Serie: DSGVO – 1 Jahr danach

Ein Jahr nach Inkrafttreten der DSGVO sind die große Abmahnwelle und die vielen massiven Bußgelder in Millionenhöhe in Deutschland ausgeblieben. Lt. Umfrage der Welt am Sonntag vom 12.05.2019 waren es 81 Verfahren in Gesamthöhe von 485.000 €. Inwieweit diese allerdings zum Tragen kommen, also von den Unternehmen akzeptiert wurden, ist nicht bekannt. Ein paar Verfahren wurden aber bereits auch von den Behörden zurückgezogen. Aus diesen Gründen gibt es u.a. bisher nur wenig Rechtsprechung zur DSGVO in Deutschland.

Voraussetzung für niedrigere Bußgelder ist jedoch immer, im Unternehmen ein funktionierendes Datenschutzmanagementsystem implementiert zu haben und Kooperationsbereitschaft in der Zusammenarbeit mit den Behörden zu zeigen. Das Datenschutzrecht in Europa verlangt von den Institutionen und Unternehmen ein Datenschutz-Management-System. Dazu gehört neben gemanagten Prozessen mit personenbezogenen Daten und deren Dokumentation zur Rechenschaftspflicht, eine Verantwortung und Awareness der Geschäftsleitung für das Thema.

Neben den prozessualen Schwachstellen fehlen aus meiner Erfahrung meist ein erkennbares Committment der Geschäftsleitung sowie die internen Ressourcen und Budgets, die geforderten Compliance-Maßnahmen der DSGVO, des BDSG und TMG, TKG sowie weiteren Gesetzen im Unternehmen umzusetzen. Ziel muss es sein, dass die Mitarbeitenden den Datenschutz im Tagesgeschäft effizient und mit Augenmaß risikoorientiert umsetzen können.

Als wesentliche Voraussetzung für die Erhebung, Speicherung und Verarbeitung sowie Übermittlung von personenbezogenen Daten ist eine Rechtsgrundlage dafür notwendig. Ohne Rechtsgrundlage keine Erhebung oder Verarbeitung im weitesten Sinne. Das können

• die Anbahnung oder Erfüllung eines Vertrages sein, welcher vom Betroffenen initiiert wurde
• Erfüllung einer rechtlichen Pflicht
• lebenswichtige Interessen der betroffenen Person
• Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt
• Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen
• im Rahmen des Beschäftigtenverhältnisses oder auf Basis einer Einwilligung.

Liegt eine derartige Rechtsgrundlage vor, ist es unabdingbar (mit wenigen Ausnahmen), die betroffene Person über die Verarbeitung transparent zu informieren. Im Anschluss hat auch jeder Betroffene das Recht, eine kostenlose Information oder Kopie der von ihm erhobenen Daten zu erhalten. Er kann der Verarbeitung widersprechen, seine Daten korrigieren oder Löschung beantragen.

Hören Sie dazu auch die beiden Podcasts CR015-1 und CR015-2 zum Thema 1 Jahr DSGVO im CIORadio von ACENT.

Quellen:

Anzahl und Bußgeldhöhe der Verfahren https://www.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html

Rechtsgrundlage der Verarbeitung: https://dsgvo-gesetz.de/art-6-dsgvo/

Rechte der betroffenen Personen im Kapitel 3 der DSGVO: https://dsgvo-gesetz.de/kapitel-3/

Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.vgehlen@acent.de