Sehr geehrte Mandanten,
sehr geehrte Damen und Herren,
was für fantastische olympische Momente!
Der Sport kann hier Brücken bauen, welche die Diplomatie mitunter nicht erreicht. Und dann noch solche deutschen Eishockey Cracks, die sich einen Teufel um Bestenlisten und jahrzehntelange Traditionen bei den Platzierungen scherten. Sie fegten einfach alles weg. Mit Teamgeist und Kampf entzauberten Sie fast alle vermeintlichen Favoriten. Im Finale ebenbürtig, aber heute hatten die Russen das Glück auf ihrer Seite. 1976 Bronze, 2018 Silber, erst 2060 Gold? So baut man Druck und Erwartungen auf! Oder wir genießen einfach das Wunder von Pyeongchang. Und das immer wieder.
Und da Olympia nun Geschichte ist, können wir uns wieder den dienstlichen Härten der Arbeitswelt widmen. Das neue Datum, welches enorme Unruhe stiftet ist der 25. Mai 2018, denn dann greifen die neuen Regelungen der Datenschutz-Grundverordnung(DSGVO) EU-weit. Bei Verstößen sind die Bußgeldfestsetzungen drastisch angehoben worden von bisher 300.000€ auf bis zu 20 Millionen € oder 4 Prozent des Jahresumsatzes, wobei der jeweils höhere Wert gilt.
Alle Welt kann zwar aus unseren Daten Profile erzeugen und verkaufen, wir aber werden mit nicht unwesentlichen Mehraufwendungen gezwungen, wie wir mit den nachfolgend aufgeführten Sachverhalten umzugehen haben.
Es geht um die Verarbeitung personenbezogener Daten natürlicher Personen. Anzuwenden sind die Datenschutzbestimmungen, wenn die Verarbeitung der Daten im Rahmen der Tätigkeiten einer Niederlassung in der EU erfolgt. Die Verarbeitung selbst kann auch außerhalb der EU stattfinden. Hat ein Unternehmen seine Niederlassung außerhalb der EU, muss es die Regelungen trotzdem beachten, wenn es Waren oder Dienstleistungen in der EU anbietet und die Datenverarbeitung mit seinem Angebot zusammenhängt.
Die folgenden Grundprinzipien sind zu beachten:
Verbot mit Erlaubnisvorbehalt:
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Einwilligung oder eine in der DSGVO normierte Ausnahme vor. Eine solche Ausnahme kann z.B. die Verarbeitung zur Erfüllung eines Vertrages oder zur Erfüllung einer rechtlichen Verpflichtung sein.
Datensparsamkeit:
Die Verarbeitung personenbezogener Daten muss auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sowie dem Zweck angemessen und sachlich relevant sein.
Zweckbindung:
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.
Datensicherheit:
Der Unternehmer hat geeignete technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen. Dabei hat er neben dem Stand der Technik und den Implementierungskosten, den Zweck der Datenverarbeitung, aber auch die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte zu berücksichtigen. Eine Verletzung des Schutzes personenbezogener Daten muss der Unternehmer unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Datenschutzbehörde melden. Es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen.
Betroffenenrechte:
Unternehmen haben gegenüber Betroffenen weitreichende Informationspflichten zu erfüllen, z.B. über den Zweck und die Rechtsgrundlage der Datenverarbeitung. Sie müssen gegenüber einer anfragenden Person Auskunft darüber geben, ob und ggf. welche Daten dieser Person sie verarbeitet haben. Darüber hinaus können Betroffene von Unternehmen verlangen, dass unzutreffende personenbezogene Daten gelöscht werden, weil z.B. die Einwilligung zur Datenverarbeitung widerrufen wurde.
Datenschutz-Folgenabschätzung:
Diese muss der Unternehmer vorab vorsorglich durchführen, wenn die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten birgt.
Datenschutzbeauftragter:
Ein Datenschutzbeauftragter ist u.a. zu benennen, wenn ein deutsches Unternehmen mehr als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Muss ein Unternehmen eine Datenschutz-Folgeabschätzung durchführen, ist ein Datenschutzbeauftragter unabhängig von der Anzahl der Beschäftigten, die personenbezogene Daten verarbeiten, zu benennen.
Das neue Datenschutzrecht beinhaltet umfangreiche und detaillierte Pflichten für Unternehmen. Es müssen interne Prozesse angepasst bzw. neu etabliert werden. Auch eine Schulung der Mitarbeiter ist unerlässlich. Unternehmen sollten unverzüglich, ggf. unter Hinzuziehung ihres Rechtsberaters oder eines Datenschutz-Dienstleisters, mit der Umsetzung beginnen.
Und weil das noch nicht genügend Aufwand ist noch der Hinweis, dass Sie neben der Datenschutz-Folgeabschätzung auch noch ständig eine Verfahrensdokumentation zu führen haben, die Auskunft darüber gibt, wie Sie digitalisieren, elektronisch aufbewahren und Papierbelege vernichten.
Viel Spaß dabei. Bei Problemen unterstützen wir Sie gern.
Für Ihre Rückfragen stehen wir Ihnen natürlich gern wie gewohnt zur Verfügung. Bitte melden Sie sich zeitnah, wenn Beratungsbedarf besteht.
Mit freundlichen Grüßen
Gerald Herrmann
Ihr Steuerberater aus Halle (Saale)
PS: Im Password geschützten Bereich finden Sie eine PDF-Datei, in der Sie noch wesentlich mehr interessante steuerliche Sachverhalte entdecken können, als in diesem kurzen Anschreiben angedeutet werden kann.
Kanzleinachrichten 02/2018