VERBAND UNABHÄNGIGER MUSIKUNTERNEHMEN E.V.
ACT UNITED - STAY INDEPENDENT
Musikwirtschaft15.05.2018 Autor_in: Désirée Reimer

Infos zur neuen Datenschutzgrundverordnung

UPDATE:

Liebe Mitglieder,

ab dem 25. Mai 2018 tritt ein neuer Rechtsrahmen für den Datenschutz in Kraft und wird durchgesetzt. Vor Kurzem informierten wir Euch in einem Sondernewsletter über die Neuerungen, die die Datenschutzgrundverordnung mitbringt. Zudem hielt unser Justiziar und Datenschutzexperte Rechtsanwalt Reinher Karl eine Web-Schulung ab, in der er euch einen Überblick über das neue Datenschutzrecht und die damit verbundenen Pflichten verschaffte.

Die Schulung wurde aufgezeichnet und nun im Mitgliederbereich zum Streaming bereit.

Wie dargestellt, wird das neue Recht Auswirkungen auf Eure Unternehmensprozesse haben – Ihr müsst euch also mit diesen Änderungen auseinandersetzen und auf den 25. Mai 2018 vorbereiten! Insbesondere habt ihr umfangreiche Dokumentations- und Nachweispflichten und wenn ihr diese Pflichten nicht erfüllt, lauft Ihr Gefahr in den Fokus der Datenschutzbehörden zu geraten und Bußgelder zu kassieren.

Zusätzlich zu den bisherigen Informationen empfehlen wir die Website der Bayerischen Landesamts für Datenschutzaufsicht, auf der zahlreiche weitere Orientierungshilfen zu finden sind. Erwähnenswert sind v.a. die Handreichungen für kleine Unternehmen. Dort sind exemplarisch einige Fälle aufgeführt. Auf viele von Euch anwendbar sind sicher die Papiere für Einzelhändler_innen und Online-Shops. Natürlich ist diese Behörde nicht für alle von Euch zuständig, aber deren Informationen sind sehr hilfreich und können durchaus von Unternehmen in anderen Bundesländern verwendet werden. Letztendlich geht es ja darum, wie Ihr dies in Eure Arbeitsprozesse einbaut.

Wir haben Euch damit gezeigt, wie das System funktioniert und mit den vorstehenden Orientierungshilfen, Mustern und Arbeitsmaterialien seid ihr gut für eine Umsetzung gerüstet. Bei konkreten Fragen steht Euch Reinher Karl natürlich in der Rechtsberatung zur Seite (Kontakt im Mitgliederbereich).
-----------------------------

NEUE DATENSCHUTZGRUNDVERORDNUNG

Im Mai 2018 tritt ein neuer Rechtsrahmen für den Datenschutz in Kraft. Was früher vielleicht ein Randthema war, könnt Ihr jetzt insbesondere wegen viel höherer Bußgelder nicht mehr ignorieren. Das neue Recht wird weitreichende Auswirkungen auf Eure Unternehmensprozesse haben – Ihr müsst euch also mit diesen Änderungen auseinandersetzen und auf Mai 2018 vorbereitet sein!

Wir wollen keine Panik verbreiten, legen Euch dieses Thema aber eindringlich ans Herz:
Bitte lest Euch ein und vermeidet etwaige Bußgelder in Millionenhöhe!

1. Datenschutzgrundverordnung: Was ist das und was soll das?
Mit dem 25.05.2018 wird der bisherige Rechtsrahmen in diesem Bereich Geschichte sein. An die Stelle des alten Bundesdatenschutzgesetzes tritt die neue europäische Datenschutzgrundverordnung (DSGVO).

Anders als die bisherige EU-Datenschutz-Richtlinie wird die DSGVO unmittelbar in den EU-Mitgliedsstaaten Anwendung finden und das bis dahin geltende nationale Recht ablösen. Das erklärte Ziel ist die Etablierung eines einheitlichen Schutzniveaus für personenbezogene Daten in der gesamten Union.

2. Worum geht es?
Es geht um personenbezogene Daten. Wer, wie praktisch jedes Unternehmen, personenbezogene Daten verarbeitet, der_die  ist sogenannte_r "Verantwortliche_r" in der Sprache des Datenschutzes und muss die personenbezogenen Daten vor Missbrauch und unbefugtem Zugriff bewahren. Diese Persondarf sie nur nach den Vorschriften der DSGVO und dem neuen BDSG verarbeiten.

3. Was sind personenbezogene Daten?
Eine abschließende Aufzählung ist kaum möglich. Es sind jedenfalls Informationen, die sich auf eine natürliche Person, also einen individuellen Menschen beziehen. Ein paar Beispiele: Namen, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Sozialversicherungsnummer, Fahrzeugkennzeichen, Bankdaten, IP-Adressen, Standortdaten, Geschlecht, Haarfarbe, Kleidergröße, alle möglichen Kund_innendaten, Bestellungen, Adressen, Kund_innennummern und natürlich Zeugnisse, Bewerbungsmappen, Buchhaltungsdaten, Arbeitnehmer_innendaten usw.

4. Welche Änderungen bringt das neue Datenschutzrecht?
Die mit der DSGVO einhergehenden Abweichungen der Rechtslage sind vielfältig. Hier nur die wichtigsten Punkte:

a. Höhere Sanktionen
Die DSGVO macht Ernst. Art. 83 DSGVO sieht für Unternehmen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes vor. Damit verschärft sich der Bußgeldrahmen gegenüber dem bisherigen Recht drastisch. Darüber hinaus waren bisher weitaus weniger Datenschutzverstöße überhaupt bußgeldbewehrt. Das wird ab 25. Mai 2018 anders.

b. Erweiterte Haftung
Neben den Bußgeldern steigen die Risiken für Unternehmen auch im Hinblick auf die zivilrechtliche Haftung wegen tatsächlichen oder behaupteten Datenschutzverstößen. Erstmals sind auch immaterielle Schäden zu erstatten, die auf Datenschutzverstößen beruhen. Betroffene einer Datenschutzrechtsverletzung können zukünftig also Geldentschädigung von Unternehmen verlangen, wenn ihre personenbezogene Daten ohne gesetzliche Erlaubnis oder Einwilligung verarbeitet wurden.

c. Erweiterte Dokumentations- und Nachweispflichten

Die DSGVO sieht deutlich erweiterte Nachweis- und Dokumentationspflichten vor. Wenn Ihr personenbezogene Daten verarbeitet, dann müsst Ihr jederzeit nachweisen können, dass Ihr Euch an die Anforderungen des Datenschutzrechts haltet. Es gilt das Prinzip „Wer schreibt, der bleibt“. Jegliche datenrelevanten Prozesse im Unternehmen müssen korrekt erfasst, bewertet und regelmäßig überprüft werden.

d. Datenschutz-Folgenabschätzung
Hat eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge, so muss der_die Verantwortliche eine sog. Folgenabschätzung durchführen. Hierbei ist in einem Kurzgutachten eine Bewertung der Rechtsgrundlagen, der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken und der erforderlichen Sicherheitsmaßnahmen erforderlich. Wer sich nicht sicher ist, der muss die Aufsichtsbehörde konsultieren (Art. 36 DS-GVO).

e. Erweiterte Informationspflichten
Grundsätzlich muss der_die Verantwortliche betroffene Personen, also diejenigen, auf die sich die Daten beziehen, vor einer Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten. Im Einzelnen sind dies: Name und Kontaktdaten der_des für die Datenerhebung Verantwortlichen, die Kontaktdaten des_der Datenschutzbeauftragten, die Zwecke und die Rechtsgrundlage der Verarbeitung, das berechtigte Interesse des_der Verantwortlichen oder eines_einer Dritten, Empfänger_innen der personenbezogenen Daten und die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation.

f. Dienstleistungsbeziehungen

Jedes Unternehmen nimmt externe Dienstleistungen in Anspruch oder steht Dritten als externer Dienstleister zur Verfügung. Sofern diese Dienstleistungsbeziehungen personenbezogene Daten berührt, liegt nach aktuellem Recht ein Auftragsdatenverarbeitungsverhältnis vor. Die Auftragsdatenverarbeitung wurde unter dem Namen „Auftragsverarbeitungen“ in die DSGVO überführt. Auftragsverarbeiter sind zum Beispiel die externe Buchhaltung, das Rechenzentrum, der Hostprovider, Cloudanbieter etc.

g. Erhöhte Anforderungen an die Datensicherheit
Eine weitere für die Praxis wesentliche Änderung ist das Bußgeldrisiko bei unzureichender Datensicherheit. Die technischen und organisatorischen Maßnahmen müssen angemessen sein. Unter technischen organisatorischen Maßnahmen sind alle physischen, technischen Schutzversuche zu verstehen, also zum Beispiel die Gebäudesicherung, Passwortmanagement, Soft- und Hardware Maßnahmen zum Schutz von personenbezogenen Daten. Bislang waren Verstöße nicht bußgeldbewehrt. Dies ändert sich mit der Verordnung grundlegend. Unternehmen müssen ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen. Verstöße werden mit einem Bußgeld geahndet.

h. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Art. 25 Abs. 1 DSGVO regelt den Grundsatz der „privacy by design“; Abs. 2 die Anforderung „privacy by default“. Unternehmen müssen ihre IT-Systeme nach Art. 25 Abs. 1 DSGVO grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO wirksam umsetzen, insbesondere das Gebot der Datenminimierung – sie sollen also nur so viele Daten erheben, wie sie zur Erfüllung des verfolgten Zwecks benötigen. Zudem sollen IT-Systeme datensparsam „voreingestellt“ sein.

i. Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Die Verordnung sieht bei Datenpannen umfassendere Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor. Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem der_dem Verantwortlichen die Verletzung bekannt wurde. Fehler bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen werden mit Bußgeldern geahndet.

j. Löschen von Daten und Recht auf Vergessenwerden
Künftig regelt Art. 17 DSGVO das Recht auf Löschung personenbezogener Daten. Der_die Verantwortliche muss personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft (z.B. unrechtmäßige Verarbeitung, Widerruf der Einwilligung, Widerspruch gegen Verarbeitung, Datenverarbeitung hat ihren Zweck erfüllt). Fehler bei der Verpflichtung zum Löschen von personenbezogenen Daten werden mit Bußgeldern geahndet.

Wer noch weiterführende Fragen hat, wendet sich bitte an die VUT Rechtsberatung (Kontakt im Mitgliederbereich.

Tags:

Kategorie: Musikwirtschaft,

Zum Thema