfte

Eine spezifische Regelung, die das BDSG-neu im Rahmen von besonderen Verarbeitungssituationen trifft, betrifft Scoring-Verfahren und Bonitätsauskünfte. So darf gemäß § 31 BDSG-neu Scoring, also die Verwendung eines Wahrscheinlichkeitswerts bezüglich eines spezifischen zukünftigen Verhaltens, nur dann eingesetzt werden, wenn das Datenschutzrecht eingehalten wird.

Zudem muss die Berechnung der Wahrscheinlichkeitswerte auf der Verwendung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens beruhen und nicht ausschließlich auf Adressdaten zurückgreifen. Wenn aber letzteres der Fall sein sollte, muss die betroffene Person vor der Berechnung über die Nutzung der Adressdaten informiert werden.

Bonitätsauskünfte dürfen nur dann verwendet werden, wenn die oben genannten Bedingungen erfüllt sind. Zudem dürfen nur bestimmte Forderungen darin berücksichtigt sein. Dazu gehören gemäß § 31 Abs. 2 BDSG-neu zum Beispiel Forderungen, für die ein Titel vorliegt oder die der Schuldner ausdrücklich anerkannt hat.

Verbraucherkredite

In engem Zusammenhang mit den Vorschriften zur Bonitätsauskunft stehen die Bestimmungen über Verbraucherkredite, die in § 30 BDSG-neu festgelegt sind. Demnach gilt, wenn ein solcher Kredit aufgrund einer eingeholten Bonitätsauskunft abgelehnt wird, dass die betroffene Person zusammen mit der Information über die Ablehnung auch über die erhaltene Auskunft unterrichtet werden muss.

Datenschutzverstöße werden „jetzt“ geahndet! Greift die Datenschutzbehörde nun hart durch?

Beispiel: Telekomunikationsunternehmen 1&1 Telecom GmbH

oder

 Beispiel: Deutsche Wohnunen in Berlin

Die bisher höchste Geldbuße auf DSGVO-Basis 14,5 Millionen Euro hat die Berliner Datenschutzbeauftragte Maja Smoltczyk jüngst gegen die deutsche Immobiliengesellschaft Deutsche Wohnen verhängt. Diese will den Bescheid aber nicht anerkennen.

Das Unternehmen „Deutsche Wohnen“ soll sensible Mieterdaten rechtswidrig gespeichert haben. Berliner Politiker bezeichnen die Höhe des Bußgelds als „Paukenschlag“.

Die Behörde hatte bei Prüfungen festgestellt, dass die Deutsche Wohnen personenbezogene Daten von Mietern in einem System.

Die Deutsche Wohnen und der Verstoß gegen Datenschutz – der Überblick:

• Die Deutsche Wohnen muss 14,5 Millionen Euro Strafe zahlen
• Das Unternehmen hat gegen die Datenschutzgrundverordnung (DSGVO) verstoßen
• Das System speicherte Daten von Bewerbern – und kann diese nicht löschen
• Unter anderem besitzt die Deutsche Wohnen somit sensible Angaben über finanzielle Verhältnisse, Gehaltsbescheinigungen, und Versicherungsdaten der Bewerber
• Die Strafe ist das zweithöchste Bußgeld, was jemals in Europa wegen Verstößen gegen den Datenschutz verhängt wurde – und die höchste in Deutschland

Es handele sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie Gehaltsbescheinigungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Die Daten hätten gelöscht werden müssen.

Die Datenschutzbeauftragte hatte der Deutsche Wohnen nach einem ersten Termin 2017 sogar Zeit eingeräumt, die Verstöße zu beseitigen und das Archiv-System umzustellen. Bei einer weiteren Prüfung mehr als eineinhalb Jahre später sei aber festgestellt worden, dass kaum etwas passiert sei.

Inzwischen ist die Deutsche Wohnen ein eigenständiges börsennotiertes Unternehmen (ehemalige Tochter der Deutschen Bank) mit einem Umsatz von mehr als 1,4 Milliarden Euro in 2018 [PDF] – und Gegenstand anhaltender Kritik.

Wegen der unzulässigen Datenspeicherung von Mieter:innen muss die Deutsche Wohnen in 15 konkreten Fällen aber auch Einzelbußgelder in Höhe mehrerer Tausend Euro zahlen. Es ist davon auszugehen, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde ins Rollen brachten.

Siehe:

Quelle: https://www.tagesspiegel.de/berlin/rekordbussgeld-wegen-datenschutzverstoessen-deutsche-wohnen-muss-14-5-millionen-euro-strafe-bezahlen/25191038.html

URL: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-1-1-muss-knapp-10-Millionen-Euro-Strafe-zahlen-4608676.html

Zitat:

Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Jetzt hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge „keine hinreichenden technisch-organisatorischen Maßnahmen“ zum Schutz von Kundendaten ergriffen.

—

Unverhältnismäßig hohe Strafe wegen iner zu geringen  Authentifizierung/Überprüfung der Richtigkeit der Daten. Die telefonische Abfrage nach dem Geburtsdatum alleine ist nicht ausreichend.

Unser Rat: Nehmen Sie sich umgehend einen guten Anwalt der auf IT-Datenschutz Recht spezialisiert ist.

Für weitere Details wenden Sie sich an ihren Datenschutzbeauftragten.

—

DSGVO-Bußgelder – das ist neu

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

1. Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
2. Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen)bestimmt, in die das Unternehmen eingeordnet wurde.
3. Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
4. Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
5. Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.

So führen Sie ein Lösch- und Archivierungssystem ein

Die Erstellung eines Löschkonzepts erfolgt in der Regel in diesen vier Schritten:

1. Umfangsanalyse

Zunächst sollte geklärt werden, in welchem Umfang und in welcher Tiefe die Löschung erfolgen soll. Dabei sollten die Kosten vollständiger Compliance und eventuelle Risiken durch Bußgelder oder einen Imageverlust abgewogen werden. Eine Auflistung der Unterlagen und ihrer Bezüge, die Bestandteil des Konzepts sind, sollte in einer Dokumentationsstruktur organisiert werden. Im Einklang mit anerkannten Best Practices, etwa der Richtlinie zur Erstellung eines Löschkonzepts DIN 66398, sollte weiter dargestellt werden, wie das Löschkonzept entwickelt und gepflegt werden soll.

2. Festlegung von Datenkategorien und Löschfristen

Im Anschluss gilt es, einzelne Datenkategorien zu bilden und explizite Löschfristen für diese festzulegen. Bei der Festlegung der Löschfristen ist zunächst zu prüfen, ob gesetzliche Fristen existieren. Beispielhaft sind hier die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 257 Handelsgesetzbuch oder § 147 der Abgabenordnung zu nennen. Hier empfiehlt es sich, konkrete Kriterien zu erarbeiten und diese zu dokumentieren. Die gesetzlichen Fristen können dafür als Grundlage dienen.

Zu beachten ist aber, dass mit Ablauf der Aufbewahrungsfrist nicht automatisch eine Löschpflicht entsteht, da weiterhin ein legitimes Interesse an der Speicherung bestehen kann, um zum Beispiel bei Rechtsstreitigkeiten etwaigen Auskunftspflichten nachkommen zu können. Für solche Sonderfälle müssen spezielle Prozesse entwickelt werden.

3. Bestimmung eines Löschverantwortlichen

Neben der Festlegung einer verantwortlichen Person kann die Löschung auch automatisiert erfolgen, was unter Effizienzgesichtspunkten sinnvoll ist. Dabei gilt es, die Vorgaben für die Umsetzung der Löschmaßnahmen und die entsprechenden Löschregeln zu konkretisieren und regelmäßig zu überprüfen, ob sie eingehalten werden. Typische Fragestellungen betreffen hier beispielsweise den Löschmechanismus, ob die Regellöschfrist zu beachten ist oder ob die Daten schon früher gelöscht werden können.

4. Einbettung in verwandte Themen

Ein erfolgreiches Löschkonzept sollte stets in andere Systeme eingebettet sein. Regelmäßig sind Daten miteinander verknüpft, sodass die Löschung an einer Stelle zu Problemen an anderen Stellen führen kann oder eine Löschung überhaupt nicht möglich ist. Weiterhin relevant sind der Umgang mit individuellen Löschanträgen durch betroffene Personen, sowie eine Dokumentation der Zwecke, zu denen Daten erhoben, gespeichert oder anderweitig verarbeitet werden. Dies ist zur Bewertung einer angemessenen Speicherfrist erforderlich. (jd)

Arbeitgeber müssen im Arbeitsvertrag auf den Datenschutz achten

Die neuen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten werden im Art 1 Abs. 1 DSGVO beschrieben und regeln den freien Verkehr (Umgang) mit diesen schätzenswerten Daten.

Hinweise: https://www.datenschutz.org/arbeitsvertrag/#datenschutzklausel-im-arbeitsvertrag-als-unabdingbarer-bestandteil

Das Wichtigste zum Arbeitnehmerdatenschutz

• Der Arbeitnehmerdatenschutz soll im Allgemeinen die Persönlichkeitsrechte, im Besonderen das Recht auf informationelle Selbstbestimmung der Arbeitnehmer vor Missbrauch bewahren.
• Ein eigens errichtetes Arbeitnehmerdatenschutzgesetz gibt es nicht. Stattdessen finden dezentral einzelne Regelungen in unterschiedlichsten anderen Gesetzestexten wie dem Bundesdatenschutzgesetz  (BDSG), dem Telekommunikationsgesetz, der Bildschirmverordnung, dem Einkommensteuergesetz u. v. m.
• Im Allgemeinen darf Ihr Arbeitgeber nur personenbezogene Daten zu Ihrer Person erheben, die für die Aufnahme, Beendigung oder Durchführung Ihres Beschäftigungsverhältnisses relevant sind.
• Die heimliche Überwachung von Telekommunikation, Aktivitäten am PC oder die heimliche Videoüberwachung durch den Arbeitgeber sind regelmäßig nicht zulässig.

Merke:

Bestimme zu welcher Kategorie der Arbeitnehmer fällt. (gem. § 26 Abs. 8 BDSG-neu):

• Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
• zu ihrer Berufsbildung Beschäftigte,
• Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
• in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
• Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
• Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
• Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Zum Zeitpunkt der Erhebung der Daten muss ein Arbeitgeber seine Beschäftigten gem. Art. 13 DSGVO in alle im Artikel genannten Punkte informieren.  Die Art und Weise, der Information beschreibt Art. 12 DSGVO. Diese Informationen sollten als Anhang zum Arbeitsvertrag ausgegeben bzw. falls die Erhebung der Daten bereits früher stattfindet, sollten auch die Informationen zum Zeitpunkt der Erhebung herausgegeben werden.

• Fragen sie bei ihrem Datenschutzbeauftragten ein Muster für das „Informationsschreiben für den Arbeitsvertrag“ an.

Beschäftigte sollten darüber hinaus auf das Datengeheimnis nach Art. 32 Abs. 1 lit. b) 2. Var. DSGVO verpflichtet werden. In diesem Zusammenhang ist darauf zu achten, eine Verpflichtungserklärung zu verwenden, die alle anzugebenden Informationen enthält. Die Verpflichtungserklärung auf das Datengeheimnis muss von den Beschäftigten gegengezeichnet werden. Diese Erklärung sollte sich ebenfalls im Anhang des Arbeitsvertrages befinden.

• Fragen sie bei ihrem Datenschutzbeauftragten ein Muster für die „Verpflichtungserklärung auf das Datengeheimnis“ an.

• Arbeitgeber müssen bei der Verarbeitung der Daten die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO beachten:
  • Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden, Art. 5 Abs. 1 lit. a) DSGVO.
  • Der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit .b) DSGVO muss eingehalten werden.
  • Außerdem muss bei der Verarbeitung von personenbezogenen Daten der Grundsatz der Datenminimierung bzw. der Datensparsamkeit eingehalten werden, Art. 5 Abs. 1 lit. c) DSGVO.
  • Personenbezogene Daten müssen gerne richtig verarbeitet werden, also dem Grundsatz der Richtigkeit genügen, Art. 5 Abs. 1 lit. d) DSGVO.
  • Auch der Grundsatz der Speicherbegrenzung spielt im Beschäftigtendatenschutz eine wichtige Rolle und muss eingehalten werden, vgl. Art. 5 Abs. 1 lit. e) DSGVO
  • Darüber hinaus müssen personenbezogene Daten in einer Weise verarbeitet werden, die den Grundsätzen der Integrität und Vertraulichkeit entspricht, Art. 5 Abs. 1 lit f.) DSGVO.
• Richtlinien, z.B. bezüglich der Nutzung der IT und des Internets des Betriebes, sollten erstellt und von den Mitarbeitern gegengezeichnet werden

Arbeitgeber müssen dafür sorgen, dass für Verarbeitungen von personenbezogenen, für die keine gesetzliche Grundlage existiert, eine informierte Einwilligung nach den Vorgaben der DSGVO erstellt und den betroffenen Mitarbeitern übergeben werden. Eine gesetzliche Grundlage für die Verarbeitung von personenbezogenen Daten existiert z.B. in § 26 Abs. 1 und Abs. 3 BDSG-neu. Allerdings muss genau geprüft werden, ob diese Rechtsgrundlage für die beabsichtigte Verarbeitung ausreichen. Andernfalls ist eine Einwilligungserklärung erforderlich Die Mitarbeiter können, müssen die Einwilligungserklärung aber nicht unterzeichnen, da eines der zentralen Merkmale einer Einwilligung stets die Freiwilligkeit ist, die speziell im Beschäftigungsverhältnis eine besondere Bedeutung besitzt, vgl. Art. 7, 9, 88 DSGVO, § 26 Abs. 2, Abs. 3 BDSG-neu. Wenn die Einwilligung nicht erteilt wird, darf die beabsichtigte Verarbeitung nicht stattfinden. Anbei finden Sie eine Muster-Datenschutzerklärung, die allerdings stets auf den Einzelfall angepasst und ggfs. erweitert werden muss. Wichtig ist, dass die Einwilligungserklärung alle erforderlichen Informationen nach Art. 7, 8, 12 ff DSGVO enthält und insbesondere einen Hinweis auf die Möglichkeit eines Widerrufs enthält.

• Fragen sie bei Ihren Datenschutzbeauftragten nach einen Muster für die „Einwilligungserklärung„.

datenschutzrechtlichen Einwilligungserklärung 

• Sind Speicherung, Nutzung und Verarbeitung personenbezogener Daten nicht aufgrund einer gesetzlichen Grundlage gestattet oder geboten, ist dies nur bei Einwilligung des Betroffenen zulässig.
• Die Einwilligungserklärung muss dabei grundsätzlich eindeutig als solche erkennbar sein und muss neben dem Hinweis auf den jeweiligen Verwendungszweck auch die Rechte des Betroffenen auf Löschung, Auskunft und Widerspruch aufführen.
• Fehlt die Einwilligung des Betroffenen in einem solchen Falle und die Daten werden dennoch unzulässigerweise erhoben, so handelt es sich um einen Datenschutzverstoß.

Ausgenommen von der Erfordernis einer Einwilligungserklärung sind grundsätzlich alle personenbezogenen Daten, die für Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses notwendig sind. Es bedarf oft einer in einem Arbeitsvertrag enthaltenen Datenschutzklausel, die die Zustimmung des Betroffenen herstellt, wenn es um die Speicherung von Personendaten wie Name, Vorname, Geburtsdatum, Rentenversicherungsnummer, Krankenversicherungsscheinnummer und Bankverbindung geht. Diese Daten sind unerlässlich für die Vertragsausübung.

Werden Dienstleister für die Verarbeitung von personenbezogenen Daten eingesetzt, muss geprüft werden, ob eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO vorliegt. Für den Fall der Einschlägigkeit müssen entsprechende Auftragsverarbeitungsverträge mit den Auftragsverarbeitern vereinbart. Der Inhalt dieser Verträge muss die Vorgaben von Art. 28 DSGVO berücksichtigen. Mitarbeiter müssen bezüglich der datenschutzrechtlichen Pflichten geschult werden, vgl. Art. 39 Abs. 1 lit. b) letzte Variante DSGVO. Ein Verfahren für die rechtskonforme Bearbeitung von Betroffenenrechten nach Art. 15 bis Art. 23 DSGVO, insbesondere wenn diese von aktuellen oder ehemaligen Mitarbeitern geltend gemacht werden, muss ebenfalls von dem Arbeitgeber mit der Hilfe des Datenschutzbeauftragten erarbeitet und mit in die Unternehmensprozesse aufgenommen werden

Die Verarbeitungen von betroffenen Personen müssen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach den Vorgaben des Art. 30 DSGVO aufgenommen werden.

Darüber hinaus müssen alle nach Art. 32 DSGVO vorgeschriebenen technisch-organisatorischen Maßnahmen im Bereich der Verarbeitung von  Beschäftigtendaten etabliert werden.

Weitere datenschutzrechtliche Pflichten nennt Ihnen ihr Datenschutzbeauftragter nach einer ausführlichen Bestandsaufnahme hinsichtlich der Verarbeitung von personenbezogenen Daten Ihrer Beschäftigten. Zu berücksichtigen ist stets die Nachweispflicht in Art. 5 Abs. 2 DSGVO: Für die Nachweisbarkeit der Einhaltung des Datenschutzes ist der Arbeitgeber verantwortlich.

• Fragen sie bei Ihrem Datenschutzbeauftragten nach einem „Muster für die Auftragsdatenvereinbarung“

Datenschutz-Konsequenzen (Bußgelder):

Ein Verstoß des Arbeitgebers gegen den Datenschutz kann schwerwiegende Folgen haben. Gem. 83 Abs. 4 lit. a) DSGVO drohen bei einem Verstoß gegen die hier genannten Vorgaben Geldbußen von bis zu 10 Millionen Euro allerdings maximal 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens.

Bei einem Verstoß gegen die in Art. 83 Abs. 5 lit. a) und b) DSGVO genannten Vorschriften drohen sogar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Auf der Datenschutzkonferenz von Bund und Ländern (DSK) wurde ein Prüfschema veröffentlicht.

Microsoft begrüßt diesen einheitlichen Prüfansatz, ist aber nicht ganz damit zufrieden.

Microsoft übernimmt mehr Verantwortung und Investiert weiter in den Datenschutz um gültiges Recht einzuhalten.

https://www.golem.de/news/windows-10-die-tickende-dsgvo-zeitbombe-von-microsoft-1911-145067.html

Datenschützer einigen sich auf eine Einheitliche Prüfmethode zum Thema Datenschutz.

Die grundlegend überarbeitete Version des Standard-Datenschutzmodells (SDM) umfasst 68 Seiten. Dabei handelt es sich um eine dokumentierte Prüfmethode um sich selbst oder andere Unternehmen und Behörden einer Prüfung unterziehen zu können, ob ihre Anwendungen personenbezogene Daten datenschutzkonform verarbeiten.

SDM-Methode

In der Version 2.0 der Standard Datenschutzmodell (kurz SDM 2.0)sind nun alle rechtlichen Anforderungen abgebildet.

Quelle: https://www.heise.de/newsticker/meldung/DSGVO-Datenschuetzer-einigen-sich-auf-einheitliche-Pruefmethode-4587205.html

Soziale Medien erschweren die Datenauskunft. Je größer der Konzern je schwieriger ist es an seine Daten zu gelangen. In der Regel versucht man den Anwender mit automatisierten Schritten im Vorfeld schon automatisiert abzuweisen.

Weitere Informationen z.B. unter

https://www.golem.de/news/dsgvo-soziale-medien-erschweren-nutzern-die-datenauskunft-1901-138769.html

Aber auch Datenschutzauskunft als Sicherheitsrisiko:

https://www.golem.de/news/dsgvo-datenschutzauskunft-als-sicherheitsrisiko-1908-143186.html

Was müssen Sie bei der DSGVO beachten und welche Schritte unternehmen?

1. Haben Sie einen Datenschutzbeauftragten ernannt?
2. Werden die AVVs mit Kunden und Partnern vor Unterzeichnung geprüft?
3. Haben Sie Dokumentationen erstellt? (Verzeichnisse von Verarbeitungstätigkeiten, u.a.).
4. Beantworten Sie Betroffenenanfragen verlässlich und fristgerecht?
5. Erstellen Sie Löschkonzepte und Risikofolgeabschätzungen?

Änderungen der DSGVO 2019

Was müssen Unternehmen und andere Organisationen beachten?

Datenschutzbeauftragter ist künftig erst ab 20 Mitarbeitern Pflicht

Mit Inkrafttreten der DSGVO Ende Mai 2018 klingelten die Kassen derer, die sich Datenschutzbeauftragter nennen durften. Jedes Unternehmen ab einer Größe von zehn Mitarbeitern war schließlich ab sofort dazu verpflichtet, einen Datenschutzbeauftragten zu ernennen bzw. einzustellen. Und genau diese Vorgabe (§ 38) will die Politik jetzt anpacken. Künftig soll die Schwelle von zehn auf 20 Mitarbeiter erhöht werden. Dazu zählen übrigens nur, wenn sie sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Wer also beispielsweise insgesamt 19 Bürokräfte und einen Hausmeister beschäftigt, wäre fein raus. Insgesamt wären von der geplanten Änderung laut dem CDU-Bundestagsabgeordneten Thomas Heilmann übrigens 80 Prozent aller deutschen Unternehmen betroffen.

Auf den ersten Blick bedeutet die geplante Datenschutz-Änderung wohl vor allem eines: Kleine Betriebe werden sowohl finanziell als auch organisatorisch entlastet. Und: Die neue Regelung soll schon Ende der Woche gelten. Aber wie so häufig steckt der Teufel hier im Detail.

Der Datenschutzbeauftragte geht, die Haftung bleibt

Der Punkt ist: Nur weil kleine Unternehmen keinen Datenschutzbeauftragten mehr stellen müssen, ändern sich für sie noch lange nicht die anderen Spielregeln. Im Gegenteil: Die Haftung bei Datenschutzverstößen existiert genauso weiter wie für alle anderen. Und genau das könnte schon mittelfristig zu einem großen Problem werden. Was passiert, wenn es eben keinen Experten mehr gibt, der die Einhaltung der Regeln überwacht? Folgendes Szenario ist denkbar:

• Unternehmer und Angestellte sind überfordert oder unwissend.
• Die Anzahl der DSGVO-Verstöße steigt rapide an.
• Wettbewerber zeigen sich gegenseitig wegen der Verstöße an.
• Die Anzahl und Höhe der Bußgelder steigt.
• Kleinere Unternehmen geraten dadurch schnell in eine finanzielle Schieflage.

Herr Ulrich Kelber, der Bundesdatenschutzbeauftragte ließ auf eine Presseanfrage hin verlauten: „Sollte der Gesetzgeber tatsächlich den Schwellwert für die Pflicht zur Benennung von Datenschutzbeauftragten erhöhen, hielte ich dies für eine falsche Maßnahme, die die Wahrung des hohen Datenschutzniveaus in Deutschland ernsthaft gefährden könnte. Spätestens wenn man aufgrund des fachlichen Kompetenzverlusts mittelfristig teures externes Wissen einkaufen muss oder sich wegen Datenschutzverstößen der Bußgeldforderung der Aufsichtsbehörde gegenüber sieht, wird man feststellen, dass hier am falschen Ende gespart wurde.“

Weitere Datenschutz-Änderungen geplant

Unabhängig vom Drama um den Datenschutzbeauftragten sind mehr als 150 weitere Änderungen geplant. Teilweise geht es nur um kleine Umformulierungen wie beispielsweise des Wortes „Verarbeitung“ anstelle von „Verwendung“. Andere Anpassungen dürften hingegen eine größere Bedeutung haben. Über weitere Details ist bislang nur wenig bekannt. Tatsache bleibt der Datenschutz Fokus. Welche Änderungen davon sinnvoll sind? ist eine schwierige Frage.

Die Meldung zum Datenschutzbeauftragten ist nun in den meisten Bundesländern möglich.

Meldung von Datenschutzbeauftragtern (DSB) 

Nach Art. 37 Abs. 7 DS-GVO haben Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des/der Datenchutzbeauftragtern (DSB) noch nur zu veröffentlichen sondern auch der Aufsichtbehörde mitzuteilen.

Niedersachsen:

https://nds.dsb-meldung.de

Land Bremen:

Quelle: https://www.datenschutz.bremen.de/wir_ueber_uns/online_meldungen-15780

Neumeldung: https://www.datenschutz.bremen.de/wir_ueber_uns/online_meldungen/mitteilung_der_kontaktdaten_der_oder_des_datenschutzbeauftragten/datenschutzbeauftragter-15345

• Erst- oder Änderungsmeldung einer oder eines Datenschutzbeauftragten
• Abberufung einer oder eines Datenschutzbeauftragten

Haben sie schon einen externen Datenschutzbeauftragtern?

Werkstätten, Einzelhandel, Handwerksbetriebe oder Produzierendes Gewerbe haben häufig einen geringen Datenschutzbeartungsbedarf sind aber auch den Regelungen betroffen einen Datenschutzbeauftragten stellen zu müsen.

Mässiger Datenschutzberatungsbedarf gibt es bei Werbeagenturen, Hotels/Toursismus, Immobilienbranche, Steuerberater und Rechtsanwälte.

Einen hohen Datenschuzzbedarf haben Finanzdienstleister, Ärzte. Headhunter und personalvermittler, Software und Plattformbetreiber

Quelle:

https://www.golem.de/news/alexa-das-allgegenwaertige-ohr-amazons-1910-144231-1.html

https://www.golem.de/news/alexa-das-allgegenwaertige-ohr-amazons-1910-144231-2.html

Der Alexa Einsatz in der Öffentlichkeit nicht verboten

„Es liegt in der Verantwortung der Nutzer, derartige Geräte nur so und nur dort einzusetzen, wo Dritte nicht in ihren Rechten verletzt werden“, sagt der Landesdatenschutzbeauftragte aus Baden-Württemberg Stefan Brink. Grundsätzlich sei es möglich, Sprachassistenten – die selbst datenschutzkonform sein müssen – in der Öffentlichkeit zu nutzen, sagt Andreas Sachs, Vizepräsident des Bayerischen Landesamtes für Datenschutzaufsicht. Allerdings müsse der Sprachassistent im üblichen Rahmen eingesetzt werden, also zum Beispiel zum Absetzen eines Sprachbefehls auf der Straße oder in der U-Bahn. „Im öffentlichen Bereich unterhält man sich eher so, dass ein gewisses Mithören von Dritten erwartet wird. Dies gilt auch für den Einsatz eines datenschutzkonformen Sprachdienstes, bei dem die maschinelle Interpretation eines Sprachbefehls dann sozusagen Beiwerk ist“, erklärt Sachs.

„Anders würde es aussehen, wenn die Produkte gezielt eingesetzt würden, um ein sogenanntes nichtöffentlich gesprochenes Wort (zum Beispiel die absichtliche Aufnahme vertraulicher Gespräche von zwei anderen Personen) verdeckt aufzuzeichnen. Dies wäre dann eine Straftat und damit auch nicht datenschutzkonform“, sagt Sachs. Ein Einsatz, bei dem ein nicht unerhebliches Risiko bestehe, dass das nicht-öffentlich gesprochene Wort von dritten Personen aufgenommen würde, sei damit problematisch, ergänzt der Hamburger Datenschutzbeauftragte Johannes Caspar.

„Die Nutzer von automatischen Sprachassistenzsystemen sollten daher darauf achten, dass diese bei Anwesenheit von unbeteiligten Personen ausgeschaltet sind oder betroffene Personen darauf hingewiesen werden, dass ein automatisches Sprachassistenzsystem im Hintergrund läuft“, sagt Caspar. Dies gelte auch für Sprachassistenten auf Smartphones, für die prinzipiell die gleichen Regeln gelten wie für spezialisierte Geräte, fügt Sachs hinzu.

Die Situation im heimischen Wohnzimmer sieht wie folgt aus:

„In Privaträumen – zum Beispiel im Wohnzimmer – greift das sogenannte Haushaltsprivileg, was bedeutet, dass die Datenschutzgrundverordnung nicht anwendbar ist“, erklärt Sachs. Ein Besucher, der sich in seinen Persönlichkeitsrechten verletzt sieht, müsste dann zivilrechtlich gegen den Anwender eines Sprachassistenten vorgehen.

Quelle: https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/Artikel/BeschwerdeBeiDatenschutzbehoereden.html

Beschwerde über Datenschutzverstöße bei den Aufsichtsbehörden

Artikel 77 Abs. 1 Datenschutz-Grundverordnung (DSGVO) gewährt Ihnen das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Sie betreffender personenbezogenen Daten gegen die DSGVO verstößt. Die Datenschutzbehörde ist verpflichtet, der Beschwerde im angemessenen Umfang nachzugehen und Sie über den Stand und die Ergebnisse der Beschwerde, einschließlich eines etwaigen gerichtlichen Rechtsbehelfs, zu unterrichten. Dabei hat die Datenschutzbehörde Sie spätestens nach drei Monaten über den Verfahrensstand zu informieren. Die Datenschutzbehörde hat dabei umfassende Kontrollbefugnisse und ist bei der Erfüllung ihrer Aufgaben unabhängig und nur dem Gesetz unterworfen.

Die Beschwerde kann bei der Datenschutzbehörde des Landes eingelegt werden, in dem Sie  Ihren Aufenthalt oder Ihren Arbeitsplatz haben oder in dem der mutmaßliche Verstoß geschehen ist. Sofern die Datenschutzbehörde eines anderen Mitgliedsstaates für die Stelle zuständig, über die Sie sich Beschwerden, wird die deutsche Datenschutzbehörde sich mit der anderen Datenschutzbehörde abstimmen. Die deutsche Datenschutzbehörde, bei der Sie Ihre Beschwerde eingereicht haben, bleibt jedoch Ihr Ansprechpartner, sodass Sie sich nicht unmittelbar in fremder Sprache an die Datenschutzbehörde eines anderen EU-Mitgliedsstaates wenden müssen.

Zu beachten ist aber, dass innerhalb Deutschland mehrere Datenschutzbehörden mit unterschiedlichen sachlichen Zuständigkeiten bestehen:

• der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI),
• die jeweilige Landesdatenschutzbehörde,
• die sogenannten spezifischen Datenaufsichtsbehörden.

Zwischen diesen Behörden besteht kein hierarchisches Verhältnis, insbesondere obliegt dem BfDI nicht die Aufsicht über die Landesdatenschutzbehörden. Die Datenschutzbehörden haben vielmehr unterschiedliche sachliche Zuständigkeiten, die sich danach bestimmen, gegen welche Stelle sich die Beschwerde richtet.

Zudem gewährt  § 60 Bundesdatenschutzgesetz Ihnen das Recht auf Beschwerde beim BfDI, wenn Sie der Ansicht sind, dass Stellen, die Ihre personenbezogenen Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten verarbeiten, Sie dabei in Ihren Rechten verletzt haben.

Der BfDI ist für die Verarbeitungen folgender Stellen zuständig:

• Behörden des Bundes,
• sonstige öffentliche Stellen des Bundes,
• gemeinsame Einrichtungen nach dem Sozialgesetzbuch II („Jobcenter“),
• Telekommunikationsunternehmen,
• Postdienstleistungsunternehmen,
• Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen,
• bundesweit tätige gesetzliche Kranken- und Pflegekassen, Renten- und Unfallversicherungsträger.

Wenn Sie annehmen, dass eine dieser Stellen bei der Verarbeitung Sie betreffender personenbezogenen Daten gegen das Datenschutzrecht verstößt, können Sie eine Beschwerde beim BfDI einreichen. Unsere Kontaktkanäle, einschließlich eines Online-Beschwerdeformulars, finden Sie hier.

Die Landesdatenschutzbehörden sind insbesondere für die Verarbeitungen folgender Stellen zuständig:

• Behörden des jeweiligen Landes,
• sonstige öffentliche Stelle des jeweiligen Landes oder einer Kommune ,
• Unternehmen und sonstige nicht-öffentliche Stellen, die nicht in die Sonderzuständigkeit des BfDI fallen.

Wenn Sie annehmen, dass eine dieser Stellen bei der Verarbeitung Sie betreffender personenbezogenen Daten gegen das Datenschutzrecht verstößt, können Sie eine Beschwerde bei der Landesdatenschutzbehörde einreichen.

Für unterschiedliche Bereiche bestehen zudem spezifischen Datenschutzaufsichtsbehörden:

Wegen des verfassungsrechtlich garantierten Selbstbestimmungsrechts von Religionsge­meinschaften müssen Sie sich daher mit Beschwerden an die kirchlichen Datenschutzbeauftragten wenden.

Auch für den Datenschutz beim Rundfunk und beim Beitragsservice von ARD, ZDF und Deutschlandradio gelten Besonderheiten. Weitere Informationen dazu finden Sie hier. Die Einhaltung der datenschutzrechtlichen Vorschriften bei den öffentlich-rechtlichen Rundfunkanstalten (z.B. ARD und ZDF) wird insbesondere von Rundfunkdatenschutzbeauftragten überwacht. In Berlin, Brandenburg, Bremen und Hessen sind für den Datenschutz im Verwaltungsbereich der Rundfunkanstalten die jeweiligen Landesdatenschutzbeauftragten zuständig. Die Anschriften der für Rundfunkanstalten zuständigen Datenschutzbehörden finden Sie hier.

Besonderheiten sind auch im Hinblick auf den Datenschutz bei der Presse zu beachten. Anfragen und Beschwerden zum redaktionellen Datenschutz können gerichtet werden an:

Deutscher Presserat
Postfach 10 05 49
10565 Berlin

Tel.: +49 (0)30 367 007-0
Fax: +49 (0)30 367 007-20
E-Mail: info@presserat.de