Was prüfen die denn, und wie?", fragen sich fast alle Vereinsvorstände. Sie stellen sich die Frage, ob, wie und welche personenbezogenen Daten an Dach- und Landesverbände übermittelt werden dürfen oder ob Geburtstags- oder Adresslisten an andere Vereinsmitglieder weitergegeben werden dürfen und und...
Aufsichtsbehörden prüfen in der Regel nur dann, wenn Betroffene sich bei ihnen beschweren. Mit der in Kraft tretenden Datenschutz-Grundverordnung (DSGVO) werden auch Abmahnungen möglich. Das gilt auch für eine für Körperschaften.
Die meisten Unternehmen haben erkannt, dass die eigene Homepage ein Einfallstor für Abmahnungen ist, gehen jetzt auf ihre Provider und Hoster zu und verlangen einen Vertrag über die Auftragsdatenverarbeitung.
Darüber hinaus sehen viele aber auch in der eigenen Firma nach, ob mit der Verwaltung von Mitarbeiter-und Kundendaten alles rechtskonform ist.Die erste Frage ist, ob die Unternehmen die Daten noch brauchen oder ob sie sie wegen abgelaufener Aufbewahrungspflichten löschen und vernichten können.
Die Datenschutz-Grundverordnung nimmt auch kleinste Unternehmen und Vereine in die Pflicht. Die Industrie- und Handelskammern, Berufsverbände sowie freie Datenschutzberater haben derzeit großen Zulauf. Externe Datenschutzbeauftragte, die für mehrere Unternehmen arbeiten, sind schon seit Langem ausgebucht. Diese erhöhte Wahrnehmung für das Thema ist doch bereits ein großer Erfolg der Grundverordnung.
Einen Grund zur Panik sehen die Datenschutz-Aufsichtsbehörden nicht, denn die DSGVO orientiert sich größtenteils an dem bereits geltenden Bundesdatenschutzgesetz. Auch künftig gilt der alte Grundsatz, dass eine Nutzung personenbezogener Daten nur zulässig ist, wenn entweder eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Datennutzung einwilligt.
Die Einwilligung ist übrigens kein Königsweg. So ist sie beispielsweise dann nicht rechtswirksam, wenn der Betroffene in etwas einwilligt, was ihm schadet. Er kann auch nicht in etwas einwilligen, wenn er diese Entscheidung nicht frei und informiert treffen kann.
Eine Alternative besteht überdies darin, die personenbezogenen Daten zu anonymisieren. Dann lassen sie sich frei verwenden. Neu sind die stärkeren Auskunftspflichten sowie die Vorgabe, dass auch die IT-Sicherheit nach dem Stand der Technik zu gestalten ist. Den Nachweis darüber muss künftig der Datenverarbeiter führen. Früher musste der Geschädigte Mängel nachweisen. Die Höhe der Bußgelder richtet sich immer nach den wirtschaftlichen Verhältnissen der Unternehmen und Vereine sowie nach der Schwere des Falls. So wird berücksichtigt, wie hoch das Risiko einer Grundrechtsverletzung für eine Person ist. Allerdings können auch Mitbewerber Abmahnungen aussprechen. Auch das kann Kosten verursachen.
Eine leichte Entwarnung gibt inzwischen der Zentralverband des Deutschen Handwerks Betriebe, die schon heute datenschutzkonform handeln, müssten mit keinem zusätzlichen Aufwand rechnen.
Kommentare
Kommentar veröffentlichen