|
[Briefkopf Kanzlei] |
Frau/Herr … |
|
|
|
|
[Datum] |
|
|
Unser Termin/unser Telefonat am/vom … |
|
|
Sehr geehrte Frau …, sehr geehrter Herr …,
verpflichtend gilt die EU-Datenschutz-Grundverordnung seit dem 25.5.2018. Seit diesem Datum ist deren Einhaltung durch die EU-Datenschutzaufsichtsbehörden und die Gerichte überprüfbar. Sollten zu diesem Stichtag Ihre Prozesse nicht unternehmensspezifisch angepasst worden sein, und sollten in diesem Zusammenhang die Vorgaben der EU-Datenschutz-Grundverordnung nicht oder nicht in ausreichendem Maß umgesetzt worden sein, können empfindliche Sanktionen und Bußgelder verhängt werden! Denn von den Regelungsinhalten sind nicht nur wir als Steuerberatungskanzlei betroffen, sondern auch Sie als unternehmerisch tätiger Mandant. Es entstehen neue Transparenzpflichten, deren Einhaltung im Rahmen von Kontrollen der zuständigen Aufsichtsbehörde gegenüber nachgewiesen werden muss.
Daher möchte ich/möchten wir Ihnen die wichtigsten Regelungsinhalte darstellen.
In Ergänzung zur EU-Datenschutz-Grundverordnung stellt das Bundesdatenschutzgesetz, das am 5.7.2017 in Kraft getreten ist, eine Konkretisierung bestimmter Inhalte dar. Es enthält eine Reihe sog. Öffnungsklauseln, die eine nationale Spezifizierung einzelner Vorschriften ermöglichen. Die dort zu findenden Sonderregelungen betreffen insbesondere den Datenschutz in Beschäftigungsverhältnissen und all jene Fälle, in denen eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.
Wie aktuell und brisant das Thema Datenschutz ist, zeigt das gegen ein Telekommunikationsunternehmen festgesetzte Bußgeld in Höhe von 9,55 Mio. EUR, das vom Bundesdatenschutzbeauftragten verhängt wurde.
Der Telekommunikationsdienstleister habe keine hinreichenden Maßnahmen ergriffen, um Unberechtigten den Zugriff auf Kundendaten bei der telefonischen Kundenbetreuung zu verwehren, teilte der Bundesdatenschutzbeauftragte mit. Der Bundesbehörde zufolge hat der Dienstleister damit gegen die EU-Datenschutz-Grundverordnung verstoßen. Anrufer hätten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden "weitreichende Informationen zu weiteren personenbezogenen Kundendaten" erhalten können, hieß es. In Konsequenz hat der Dienstleister inzwischen einen verbesserten Authentifizierungsprozess eingeführt. Eine Geldbuße sei jedoch geboten gewesen, laut Aussage des Bundesdatenschutzbeauftragten, da der Verstoß ein "Risiko für den gesamten Kundenbestand" dargestellt habe.
Zudem hat sich mittlerweile herausgestellt, dass eine ganze "Abmahnindustrie" entstanden ist, die es sich einzig und alleine zur Aufgabe gemacht hat, Verstöße insbesondere im Bereich der Webseiten und Internetauftritte von Unternehmen aufzudecken und diese Verstöße mit empfindlichen Geldbußen zu ahnden. Daher sollte insbesondere Ihrer Website ein besonderes Augenmerk gelten, denn sie stellt für die abmahnenden Rechtsanwaltskanzleien einen "öffentlich zugänglichen Raum" dar.
Was muss hinsichtlich der Datenschutzerklärung beachtet werden?
Die EU-DSGVO schreibt nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch, wie das geschehen muss: Sie muss präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache ausgestaltet werden. Juristische Fachbegriffe sollen vermieden werden. Der Text muss auf Deutsch und je nach Kundenkreis auch in weiteren Sprachen verfasst sein.
Ist die EU-Datenschutz-Grundverordnung für Deutschland bindend?
Da es sich im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) um eine europäische Verordnung handelt, ist sie direkt in allen EU-Mitgliedstaaten umzusetzen. Das bedeutet, es bedarf keines "Umsetzungsgesetzes" in nationales Recht. Allerdings besteht auf nationaler Ebene an einigen Stellen der Verordnung die Möglichkeit, die Regelungen individuell zu konkretisieren oder zu ergänzen. Z. B. gibt es eine Öffnungsklausel, die es den einzelnen Mitgliedstaaten ermöglicht, eigene Inhalte in der Verordnung niederzulegen, z. B. hinsichtlich der Verarbeitung personenbezogener Daten. Allerdings dürfen diese auf nationaler Ebene eingebrachten Ergänzungen keine Verschärfung oder Lockerung bewirken. Auch bereits geschlossene unternehmensspezifische Betriebsvereinbarungen, die Datenschutz abbilden, bleiben weiterhin gültig. Ebenso behält auch die Rechtsprechung deutscher Arbeitsgerichte zum Datenschutz Gültigkeit.
Welche Rolle nimmt das Bundesdatenschutzgesetz im Kontext zur EU-DSGVO ein?
Vor dem Hintergrund, dass die Datenschutzgrundverordnung als unmittelbar geltendes Recht grundsätzlich keine Umsetzung in nationales Recht benötigt, kommt dem Bundesdatenschutzgesetz eine besondere Bedeutung zu. Denn die EU-DSGVO enthält zahlreiche Öffnungsklauseln, die auf nationaler Ebene konkretisiert werden können.
Grundsätzlich gilt all das, was die EU-DSGVO regelt unmittelbar und hat Vorrang vor nationalem Recht. Sie enthält z. B. keine Strafvorschriften, d...