Die Datenschutzgrundverordnung (DSGVO) – sind Sie gut vorbereitet?

Die Datenschutzgrundverordnung (DSGVO) – sind Sie gut vorbereitet? Das müssen Sie wissen – die wichtigsten Änderungen im Überblick:

Datenschutz spielt bereits heute für alle Unternehmer eine wichtige Rolle. Ob Kundenbestellungen, Newsletter oder Nutzertracking: überall begegnet man Daten, die es vor Missbrauch und unbefugtem Zugriff zu schützen gilt.

Am 25.05.2018 kommen diesbezüglich auf alle Unternehmen weitreichende Änderungen zu: Ab diesem Tag gilt nämlich die neue EU Datenschutzgrundverordnung (DSGVO) unmittelbar auch in Deutschland, welche viele Grundsätze des Datenschutzrechts nach dem alten Bundesdatenschutzgesetz (BDSG) auf den Kopf stellt. Viele der aktuellen Vorschriften des BDSG gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst zum BDSG-NEU.

Die Verordnung entfaltet jedoch nicht nur für Deutschland, sondern auch für alle anderen EU-Mitgliedstaaten unmittelbare Wirkung und bezweckt somit die Vereinheitlichung des Datenschutzrechts – also des Umgangs von Unternehmen mit personenbezogenen Daten.

Unternehmer können demnach zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Adressat der Verordnung sind jedoch auch solche Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sie Daten von Personen aus der EU verarbeiten.

Aber was wird denn eigentlich unter „Personenbezogene Daten“ verstanden?

Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person – also jeden Menschen in seiner Funktion als Träger von bestimmten Rechten und Pflichten – beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Als einige Beispiele können hier Name, Geburtsdatum und Ort, Anschrift, E-Mail-Adresse, Telefonnummer, Sozialversicherungsnummer, Steuer-ID, Personalausweisnummer, Matrikelnummer, Kontonummern, IP-Adresse, Standortdaten, Geschlecht, Haut-, Haar- und Augenfarbe, Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten, Bestellungen, Adressdaten, Kontodaten sowie Schul- und Arbeitszeugnisse etc. aufgeführt werden.

Zweites Ziel der Verordnung ist es, das Datenschutzrecht für die betroffenen Nutzer freundlicher zu gestalten. Das heißt, diese sollen die Hoheit über ihre Daten soweit wie möglich zurückerhalten.

Diese Ziele sollen insbesondere auch durch die deutlich höheren Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes – bisher betrugen diese für schwerwiegende Datenschutzverstöße maximal 300.000 € – sichergestellt werden.

Die neue Verordnung betrifft zudem nicht nur – wie von vielen fälschlicherweise angenommen – Shops, wirklich große Unternehmen mit tausenden Kundendaten oder Auftragsverarbeiter, sondern wirklich jedes Unternehmen, welches oben aufgeführte personenbezogene Daten speichert und/oder verarbeitet.

Aber was ändert sich denn nun genau?

Neben zahlreichen neuen Regelungen sollten Sie insbesondere die im Folgenden näher erläuterten Grundsätze kennen.

Zu den wichtigsten dieser Grundsätze zählt vor allem das Verbot mit Erlaubnisvorbehalt, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten ist, es sei denn, Sie haben eine Erlaubnis. Eine solche kann beispielsweise aus Gesetz (BDSG-NEU, TMG, EU-DSGVO) oder der Einwilligung der betroffenen Person entstehen.

Einwilligungen der Nutzer spielen für Händler und Unternehmer eine sehr große Rolle. Denken Sie zum Beispiel an die Einwilligung zur Newsletter-Versendung.

Aber wie muss eine Einwilligung denn genau aussehen?

Bezüglich der Einwilligungen ist erforderlich, dass diese nicht mehr nur stillschweigend, sondern aktiv und vor allem freiwillig erteilt werden müssen. Einer bestimmten Form bedarf es dafür nicht, jedoch bringt eine mündliche Einwilligung im Hinblick auf die Dokumentationspflicht einige Schwierigkeiten mit sich.

Es ist daher empfehlenswert die Einwilligung mittels eines Opt-In-Kästchens einzuholen.

Das Opt-Out ist grundsätzlich nicht ausreichend, weil vorangekreuzte Kästchen keine wirksame Einwilligung in rechtlicher Hinsicht darstellen.

Wie bisher hat der Betroffene auch ein Widerrufsrecht. Neu ist diesbezüglich jedoch, dass der Widerruf der Einwilligung genauso einfach möglich sein muss wie die Erteilung der Einwilligung.

Im Hinblick auf „alte“ Einwilligungen können Sie jedoch aufatmen, diese müssen Sie nicht erneut einholen. Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben.

Wichtig in diesem Zusammenhang ist, dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist. Wer beispielsweise Newsletter versendet, muss nun nach der DSGVO die Einwilligung des Empfängers per „Double Opt-in Verfahren“ auch nachweisen können.

Auch der Grundsatz der Datensparsamkeit ist von enormer Bedeutung und besagt, dass nur diejenigen Daten erhoben und verarbeitet werden dürfen, die auch tatsächlich benötigt werden.

Daten dürfen aufgrund der Zweckbindung ferner nur zu dem Zweck verarbeitet werden, für den sie auch erhoben worden sind und müssen inhaltlich und sachlich richtig und aktuell gehalten sein.

Es gibt jedoch auch zahlreiche neue Grundsätze, wie beispielsweise den Grundsatz der Datensicherheit (Art. 32 DSGVO), das Recht auf Vergessenwerden (Art. 17 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie die Rechenschaftspflicht (Art. 5 II DSGVO).

Der Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen (sog. TOMs) treffen müssen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Das Schutzniveau, dass Sie als Unternehmer gewährleisten müssen, orientiert sich also an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann „angemessen“ sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Das Recht auf Vergessenwerden bzw. das Recht auf Löschung ist genauer gesagt ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

Die wichtigsten Fälle in diesem Zusammenhang sind, dass der Zweck für die Datenverarbeitung weggefallen ist (Art. 17 I a), der Betroffene seine Einwilligung widerrufen hat (Art. 17 I b) oder die Datenverarbeitung unrechtmäßig erfolgte (Art. 17 I d).

Mit dem Recht auf Datenübertragbarkeit bzw. Datenportabilität können Nutzer erreichen, ihre Daten zu einem anderen Anbieter „mitzunehmen“. Sie können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben. Dies ist insbesondere bei einem Wechsel zu anderen (sozialen) Netzwerken, bei einem Wechsel der Bank sowie bei einem Wechsel des Arbeitgebers von Bedeutung.

Folge der Rechenschaftspflicht ist, dass die Datenverantwortlichen auf Aufforderung die Einhaltung aller Datenschutzprinzipien nachweisen können müssen.

Es ist daher empfehlenswert, ein effektives Datenschutzmanagement einzurichten und die Einhaltung der Datenschutzanforderungen zu dokumentieren. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde jederzeit problemlos nachweisen.

Auf alle Webseitenbetreiber, Dienstleister, Shopbetreiber oder Unternehmer kommen zudem Änderungen der Datenschutzbestimmungen zu. Diese müssen deswegen zukünftig präzise, transparent, verständlich, leicht zugänglich, in klarer und einfacher Sprache verfasst sein und die Rechtsgrundlage für die Datenverarbeitung benennen.

Empfehlenswert ist es daher, sich bei der Neufassung bzw. Umarbeitung der Datenschutzerklärung anwaltlich beraten zu lassen.

Auftragsdatenverarbeitung (ADV) ist die „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet.“

Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig. Nach der DSGVO ist jetzt jedoch neu, dass auch der Auftragnehmer (also der Auftragsdatenverarbeiter) mitverantwortlich ist.

Auch zum Datenschutzbeauftragten (DSB) gibt es im Zusammenhang mit der DSGVO viele Neuerungen. Einen solchen müssen Sie bestellen, wenn einer der folgenden Punkte bei Ihnen zutrifft.

Sie verarbeiten besondere Kategorien von Daten gemäß Art. 9 DSGVO?

Ihre „Kerntätigkeit“ betrifft eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“?

Es sind (als Angestellte oder auch freie Mitarbeiter) mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst?

Die Bestellung eines DSB kann natürlich jedes Unternehmen auch freiwillig vornehmen. Das kann insbesondere aus Gründen des internen Controllings für viele Unternehmen sinnvoll sein, die per Gesetz keinen DSB bestellen müssen.

Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen und führt das Verarbeitungsverzeichnis (AV), welches nach Art. 30 DSGVO verpflichtend ist. Er ist zudem Schnittstelle zwischen IT-Marketing und Geschäftsführung und Ansprechpartner der Kunden und Datenschutzbehörden bei Fragen zum Umgang mit personenbezogenen Daten. Er hält als Verantwortlicher also alle Zuständigkeiten bei Datenschutzfragen in der Hand.

Insgesamt sicher wieder ein Mehr an verwaltungsorganisatorischem Aufwand in unseren Unternehmen. Dennoch hat das Inkrafttreten der DSGVO ein Gutes. Sie zwingt zum Nachdenken! Zum Nachdenken darüber, wie wir mit unseren und den von uns gesammelten Daten anderer umgehen wollen. Und hierfür ist es höchste Zeit. Jenseits aller Panikmache derzeit um dieses Thema geht es tatsächlich um etwas ganz anderes. Nämlich darum, dass Daten das Öl der Zukunft sind! Deshalb ist es an der Zeit, dass wir damit sorgsam umgehen.