DSGVO
Ich helfe bei Fragen zur Umsetzung der EU-Datenschutzgrundverordnung (DSGVO), die sowohl für kleine als auch große Unternehmen ein risikobehaftetes Feld beim Umgang mit personenbezogenen Kunden- oder Mitarbeiterdaten darstellt. Der Umgang mit Auskunftsersuchen ist – wie man hat der Vielzahl von gerichtlichen Entscheidungen erkennen kann – ein hart umkämpftes Gebiet und ich unterstütze dabei vor allem außergerichtlich einen Rechtsstreit zu vermeiden, notfalls aber auch als Prozessbevollmächtigte vor Gericht. Inzwischen steigen sowohl Bußgelder der Datenschutzaufsichtsbehörden wie auch Schadenersatzurteile der Zivilgerichte an, nachdem einige Grundsatzfragen zur Verantwortlichkeit, Haftung und Schadenersatz teilweise höchstrichterlich von den Obergerichten wie Bundesgerichtshof, Bundesverwaltungsgericht, Finanzgerichtshof und vor allem als Europarecht höherrangigen Europäischen Gerichtshof (EUGH) entschieden, die mehr Rechtssicherheit gebracht haben .
Da sowohl Betroffene als auch Abmahnvereine, Verbraucher- und Wettbewerbsvereine als auch Kanzleien, die sich auf Massenklagen spezialisiert haben, DSGVO-Verstöße unter Umständen geltend machen können, steigt hier der Handlungsbedarf, bereits außergerichtlich mehr im Datenschutz zu tun, nicht nur oberflächlich, wie dies einige Unternehmen in den letzten Jahren zum Teil getan haben. Lassen Sie besser jetzt prüfen, ob Sie ausreichend gut im Datenschutz aufgestellt sind, das Datenschutzmanagement in Ihrem Unternehmen gut gelebt und kontinuierlich umgesetzt wird oder mit anwaltlicher Unterstützung der Stakeholder, ein Änderungsbedarf besteht.
Die umfangreichen Informations- und Auskunftsansprüche, Datenschutzerklärungen als auch teilweise erforderlichen Auftragsverarbeitungsverträge nach Art. 28 DSGVO, Kooperationsverträge und Joint Controller Ship Vereinbarungen nach Art. 26 DSGVO oder Betriebsvereinbarungen über die Einführung und Betrieb von IT-Tools, die zur Arbeitsüberwachung geeignet sind, können die Unternehmen in der Regel nicht ohne fachanwaltliche Prüfung und Beratung sachgerecht aufsetzen. Hier unterstütze ich gerne.
Warum Datenschutz?
Aus Verbrauchersicht z.B. der Mitarbeiter geht es um informationelle Selbstbestimmung z.B. Schutz vor (oft falschem odere irreführenden) Profiling, Kontrolle über die von ihnen benutzten Geräte und IT-Systeme, informationelle Freiheit, Schutz vor Spam, Mobbing und anderem Übel wie Jobverlust oder Kreditabsagen.
Aus Unternehmersicht: Vermeidung von erheblichen Bussgeldern, Rufschaden, Glaubwürdigkeitsverlusten und Schadenersatzklagen wegen Datenpannen. Solche Folgen von Verstößen gegen die Datenschutzgrundverordnung (EU-DSGVO) nehmen zu und können das Unternehmen gefährden
Einige Unternehmen haben die seit 25.05.2018 gültige EU-Datenschutzgrundverordnung aus Gründen immer noch nicht richtig umgesetzt und es ist ja auch ein stetiger begleitender Prozess. Interessenkollisionen haben hier viel behindert. Es ist auch herausfordernd und erfordert eine laufendes Datenschutz-Management aller Fachabteilungen oder des Einzelunternehmers, qualifizierte interne und externe Berater zur Technik und Recht und die gute laufende Abstimmung der Teams, um alle Prozesse, bei denen personenbezogene Daten eine Rolle spielen, datenschutzkonform zu gestalten und hier angemessene, zumutbare und praktikable Lösungen zu finden. Entgegen einer häufig leider in der Vergangenheit anzutreffenden Meinung mancher Marktteilnehmer, ist ein Vorsprung durch Rechtsbruch nicht anzuraten. Er kommt das Unternehmen oft sehr teuer zu stehen. In Zeiten von Whistleblowing ist es auch nicht intelligent wenn schlechte Geschäftsleiter und ihre Dienstleister glauben, Verstöße und Pannen werden auf Dauer sicher geheim bleiben.
Auftragsverarbeiter z.B. die Webagentur müssen vertraglich und mit sinnvollen Weisungen gebunden werden und es sollten auch regelmäßig Berichte angefordert werden, um Handlungsbedarf rechtzeitig zu identifizieren. Viele Unternehmer und manche Agenturen wissen gar nicht genau, wie und wo die Dienstleister die Daten ihrer Kunden und Mitarbeiter verarbeiten. Das ist dann immer ein Alarmsignal für Nachlässigkeit und den Kontrollverlust.
Die Risiken für Nachlässigkeiten in diesem Bereich sind jedoch für die Geschäftsleitung gravierend, oft auch nicht versicherbar und machen die Umsetzung zur Chefsache. Es droht ein hoher Rufschaden, wenn keine risikoadäquaten technischen und organisatorischen Massnahmen zur Vorbeugung einer Datenpanne getroffen worden sind und später meldepflichtige Datenschutzpannen bekannt werden. Aufsichtsbehörden einiger Länder versenden stichprobenartig oder bei Beschwerden Fragebögen und prüfen Unternehmen insbesondere dann, wenn Beschwerden von Betroffenen oder (ehemaligen) Mitarbeitern eingehen. Aus den Tätigkeitsberichten der Datenschutzbeauftragten geht hervor, dass der Informationsaustausch bei länderübergreifenden Prozessen zwischen den Behörden an Fahrt aufnimmt. Die Datenschutzaufsichtsbehörden dürfen nach der DSGVO auch anlassunabhängig prüfen. Hervorzuheben sind insgesamt folgende Aspekte für Unternehmen:
-
- Pflicht für eine umfassende, klare verständliche und richtige Datenschutzerklärung, die stets aktualisiert werden muss
- Auftragsverarbeitungsverträge mit Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten
- Kooperationsverträge bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO und Info an Betroffene
- Pflicht zur Nachweisbarkeit eines ordentlichen Datenschutzmanagements – ausreichende Schulung und Dokumentation
- Verschärfung der Rechenschaftspflichten – nicht der Betroffene muß die Pflichtwidrigkeiten nachweisen, wenn eine Panne zu einem Schaden bei dem Betroffenen geführt hat
- Bußgelder und Haftungsrisiken sind für eine nachlässige Geschäftsleitung nicht versicherbar
- Ausweitung der Betroffenenrechte einschließlich Vermögensschadenersatzansprüche mit Beweislastumkehr (Art. 5 Abs. 2 DSGVO regelt eine Rechenschaftspflicht und nach Art. 82 Abs. 3 DSGVO haftet das Unternehmen für jeden Schaden aufgrund einer Datenschutzverletzung, wenn er nicht nachweist, dass er nicht verantwortlich dafür ist)
- sehr hohe Bußgelder nach Artikel 83 bei Verstößen in Höhe von bis 4 % des weltweiten Umsatzes im Unternehmensverbund oder 20 Mio. EURO. Aktuell veröffentlichte Bussgelder der Aufsichtsbehörden können Sie hier verfolgen: https://www.enforcementtracker.com
- Nach Art. 82 DSGVO hat ein geschädigter Betroffener bei einer Datenpanne, die auf pflichtwidrige Nachlässigkeiten des Unternehmens oder seiner Auftragsverarbeiter zurückzuführen sind, einen Anspruch auf immateriellen Schadenersatz. Einzelheiten dazu sind umstritten, aber fest steht, dass diese nach derzeitigem Stand der Rechtsprechung alleine, also unabhängig von materiellen Schäden, mit Beträgen von derzeit 100 Euro bis 5.000 Euro, je Betroffener von den Gerichten bewertet werden. Die Zahl der Schadenersatzurteile in diesem Bereich nimmt zu. Bei Datenpannen können sich die Beträge hier ebenfalls summieren.
Abmahnwellen und Haftung wegen Datenpannen vermeiden
Handlungsempfehlungen zum richtigen Umgang mit Auskunftsersuchen, vermeiden oder Prüfung und Rechtsvertretung bei Abmahnungen #DSGVO #Webseitenchecks
Die Abmahnwelle zu Google Webfonts ist vorbei, da sie mißbräuchlich war. Aber die Auskunftsersuchen und Schadenersatzklagen Betroffener bei Datenschutzverletzungen, durch die der Betroffene einen immateriellen oder gar materiellen Schaden erlitten hat, haben in 2024 stark zugenommen. Seit dem Urteil des Bundesgerichtshofs (BGH) zum Schadenersatz nach Art. 82 DSGVO wegen dem schuldhaften Datenleak wegen Ermöglichen des „Data Scraping“ geht die Tendenz im Einzelfall je Betroffener hin zu 100 Euro für den Kontrollverlust über die personenbezogenen Daten und summiert sich damit bei vielen Betroffenen zu sehr hohen Summen. Die Ansprüche sind abtretbar und können von hierauf spezialisierten Sammelklägern gerichtlich durchgesetzt werden. Grund hierfür ist die Entwicklung der EUGH-Rechtsprechung, die mit zahlreichen Entscheidungen in 2022 und 2023 den Unternehmen die Beweislast dafür auferlegt hat, dass im Falle einer Datenpanne sie nicht hierfür verantwortlich sind und auch nicht für die Sicherheitslücke bei eingebundenen IT-Dienstleistern, wenn das alleinige Verschulden nicht alleine bei dem Dienstleister lag. Letzteres muss jedoch das verantwortliche Unternehmen erst einmal nachweisen und nicht der geschädigte Kunde oder Mitarbeiter. Auch führen Bagatellschäden in der Masse zu hohen Haftungssummen und führen neben der Schadenersatzwelle auch ggfs. zu hohen Bußgeldern.
Nehmen Sie jetzt KontaktKontakt auf.