Management | Autor/in: Roman Spitko |

Datenschutz-Grundverordnung (Teil 3)

Ab dem 25. Mai 2018 gilt die „neue“ Datenschutz-Grundverordnung. In dritten und letzten Teil der Serie geht es um Betroffenenrechte und die damit verbundenen Pflichten für datenverarbeitende Unternehmen.

Im ersten Teil dieser Artikelserie (fMi 06/2017) wurde auf den Anwendungsbereich der DSGVO sowie auf die Pflicht zur Benennung eines Datenschutzbeauftragten eingegangen. Auch wurde deutlich gemacht, wie wichtig es für datenverarbeitende Unternehmen ab sofort ist, sich mit der neuen DSGVO auseinanderzusetzen. Denn sollten die Pflichten nicht eingehalten werden, ist mitunter mit existenzbedrohenden Bußgeldern zu rechnen.

Im zweiten Teil der Artikelserie (fMi 01/2018) ging es um die Dokumentationspflichten der datenverarbeitenden Unternehmen.

Betroffenenrechte
Ein wesentliches Ziel der DSGVO ist es die Betroffenenrechte zu stärken. Betroffene sind dabei natürliche Personen, also alle Menschen. Dies können bspw. Kunden, Mitglieder, Patienten oder auch die Mitarbeiter sein. Die Betroffenenrechte sind in der DSGVO in den Artikeln 12 ff. normiert.

Sollten Betroffenenrechte nicht erfüllt werden, so kann dies bspw. mit Geldbußen bis zu 20 Millionen Euro sanktioniert werden. Aufgrund dieser 20 Millionen guter Gründe sei dringend empfohlen, sich mit den Betroffenenrechten vertraut zu machen und entsprechende Prozesse zu initiieren, um die Betroffenenrechte erfüllen zu können.

Informationspflichten: Mehr Transparenz für die Betroffenen
Die DSGVO enthält in den Artikeln 12 ff. umfassende Informationspflichten, die von den jeweils verantwortlichen Unternehmen umzusetzen sind. Diese Informationspflichten sind nach Art. 12 Abs. 1 so umzusetzen, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um den Betroffenen alle Informationen und alle Mitteilungen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Diese neuen Informationsrechte gehen weit über die aus dem bisherigen Bundesdatenschutzgesetz bekannten hinaus. Die Art. 13 und Art. 14, bei denen es um die Informationspflicht bei Erhebung von personenbezogenen Daten geht, legen dabei in ihren ersten Absätzen einen genauen Katalog an Informationen fest, über die die Betroffenen zwingend zu informieren sind. Diese Informationspflichten haben demnach unmittelbare Auswirkung auf bestehende Datenschutzerklärungen bspw. in den AGB oder auf der Webseite. Ferner zu beachten ist der Zeitpunkt der Erfüllung der Informationspflicht. Nach Art. 13 Abs. 1 DSGVO teilt der Verantwortliche der betroffenen Person die relevanten Informationen zum Zeitpunkt der Erhebung mit.

Praxis-Tipp:
Da die neuen Informationspflichten einige bisher noch nicht verpflichtende Angaben festschreiben, führt dies zwangsläufig dazu, dass sämtliche Informationen, die den Betroffenen zum Zeitpunkt der Erhebung mitzuteilen sind, also de facto unter anderem alle Datenschutzerklärungen ab dem 25.05.2018 gegen die DSGVO verstoßen würden, da sie unvollständig sind. Daraus ergibt sich eine unbedingte Notwendigkeit, dass Sie Ihre Verträge insbesondere die AGB (Datenschutzklauseln), Ihre Datenschutzerklärung auf der Webseite, evtl. Informationstafeln in denen auf eine Videoüberwachung hingewiesen wird, usw. überprüfen und mit den neuen Pflichtangaben ergänzen bzw. ersetzen. Im Rahmen des DSSV Workshops zum neuen Datenschutzrecht erhalten Sie dafür eine umfangreiche Checkliste, die Ihnen die Anpassung erleichtern wird.

Auskunftspflichten: Was den Betroffenen mitzuteilen ist
Nach Art 15 Abs. 1 DSGVO steht der betroffenen Person das Recht zu, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten. Dabei muss gem. Art 15 Abs. 2 DSGVO der Verantwortliche dem Betroffenen die dort aufgeführten Informationen mitteilen.

Nach Art. 12 Abs. 1 der DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden. Für den Fall, dass die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (bspw. als PDF). Es ist zudem bei der Auskunftserteilung darauf zu achten, dass angemessene Sicherheitsanforderungen eingehalten werden. Wenn ein Betroffener von seinem Auskunftsrecht Gebrauch macht, sind ihm die entsprechenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, zur Verfügung zu stellen. Gem. Art. 15 Abs. 3 DSGVO muss der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind. Diese Informationen sind nach Art. 12 Abs. 5 DSGVO grundsätzlich kostenlos zur Verfügung zu stellen. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche gem. Art 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Zu beachten ist allerdings, dass der Verantwortliche im Falle unbegründeter oder exzessiver Anträge durch eine betroffene Person gemäß Art. 12 Abs. 5 DSGVO entweder ein angemessenes Entgelt verlangen oder eine Auskunftserteilung verweigern kann. Jedoch hat der Verantwortliche auch den Nachweis dafür zu erbringen, dass der Antrag ausnahmsweise als unbegründet eingestuft wird. Nach Art. 12 Abs. 4 DSGVO ist die betroffene Person über die Gründe der verweigerten Auskunftserteilung zu informieren.

Praxis-Tipp:
Die Umsetzung und Erfüllung des Auskunftsrechts gem. Art. 15 DSGVO stellt sich in der Praxis als eine nicht unerhebliche Herausforderung dar. Es wird daher dringend empfohlen, rechtzeitig organisatorische Vorkehrungen zu treffen, um ein etwaiges Auskunftsersuchen schnell und vollständig beantworten zu können. Denn gem. der Art. 12 Abs. 1 DSGVO und Art. 5 Abs. 2 DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen. Unterschätzen Sie das Auskunftsersuchen eines Betroffenen nicht. Je nachdem wie viele Informationen Sie vom Betroffenen in verschiedenen Systemen verarbeiten, kann dies ein sehr umfangreiches Unterfangen werden.

Löschpflichten („Recht auf Vergessenwerden“): welche Daten sind wann zu löschen
Bei einer automatisierten Verarbeitung von personenbezogenen Daten ist es folglich notwendig, dass die Daten, wenn sie nicht mehr benötigt werden, auch gelöscht werden. Eine automatisierte Datenverarbeitung benötigt demnach eine automatisierte Datenlöschung. Die DSGVO normiert in diesem Zusammenhang klare Löschpflichten (u. a. in Art. 17 DSGVO „Recht auf Vergessenwerden“).

Unternehmen sind demnach verpflichtet personenbezogene Daten zu löschen, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen bzw. entgegenstehen. In der Praxis haben jedoch die wenigsten Unternehmen diesbezüglich einen etabliertes Löschkonzept. Mit Einführung der DSGVO kann ein solches Versäumnis ein hohes Bußgeld nach sich ziehen.

Praxis-Tipp:
Um der Löschpflicht nachzukommen wird dringend empfohlen in Zusammenarbeit mit den jeweiligen Fachabteilungen wie bspw. der Buchhaltung/Personalabteilung entsprechende Löschregeln und Prozesse zu entwickeln bzw. initiieren. Eine enge Zusammenarbeit wird notwendig sein, da in der Regel die jeweiligen Fachabteilungen die entsprechenden Kenntnisse gerade der gesetzlichen Aufbewahrungsfristen haben. Aber Achtung: „Der Teufel steckt im Detail“.

Meldepflichten
Art. 33 DSGVO sieht eine Meldepflicht des Verantwortlichen vor, wonach der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde zu melden hat, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Was unter einer Verletzung personenbezogener Daten zu verstehen ist, wird in Art. 4 Abs. 12 DSGVO geregelt. Demnach ist eine Verletzung personenbezogener Daten, eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Praxis-Tipp:
Es sind also Verantwortlichkeiten zu klären und vor allem auch Prozesse zu entwickeln bzw. zu initiieren um Datenschutzverstöße im eigenen Unternehmen zu identifizieren, diese hinsichtlich des Risikos einzuschätzen und diese dann auch innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden zu können.

Fazit
Um die erheblichen Sanktionen zu vermeiden haben die verantwortlichen Unternehmen auf die Einhaltung ihrer Pflichten (siehe auch fMi 01/18) zu achten. Gerade die Dokumentationspflichten sind dabei ernst zu nehmen, da sie dem verantwortlichen Unternehmen ermöglichen seiner Beweislast nachzukommen. Dies ist logischerweise auch nur dann möglich, wenn es seine anderen Pflichten erfüllt hat. Insbesondere auch vor dem Hintergrund eines etwaigen Schadensersatzanspruches der Betroffenen sowie des immateriellen Schadens, die bei Datenschutzverstößen oder Pflichtverletzungen neben den in der DSGVO verankerten Sanktionen auf die verantwortlichen Unternehmen, also die Fitness- und Gesundheitsstudios zukommen können, ist die Einhaltung der Pflichten dringend angeraten und quasi alternativlos.

Wie schon im ersten Artikel dieser Serie beschrieben zeigt es sich, wie wichtig es für datenverarbeitende Unternehmen ab sofort ist, sich mit der neuen DSGVO auseinanderzusetzen und nicht die Augen vor einem vermeintlich langweiligen Thema, das erst mal keine neuen Kunden bringt, zu verschließen. Denn dies könnte angesichts der massiven Bußgeldrisiken existenzbedrohende Folgen haben.

Fakt ist: Ab dem 25. Mai 2018 gilt europaweit die DSGVO. Die zuständigen Aufsichtsbehörden sind angehalten, die Umsetzung in den Betrieben zu überprüfen und dieser Aufgabe werden sie sicherlich nachkommen. Insbesondere dann, wenn bspw. sensibilisierte Kunden, die aus Ihrem Fitnessstudiovertrag rauskommen wollen, aufgrund des Medienrummels um die neue DSGVO Beschwerden über etwaige Datenschutzverstöße bei den Aufsichtsbehörden einreichen.

In diesem Sinne gilt: Bereiten Sie sich vor und machen Sie Ihre Hausaufgaben und setzen Sie die DSGVO in Ihren Unternehmen um. Sie können sicher sein, ab dem 25.05.2018 wird Datenschutz groß geschrieben werden.

www.dhfpg-bsa.de

Roman Spitko
Roman Spitko verfügt über ein Studium der Betriebswirtschaftslehre sowie ein Master of Laws-Studium (LL.M.). Er hat mehrere Mandate als Datenschutzbeauftragter inne und wird den bundesweiten DSSV-Workshop „Neues Datenschutzrecht“ in 2018 leiten. Seit 2007 ist er als Dozent sowohl für die BSA-Akademie als auch für die Deutsche Hochschule für Prävention und Gesundheitsmanagement DHfPG tätig. Seit 2015 fungiert er zudem als Fachleiter Management/Ökonomie.

Diesen und weitere Artikel finden Sie in der fMi 02/2018 Leseprobe & für Abonnenten EXKLUSIV vorab.

Zum Abonnement
fMi 02/2018 Leseprobe