Die DS-GVO soll den gesamten Datenschutz in der EU neu regeln und vereinheitlichen. Die DS-GVO gilt nicht nur für größere Unternehmen mit einer Vielzahl von Mitarbeitern, sondern auch für Einzel- bzw. Kleinunternehmer, freiberuflich Tätige oder etwa Vereine. Verstöße können zu wettbewerbsrechtlichen Abmahnungen sowie zu Sanktionen und Bußgeldern führen, die erheblich höher ausfallen werden als bisher.
Aber welches sind nun die zu beachtenden Vorgaben und Pflichten? Insbesondere handelt es sich um die folgenden:
1. An allererster Stelle ist die Verwendung einer rechtskonformen Datenschutzerklärung zu nennen. Diese ist auf der eigenen Internetpräsenz zu veröffentlichen und somit von jedem, d.h. auch von Mitbewerbern und den Aufsichtsbehörden einsehbar.
2. Unternehmen oder Vereine mit mindestens zehn Personen, die damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten sowie Unternehmen oder Vereine, die besonders empfindliche persönliche Daten verarbeiten (z.B. Ärzte und Partnervermittlungen) haben einen Datenschutzbeauftragten zu benennen und dessen Kontaktdaten ebenfalls zu veröffentlichen.
3. Es ist ein so genanntes "Verzeichnis von Verarbeitungstätigkeiten" zu führen. Hierbei handelt es sich zwar um eine Vorgabe, die "nur" intern zu erfüllen ist, eine Veröffentlichung des Verzeichnisses ist somit nicht erforderlich. Gleichwohl sind in absehbarer Zeit entsprechende Kontrollen der zuständigen Behörden zu erwarten. Die Pflicht zur Führung und regelmäßigen Aktualisierung eines solchen Verzeichnisses sollte also durchaus ernst genommen werden.
4. Die DS-GVO macht zahlreiche Sicherheitsmaßnahmen in Sachen Datenverwaltung, IT und E-Mail-Verkehr erforderlich, die in dem unter Ziffer 3 genannten Verzeichnis detailliert zu beschreiben sind und damit ebenfalls einer behördlichen Überprüfung unterliegen. Dementsprechend ist die jeweilige Unternehmensstruktur einer eingehenden Überprüfung und Umstellung zu unterziehen. Nicht zuletzt sollten auch etwaige zuständige Mitarbeiter rechtzeitig in Bezug auf das Thema Datenschutz sensibilisiert und geschult werden.
5. Sofern externe Dienstleister wie IT-Fachleute, Buchhalter oder Steuerberater eingeschaltet werden (sog. Auftragsverarbeiter), ist mit diesen ein entsprechender Vertrag zu schließen, der die Einhaltung der Vorgaben der DS-GVO garantiert.
6. Zahlreiche Betroffenenrechte wie das Recht auf Auskunft, Löschung und Widerspruch runden die DS-GVO ab. Betroffene können z.B. Kunden und Lieferanten, aber auch Mitarbeiter sein.
7. Die Veröffentlichung von Personenfotos (z.B. Abbildung von Mitarbeitern im Internet) unterlag schon bislang strengen Vorgaben und ist auch weiterhin in den einschlägigen §§ 22 ff. KUG (Kunsturhebergesetz) geregelt.
Das Foto- und Bildrecht und damit auch das in § 22 KUG geregelte "Recht am eigenen Bild" gehört seit jeher zu den Haupttätigkeitsgebieten der Kanzlei für Künstler-, Internet- und Medienrecht. Diesbezüglich wird auf einen gesondert erscheinenden Fachartikel von Rechtsanwalt Ludwig Rentzsch mit dem Titel "Veröffentlichung von Mitarbeiterfotos" verwiesen.
