Rechtsanwältin Dr. Sigrid Dienst-Rohloff, Kanzlei Dienst ∙ Rühl ∙ Dr.Rohloff informiert zur EU-Datenschutz-Grundverordnung
Besondere Pflichten für Betriebe und Vereine zum Datenschutz
Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DS-GVO).
Praktisch ohne Ausnahme müssen nunmehr alle Vereine, Verbände, Betriebe und alle Unternehmen, die Daten erfassen und speichern, ihre komplette Datenverwaltung daran orientieren. Auch kleine Handwerksbetriebe und Einzelhandelsgeschäfte gelten als datenverarbeitende Unternehmen.
Die Bestimmungen der DS-GVO regeln die Verarbeitung von personenbezogenen Daten. Das sind zum Beispiel Name, Adresse, Geburtsdatum, Bankdaten, Sozialversicherungsnummer etc. Besonders sensible Daten sind z.B. Angaben über Religionszugehörigkeit, Herkunft, Gesundheitszustand oder strafrechtliche Verurteilungen.
Sobald Rechnungen ausgestellt, Mitarbeiterdaten verwaltet, eine Kundendatei geführt oder ein Newsletter bzw. sonstiges Werbematerial versandt werden, werden personenbezogene Daten im Sinne der DS-GVO verarbeitet. Nicht nur digital verarbeitete personenbezogene Daten sind von der DS-GVO betroffen. Auch für per Hand sortierte Ablagen, wie zum Beispiel alphabetisch sortierte Visitenkarten oder Karteikarten, gelten die Bestimmungen der DS-GVO.
Ab dem 25.05.2018 ist daher zwingend innerhalb eines jeden Betriebes das Erfassen, Ablegen, Speichern und auch Löschen der Kunden- sowie Mitarbeiterdaten entsprechend den gesetzlichen Vorgaben zu dokumentieren. Entsprechendes gilt für die Mitgliederdaten in Vereinen. Alle Personen, deren Daten betroffen sind, sind über den Umgang mit ihren Daten, ihr Recht auf Korrektur und ggf. Widerruf zu informieren. Unter Umständen ist die vorherige schriftliche Einwilligung dieser Personen zum Umgang mit ihren Daten einzuholen.
Gemäß Artikel 30 der DS-GVO hat grundsätzlich jeder Verein oder Betrieb ein Verzeichnis seiner Verarbeitungstätigkeiten nach bestimmten gesetzlichen Vorgaben zu erstellen, welches von der Aufsichtsbehörde überprüft werden kann. In diesem Verzeichnis sind u.a. der sog. Verantwortliche und ein etwaiger Datenschutzbeauftragter zu benennen sowie die Rechtsgrundlagen der Datenverarbeitung und die einzelnen Verarbeitungstätigkeiten zu beschreiben. Wurde ein Datenschutzbeauftragter benannt, ist dieser der Aufsichtsbehörde zu melden. IT-Sicherheit wird somit immer wichtiger. Im E-Mail-Verkehr ist darauf zu achten, dass E-Mail-Adressen von Kunden, Mitarbeitern oder Mitgliedern nicht an unbefugte Dritte – z.B. unter „cc“ – ohne Einverständnis weitergeleitet werden. Personen, deren Daten verarbeitet werden, haben darüber hinaus Auskunftsrechte gegenüber den Betrieben/Vereinen. Bei Veröffentlichungen von Bildern, etwa von Mitarbeitern auf der Webseite, ist deren vorheriges schriftliches Einverständnis einzuholen. Datenpannen sind der Aufsichtsbehörde zu melden.
Jeder Betrieb/Verein, der sich insoweit nicht an die gesetzlichen Vorgaben der EU-Datenschutz-Grundverordnung hält, muss ab dem 25.05.2018 bei Verstößen gegen bestimmte Vorschriften mit empfindlichen Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag der höhere ist) rechnen.
Kontakt: Rechtsanwälte Dienst ∙ Rühl ∙ Dr. Rohloff, Dietenhäuser Straße 9, 35789 Weilmünster, Tel: 06472/91680, E-Mail: info@kanzleidienst.de, www.kanzleidienst.de
Artikel erschienen in Weilmünster Aktiv Ausgabe Mai 2018