Noch knapp 60 Tage bis zur neuen DSGVO – Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung in Kraft. Sie wird den Umgang von Unternehmen mit personenbezogenen Daten einheitlich und europaweit regeln. Die zahlreichen Änderungen betreffen sowohl private Unternehmen, öffentliche Stellen als auch jeden Webseitenbetreiber. In fast allen Bereichen gibt es Neuregelungen. Aber keine Panik! Du solltest zwar deine Datenschutzpraxis überprüfen, doch trotz der höheren Sanktionen solltest Du nichts zu befürchten haben, wenn sich dein Unternehmen bisher auch schon um den Datenschutz gekümmert hat.
Wir erklären dir, was die neuen Datenschutzregeln für dein Unternehmen bedeuten.
Was ist die DSGVO?
Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU. Sie löst das bisherige, nationale Datenschutzrecht ab. In Zukunft können Unternehmer darauf vertrauen, dass innerhalb der EU ein einheitliches Datenschutzrecht gilt. Sogar Unternehmen mit Sitz außerhalb der EU, die aber Daten von Personen aus der EU verarbeiten, müssen sich ab dem 25. Mai an die DSGVO halten. So kann sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke, beispielsweise aus den USA, an die Regeln halten müssen.
Um welche Daten geht es überhaupt?
Immer dann, wenn personenbezogene Daten nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können, bewegst Du dich im Bereich des Datenschutzrechts. Solche Daten sind etwa Name und Anschrift von privaten Nutzern oder deren IP-Adresse.
Die wichtigsten Neuregelungen auf einen Blick
1. Einwilligung für Verarbeitung und Nutzung von personenbezogenen Daten
Die Datenverarbeitung ist grundsätzlich verboten. Wenn aber ein Erlaubnistatbestand in Betracht kommt, dürfen Daten rechtmäßig verarbeitet werden. Ein Erlaubnistatbestand ist z.B. die Einwilligung einer betroffenen Person. Die Einwilligung betreffend gibt es zwei grundlegende Neuerungen: Zunächst wurde das Einwilligungsalter einheitlich für alle Mitgliedsstaaten der EU auf 16 Jahre festgelegt. Dies hat in Deutschland wenig Auswirkungen, da nach dem BGB die 18-Jahres-Grenze als Mindestalter für Einwilligungen bestehen bleibt. Die Anforderungen an das datenschutzkonforme Einholen einer Einwilligung des Betroffenen wurden allerdings verschärft.
Unser Tipp für dich: Auf der sicheren Seite bist Du, wenn Du für dein E-Mail-Marketing Einwilligungen einholst, die einen Hinweis auf das jederzeitige Widerrufsrecht enthalten. Prüfe die Alt-Einwilligungen.
2. Dokumentations- und Meldepflicht bei Datenschutzverletzungen
Damit die Datenschutzgrundsätze nachweisbar sind, müssen Unternehmen künftig ausführliche Dokumentationen mit den Inhalten des Verzeichnisses aus Artikel 30 DSGVO führen. Hat dein Unternehmen weniger als 250 Mitarbeiter und verarbeitet personenbezogene Daten nur gelegentlich, gelten Ausnahmen. Datenschutzverletzungen müssen 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden.
Unser Tipp für dich: Anfertigungen von Verfahrensverzeichnissen sind zeitintensiv. Nutze Hinweise und Mustervorlagen der Arbeitsgruppe der deutschen Aufsichtsbehörden
3. Privacy by Design und Privacy by Default
Um die Grundsätze der Datensicherheit und Datensparsamkeit zu gewährleisten, muss bei der Entwicklung und beim Betrieb aller Hard- und Softwarekomponenten darauf geachtet werden, dass alle zumutbaren technischen und organisatorischen Maßnahmen ergriffen werden (Privacy by Design). Zudem sind alle Voreinstellungen so vorzunehmen, dass möglichst wenig personenbezogene Daten verarbeitet werden (Privacy by Default).
Unser Tipp für dich: Achte bei der Lead-Generierung darauf, dass Du Informationen auch wieder aus dem Profil löschst.
4. Recht auf Vergessenwerden oder Löschung
Mit der DSGVO haben „Betroffene“ nun das Recht, ihre Daten im Internet löschen zu lassen. Dafür muss von Unternehmerseite sichergestellt sein, dass dies auch umgesetzt werden kann. Das klingt erstmal einfach, doch auch alle Unternehmen, an die Adressen der „Betroffenen“ weitergegeben wurden, müssen über Löschungsbegehren informiert werden. Dabei gilt eine Monatsfrist, die auch bei anderen Anfragen des Betroffenen wie zum Beispiel dem Recht auf Auskunft oder Berichtigung gilt.
Unser Tipp für dich: Da es keine Formanforderungen in Bezug auf die „Anträge“ der Betroffenen gibt, ist zu erwarten, dass diese auf allen Kanälen eingehen können. Überlege dir deshalb im Vorhinein Prozesse und kläre die Zuständigkeiten. Idealerweise schulst Du schon Mitarbeiter, die eingehende Anträge erkennen und sensibel bearbeiten können.
5. Auftragsdatenverarbeitung wird zur Auftragsverarbeitung
Beim Erheben und der Verarbeitung von personenbezogenen Daten durch externe Unternehmen, muss dies, wie auch im alten Recht, vertraglich geregelt sein.
Wenn also eine Agentur Werbemaßnahmen ausführt, Du für deinen Newsletter einen externen Anbieter beauftragt hast oder deine Wartungsarbeiten von einem externen Dienstleister übernommen werden, muss der Auftragsverarbeiter ein Verfahrensverzeichnis führen und die Weisungen des Verantwortlichen protokollieren. Festgelegt wurde auch, dass die Schriftform der Verträge nicht mehr notwendig ist.
Unser Tipp für dich: Erfinde das Rad nicht neu, sondern nutze DSGVO-konforme Musterverträge wie zum Beispiel den Muster-AV-Vertrag für das Gesundheitswesen
6. Datenschutz-Folgeabschätzung
Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-Folgeabschätzung vorgeschrieben. Dieser soll ein adäquates Risikomanagement vorausgehen. Wenn Du feststellst, dass mit der einzelnen Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten des Betroffenen einhergehen, musst Du eine Datenschutz-Folgeabschätzung durchführen. Auch wenn Du neue Technologien einführst, solltest Du die Datenschutzfolgen abwägen.
Unser Tipp für dich: Die zuständige Aufsichtsbehörde muss laut Konsultationspflicht mit einbezogen werden, wenn Du keine Maßnahmen treffen kannst, um das hohe Risiko einer Datenverarbeitung einzudämmen.
7. Datenschutzbeauftragter
Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, müssen einen Datenschutzbeauftragten benennen. Um Interessenskonflikte zu vermeiden, kann ein Vorstandsmitglied, Geschäftsführer oder Unternehmensinhaber nicht Datenschutzbeauftragter sein. Der Datenschutzbeauftragte muss eine entsprechende Qualifikation erworben haben. Schulungen bzw. Seminare werden bundesweit beispielsweise beim TÜV angeboten.
Strafen bei Verletzung der DSGVO
Bisher waren die vorgesehenen Bußgelder bei Datenschutzverstößen nicht der Rede wert. Doch das wird mit den Bußgeldern nach Artikel 83 und 84 der DSGVO anders. Geldbußen können bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes einfordern. Bei Verstößen von Tochterunternehmen kann die Unternehmensgruppe bzw. der Konzern haften. Als Grundlage bei der Bemessung kann dann der Umsatz der Unternehmensgruppe bzw. des Konzerns dienen.
Kriterien für die Höhe der Bußgelder:
- Art, Schwere & Dauer des Verstoßes
- frühere Verstöße des Unternehmens
- erlangte finanzielle Vorteile
- Arten der betroffenen Daten
Dein Verhalten und die Zusammenarbeit mit den Datenschutzbehörden spielt aber neben den genannten Kriterien eine große Rolle. Wenn Du mit der zuständigen Aufsichtsratbehörde kooperierst und dich bei der Kommunikation mit den Datenschutzbehörden von deinem Datenschutzbeauftragten sowie gegebenenfalls anwaltlich beraten lässt, sobald es zu Verfahren und Bußgeldandrohungen kommt, fällt die Strafe bestenfalls nicht ganz so hoch aus.
Was hast Du als Unternehmer jetzt zu tun?
Im Mai 2018 musst Du die Regelungen komplett umgesetzt haben. Die DSGVO gibt es nämlich schon seit dem 25.05.2016. Seitdem hatten Unternehmen die Chance in die Umsetzung zu gehen. Am 25. Mai 2018 ist nun die Übergangsfrist zu Ende und die DSGVO gilt in allen EU-Mitgliedsstaaten. Alle Datenverarbeiter sind danach unmittelbar verpflichtet, die geltenden Rechte und Pflichten einzuhalten.
Wir haben dir einige To-Do’s zusammengestellt:
- Komme deiner Informationspflicht nach und aktualisieren sämtliche Rechtstexte wie Einwiligungstexte, Datenschutzinformationen, ggf. AGBs oder sonstige Informationstexte
- Berücksichtige die Hinweispflicht auf das Widerrufsrecht
- Überprüfe alle Alt-Einwilligungen auf die Hinweispflicht auf das Widerrufsrecht
- Treffe Vorkehrungen in Bezug auf die Dokumentationspflicht
- Lege ein Verfahrensverzeichnis an
- Passe deine Auftragsdatenverarbeitungsverträge an
- Schule einen Mitarbeiter zum Datenschutzbeauftragten (wenn benötigt)
Die DSGVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf. Integriere ein effektives Datenschutzmanagement-System, sodass Du gegenüber Aufsichtsbehörden nachweisen kannst, dass Du geeignete Strategien und Maßnahmen ergriffen hast. Eine unzureichende Dokumentation der datenschutzrechtlichen Umsetzung der DSGVO kann sich auf die Höhe des Busgeldtatbestands auswirken.
Als Datenverarbeiter trägst Du eine hohe Verantwortung für die Achtung von Persönlichkeitsrechten. Wir hoffen, dass dir der Artikel den Einstieg in die Umsetzung der DSGVO erleichtern kann, sodass Du nun die richtigen Prozesse in Gang setzen kannst.
Hinweis: Obwohl dieser Artikel mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität. Für eine vollständige und rechtssichere Beratung raten wir die Inanspruchnahme eines spezialisierten Rechtsanwaltes.
