Haben Sie bereits den 25. Mai 2018 auf dem Schirm? Nein? Dann geht es Ihnen wie vielen Unternehmen. Aber um die √úberraschung vorweg zu nehmen, ‚Äěspoilern‚Äú wir schon mal. Der 25. Mai ist der Tag, an dem die Datenschutzgrundverordnung (DSVGO) in Kraft tritt ‚Äď und zwar ohne √úbergangsfrist.

Sp√§testens jetzt sollten Sie diesen Artikel aufmerksam lesen, denn hier haben wir alle relevanten Informationen f√ľr Sie zusammengestellt. Warum? Weil die Zeit dr√§ngt und wir sehen, wie wenig Unternehmen sich um DSVGO k√ľmmern. F√ľr Unternehmen und √∂ffentliche Organisationen stehen viele Ver√§nderungen bei der Informationspflicht und internen Speicher-, Verarbeitungs- und Dokumentationsprozessen von personenbezogenen Daten an.

Unser Tipp: wer sich bisher noch nicht ausf√ľhrlich mit Datenschutz und der kommenden DSGVO befasst hat, sollte das sehr schnell tun. Denn bei Nichteinhaltung der gesetzlichen EU-Bestimmungen zum Datenschutz drohen saftige Bu√ügelder! √úbergangsfristen wird es n√§mlich nicht geben.

Was die Datenschutzgrundverordnung ist, was sie beinhaltet und was zuk√ľnftig beim Datenschutz beachtet werden muss, erkl√§ren wir in den folgenden Abs√§tzen.

Warum tritt die DSVGO in Kraft?

Die EU-Datenschutz-Richtlinie von 1995 gibt bisher nur Ziele des Datenschutzes vor. Die gesetzliche Ausgestaltung, um diese Ziele zu erreichen, oblag jedoch jedem Mitgliedsstaat selber. Das heißt, die nationalen Datenschutz-Gesetze innerhalb der EU unterscheiden sich bislang mitunter recht stark voneinander.

Zuk√ľnftig wird die DSVGO EU-weit gelten und √ľber nationalem Recht stehen. Der Datenschutz gilt damit einheitlich f√ľr aller EU-B√ľrger und -B√ľrgerinnen und st√§rkt damit die Verbraucherrechte.

Ab wann gilt die DSVGO?

Der Stichtag ist der 25. Mai 2018. Ab dann wird die EU-Datenschutz-Richtlinie komplett durch die neue Grundverordnung ersetzt.

Gibt es √úbergangsfristen?

Ja! Die zweijährige Übergangsfrist endet am 25. Mai 2018.

Drohen Strafen bei Nichteinhaltung der DSGVO?

Ja, die DSGVO hat die Geldbußen drastisch erhöht. Laut Artikel 83 können Verstöße mit bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs bestraft werden. In schweren Fällen kann die Strafe bis auf 20 Millionen Euro bzw. bei Konzernen 4 % des weltweiten Umsatzes des Vorjahres erhöht werden.

Zusätzlich enthält das neue BDSG (§41-43) weitere Sanktionen bei Datenschutz-Verstößen. Teilweise handelt es sich dabei nicht mehr nur um Ordnungswidrigkeiten, sondern um Straftaten, die mit Freiheitsstrafen belegt werden können.

F√ľr wen gilt die DSVGO?

Die Grundverordnung gilt f√ľr alle Unternehmen und √∂ffentlichen Stellen, die im gesamten EU-Raum agieren. Das bisher g√ľltige Sitzortprinzip wird durch das Marktortprinzip ersetzt. Das bedeutet, die Datenschutz-Grundverordnung ist auch f√ľr Unternehmen rechtlich bindend, die nicht in einem EU-Mitgliedsstaat ans√§ssig sind, jedoch in der EU aktiv sind.

Die DSGVO findet Anwendung, wenn personenbezogene Daten manuell oder automatisiert verarbeitet werden bzw. sollen. Auch eine Teilautomatisierung f√§llt darunter. Das schlie√üt auch handschriftliche Sammlungen von Daten ein, die sp√§ter in teil- bzw. voll automatisierte Systeme √ľbertragen, gespeichert und verwaltet werden sollen. Es reicht bereits aus, die Aufzeichnungen irgendwann √ľbertragen zu wollen, um in den Geltungsbereich der DSGVO zu fallen. Die Planung einer solchen Handlung ist entscheidend. Auf der Website¬†datenschutzbeauftragter-info.de¬†finden Sie weitere Informationen dazu.
Weiterhin bezieht sich die DSVGO nicht nur auf den Verkauf von Waren oder die Erbringung von Dienstleistungen, sondern auch auf die reine Erfassung von personenbezogenen Daten (z. B. das Erfassen des Online-Kaufverhaltens von EU-B√ľrgern und -B√ľrgerinnen).

Welche Personen schließt das ein?

Die DSGVO findet in allen Bereichen von Unternehmen und √∂ffentlichen Stellen Anwendung. Sie gilt also nicht nur f√ľr Daten von Kunden, sondern auch von Lieferanten, Gesch√§ftspartnern, Dienstleistern, Mitarbeitern usw.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, mit denen eine nat√ľrliche Person identifiziert werden kann. Dazu geh√∂ren z.B., Name, Anschrift, E-Mail-Adresse, Alter, Geschlecht, Kleidergr√∂√üe, Standortdaten und Konsumverhalten.
Die DSVGO definiert zusätzlich erstmalig auch IP-Adressen und Cookies als personenbezogene Daten.
Bei allen Daten gilt, dass es theoretisch möglich ist, eine Person anhand der Daten genau zu identifizieren, das aber nicht zwingend erfolgen muss.

Was genau steht in der DSGVO?

Viele der in der Grundverordnung geregelten Rechte sind deutschen Unternehmen bereits durch das Bundesdatenschutzgesetz bekannt.

In der neuen DSGVO sind die Grundprinzipien Rechtmäßigkeit, Zweckbindung, Transparenz, Datenminimierung, Integrität und Vertraulichkeit sowie der Erlaubnisvorbehalt weiterhin stark vertreten. Dr. Thomas Schwenke erläutert diese im ersten Teil seiner hervorragenden Serie zur Datenschutz-Grundverordnung in der t3n genauer.

Wichtig ist, dass jeder Verbraucher freiwillig der Datenerhebung zugestimmt hat (Kinder d√ľrfen dies erst ab 16 Jahren ohne elterliche Zustimmung). Zus√§tzlich darf die Erbringung von Leistungen nicht vom Zwang der Datenerfassung abh√§ngig gemacht werden, wenn die Leistungserbringung damit nichts zu tun hat. Ein Beispiel daf√ľr sind Gewinnspiele, die als Teilnahmevoraussetzung die Datenerhebung f√ľr Marketingzwecke haben. Das Widerrufsrecht muss explizit aufgef√ľhrt sein!
Denn der Datenverarbeiter muss jederzeit die Einwilligung des Verbrauchers nachweisen k√∂nnen. Mit einer rein m√ľndlichen Erlaubnis ist das nicht machbar. Weitere Informationen zum Nachlesen erhalten Sie in diesem empfehlenswerten Artikel¬†‚ÄěDSGVO: So holst du Einwilligungen richtig ein.‚Äú

Die Informationspflicht datenverarbeitender Unternehmen wird ausgeweitet. Diese m√ľssen zum Beispiel zuk√ľnftig direkt bei der Datenerhebung offenlegen, wer der Verantwortliche der Erfassung ist, wer ggf. der Datenschutzbeauftragte ist, welchem Zweck die Datenerhebung dient, wer der Datenempf√§nger ist und wie lange die Daten gespeichert werden.¬†(Art. 13 DSGVO)

Zus√§tzlich muss √ľber die weiteren Rechte der betreffenden Person informiert werden. Dazu geh√∂ren das Auskunftsrecht, das Recht auf Berichtigung, L√∂schung, Einschr√§nkung der Verarbeitung, Widerspruch, Daten√ľbertragbarkeit (Art. 15-21 DSVGO) und Beschwerde bei einer Aufsichtsbeh√∂rde.

Neben diesen Rechten kommen weitere Pflichten auf Unternehmen und öffentliche Stellen zu:
‚ÄĘ ‚ÄěPrivacy by Design:‚Äú bereits bei der Entwicklung von Produkten und Verfahren m√ľssen nach dem Stand der Technik Datenschutzma√ünahmen integriert sein.
‚ÄĘ ‚ÄěPrivacy by Default:‚Äú die h√∂chste Datenschutzstufe muss bereits voreingestellt sein.

Muss ich alle Datenverarbeitungsprozesse dokumentieren?

Ja. Ab Mai gelten strenge Dokumentations- und Rechenschaftspflichten. (Art. 5 Abs. 2 DSGVO)
Wer schon nach dem aktuellen Bundesdatenschutzgesetz arbeitet, hat bereits Verfahrens- bzw. Verarbeitungsverzeichnisse im Unternehmen implementiert. Diese m√ľssen ab sp√§testens Mai in ‚ÄěVerzeichnisse der Verarbeitungst√§tigkeiten‚Äú √ľbertragen werden.
Wer diese Hausaufgaben bisher noch nicht gemacht hat, hat in den kommenden Wochen einiges zu tun. Denn wenn die Verzeichnisse nicht gef√ľhrt werden, drohen Bu√ügelder.

Inhalte der Verzeichnisse sind:
‚ÄĘ Kontaktdaten des Verantwortlichen (beispielsweise das Unternehmen) und des Datenschutzbeauftragten (sofern vorhanden)
‚ÄĘ Zweck der Erfassung
‚ÄĘ die Verarbeitungst√§tigkeiten
‚ÄĘ die Kategorien der betreffenden Personen
‚ÄĘ die Kategorien der personenbezogenen Daten
‚ÄĘ die Kategorien der Datenempf√§nger
‚ÄĘ ggf. L√∂schungsfristen und welche organisatorischen und technischen Ma√ünahmen ergriffen wurden, um die Datensicherheit bestm√∂glich zu gew√§hrleisten.

Wenn Sie (noch) nicht wissen, wie genau so ein Verzeichnis aussehen soll, dann empfehlen wir Ihnen die Anleitung von Dr. Thomas Schwenke. Diese ist anschaulich erklärt.

Innerhalb von 72 Stunden muss eine Meldung an die entsprechende Aufsichtsbeh√∂rde erfolgen. Wenn ein so hohes Risiko besteht, dass auch die pers√∂nlichen Rechte und Freiheiten der betroffenen Personen von der Verletzung ber√ľhrt werden sind, so m√ľssen diese Personen ebenfalls unverz√ľglich informiert werden.

Profilfoto Frank Holldorff

Frank Holldorff

Gesch√§ftsf√ľhrer