Datenschutz für Biogasanlagenbetreiber / Landwirte

Von: RAin Sabine Sobola
13.02.2018

Warum sollte sich der Betreiber einer Biogasanlage oder ein Landwirt für Datenschutz interessieren? Ganz einfach: Wer bis 25.05.2018 die nötigen Maßnahmen nicht ergreift, läuft Gefahr dass er bis zu 4 % seines Umsatzes bzw. bis zu 20 Millionen Euro als Strafzahlung erleiden muss. Das Thema ist also sehr ernst zu nehmen!

1. Ab wann gilt die Datenschutzgrundverordnung?

Ab dem 25.05.2018 gilt in Deutschland und allen anderen EU-Staaten die EU-Datenschutzgrundverordnung (DSGVO). Diese löst dann das bisherige Bundesdatenschutzgesetz (BDSG) ab.

Die DSGVO führt zu diversen datenschutzrechtlichen Änderungen, die Unternehmen ab dem 25.05.2018 berücksichtigen müssen. Die Nichteinhaltung der Vorgaben kann zu einem Bußgeld von bis zu 20 Mio. Euro führen.

2. Warum sind Biogasanlagen betroffen?

Die DSGVO gilt für jedes Unternehmen (egal ob Einzelunternehmen, Personen- oder Kapitalgesellschaft), das personenbezogene Daten verarbeitet. Hierzu gehört z.B. auch ein Biogasanlagenbetreiber, wenn er Lieferanten hat, über die er personenbezogene Daten erhebt, z.B. einen Landwirt mit Vor- und Zunamen. Des Weiteren fällt z.B. auch dann ein Anlagenbetreiber unter die DSGVO, wenn er mit einem Dienstleister zusammenarbeitet (Landwirt, Maschinenring etc.), dem er Unterlagen per E-Mail zukommen lässt: die Mailadresse der Person kann bereits ein personenbezogenes Datum sein. Gleiches gilt umgekehrt für Landwirte. Eigentlich gibt es damit fast kein Unternehmen mehr in Deutschland, das nicht von der DSGVO betroffen wäre.

3. Was sind personenbezogene Daten?

Nach der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Solche Informationen sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse, IP-Adresse
  • Konto-, Kreditkartennummer oder Geheimzahl
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Umsätze oder Einspeisevergütungen bei Einzelunternehmen

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten oder Ansprechpartner von Dienstleistern. Personenbezogene Kundendaten sind beispielsweise die Vor- und Nachnamen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Das konkrete technische Format dieser Angaben ist dabei nicht von Bedeutung. Auch Fotos, Videoaufnah-men, Excel-Dateien, Websites oder Röntgenbilder können personenbezogene Daten enthalten.

4. Sanktionen: hohes Bußgeld

Hinsichtlich der Bußgelder, die von der DSGVO vorgegeben werden, können Aufsichtsbehörden Bußgelder von bis zu 20 Mio. Euro verhängen, vgl. Art. 83 DSGVO. Dabei spricht die Verordnung ausdrücklich davon, dass die Ordnungsgelder „verhängt werden“, nicht „verhängt werden sollen“. Aus diesem Grund sind die Vorgaben der DSGVO unbedingt umzusetzen.

Nach der DSGVO können Mitgliedsstaaten neben Geldbußen zudem strafrechtliche Sanktionen vorsehen.

5. Was ist zu tun?

Unternehmen, die personenbezogene Daten verarbeiten, sollten sicherstellen, dass bis zum 25.05.2018 mindestens folgende Prozesse umgesetzt sind und rechtzeitig entsprechende Maßnahmen treffen:

  • Erstellung eines Verfahrensverzeichnisses, einschließlich aller Vorgaben zur Einwilligung
  • Dokumentation von Prozessen hinsichtlich der Einhaltung datenschutzrechtlicher Grundprinzipien nach Art. 5 Abs. 2 DSGVO. In der Regel geschieht dies durch die Erstellung eines Datenschutz- und Informationssicherheitskonzepts.
  • Gestaltung der nach der DSGVO erforderlichen Prozesse betreffend
    • Festlegung der Abarbeitung von Meldepflichten bei Datenpannen nach Art. 33 f. DSGVO,
  • Betroffenenrechte und Informationspflichten nach Art. 12 ff. DSGVO,
  • Datenschutzerklärungen auf der Website etc.

6. Der Datenschutzbeauftragte

Ein betrieblicher Datenschutzbeauftragter ist gemäß DSGVO erst bei besonderen Risiken der Verarbeitung verpflichtend. Die Bestellung richtet sich also eigentlich nicht mehr nach der Anzahl der Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Allerdings ist nun im BDSG-neu für Deutschland eine Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten nach den bis dato geltenden Regelungen vorgesehen. Das bedeutet konkret, dass in Unternehmen, in denen mehr als 10 Personen dauernd mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ein Datenschutzbeauftragter benannt werden muss.

7. Wie können wir helfen?

Mit dieser Checkliste können Sie Ihren Umsetzungsbedarf erstmal selbst einschätzen. Wenn Sie sie ausgefüllt an uns zurückschicken, können wir Ihnen gerne ein konkretes Angebot unterbreiten: In einfach gelagerten Fällen (hierzu dürften die meisten Biogasbetreiber und Landwirtschaften gehören), wird man mit angepassten Standardformularen gut Zurecht kommen, in komplexeren Fällen muss ein auf das Unternehmen zugeschnittenes Konzept erstellt werden. Je nach Sachlage erhalten Sie dann ein konkretes Angebot, über das Sie dann selbstverständlich frei entscheiden können.

Und wenn danach noch Fragen bestehen, sprechen wir über die notwendigen Punkte zur Umsetzung und die damit verbundenen Kosten.

Besuchen Sie auch gerne das Seminar "Die DSGVO kommt: in 5 Schritten zum Notwendigsten" mit Rechtsanwältin Sabine Sobola 
Termine: 22. März, 24. April und 08. Mai 2018!


Parallax Hintergrund
Wir beraten - Ihren Erfolg!

Sitemap