Datenschutzgrundverordnung

Das neue Datenschutzrecht (DSGVO) ist in Kraft

DSGVO - EU Datenschutzgrundverordnung
© Khakimullin Aleksandr

Inhaltsnavigation

Was ist die DSGVO?‎

Seit dem 25. Mai 2018 gelten in der gesamten Europäischen Union einheitliche und strengere Datenschutz-Regeln: Mit der Datenschutz-Grundverordnung (DSGVO) wird die Bearbeitung personenbezogener Daten innerhalb des europäischen Binnenmarktes eindeutigen Regeln unterworfen. Diese haben Auswirkungen für alle Unternehmen, die im EU-Raum geschäftlich aktiv sind. Die DSGVO ersetzt dabei die EU-Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995. Was viele Entscheider nicht wissen: Die Datenschutzgrundverordnung trat bereits am 24. Mai 2016 in Kraft. Nach Ablauf der zweijährigen Umsetzungsfrist muss sie seit dem 25. Mai 2018 endgültig angewendet werden – die Schonfrist ist vorbei!

Unternehmen, die die Vorgaben der DSVGO missachten, müssen mit empfindlichen Geldstrafen rechnen. Diese können dabei nicht nur gegen Privatunternehmen erlassen werden. Selbst für Behörden hat der Schutz personenbezogener Daten nun oberste Priorität. Wer die gesetzlichen Vorgaben ignoriert, wird kräftig zur Kasse gebeten: Die Verordnung sieht Bußgelder bis zu 20 Millionen Euro vor. Bei besonders schweren Vergehen werden sogar bis zu 4 % des gesamten weltweiten Umsatzes im letzten Geschäftsjahr fällig. Nicht nur deshalb ist es sehr wichtig, die Inhalte der DSGVO zu kennen. Datenschutzkonformes Arbeiten ist mit Inkrafttreten der Regeln endgültig ein essenzieller Bestandteil der betrieblichen Organisation.

Datenschutzgrundverordnung: Was ist neu?‎

Die Modernisierung des Datenschutzes sorgt in erster Linie dafür, dass EU-weit einheitliche Bestimmungen gelten. Während in Deutschland das Thema Datenschutz schon immer sehr ernst genommen wurde, galten in anderen Ländern deutlich schwächere Gesetzesvorgaben. Vor allem die rasante Entwicklung der gesamten Informationstechnik macht eine Novellierung des Datenschutzes nötig. Die Standards der alten Datenschutzrichtlinie (95/46/EG) von 1995 waren längst nicht mehr zeitgemäß.

Doch was ändert sich durch die DSGVO genau? Diese Frage lässt sich in fünf Stichpunkten beantworten:

  • Das Marktortprinzip
    Mit Einführung der Datenschutzgrundverordnung gilt das einheitliche europäische Datenschutzrecht nicht nur für Betriebe mit EU-Standort. Vielmehr sind auch Unternehmen in der Pflicht, die ihre Waren und Dienstleistungen innerhalb der EU anbieten. Solche Unternehmen aus Drittländern (z. B. Social-Media-Anbieter) müssen sich also genau so an die DSGVO halten. Sie sind außerdem verpflichtet, einen bestellten Vertreter in der EU zu benennen, sofern sie in Europa keine Niederlassung haben. Wichtig ist nicht mehr, wo ein Artikel produziert wurde. Entscheidend ist vielmehr, ob ein Produkt oder eine Dienstleistung auf dem europäischen Binnenmarkt angeboten wird. Das Marktortprinzip gilt sogar für statistische Erhebungen. Wenn ein Marktforschungsunternehmen mit Firmensitz außerhalb der EU Daten über das Internetverhalten von EU-Bürgern sammelt, findet auch hier die DSGVO Anwendung.
  • Mehr Transparenz für Verbraucher
    Jeder Verbraucher soll und darf wissen, welche Firmen persönliche Daten über ihn gesammelt haben. Dazu sieht die Datenschutzgrundverordnung erweiterte Informationsansprüche vor. Unternehmen müssen transparent darlegen, wann und zu welchem Zweck persönliche Kundendaten gespeichert wurden. Auch über die Speicherdauer muss Rechenschaft abgelegt werden. Zudem sind Unternehmen mitteilungspflichtig, wenn europäische Kundendaten außerhalb der EU gesammelt oder weiterverarbeitet werden. Jeder Kunde hat die Möglichkeit, diese Daten bei einem Unternehmen abzufragen. Eine kleine Ausnahme gibt es allerdings: Die Neufassung des Bundesdatenschutzgesetzes (BDSG), welche ebenfalls seit dem 25. Mai 2018 gültig ist, schränkt den Informationsanspruch in wenigen Fällen ein. Kleinstbetriebe, die ihre Datenerfassung noch in analoger Form betreiben, sind beispielsweise von der Informationspflicht ausgenommen.
  • Recht auf Vergessenwerden
    Fotos, Postings, Blogs oder Kleinanzeigen – das Internet vergisst so gut wie nichts. Wer über eine große Suchmaschine nach Daten über eine bestimmte Person sucht, kann oftmals schnell ein aussagekräftiges Persönlichkeitsprofil erstellen. Die Datenschutzgrundverordnung schiebt dieser Entwicklung bei Bedarf einen Riegel vor: Internetnutzer können persönliche Daten entfernen lassen. Vor allem bei sehr persönlichen Angaben zur ethnischen Herkunft, zu sexuellen Vorlieben oder zur politischen Meinung eines Users besteht nach DSGVO ein persönlicher Löschungsanspruch. Große Unternehmen stellen zu diesem Zweck oft Formulare zur Verfügung wie dieses Musterformular. Der Unternehmer muss die entsprechenden Daten löschen und zudem andere Unternehmen, die diese Daten veröffentlicht oder hierauf verlinkt haben, über den Löschanspruch informieren.
  • Datenportabilität
    Verbraucher können durch die Datenschutzgrundverordnung einfacher über ihre eigenen Daten bestimmen. Nach dem Motto „Meine Daten, meine Entscheidung“ dürfen sie ihre Daten beispielsweise zu einem anderen Unternehmen mitnehmen. Die neuen Bestimmungen machen nicht nur einen Telefon- oder Stromanbieterwechsel einfacher, sondern jeglichen Vertragswechsel. Der bisherige Anbieter ist durch die DSGVO dazu verpflichtet, alle gespeicherten Kundendaten in einem standardisierten Formular bereitzustellen, sofern die Anwendung bereits über eine derartige Funktionalität verfügt. Eine Nachrüstung bereits vorhandener Tools ist nicht erforderlich. Bei einer Neuanschaffung sollte dieser Punkt jedoch berücksichtigt werden. Der neue Anbieter muss diese Daten – soweit technisch möglich – dann in sein System übernehmen. Im besten Fall übermittelt der alte Anbieter die Daten direkt an den neuen Geschäftspartner des ehemaligen Kunden. Diesem Datentransfer muss der Verbraucher natürlich zuvor zustimmen.
  • Eine Anlaufstelle bei allen Datenschutzfragen
    Wenn ein ausländisches Unternehmen gegen Datenschutzbestimmungen verstoßen hat, mussten sich Verbraucher bislang direkt an die Aufsichtsbehörde des jeweiligen Landes wenden. Da aber ein internationales Beschwerdeverfahren viele Hürden mit sich bringt, sieht die DSGVO eine vereinfachte Regelung vor. Bürger eines EU-Landes können sich jetzt direkt an die inländische Aufsichtsbehörde wenden, wenn der Verdacht einer nicht konformen Nutzung von personenbezogenen Daten besteht. Für deutsche Staatsbürger ist demnach die deutsche Aufsichtsbehörde zuständig. Diese kümmert sich um alle weiteren Belange und stimmt mit der Dienststelle des betroffenen EU-Landes das weitere Vorgehen ab. Eine gerichtliche Überprüfung von ausländischen Datenschutzverfehlungen wird ebenfalls im Heimatland des Betroffenen durchgeführt. So lassen sich aufwendige internationale Verfahren vermeiden.

Was bedeuten die neuen Datenschutz-Regeln für mein ‎Unternehmen?‎

All die genannten Punkte haben primär Auswirkungen auf die Geschäfte aller Betriebe mit Firmensitz in der Europäischen Union: vom kleinen Ein-Personen-Unternehmen bis zum international agierenden „Big Player“. Aus diesem Grund sind Betriebe zum Handeln gezwungen, um alle Vorgaben der DSGVO im geschäftlichen Alltag umsetzen zu können. Das mag zunächst kompliziert klingen, doch mit einigen wenigen Tipps lässt sich ein Betrieb in puncto Datenschutz zukunftssicher aufstellen:

  • Bestandsanalyse
    Unternehmer müssen spätestens mit Inkrafttreten der Datenschutzgrundverordnung wissen, wo und warum sowie auf welcher rechtlichen Grundlage (z. B. Vertrag, Einwilligung) kundenspezifische Daten verarbeitet werden. Im Zuge einer „Dateninventur“ sollten Betriebe deshalb genau prüfen, wo und für welche Zwecke sie die Angaben über ihre Kundschaft verwenden. Ebenfalls wichtig zu wissen: Wie lange werden die Daten gespeichert, wer hat Zugriff darauf und an wen werden die Informationen weitergegeben. Im Zweifelsfall bedarf es einer genauen Absprache zwischen Geschäftsführung, Datenschutzbeauftragtem, IT-Abteilung und Kundenservice, um die aktuellen Gegebenheiten zu klären.
  • Verarbeitungsverzeichnis erstellen
    Das Verarbeitungsverzeichnis erweitert die Dokumentationspflicht. Rechtskonforme Muster dazu lassen sich im Internet finden, z. B. auf der Webseite des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) oder des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V..Es löst die bisherigen Meldungen beim Verfahrensregister ab und bietet eine gute Übersicht über folgende Punkte:
    • Zweck der Datenverarbeitung,
    • Kontaktdaten des zuständigen Ansprechpartners im Unternehmen,
    • Darstellung der Datensicherheitsmaßnahmen und
    • Aufstellung der erhobenen Datenkategorien.
  • Umgehende Meldung von Datenschutzverletzungen
    Um Verbraucherdaten besser zu schützen, sieht die Datenschutzgrundverordnung das sofortige Melden von Hackerangriffen vor. Unternehmen müssen im Falle von Datenschutzverletzungen die zuständige Datenschutzbehörde binnen 72 Stunden informieren. Dies ist über den Online-Service der zuständigen Datenschutzaufsichtsbehörde möglich. In Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).Von der Meldepflicht ausgenommen sind lediglich Datenschutzverletzungen, die kein Risiko für die Freiheit und die persönlichen Rechte der Betroffenen bedeuten. Im Zweifelsfall ist es definitiv ratsam, eine Datenschutzverletzung schleunig anzuzeigen. Ansonsten drohen dem betroffenen Unternehmen eventuell Geldbußen. Betroffene Kunden müssen nur informiert werden, wenn ein hohes Risiko für ihre Daten besteht.
  • Auftragsverarbeitungsvertrag formulieren
    Sobald ein Unternehmen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss nach DSGVO vorab ein Auftragsverarbeitungsvertrag geschlossen werden. Wenn also externe Buchhalter, Hoster oder IT-Unternehmen im Spiel sind, muss ein entsprechender Kontrakt abgeschlossen werden. Als Grundlage dient ein kommentierter Mustervertrag – wie dieVorlage des BayLDA , die Musterverträge und begleitende Hinweise von Bitkom e. V. und diejenigen von der Gesellschaft für Datenschutz und Datensicherheit e. V..

    Die Datenschutzgrundverordnung kann also zunächst ein wenig Arbeit für ein Unternehmen bedeuten. Es ist allerdings wichtig, sich dieser Herausforderung zu stellen. Betriebe, die datenschutzkonform arbeiten, haben schließlich ein deutlich höheres Ansehen bei potenziellen Kunden. Zudem müssen solche Firmen keine Sanktionen oder Rügen bezüglich eines mangelhaften Datenschutzes befürchten. Damit bei den Planungen zur Umsetzung der Datenschutzgrundverordnung kein wesentlicher Aspekt vergessen wird, hat die IHK München die Umsetzung anhand eines Kleinstunternehmens durchgespielt: So setzt die Einzelhändlerin Miranda Mustera die unterschiedlichen DSGVO-Pflichten um.

In 10 Schritten zur DSGVO

1. Dateninventur
Wo und wie werden personenbezogene Daten im Unternehmen verarbeitet? Wie verwendet der Betrieb die Daten?

2. Dauer der Speicherung / Löschkonzept
Wie lange werden Daten gespeichert? Gibt es Möglichkeiten, die Speicherdauer zu verkürzen? Sind automatische Löschroutinen vorhanden oder geplant?

3. Datenanwendung
Welche Systeme werden zum Zwecke der Datenverarbeitung benutzt? Sind diese sicher genug? Wenn nicht, gibt es alternative Möglichkeiten?

4. Budget und Zeit planen
Gibt es im Unternehmen genügend finanzielle und personelle Ressourcen, um die DSGVO-Vorgaben pünktlich und umfassend umzusetzen? Oder sollte ein externer Dienstleister bei der Aufgabe helfen?

5. Maßnahmen planen
Wann müssen welche Aufgaben erledigt werden, damit alles Wichtige rechtzeitig erledigt ist?

6. Zuständigkeiten klären
Wer übernimmt im Betrieb welche Aufgaben zur Umsetzung der Datenschutzgrundverordnung? Besteht die Notwendigkeit, einen Datenschutzbeauftragten zu bestellen?

7. Dokumentation erstellen
Mit der Erstellung eines Datenverarbeitungsverzeichnisses sollte frühestmöglich gestartet werden. Wichtige Meilensteine auf dem Weg Richtung DSGVO müssen umfangreich dokumentiert werden. Um die Arbeit zu erleichtern, können dafür verschiedene Musterdokumente verwendet werden.

8. Vorlagen / AGB checken
Halten die verwendeten Vorlagen und AGBs der DSGVO stand?

9. Werbemaßnahmen prüfen
Auch die Datenschutzerklärung auf der Firmenwebseite sowie Werbemaßnahmen wie E-Mail-Newsletter an Kunden müssen ggf. angepasst werden (Stichwort: Double-Opt-In).

10. Interne Datensicherheit optimieren
Sind die genutzten IT-Komponenten sicher und umfassend geschützt? Gibt es gravierende Lücken, beispielsweise beim Schutz vor Hackerangriffen? Wie sieht es mit Passwortsicherungen, Backup-Systemen und Zugriffsbeschränkungen aus?

DSGVO praxisnah: Personenbezogene Angaben ‎datenschutzkonform verarbeiten

Es mag seltsam klingen, aber nach der aktuellen Datenschutzgrundverordnung ist die Erhebung von Daten über eine natürliche Person zunächst generell verboten. Die Hintertür für Unternehmen nennt sich im Fachjargon „gesetzlicher Erlaubnistatbestand“. Doch wann ist eine Datenspeicherung laut DSGVO eigentlich gestattet? Informationen dazu finden sich in Art. 6 DSGVO. Eine Datenverarbeitung ist demnach nur rechtmäßig, wenn eine der folgenden Gegebenheiten erfüllt ist:

  • Einwilligung
    Die betroffene Person hat der Datenerhebung explizit zugestimmt.
  • Bestehendes oder geplantes Vertragsverhältnis
    Unternehmen dürfen die personenbezogenen Daten ihrer Kunden verarbeiten, die für eine Vertragserfüllung erforderlich sind.
  • Rechtliche Pflicht
    Zur Erfüllung gesetzlicher Pflichten können Daten über eine natürliche Person auch ohne deren Zustimmung verarbeitet werden.
  • Lebenswichtige Belange
    Für den Schutz von Leib und Leben können ebenso Daten verarbeitet werden. Das ist u. a. in einem Krankenhaus oder auf einer Gesundheitskarte der Fall.
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse
    Wenn die Datenverarbeitung notwendig ist, damit eine Person eine bestimmte Aufgabe im öffentlichen Interesse erledigen kann, ist sie ebenfalls erlaubt.
  • Berechtigtes Interesse
    Zur Wahrung eines berechtigten Interesses kann einer Datenverarbeitung auch zugestimmt werden.

Die ausdrückliche Einwilligung der betroffenen Person zur Datenverarbeitung – birgt für Unternehmen einige Tücken. Die Einwilligung muss nämlich freiwillig geschehen und eindeutig sein. Eine Kopplung an Verträge oder an sonstige Leistungen, die erbracht werden sollen, ist laut Datenschutzgrundverordnung untersagt.

  • Datenschutz und Datensicherheit
    Um personenbezogene Daten in einem Unternehmen möglichst sicher verarbeiten zu können, sollten Administratoren einige wichtige Aspekte berücksichtigen. Zunächst müssen sich IT-Mitarbeiter mit den Themen „Privacy by Design“ und „Privacy by Default“ auseinandersetzen. Diese Fachbegriffe sind nicht unbedingt neu, doch durch die Datenschutzgrundverordnung bekommen sie eine ganz neue Relevanz.
  • Privacy by Design
    Lässt sich am ehesten mit „Datenschutz durch Technik“ übersetzen. Die komplette IT eines Unternehmens – von der Webseite bis zur Netzwerkkonfiguration – sollte demnach so strukturiert sein, dass sämtliche Datenschutzaspekte logisch und nachvollziehbar bleiben.
  • Privacy by Default: ist der „Datenschutz durch Voreinstellungen“ (siehe hierzu auch den Fachartikel "Datenschutz und Datensicherheit"). Damit ist gemeint, dass User durch werkseitige Einstellungen so durch Bestellprozesse etc. geleitet werden, dass diese Standardeinstellungen für größtmöglichen Datenschutz sorgen. Ein Browser, der Cookies generell ablehnt, wäre dafür ein adäquates Beispiel. Im Unternehmensbereich haben sich beim Thema „Privacy by Default“ derweil folgende Voreinstellungen bewährt:
    • Pseudonymisierung,
    • Verschlüsselung,
    • Einschränkung der Eingabemöglichkeiten und
    • automatische Löschung von Daten.
  • Datenschutz-Folgenabschätzung
    In manchen Fällen ist es durchaus möglich, dass bei der Verarbeitung von personenbezogenen Daten ein gewisses Risiko entsteht. Wenn Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung der Daten unmittelbar gefährdet sein könnten, sieht die Datenschutzgrundverordnung eine schriftliche Folgeabschätzung vor. Hier müssen Unternehmen genau erläutern, warum die Notwendigkeit einer Datenerhebung besteht. Ebenso anzuführen sind die detaillierten Verarbeitungsvorgänge sowie eine genaue Bewertung der möglichen Datenschutzrisiken. Eine umfassende Beschreibung der momentan angewendeten Datensicherheitsmaßnahmen komplettiert die Datenschutz-Folgenabschätzung. Weitere Aspekte zu dem Thema beleuchten die DSFA-Tipps der IHK München.
  • Datenschutzmanagement
    Eine datenschutzkonforme Bearbeitung von personenbezogenen Daten ist nur durch effizientes Datenschutzmanagement möglich. Diese Aufgabe wird – zumindest in größeren Betrieben – von einem Datenschutzbeauftragten übernommen. Dieser ist dabei nicht nur dafür verantwortlich, entsprechende Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Vielmehr sorgt er zusammen mit den Administratoren auch für einen datenschutzkonformen Umgang, für IT-Sicherheit, schult gegebenenfalls Mitarbeiter und meldet eventuelle Datenpannen an die Geschäftsführung. Weitere Maßnahmen für ein effektives Datenschutzmanagement können hier eingesehen werden.

Mit welchen Strafen bei Verstößen ist zu rechnen und an wen ‎melde ich diese?‎

Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen. Weitere Informationen hat die IHK München in einem ausführlichen FAQ-Bereich zu den Melde- und Benachrichtigungspflichten zusammengetragen.

Auch zu den Rechten von Betroffenen im Datenschutz gibt es von der IHK München detailliertes Informationsmaterial. Folgende Fragen werden hier anschaulich beantwortet:

  • Welche Rechte hat eine Person, deren Daten erhoben wurden?
  • Wie weit geht die Auskunftspflicht?
  • Was muss unter Umständen berichtigt werden?

Neuerungen für den Datenschutzbeauftragten

Mit Inkrafttreten der Datenschutzgrundverordnung wird die Benennung eines Datenschutzbeauftragten für viele Firmen europaweit zur Pflicht. Ergänzend zu den Bestellvoraussetzungen nach DSGVO können Mitgliedsstaaten nationale Bestellkriterien festlegen. Für alle Unternehmen in Deutschland gilt z. B. eine Bestellpflicht wie folgt:

  • Ab 10 Personen, die ständig mit der automatisierten personenbezogenen Datenverarbeitung beschäftigt sind.
  • Kerntätigkeit: Umfangreiche und systematische Überwachung von Betroffenen oder die Verarbeitung sensibler Daten i.S.d. Art. 9 oder 10 DSGVO.
  • Unabhängig von der Anzahl der Personen, wenn Verarbeitungen vorliegen, die einer Datenschutz-Folgenabschätzung unterliegen.

Sollten diese Punkte – auch nur teilweise – auf ein Unternehmen zutreffen, muss zwingend ein Datenschutzbeauftragter benannt werden. Unternehmen können wählen, ob sie einen Mitarbeiter oder einen externen Datenschutzbeauftragten benennen. Ein ernannter Datenschutzbeauftragter muss der Datenschutzaufsichtsbehörde gemeldet werden. Zu den Aufgaben eines Datenschutzbeauftragten gehört es u. a., das Unternehmen über die datenschutzrechtlichen Vorgaben in einem Betrieb zu beraten und die Umsetzung zu überwachen. Bei Datenschutzverstößen sind Mitarbeiter sowie Vertragspartner verpflichtet, das Management oder einen benannten betrieblichen Ansprechpartner (z. B. einen Datenschutzbeauftragten) entsprechend zu informieren. Weitere Informationen zu den Aufgaben eines Datenschutzbeauftragten finden sich im Onlineangebot der IHK München.

Hinweis für Unternehmen in Bayern: Derzeit ist die Meldung eines Datenschutzbeauftragten an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nicht möglich. Das Online-Tool wird voraussichtlich erst im August 2018 freigeschaltet und das BayLDA nimmt keine Meldungen in Papierform oder via E-Mail an. Daher hat das BayLDA die Meldefrist bis zum 31. August 2018 verlängert. Weitere Informationen entnehmen Sie bitte der Webseite des BayLDA.

Neue Pflichten beim Datenschutz von Arbeitgebern

Die Datenschutzgrundverordnung beinhaltet nicht nur Änderungen im Umgang mit Kundendaten. Auch die Daten von Arbeitnehmern unterliegen den erhöhten Anforderungen der DSGVO. Dies wird u. a. durch umfassende Informations- und Dokumentationspflichten sichergestellt. Zum Beschäftigtendatenschutz gehören:

  • die Einwilligung von Arbeitnehmern zur Verarbeitung persönlicher Daten, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist (z. B. Fotos eines Mitarbeiters auf der Unternehmenswebsite),
  • die Übereinstimmung von Betriebs- oder Dienstvereinbarungen mit den Vorgaben der DSGVO und
  • Regeln für den Datentransfer im Konzern (z. B. über die Rechtsgrundlage „berechtigtes Interesse“).

Ausführliche Informationen zum Beschäftigtendatenschutz lassen sich auf der Webseite der IHK München nachlesen.

Müssen die Datenschutzerklärungen auf Website & Co. angepasst werden?

  • Auch die Firmenwebsite und das Newslettersystem sollten während einer Bestandsanalyse zur DSGVO überprüft werden. Betreiber einer geschäftlichen Webseite sind z. B. verpflichtet, eine rechtskonforme Datenschutzerklärung zu hinterlegen. Diese sollte auch die erweiterten Informationspflichten beinhalten. Über die IHK-Checkliste können Sie prüfen, ob Sie alle notwendigen Angaben veröffentlicht haben. Dabei ist u. a. auf folgende Punkte einzugehen:
  • Rechtsgrund und Speicherdauer von personenbezogenen Daten,
  • Logfiles,
  • Cookies,
  • Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.),
  • Registrierungsmöglichkeiten,
  • Einbindung sozialer Netzwerke und
  • Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.).

Auch ein eventuell vorhandenes Newslettersystem sollte im Zusammenhang mit dieser „Dateninventur“ unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Der Nachweis der Einwilligung ist vom Unternehmen konkret zu erbringen, was beispielsweise über Double-Opt-In-Verfahren erfolgen kann und muss. Von einer Datenverarbeitung betroffene Personen müssen also zwingend über diese informiert werden.

Benötige ich einen Experten für die neue Datenschutzerklärung?

Für eine rechtskonforme Datenschutzerklärung im Sinne der DSGVO ist nicht unbedingt eine Rechtsberatung notwendig. Im Internet finden sich zahlreiche Vorlagen und Hilfestellungen, mit denen eine individuelle Datenschutzerklärung erarbeitet werden kann. Praxishilfen gibt es u. a. hier:

Wo finde ich Checklisten, Muster und Tools zur DSGVO?

Im Internet gibt es nicht nur unzählige Mustervorlagen für eine DSGVO-konforme Datenschutzerklärung. Mit vielen nützlichen Tools lässt sich z. B. auch prüfen, ob die aktuelle Webseite eines Unternehmens den Datenschutzbestimmungen der DSGVO standhält.

Praktische Hilfsmittel gibt es hier:

BayLDA
Das Bayerische Landesamt für Datenschutzaufsicht stellt nicht nur einen kostenlosen HTTPS-Check zur Verfügung. Beim Test zur Sicherung des Datenschutzes wird geprüft, ob es eine ausreichende HTTPS-Verschlüsselung gibt, um den Datentransfer zwischen dem Browser des Nutzers und dem Internet-Server des Anbieters abzusichern. Dies ist besonders für Onlineshops wichtig und für Webseiten, die Kontaktdaten und Zahlungsdaten erheben.

Sie wollen sich auf die Anforderungen der Datenschutzgrundverordnung (DSGVO) vorbereiten? Arbeiten Sie den Fragenbogen zum Datenschutz in Ihrem Betrieb ab!

Auf einer Themenseite zum EU-Datenschutz gibt es hier außerdem Checklisten, Mustervorlagen und Tools, die speziell auf kleine Unternehmen und Vereine ausgerichtet sind.

IHK-Fachforum
Das IHK-Fachforum zur Datenschutzgrundverordnung informiert über alle relevanten Vorgaben der DSGVO und gibt hilfreiche Tipps für die Umsetzung. Die Vorträge können Sie hier downloaden.

Wirtschaftskammer Österreich
Die WKÖ hat neben hilfreichen Musterdokumenten auch Infoblätter im Angebot, die als kompaktes Informationspaket zum kostenlosen Download bereitstehen. Hierbei ist zu beachten, dass die DSGVO einheitlich für Österreich wie für Deutschland gilt, die die DSGVO ergänzende Bundesdatenschutzgesetze (BDSG) jedoch nicht. Mustervorlagen anderer Mitgliedsstaaten wie Österreich können nur dann unverandert übernommen werden, wenn diese sich ausschließlich auf die DSGVO beziehen. Bezugnahmen auf das österreichische Bundesdatenschutzgesetz sollten nicht übernommen werden.

FAQs zur Datenschutz Grundverordnung DSGVO

Alle Arten von personenbezogenen Daten (pbD) werden durch die DS-GVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um

  • Mitarbeiter-,
  • Kunden- oder z. B.
  • Lieferantendaten handelt.

Für die DS-GVO gilt wie für alle weiteren Datenschutzgesetze: Sie sind immer dann zu beachten, wenn Unternehmen mit sog. „personenbezogenen Daten“ umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „Betroffener“) beziehen lassen.

Beispiele sind: Name, Anschrift sowie Kontaktdaten von Kunden, Vertragspartnern oder Mitarbeitern, Prüfungsnoten, Kontodaten, Daten über das Kaufverhalten eines Kunden, Standortdaten, das Geburtsdatum, Bonitätsdaten.

Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze wie die DS-GVO nicht zu beachten.

Als zentrale Pflicht wird über die DSGVO die sog. Rechenschaftspflicht eingeführt. Dies bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:

  • Rechtmäßigkeit
    Erarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung)
  • Verarbeitung nach Treu und Glauben
    Zweckgebundene und verhältnismäßige Datenverarbeitung, keine Verwendung verborgener Techniken
  • Transparenz
    Keine „heimliche“ Verarbeitung, Gewährleistung der Wahrnehmung der Betroffenenrechte
  • Zweckbindung
    Zweckfestlegung, d. h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke
    Zweckbindung ieS: Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck nicht mehr zu vereinbaren ist.
  • Datenminimierung
    Beschränkung auf das für den Zweck der Verarbeitung angemessene, sachlich relevante und notwendige Maß
  • Richtigkeit der Daten
    Verbot der Erhebung oder Speicherung von falschen Daten
    Gebot der Aktualisierung unrichtig gewordener Daten und
    Gebot der Löschung oder Berichtigung solcher Daten
  • Speicherbegrenzung
    Konkretisiert Datensparsamkeit in zeitlicher Hinsicht, d. h. eine Speicherdauer ist auf das „unbedingt erforderliche Mindestmaß“ zu beschränken.
  • Regelmäßige Prüfung der Zweckerreichung!
  • Integrität und Vertraulichkeit
    Schutz der Unversehrtheit der Daten
    Schutz der Daten vor unbefugter Kenntnisnahme/Verarbeitung

→ Gewährleistung durch technische und organisatorische Maßnahmen zum Schutz der Daten nach Vorgaben der DS-GVO

Startups sollten sich von Beginn an überlegen,

  • wie sie ihre Geschäftsprozesse datenschutzkonform gestalten und
  • wie sie dies effizient dokumentieren.

Die Rechenschaftspflicht setzt auch bei kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation voraus, um so die Einhaltung des Datenschutzes nachweisen zu können. Damit werden Unternehmen über ein Datenschutz-Managementsystem sicherstellen müssen, dass ihre Geschäftsprozesse datenschutzkonform sind.

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.

Eine Stolperfalle besteht, sobald sich ein Startup nicht um den Datenschutz kümmert. Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Dies gilt vor allem bei Verträgen über eine Auftragsverarbeitung. Beauftragende Unternehmen trifft hier eine Prüfpflicht. Sie dürfen nur solche Auftragsverarbeiter einsetzen, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.

Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Die DS-GVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Sie werden nicht nur wie bisher zur Verantwortung für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens gezogen. Sie werden nach DS-GVO zusätzlich für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.

Auch bei Auftragsverarbeitungsverhältnissen wird es neue Haftungsszenarien geben. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DS-GVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.

Zusammenfassung

Die Datenschutzgrundverordnung gibt Verbrauchern zweifellos mehr Rechte. Dazu gehören u. a. mehr Transparenz, ein gestärktes Selbstbestimmungsrecht im Umgang mit personenbezogenen Daten und bessere Möglichkeiten, einem Datenschutzverstoß entgegen zu wirken. Unternehmen sehen sich durch die DSGVO jedoch auch neuen Herausforderungen gegenüber, denn ein rechtskonformer Umgang mit Kundendaten ist seit dem 25. Mai 2018 unabdinglich. Dabei alle rechtlichen Aspekte zu berücksichtigen, bedarf einer guten Planung. Schließlich hat es die Europäische Kommission mit dem Gesetzestext sehr genau genommen – das Dokument umfasst mehr als 250 Seiten. Zudem ist das Strafmaß für Unternehmen drastisch erhöht worden. Wer also auf Nummer sicher gehen möchte, muss das eigene Unternehmen in puncto Datenschutz neu aufstellen und sich der Datenschutzrevolution stellen. Dieser Aufwand ist aber auf jeden Fall lohnenswert: Die akkurate Verarbeitung von Kundendaten sorgt nicht nur für ein gutes Vertrauensverhältnis gegenüber Geschäftspartnern, sondern vermeidet auch rechtliche Fallstricke und eventuelle Geldbußen. Schlussendlich wächst Europa mit der DSGVO ein Stück weiter zusammen – von der internationalen und einheitlichen Rechtssicherheit profitieren Verbraucher und Unternehmen gleichermaßen.