18
TITEL
_DATENSCHUTZ
personalmagazin 01/18
Bei Fragen wenden Sie sich bitte an
erfüllen sind. Absatz 2 enthält jeweils
Angaben, die nicht bei jeder Datener-
hebung mitzuteilen sind, sondern nur
dann, wenn sie für eine transparente
Datenerhebung erforderlich sind.
Zu beachten ist ferner der Zeitpunkt
der Erfüllung der Informationspflicht:
Bei der Datenerhebung, die unter Art.
13 DSGVO fällt, ist der Betroffene im
Zeitpunkt der Erhebung der Daten zu
informieren. Art. 14 DSGVO – wenn
die personenbezogenen Daten nicht
bei der betroffenen Person erhoben wer-
den – sieht hingegen in Abs. 3 lit. a ei-
ne Informationspflicht innerhalb einer
„angemessenen Frist“ vor, die maximal
einen Monat betragen soll.
Auskunftspflichten:
Was Betroffenen mitzuteilen ist
Sodann gewährt Art. 15 DSGVO ein Aus-
kunftsrecht. Danach haben Betroffene
das Recht, von Verantwortlichen eine
Bestätigung darüber zu verlangen, ob
sie betreffende personenbezogene Daten
verarbeiten werden. Ist dies der Fall, so
regelt Abs. 1 Satz 2 den Inhalt des Aus-
kunftsanspruchs. Darunter fallen etwa:
•
der Zweck der Verarbeitung,
•
die Kategorien der verarbeiteten Daten,
•
die Empfänger oder Kategorien von
Empfängern, gegenüber denen die Daten
offengelegt werden, insbesondere wenn
die Offenlegung außerhalb der EU oder
des EWR stattfindet,
•
die Dauer der Speicherung der Daten
oder die Kriterien für die Festlegung die-
ser Dauer,
•
das Bestehen eines Rechts auf Berichti-
gung oder Löschung der Daten oder auf
Einschränkung der oder Widerspruch
gegen die Verarbeitung sowie
•
das Bestehen eines Beschwerderechts
bei einer Aufsichtsbehörde.
Dokumentationspflichten:
Verzeichnis führen, Folgen abschätzen
Neben den Betroffenenrechten in Art.
12 ff. regelt Art. 5 Abs. 2 DSGVO die so-
genannte Rechenschaftspflicht. Danach
ist der Verantwortliche verpflichtet, die
Einhaltung der in Abs. 1 (und bereits
oben) genannten Grundsätze nachwei-
sen zu können. Art. 24 Abs. 1 DSGVO
sieht zudem vor, dass der Verantwort-
liche die getroffenen technischen und
organisatorischen Maßnahmen zu doku-
mentieren hat. Die verarbeitende Stelle
muss also nicht nur sämtliche Vorgaben
der DSGVO einhalten, sie muss die Ein-
haltung auch nachweisen können.
Ferner sehen zahlreiche Artikel noch
eigenständige Pflichten zur Dokumen-
tation vor. Insbesondere sind in die-
sem Zusammenhang das künftig vom
Verantwortlichen und nicht mehr vom
Datenschutzbeauftragten zu führende
Verfahrensverzeichnis nach Art. 30 DS-
GVO anzuführen sowie die Datenschutz-
folgeabschätzung nach Art. 35 DSGVO.
Das Verfahrensverzeichnis muss die
in Art. 30 Abs. 2 DSGVO aufgeführten
Angaben enthalten. Zu diesen zählen
unter anderem:
•
der Name und die Kontaktdaten des
Verantwortlichen,
•
die Zwecke der Verarbeitung,
•
eine Beschreibung der Kategorien be-
troffener Personen und der personen-
bezogenen Daten sowie der Empfänger,
gegenüber denen die personenbezoge-
nen Daten offengelegt worden sind oder
noch offengelegt werden sowie
•
gegebenenfalls Übermittlungen von
personenbezogenen Daten an ein Dritt-
land oder an eine internationale Orga-
nisation, einschließlich der Angabe des
betreffenden Drittlands oder der betref-
fenden internationalen Organisation.
Die Datenschutzfolgeabschätzung
nach Art. 35 DSGVO verpflichtet den
Verantwortlichen, bei denjenigen Ver-
arbeitungsformen, die ein hohes Risiko
Halten sich Unternehmen als verantwortliche Stellen nicht an die beschriebenen
Pflichten, so drohen ihnen künftig ganz erhebliche Geldbußen.
In Art. 83 DSGVO sind die Folgen bei Verstößen gegen die genannten Pflichten geregelt.
Die Vorschrift trennt in Abs. 4 und 5 zwischen Verstößen, die zu einem Bußgeld in Höhe
von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu vier Prozent
seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäfts-
jahrs führen. Hierunter fällt beispielsweise ein Verstoß gegen einen der in Art. 5 Abs.
1 DSGVO aufgeführten Grundsätze oder gegen die in Art. 5 Abs. 2 DSGVO geregelte
Rechenschaftspflicht sowie die in Art 12 ff. geregelten Informations- und Auskunftsrech-
te. Art. 83 Abs. 4 DSGVO enthält unter anderem eine Regelung für Verstöße gegen Art.
25 bis 39 DSGVO, also beispielsweise gegen die Meldepflicht sowie die gegen Pflichten
der Erstellung einer Datenschutzfolgeabschätzung oder zur Führung eines Verfahrensre-
gisters. Bei diesen Sachverhalten ist „nur“ eine Geldbuße in Höhe von bis zu 10.000.000
Euro oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten welt-
weit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich.
Darüber hinaus besteht jedoch das Risiko, von Betroffenen selbst verklagt zu werden.
Möglich ist künftig nicht nur die Geltendmachung eines materiellen Schadens, sondern
ebenso ein Schadensersatzanspruch wegen eines eingetretenen immateriellen Scha-
dens (Art. 82 DSGVO). Hinzu kommt, dass die DSGVO eine de-facto-Beweislastumkehr
vorsieht. Dadurch wird die verantwortliche Stelle – hier also der Arbeitgeber – in die
Pflicht genommen, zu beweisen, dass er den ihm vorgeworfenen Verstoß nicht began-
gen hat (Art. 5 Abs. 2, Art. 24 DSGVO).
Das droht bei Verstößen
SANKTIONEN
