FAQ

Datenschutz-Grundverordnung - was ist zu beachten?

Ab 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) zu beachten. Zwei Jahre hatten Unternehmen Zeit, Ihre Geschäftsprozesse an die neuen Datenschutzvorgaben anzupassen. Jetzt ist die Schonfrist vorbei. Gerade Startups sollten diese Frist auf dem Radar haben. Wir antworten auf die wichtigsten Fragen.

FAQs zur Datenschutz Grundverordnung DS-GVO

Alle Arten von personenbezogenen Daten (pbD) werden durch die DS-GVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um

  • Mitarbeiter-,
  • Kunden- oder z. B.
  • Lieferantendaten handelt.

Für die DS-GVO gilt wie für alle weiteren Datenschutzgesetze: Sie sind immer dann zu beachten, wenn Unternehmen mit sog. „personenbezogenen Daten“ umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „Betroffener“) beziehen lassen.

Beispiele sind: Name, Anschrift sowie Kontaktdaten von Kunden, Vertragspartnern oder Mitarbeitern, Prüfungsnoten, Kontodaten, Daten über das Kaufverhalten eines Kunden, Standortdaten, das Geburtsdatum, Bonitätsdaten.

Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze wie die DS-GVO nicht zu beachten.

Als zentrale Pflicht wird über die DS-GVO die sog. Rechenschaftspflicht eingeführt. Dies bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:

  • Rechtmäßigkeit
    Erarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung)
  • Verarbeitung nach Treu und Glauben
    Zweckgebundene und verhältnismäßige Datenverarbeitung, keine Verwendung verborgener Techniken
  • Transparenz
    Keine „heimliche“ Verarbeitung, Gewährleistung der Wahrnehmung der Betroffenenrechte
  • Zweckbindung
    Zweckfestlegung, d. h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke
    Zweckbindung ieS: Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck nicht mehr zu vereinbaren ist.
  • Datenminimierung
    Beschränkung auf das für den Zweck der Verarbeitung angemessene, sachlich relevante und notwendige Maß
  • Richtigkeit der Daten
    Verbot der Erhebung oder Speicherung von falschen Daten
    Gebot der Aktualisierung unrichtig gewordener Daten und
    Gebot der Löschung oder Berichtigung solcher Daten
  • Speicherbegrenzung
    Konkretisiert Datensparsamkeit in zeitlicher Hinsicht, d. h. eine Speicherdauer ist auf das „unbedingt erforderliche Mindestmaß“ zu beschränken.
  • Regelmäßige Prüfung der Zweckerreichung!
  • Integrität und Vertraulichkeit
    Schutz der Unversehrtheit der Daten
    Schutz der Daten vor unbefugter Kenntnisnahme/Verarbeitung

→ Gewährleistung durch technische und organisatorische Maßnahmen zum Schutz der Daten nach Vorgaben der DS-GVO

Startups sollten sich von Beginn an überlegen,

  • wie sie ihre Geschäftsprozesse datenschutzkonform gestalten und
  • wie sie dies effizient dokumentieren.

Die Rechenschaftspflicht setzt auch bei kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation voraus, um so die Einhaltung des Datenschutzes nachweisen zu können. Damit werden Unternehmen über ein Datenschutz-Managementsystem sicherstellen müssen, dass ihre Geschäftsprozesse datenschutzkonform sind.

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.

Eine Stolperfalle besteht, sobald sich ein Startup nicht um den Datenschutz kümmert. Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Dies gilt vor allem bei Verträgen über eine Auftragsverarbeitung. Beauftragende Unternehmen trifft hier eine Prüfpflicht. Sie dürfen nur solche Auftragsverarbeiter einsetzen, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.

Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Die DS-GVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Sie werden nicht nur wie bisher zur Verantwortung für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens gezogen. Sie werden nach DS-GVO zusätzlich für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.

Auch bei Auftragsverarbeitungsverhältnissen wird es neue Haftungsszenarien geben. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DS-GVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.

Umfangreiche Informationen zur DS-GVO finden Sie auf unserer Homepage

allgemein zum Thema DatenschutzDatenschutz für kleine und mittlere Unternehmen KMU.

Ferner bietet das Bayerische Landesamt für Datenschutzaufsicht auf seiner Homepage (direkt auf der Startseite) für eine erste Selbsteinschätzung einen Onlinetest für Unternehmen an.

Eine Checkliste zur Anpassung an die DS-GVO bietet auch die Datenschutzaufsicht in Niedersachsen an.

Weitere nützliche Links:

Stand: Januar 2018