Notebook auf einem Tisch vor geschlossener Jalousien

Datenschutzgrundverordnung - Spaß sieht anders aus

Haben Sie bereits den 25. Mai 2018 auf dem Schirm? Nein? Dann geht es Ihnen wie vielen Unternehmen. Aber um die Überraschung vorweg zu nehmen, „spoilern“ wir schon mal. Der 25. Mai ist der Tag, an dem die Datenschutzgrundverordnung (DSVGO) in Kraft tritt – und zwar ohne Übergangsfrist.

Spätestens jetzt sollten Sie diesen Artikel aufmerksam lesen, denn hier haben wir alle relevanten Informationen für Sie zusammengestellt. Warum? Weil die Zeit drängt und wir sehen, wie wenig Unternehmen sich um DSVGO kümmern. Für Unternehmen und öffentliche Organisationen stehen viele Veränderungen bei der Informationspflicht und internen Speicher-, Verarbeitungs- und Dokumentationsprozessen von personenbezogenen Daten an.

Unser Tipp: wer sich bisher noch nicht ausführlich mit Datenschutz und der kommenden DSGVO befasst hat, sollte das sehr schnell tun. Denn bei Nichteinhaltung der gesetzlichen EU-Bestimmungen zum Datenschutz drohen saftige Bußgelder! Übergangsfristen wird es nämlich nicht geben.

Was die Datenschutzgrundverordnung ist, was sie beinhaltet und was zukünftig beim Datenschutz beachtet werden muss, erklären wir in den folgenden Absätzen.

Warum tritt die DSVGO in Kraft?

Die EU-Datenschutz-Richtlinie von 1995 gibt bisher nur Ziele des Datenschutzes vor. Die gesetzliche Ausgestaltung, um diese Ziele zu erreichen, oblag jedoch jedem Mitgliedsstaat selber. Das heißt, die nationalen Datenschutz-Gesetze innerhalb der EU unterscheiden sich bislang mitunter recht stark voneinander.

Zukünftig wird die DSVGO EU-weit gelten und über nationalem Recht stehen. Der Datenschutz gilt damit einheitlich für aller EU-Bürger und -Bürgerinnen und stärkt damit die Verbraucherrechte.

Ab wann gilt die DSVGO?

Der Stichtag ist der 25. Mai 2018. Ab dann wird die EU-Datenschutz-Richtlinie komplett durch die neue Grundverordnung ersetzt.

Gibt es Übergangsfristen?

Ja! Die zweijährige Übergangsfrist endet am 25. Mai 2018.

Drohen Strafen bei Nichteinhaltung der DSGVO?

Ja, die DSGVO hat die Geldbußen drastisch erhöht. Laut Artikel 83 können Verstöße mit bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs bestraft werden. In schweren Fällen kann die Strafe bis auf 20 Millionen Euro bzw. bei Konzernen 4 % des weltweiten Umsatzes des Vorjahres erhöht werden.

Zusätzlich enthält das neue BDSG (§41-43) weitere Sanktionen bei Datenschutz-Verstößen. Teilweise handelt es sich dabei nicht mehr nur um Ordnungswidrigkeiten, sondern um Straftaten, die mit Freiheitsstrafen belegt werden können.

Für wen gilt die DSVGO?

Die Grundverordnung gilt für alle Unternehmen und öffentlichen Stellen, die im gesamten EU-Raum agieren. Das bisher gültige Sitzortprinzip wird durch das Marktortprinzip ersetzt. Das bedeutet, die Datenschutz-Grundverordnung ist auch für Unternehmen rechtlich bindend, die nicht in einem EU-Mitgliedsstaat ansässig sind, jedoch in der EU aktiv sind.

Die DSGVO findet Anwendung, wenn personenbezogene Daten manuell oder automatisiert verarbeitet werden bzw. sollen. Auch eine Teilautomatisierung fällt darunter. Das schließt auch handschriftliche Sammlungen von Daten ein, die später in teil- bzw. voll automatisierte Systeme übertragen, gespeichert und verwaltet werden sollen. Es reicht bereits aus, die Aufzeichnungen irgendwann übertragen zu wollen, um in den Geltungsbereich der DSGVO zu fallen. Die Planung einer solchen Handlung ist entscheidend. Auf der Website datenschutzbeauftragter-info.de finden Sie weitere Informationen dazu.
Weiterhin bezieht sich die DSGVO nicht nur auf den Verkauf von Waren oder die Erbringung von Dienstleistungen, sondern auch auf die reine Erfassung von personenbezogenen Daten (z. B. das Erfassen des Online-Kaufverhaltens von EU-Bürgern und -Bürgerinnen).

Welche Personen schließt das ein?

Die DSGVO findet in allen Bereichen von Unternehmen und öffentlichen Stellen Anwendung. Sie gilt also nicht nur für Daten von Kunden, sondern auch von Lieferanten, Geschäftspartnern, Dienstleistern, Mitarbeitern usw.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, mit denen eine natürliche Person identifiziert werden kann. Dazu gehören z.B., Name, Anschrift, E-Mail-Adresse, Alter, Geschlecht, Kleidergröße, Standortdaten und Konsumverhalten.
Die DSGVO definiert zusätzlich erstmalig auch IP-Adressen und Cookies als personenbezogene Daten.
Bei allen Daten gilt, dass es theoretisch möglich ist, eine Person anhand der Daten genau zu identifizieren, das aber nicht zwingend erfolgen muss.

Was genau steht in der DSGVO?

Viele der in der Grundverordnung geregelten Rechte sind deutschen Unternehmen bereits durch das Bundesdatenschutzgesetz bekannt.

In der neuen DSGVO sind die Grundprinzipien Rechtmäßigkeit, Zweckbindung, Transparenz, Datenminimierung, Integrität und Vertraulichkeit sowie der Erlaubnisvorbehalt weiterhin stark vertreten. Dr. Thomas Schwenke erläutert diese im ersten Teil seiner hervorragenden Serie zur Datenschutzgrundverordnung in der t3n genauer.

Wichtig ist, dass jeder Verbraucher freiwillig der Datenerhebung zugestimmt hat (Kinder dürfen dies erst ab 16 Jahren ohne elterliche Zustimmung). Zusätzlich darf die Erbringung von Leistungen nicht vom Zwang der Datenerfassung abhängig gemacht werden, wenn die Leistungserbringung damit nichts zu tun hat. Ein Beispiel dafür sind Gewinnspiele, die als Teilnahmevoraussetzung die Datenerhebung für Marketingzwecke haben. Das Widerrufsrecht muss explizit aufgeführt sein!
Denn der Datenverarbeiter muss jederzeit die Einwilligung des Verbrauchers nachweisen können. Mit einer rein mündlichen Erlaubnis ist das nicht machbar. Weitere Informationen zum Nachlesen erhalten Sie in diesem empfehlenswerten Artikel „DSGVO: So holst du Einwilligungen richtig ein.“

Die Informationspflicht datenverarbeitender Unternehmen wird ausgeweitet. Diese müssen insbesondere zukünftig direkt bei der Datenerhebung offenlegen, wer der Verantwortliche der Erfassung ist, wer ggf. der Datenschutzbeauftragte ist, welchem Zweck die Datenerhebung dient, wer der Datenempfänger ist und wie lange die Daten gespeichert werden. (Art. 13 DSGVO)

Zusätzlich muss über die weiteren Rechte der betreffenden Person informiert werden. Dazu gehören das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit (Art. 15-21 DSGVO) und Beschwerde bei einer Aufsichtsbehörde.

Neben diesen Rechten kommen weitere Pflichten auf Unternehmen und öffentliche Stellen zu:
• „Privacy by Design:“ bereits bei der Entwicklung von Produkten und Verfahren müssen nach dem Stand der Technik Datenschutzmaßnahmen integriert sein.
• „Privacy by Default:“, die höchste Datenschutzstufe muss bereits voreingestellt sein.

Muss ich alle Datenverarbeitungsprozesse dokumentieren?

Ja. Ab Mai gelten strenge Dokumentations- und Rechenschaftspflichten. (Art. 5 Abs. 2 DSGVO)
Wer schon nach dem aktuellen Bundesdatenschutzgesetz arbeitet, hat bereits Verfahrens- bzw. Verarbeitungsverzeichnisse im Unternehmen implementiert. Diese müssen ab spätestens Mai in „Verzeichnisse der Verarbeitungstätigkeiten“ übertragen werden.
Wer diese Hausaufgaben bisher noch nicht gemacht hat, hat in den kommenden Wochen einiges zu tun. Denn wenn die Verzeichnisse nicht geführt werden, drohen Bußgelder.

Inhalte der Verzeichnisse sind:
• Kontaktdaten des Verantwortlichen (etwa das Unternehmen) und des Datenschutzbeauftragten (sofern vorhanden)
• Zweck der Erfassung
• die Verarbeitungstätigkeiten
• die Kategorien der betreffenden Personen
• die Kategorien der personenbezogenen Daten
• die Kategorien der Datenempfänger
• ggf. Löschungsfristen und welche organisatorischen und technischen Maßnahmen ergriffen wurden, um die Datensicherheit bestmöglich zu gewährleisten.

Wenn Sie (noch) nicht wissen, wie genau so ein Verzeichnis aussehen soll, dann empfehlen wir Ihnen die Anleitung von Dr. Thomas Schwenke. Diese ist anschaulich erklärt.

Innerhalb von 72 Stunden muss eine Meldung an die entsprechende Aufsichtsbehörde erfolgen. Wenn ein so hohes Risiko besteht, dass auch die persönlichen Rechte und Freiheiten der betroffenen Personen von der Verletzung berührt worden sind, so müssen diese Personen ebenfalls unverzüglich informiert werden.