Die europäische Datenschutzgrundverordnung (DSGVO) trat  am 25.5.2018 in Kraft.

Seit dem 25.05.2018 muss in der Regel jedes Unternehmen, auch kleine Handwerksbetriebe, Kindergärten, Vereine oder Freiberufler, ein gesetzeskonformes Datenschutzmanagement bereitstellen.

Hiervon zu unterscheiden ist die Bestellung eines Datenschutzbeauftragten: diese ist in den meisten Fällen erst ab 20 Mitarbeitern erforderlich. Der Datenschutzbeauftragte muss bei der Aufsichtsbehörde gemeldet werden. Sollte dies für Ihren Betrieb noch nicht geschehen sein, ist in einigen Bundesländern bereits hierdurch zum jetzigen Zeitpunkt ein Bußgeldtatbestand verwirklicht.

Folgendes Szenario kann bereits morgen  eintreten:

Szenario 1:

Ein Kunde meldet an die zuständige Aufsichtsbehörde

• dass Kundenunterlagen in Ihrem Empfangsbereich offen herumliegen und nicht verwahrt werden, oder
• dass zwei Verkäufer auf den selben PC zugreifen können ohne jeweils ein individuelles Passwort eingeben zu müssen, oder
• dass er keine Datenschutzerklärung zu seiner Kundenkarte bekommen hat/ oder meint, dass diese nicht ausreichend sei.

Egal ob die Beschwerde begründet ist oder nicht, die Aufsichtsbehörde prüft nun mit hoher Wahrscheinlichkeit nicht nur den gemeldeten Vorfall, sondern das komplette Datenschutzkonzept!

Folge:

Haben Sie kein Datenschutzkonzept, oder entspricht dieses nicht den neuen gesetzlichen Anforderungen, wird ein Bußgeld verhängt.

Im Gegensatz zur bisherigen Rechtslage gilt: Es steht nicht mehr im Ermessen der Aufsichtsbehörden, ob ein Verstoß geahndet  wird. Datenschutzverstöße müssen künftig geahndet werden.

Lediglich über die Höhe des zu verhängenden Bußgeldes kann noch entschieden werden. Das Regelbußgeld ist nach oben auf 20 Mio. Euro bzw. 4 % des letztjährigen Umsatzes begrenzt. Aktuell liegen nach Auskunft der Aufsichtsbehörden in Deutschland die durchschnittlichen Bußgelder bei 10.000 bis 15.000 Euro.

Szenario 2:

Ein Konkurrent bemerkt, dass die Datenschutz-Belehrung auf Ihrer Website nicht den gesetzlichen Anforderungen entspricht, geht zu einem Rechtsanwalt und lässt Sie abmahnen.

Folge:

Sie können entweder die geforderte Unterlassungserklärung abgeben (wozu wir nicht uneingeschränkt raten) und die Anwaltsgebühren bezahlen oder es droht ein Gerichtsverfahren das Sie mit gewisser Wahrscheinlichkeit verlieren werden.

Entweder sie richten ein Datenschutzmanagementsystem ein, das bedeutet unter anderem

• Erstellen und Führen eines aktuellen Verzeichnisses von Verarbeitungstätigkeiten mit Überprüfung der jeweiligen Rechtsgrundlage zur Datenverarbeitung
• Erstellen und Führen eines aktuellen Verzeichnisses Ihrer Auftragsverarbeiter unter Verweis auf rechtskonforme Datenschutzklauseln in Lizenzverträgen etc.
• regelmäßige Mitarbeiterschulung 
• Offenlegung des Datenschutzmanagements und Beantwortung von Fragen bei einer Untersuchung der Datenschutzbehörde
• Überprüfung und Beantwortung von Kundenanfragen und -Beschwerden,  sowie eventuell Herausgabe oder Löschung der gespeicherten Daten
• permanente Lektüre von neuen relevanten Gerichtsurteilen, Bekanntmachungen der Datenschutzbehörden und juristischen Kommentaren um Ihr Datenschutzmanagement an die aktuellen Anforderungen anzupassen

Oder Sie beauftragen einen Fachmann mit

• der Einrichtung Ihres Datenschutzmanagements sowie
• der dauerhaften Betreuung als externer Datenschutzbeauftragter