Die DSGVO – Modernisierung des Europäischen Datenschutzrechts

Die seit Mai 2018 wirksame Datenschutz-Grundverordnung (DSGVO) bildet den datenschutzrechtlichen Rahmen der Europäischen Union. Sie regelt die Rechte und Pflichten von Behörden, Unternehmen und Privatleuten zum Thema Datenschutz und beantwortet Fragen dazu, wie sich Betroffenen und Datenschutz-Verantwortliche zu verhalten haben, wenn es um die Verarbeitung personenbezogener Daten geht. Der folgende Beitrag geht auf die wichtigsten dieser Fragen ein.

Die DSGVO – Inhalt und Zweck

Was ist die DSGVO und für wen gilt sie?

Die Europäische Datenschutz-Grundverordnung ersetzt die alte EU-Datenschutzrichtlinie von 1995 und ist ein Zugeständnis an unsere sich fortschreitend digitalisierende Wirtschaft und Gesellschaft. Die Privatsphäre der Bürger der EU soll zu Zeiten von Big Data und neuen Techniken der Datenverarbeitung wie Webtracking und Cloud Computing mit einem modernen Datenschutzgesetz auf EU-Ebene geschützt werden.

Mit Datenverarbeitung sind im Rahmen der Verordnung die automatisierte sowie die nicht automatisierte Datenverarbeitung gemeint. Personenbezogene Daten wiederum sind alle Daten, die sich auf eine bestimmte Person beziehen oder zumindest beziehen lassen.

Das EU-Parlament nahm die DSGVO am 14. April 2016 mehrheitlich an, wirksam wurde das neue Datenschutzgesetz allerdings erst am 25. Mai 2018. In Europa ansässige Unternehmen waren verpflichtet, sich bis zum 25. Mai 2018 an die neue Rechtslage anzupassen.

Geltungsbereich und nationale Sonderregelungen

Der räumliche Anwendungsbereich des Gesetzes, der in Artikel 3 DSGVO geregelt ist, ist deutlich weiter gefasst als es in der bisherigen Datenschutzverordnung der Fall war.

Ein Unternehmen muss eine Niederlassung auf europäischem Boden, also innerhalb der EU haben, um unter den räumlichen Anwendungsbereich der Datenschutzverordnung zu fallen. Die Datenverarbeitung kann also auch im EU-Ausland erfolgen – so lange die Verarbeitung im Rahmen einer Tätigkeit eines Firmenstandortes in der EU stattfindet, gilt die DSGVO. Dabei sind mit Niederlassungen feste Einrichtungen gemeint, die eine Ausübung der Unternehmenstätigkeit erlauben. Unter Umständen fallen unter diese Definition sogar interne Abteilungen.

Wenn beispielsweise ein Unternehmen, das aus den USA stammt, auf europäischem Boden Mitarbeiter anstellt und ein Büro eröffnet, muss die Datenverarbeitung dort nach der DSGVO erfolgen. Egal ob es sich nun um eine Zweigstelle oder eine Tochtergesellschaft handelt, die über eine eigene Rechtspersönlichkeit verfügt – die Rechtsform der Niederlassung ist nicht ausschlaggebend.

Das neue Datenschutzrecht gilt auch für Niederlassungen, die sich nicht auf EU-Boden befinden, aber an das Recht eines Mitgliedstaats gebunden sind. Auch die diplomatischen Vertretungen der EU-Staaten im Ausland unterliegen also der DSGVO.

Der räumliche Anwendungsbereich der neuen Datenschutzverordnung kann rechtlich nicht bestritten werden. Nur wenn ein Mitgliedstaat im Rahmen einer Öffnungsklausel eine eigene nationale Datenschutzregelung festlegt, die dazu angetan ist, die DSGVO zu konkretisieren, ist grundsätzlich die nationale Regelung maßgeblich.

Nationale Abweichungen von der Datenschutzgrundverordnung sind außerdem unter anderem in folgenden Bereichen möglich:

  • nationale und öffentliche Sicherheit
  • Unabhängigkeit der Justiz
  • Ziele des öffentlichen Interesses

Was aber, wenn innerhalb der EU keine Niederlassung vorhanden ist? Artikel 3 DSGVO bestimmt, dass sich die von der Verarbeitung personenbezogener Daten betroffenen Personen innerhalb der EU aufhalten müssen, damit die Verordnung greift. Dazu reicht auch ein kurzfristiger Aufenthalt aus. Die Staatsangehörigkeit der Personen, über die Daten eingezogen werden sollen, ist also nicht ausschlaggebend.

Aufgrund ihrer Bestimmungen zur räumlichen Anwendbarkeit greift die Datenschutzgrundverordnung auch dann, wenn die Personen keine EU-Bürger sind, sondern nur in der EU leben oder sich dort aufhalten. So müssen sich beispielsweise Überwachungsaktionen US-amerikanischer Behörden innerhalb der EU-Grenzen im Rahmen der DSGVO bewegen – auch wenn es sich um US-Bürger handelt. Unternehmen, die keine Niederlassung in der EU haben, aber dort Geschäfte betreiben, müssen eine verantwortliche Stelle benennen, die als Ansprechpartner für Betroffene genutzt wird.

 

 

Aufbau der DSGVO

Die Datenschutzgrundverordnung ist in elf Kapitel geteilt, von denen der erste allgemeine Bestimmungen festlegt, also den sachlichen und räumlichen Geltungsbereich absteckt sowie eine Zielsetzung und die Definitionen der verwendeten Begriffe liefert.

Kapitel II legt die Grundsätze der Verordnung fest, außerdem enthält er die Regelungen zur Rechtmäßigkeit und zu den Erlaubnisvorbehalten. In Artikel 5 bis 11 DSGVO finden sich die Regelungen zur Datensparsamkeit, Transparenz und Einwilligung.

Kapitel III fasst alle Rechte der betroffenen Person zusammen. Diese sind in die folgenden Artikel aufgeteilt:

  • Artikel 12 DSGVO: Transparenz, Informationspflicht, Recht auf Auskunft
  • Artikel 16 DSGVO: Berichtigung und Löschung
  • Artikel 21 DSGVO: Widerspruchsrecht
  • Artikel 22 DSGVO: Beschränkungen
Kapitel IV regelt die Rechte und Pflichten der Verantwortlichen und Auftragsverarbeiter, also der Unternehmen, im Rahmen der Verarbeitung personenbezogener Daten. Es ist in folgende Abschnitte gegliedert:

  • Artikel 24 DSGVO: Verantwortliche und Auftragsverarbeiter
  • Artikel 34 DSGVO: Sicherheit personenbezogener Daten
  • Artikel 35 DSGVO: Datenschutz-Folgenabschätzung
  • Artikel 37 DSGVO: Datenschutzbeauftragter
  • Artikel 40 DSGVO: Verhaltensregeln und Zertifizierungen
Kapitel V behandelt das Thema der Übermittlung von Daten an andere Länder oder internationale Organisationen und dient der Verbesserung der früheren europäischen Rechtslage für den Datentransfer in Drittländer.

Die Zuständigkeit für die Anwendung der DSGVO wird in Kapitel VI „Unabhängige Aufsichtsbehörden“ festgelegt. Demnach bleibt die Anwendung und konkrete Ausgestaltung der Verordnung in den Händen mitgliedstaatlicher Behörden.

Kapitel VII regelt die Zusammenarbeit der zuvor festgelegten Aufsichtsbehörden. Es geht zum Beispiel um gegenseitige Amtshilfe und den Informationsaustausch.

Während Kapitel VIII das Beschwerderecht von betroffenen Personen bei den Aufsichtsbehörden regelt, legt Kapitel IX Regeln für spezielle Verarbeitungssituationen fest. Damit sind Ausnahmen gemeint, die unter bestimmten Bedingungen gelten, beispielsweise spezielle Vorschriften für Berufsgeheimnisträger wie Notare, Rechtsanwälte oder Steuerberater.

Kapitel X beschäftigt sich mit der Delegation von Rechtsakten und ist ein Produkt des Lissabonvertrags von 2007 und der Bemühungen, die EU transparenter und effizienter zu machen.

Kapitel XI der DSGVO schließt mit den Schlussbestimmungen, das heißt Rahmenbedingungen, zum Beispiel die Außerkraftsetzung der Datenschutzrichtlinie und die Inkraftsetzung der DSGVO.

Was sind die Ziele der DSGVO?

Die Datenschutzverordnung enthält Vorschriften zum Schutz von Bürgerrechten bei der Datenverarbeitung und regelt auch den Verkehr dieser Daten. Damit schützt sie die Grundrechte natürlicher Personen und vor allem deren Recht auf den Schutz ihrer Daten  („informationelle Selbstbestimmung“). Bei Verstößen gegen den Datenschutz drohen Unternehmen hohe Sanktionen.

Die Verordnung stellt einen wichtigen Schritt auf dem Weg zu einem effektiven europäischen Binnenmarkt dar. Vor dem 25. Mai 2018 gab es in der EU neben der allgemeinen EU-Richtlinie nur jeweils unterschiedliche nationale Gesetzgebungen zum Thema Datenschutz. Doch die durch Internationalisierung und soziale Medien angestoßene Entwicklung, dass personenbezogene Daten nicht mehr innerhalb nationaler Grenzen verbleiben, machte eine neue Gesetzgebung nötig. Ziel der DSGVO ist daher, ein einheitliches Datenschutzniveau zu garantieren.

Dabei sollen sowohl die Interessen der Behörden und Verwaltungen, der Wirtschaft als auch die der Verbraucher gewahrt und gehört werden – datenverarbeitende Unternehmen und zukunftsgerichtete Geschäftsideen erhalten so einen rechtlichen Rahmen für ihre Tätigkeiten. Die EU-Bürgerinnen und -Bürger (sowie Nicht-EU-Bürger, die sich auf europäischem Boden aufhalten) erhalten so ein größeres Maß an Mitbestimmung, wenn es um ihre Daten geht, außerdem wird das Grundrecht auf informationelle Selbstbestimmung gestärkt.

Was sind personenbezogene Daten?

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine nicht juristische, sondern natürliche Person beziehen. Juristische Personen wie Gesellschaften oder eingetragene Vereine sind damit nicht durch die DSGVO geschützt.

Personenbezogene Daten werden dabei in Art. 4 Abs. 1 DSGVO als Einzelangaben über die persönlichen oder sachlichen Verhältnisse einer Person verstanden. Dabei gilt die jeweilige Person als entweder „bestimmt“ oder „bestimmbar“. Was genau ist damit gemeint?

Eine Person gilt als bestimmt, wenn ihr Daten ohne Umweg zugeordnet werden können. Wenn diese Zuordnung nicht direkt, sondern nur mit Zusatzwissen möglich ist, gilt sie als bestimmbare Person. Ein Bezug zu einer bestimmten Person kann zum Beispiel nicht hergestellt werden, wenn die Informationen unter die ärztliche oder juristische Schweigepflicht fallen.

Und auch anonymisierte Daten gehören nicht zu den personenbezogenen Daten, da die betroffenen Personen weder identifiziert sind noch identifiziert werden können. Daten jedoch, die pseudonymisiert wurden, fallen unter die personenbezogenen Daten, sofern Zusatzwissen vorhanden ist, mit dem die Daten wieder einer bestimmten Person zugeordnet werden können.

Um welche Daten aber geht es grundsätzlich, wenn die Rede von personenbezogenen Daten ist? Artikel 4 der DSGVO spricht von Informationen wie Namens- und Adressdaten, Kreditkarten- oder Personalnummern, Kontodaten und Online-Daten (zum Beispiel IP-Adressen oder Standortdaten), aber auch von Informationen zum physischen Aussehen einer Person oder Sachverhalten wie der Staats- oder Religionszugehörigkeit.

 

 

Welche Rechte haben die betroffenen Personen?

Betroffene einer Datenverarbeitung haben laut DSGVO mehrere Rechte, von denen sie Gebrauch machen können.

Das Informationsrecht nach Artikel 13 DSGVO sagt aus, dass Betroffene über die Datenverarbeitung schon zum Zeitpunkt der Datenerhebung informiert werden müssen, also zum Beispiel wenn sie einen Newsletter bestellen. Die Informationen, die sie erhalten, sind folgende:

  • Name und Kontaktdaten des Verantwortlichen
  • Ggf. Kontaktdaten des Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Berechtigte Interessen
  • Empfänger
  • Stattfinden von Profiling
  • Übermittlung in andere Länder oder internationale Organisationen
  • Dauer der Speicherung
Außerdem müssen die Betroffenen über ihr Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit hingewiesen werden. Weiterhin muss darüber aufgeklärt werden, ob die erhobenen Daten weiteren Zwecken außer den schon genannten dienen werden. Letztlich ist die Information, ob die Bereitstellung der Daten gesetzlich oder aber vertraglich vorgeschrieben ist und welche Folgen die Nichtbereitstellung hat, verpflichtend zu nennen.

Werden die Daten nicht beim Betroffenen selbst erworben, sondern über Dritte (zum Beispiel bei einer Abfrage der Kreditwürdigkeit), findet Artikel 14 der DSGVO Anwendung. In diesem Fall müssen zusätzlich Informationen dazu genannt werden, aus welcher Quelle die Daten kommen.

Nach Artikel 14 besteht keine Informationspflicht, wenn

  • die Aufklärung unverhältnismäßigen Aufwand erfordert,
  • ein EU- oder nationales Gesetz die Verarbeitung ausdrücklich vorsieht,
  • es sich um geheimhaltungspflichtige Daten handelt.
Das Auskunftsrecht nach Artikel 15 DSGVO umfasst einige, aber nicht alle der Informationen, die für das Informationsrecht ausschlaggebend sind:

  • Zwecke der Datenverarbeitung
  • Kategorien der Daten
  • Empfänger
  • Dauer der Speicherung
  • Recht, die eigenen Daten berichtigen oder löschen zu lassen oder der Verarbeitung zu widersprechen
  • Recht auf Beschwerde bei einer Aufsichtsbehörde
  • Quelle der Daten, wenn sie nicht bei den Betroffenen erhoben wurden
  • Stattfinden von Profiling
  • Übermittlung in andere Länder oder internationale Organisationen
Artikel 16 DSGVO gibt den Betroffenen die Möglichkeit, eine Vervollständigung ihrer Daten zu verlangen, während Artikel 17 DSGVO die Umstände definiert, bei deren Eintreten die Daten gelöscht werden müssen. Dabei handelt es sich um folgende:

  • wenn die Notwendigkeit zur Speicherung der Daten wegfällt
  • wenn der Betroffene seine Einwilligung widerruft
  • wenn die Datenverarbeitung einen Rechtsverstoß darstellt
  • wenn nach geltendem Recht die Pflicht zum Löschen der Daten besteht
In Artikel 16 werden auch die Umstände festgelegt, unter denen das Recht auf das Löschen der Daten keine Anwendung findet. Dies ist insbesondere der Fall, wenn die Daten aufgrund rechtlicher Pflichten (z.B. Aufbewahrungspflichten gemäß HGB oder AO) gespeichert werden müssen. Ebenfalls ist die Löschung nicht notwendig, wenn Informationsfreiheit und freie Meinungsäußerung überwiegen.

Das Recht auf Einschränkung der Verarbeitung ist in Artikel 18 DSGVO geregelt. Es kann dann in Anspruch genommen werden, wenn die Verarbeitung gegen das Gesetz verstößt, wenn ein Widerspruch des Betroffenen vorliegt oder wenn der ursprüngliche Verarbeitungszweck nicht mehr besteht.

Artikel 19 der Datenschutzgrundverordnung bestimmt, dass der Verantwortliche alle Empfänger, die die Daten bekommen haben, über jede Veränderung der Verarbeitung informiert. Sollte der Betroffene wünschen, dass ihm die Empfänger seiner Daten mitgeteilt werden, muss der Verantwortliche diesem Wunsch Folge leisten.

Das Recht auf Datenportabilität nach Artikel 20 DSGVO gibt dem Betroffenen die Möglichkeit, seine personenbezogenen Daten von einer automatisierten Anwendung, zum Beispiel einem sozialen Netzwerk, auf eine andere Anwendung zu transferieren.

Grundgedanke des Artikels ist, dass Betroffene von einem Anbieter zu einem anderen wechseln können ohne ihre Daten zu verlieren – und außerdem die Möglichkeit haben, ihre gespeicherten Daten von dem jeweiligen Verantwortlichen ausgehändigt zu bekommen. So soll eine Übertragung von Daten zwischen den Verantwortlichen verschiedener Verarbeitungssysteme leichter möglich werden.

Was sind meine Pflichten als Unternehmer in Bezug auf die DSGVO?

Im Rahmen der DSGVO wurden die Datenschutzrechte in der EU inklusive Bußgeldrahmen angepasst. Die Mitarbeiter-Datenschutzrechte wurden durch die Neufassung des BDSG in Deutschland schärfer gefasst. Aus Arbeitgebersicht sind die wohl wichtigsten Änderungen der neuen Verordnung das höhere Risiko von Arbeitnehmerklagen und die Erhöhung des Bußgeldrahmens.

Die unternehmensinternen Datenschutzprozesse müssen also angepasst werden – und das nicht nur in Unternehmen, die Mitarbeiter beschäftigen, sondern bei allen Stellen, die personenbezogene Daten im Rahmen eines Beschäftigungsverhältnisses verarbeiten. Dazu gehören zum Beispiel auch Personalvermittler, Betriebsräte und Behörden.

Im Folgenden sind die neuen Vorschriften zum Beschäftigtendatenschutz beschrieben.

1. Erforderlichkeit der Verarbeitung

Es dürfen lediglich Daten erhoben werden, die „erforderlich“ sind. Das heißt, die Daten müssen für die Ausübung oder Beendigung eines Arbeitsverhältnisses notwendig sein. Erlaubt ist die Verarbeitung auch dann, wenn die Daten für die Entscheidung über die Einstellung eines Bewerbers oder für die Erfüllung gesetzlicher Bestimmungen, beispielsweise für einen Tarifvertrag, benötigt werden.

Die tatsächliche Erforderlichkeit einer Datenerhebung und -verarbeitung zu belegen, hängt immer vom Einzelfall ab und gestaltet sich in der Praxis oft schwierig. Um zu einer Entscheidung zu gelangen, werden einerseits Arbeitgeber- sowie Arbeitnehmerinteressen abgewogen, andererseits wird die bisherige Rechtsprechung als Grundlage herangezogen. Im Zweifelsfall solltest du dich an einen Rechtsbeistand wenden, der sich mit der Thematik auskennt.

2. Freiwilligkeit der Einwilligung

Freiwillig abgegebene Einwilligungen seitens der Arbeitnehmer über die Verarbeitung ihrer Daten können die Debatte um die Erforderlichkeit umgehen. Wenn du also rechtliche Unsicherheiten vermeiden willst, kannst du Einwilligungen von deinen Mitarbeitern einholen. Dabei muss für den Konfliktfall belegbar sein, dass die Einwilligungen freiwillig gegeben wurden.

Außerdem muss die Einwilligung in Schriftform erfolgen und eigenständig unterschrieben werden; nur in Ausnahmefällen ist eine Einwilligung in elektronischer Form möglich. Darüber hinaus musst du deine Beschäftigten darauf hinweisen, dass sie ihre Einwilligungen jederzeit widerrufen können.

3. Beweislast des Arbeitgebers im Klagefall

Dem Arbeitgeber obliegt die sogenannte Dokumentationspflicht, das heißt, er muss die Einhaltung der genannten Pflichten im Zweifelsfall nachweisen können. Außerdem müssen Arbeitgeber und andere Verantwortliche nach der DSGVO strengere Informationspflichten bei Datenschutzverstößen und einige weitere Pflichten beachten.

Welche Strafen drohen bei Verstößen?

Fehler beim Datenschutz können künftig teurer werden. Bis zu 2 Prozent ihres weltweiten Umsatzes (wenn Unternehmen mehr als 500 Mio. Euro Umsatz machen) bzw. bis zu 10 Millionen Euro müssen Unternehmen inzwischen bei Verstößen als Bußgeld an die Aufsichtsbehörden zahlen. Bei schweren Verstößen das Doppelte.

Nach der neuen Datenschutzverordnung können Betroffene auch immaterielle Schäden geltend machen, daher sollten Unternehmer das Thema Datenschutz nicht auf die leichte Schulter nehmen und Klagen von vornherein vermeiden, indem sie die neuen datenschutzrechtlichen Bestimmungen anwenden.

Um Bußgelder möglichst zu vermeiden, ist es wichtig, einerseits mögliche Beschwerden von Nutzern und andererseits Anfragen beziehungsweise Beschwerden seitens der Datenschutzbehörden ernst zu nehmen und entsprechend darauf zu reagieren.

Wie setze ich die DSGVO im Unternehmen um?

Das Risiko, in Klagefällen hohe Sanktionen eingehen zu müssen, wird noch dadurch verstärkt, dass Unternehmer vor Gericht die Einhaltung der Datenschutzvorschriften beweisen müssen. Nur ein gelungenes Compliance-Management kann diesem Risiko vorbeugen. Unternehmer (nicht nur Arbeitgeber!) sollten daher ihre unternehmensinternen Prozesse gründlich überprüfen und so anpassen lassen, dass datenschutzrechtliche Verstöße vermieden werden. Hierbei kann ein qualifizierter Rechtsbeistand eine große Hilfe sein.

 

 

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter kümmert sich in Unternehmen oder Behörden um die Einhaltung des Datenschutzes. Der Beauftragte kann ein Mitarbeiter sein oder als externer Datenschutzbeauftragter eingesetzt werden. Er oder sie muss auf jeden Fall eine entsprechende Fachkunde (Lehrgänge) nachweisen können. Auch das Aktuell-Halten des Know-hows muss nachgewiesen werden (Fortbildungsnachweise).

Die wohl wichtigste Frage für Unternehmer ist, wann das Einstellen eines Datenschutzbeauftragten überhaupt sinnvoll beziehungsweise obligatorisch ist. Nach der Datenschutzgrundverordnung müssen Privatunternehmen einen Datenschutzbeauftragten ernennen, wenn ihre Tätigkeit die systematische Beobachtung von Personen beinhaltet.

Und auch wenn ihre Tätigkeit darin besteht, besonders sensible personenbezogene Daten zur verarbeiten. Dazu gehören beispielsweise Daten zur Gesundheit, Daten zur ethnischen Herkunft und politischen Meinungen, religiöse Überzeugungen oder die Gewerkschaftszugehörigkeit.

Das EU-Parlament hat festgelegt, dass die EU-Mitgliedstaaten die Pflicht zur Benennung eines Datenschutzbeauftragten ausdehnen können. Die BRD machte von diesem Recht Gebrauch und erließ die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten zusätzlich in folgenden Fällen:

  • mindestens zehn (demnächst 20) Personen sind mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO entsprechen, oder es werden personenbezogene Daten für Zwecke der Markt- und Meinungsforschung verarbeitet

DSGVO Checkliste für Unternehmer und häufige Fragen

Diese Checkliste dient dir dazu, die datenschutzrelevanten Vorgänge in deinem Unternehmen auf ihre Richtigkeit zu überprüfen und gegebenenfalls anzupassen.

1. Analysiere die datenschutzrelevanten Vorgänge

  • Wie, wann und warum werden welche personenbezogenen Daten verarbeitet? Um eventuellen Änderungsbedarf bei der Verarbeitung feststellen zu können, ist in einem ersten Schritt eine Bestandsaufnahme der Prozesse nötig, in denen personenbezogene Daten verarbeitet werden.
  • Welche Vorgänge sind datenschutzrechtlich problematisch?

2. Achte auf eine datenschutzkonforme Vertragsgestaltung

  • Hole dir ggf. wirksame Einwilligungen von deinen Mitarbeitern ein, die dir später als Rechtsgrundlage für die Datenverarbeitung dienen können.
  • Schließe klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben, und überprüfe bestehende Verträge, die die Auftragsdatenverarbeitung betreffen.
  • Darüber hinaus sollten bestehende Geschäftsprozesse und Richtlinien darauf überprüft werden, ob sie mit den Anforderungen der DSGVO übereinstimmen.

3. Unternehmensinternes Datenschutz-Management-System

  • Passe deine unternehmensinterne Dokumentation an: Die Dokumentationspflichten nach der DSGVO dienen der betrieblichen Selbstkontrolle sowie der Überprüfung durch die Aufsichtsbehörden. Zu den Pflichten gehören beispielsweise Artikel 30 (Verarbeitungsverzeichnis, s. Artikel 30 (1) DSGVO unter Buchstabe a – g) und Artikel 33 Absatz 5 (Dokumentation von Datenschutzvorfällen).
  • Beachte die zahlreichen neuen Pflichten: Die in der DSGVO festgelegten Betroffenenrechte müssen in den Geschäftsabläufen und den Betroffenen gegenüber umgesetzt werden.
  • Belehre deine Mitarbeiter über die neuen Pflichten: Die Geschäftsleitung und für den Datenschutz zuständige Personen sollten innerhalb des Unternehmens für die DSGVO und ihre Bestimmungen sensibilisieren.
Wichtig
Das BMWI bietet auf seiner Webseite Informationen zur DSGVO und eine Checkliste für die Umsetzung im Unternehmen an.

Den richtigen Datenschutz-Profi finden

Um ein geeignetes Datenschutz-Management-System in deinem Unternehmen aufzubauen, kannst du dich an einen Rechtsanwalt oder andere externe Datenschutzbeauftragte wenden. Ein entsprechender Anwalt kann dich bei der Umsetzung der datenschutzrechtlichen Anforderungen in deinem Unternehmen beraten, wenn er sich mit folgenden Bereichen auskennt:

  • Datenschutzerklärungen
  • betrieblicher Datenschutz (im Arbeitsvertrag oder in Betriebsvereinbarungen)
  • Verträge zur Auftragsdatenverwaltung
  • Software-Fernwartung
  • E-Mail-Spamming
  • Cloud Computing

Für diese Aufgabe eignen sich insbesondere externe Datenschutzbeauftragte sowie Anwälte mit Spezialisierung auf gewerblichen Rechtsschutz und IT-Recht.

Was muss ich als Website-Betreiber wissen?

Als Betreiber einer Webseite verarbeitest du personenbezogene Datenzumindest die IP-Adresse. Ob eine Einwilligung des Users notwendig ist, hängt von der Art und dem Umfang der Programmierung der Website ab. Dies ergibt sich aus dem Gesetz, zum Beispiel aus der DSGVO bzw. dem Telemediengesetz.

Webseitenbetreiber sollten ihre Prozesse überprüfen, in denen personenbezogene Daten verarbeitet werden. Eine Checkliste dazu gibt es weiter oben.

Achte bei der Bestandsaufnahme deiner Prozesse darauf, auch sämtliche Prozesse mit Bezug zu persönlichen Daten zu berücksichtigen, die von externen Dienstleistern erbracht werden. Dies ist zum Beispiel der Fall, wenn deine E-Mails in den USA gehosted werden.

Die DSGVO sieht gesetzliche Erlaubnisse (Artikel 6 Absatz 1 DSGVO) vor, unter denen Webseitenbetreiber auch nach dem 25. Mai 2018 personenbezogene Daten verarbeiten dürfen. Die Erlaubnis gilt zum Beispiel dann, wenn der Betroffene seine Einwilligung zur Verarbeitung für einen oder mehrere Zwecke gegeben hat oder die Verarbeitung auf Grundlage berechtigter, also beispielsweise wirtschaftlicher Interessen erfolgt.

Die aktuelle Rechtsprechung sagt zu Themen wie Google Analytics (Planet 69-Entscheidung des EuGH): Für das Tracking zur Verbesserung der Website muss eine Einwilligung her, nur Cookies zur technischen Stabilisierung der Website sind vom berechtigten Interesse gedeckt.

Kritik und Debatte zur DSGVO

Die anfänglichen Ängste von Arbeitgebern vor einer Flut an Klagefällen haben sich mehr als ein Jahr nach Inkrafttreten der neuen Datenschutzverordnung nicht bestätigt.

Stattdessen bemängeln Experten, die Verordnung lasse zu große Spielräume. Die Folge sei, dass die Mitgliedstaaten und die für die Anwendung zuständigen Datenschutzbehörden, die Auslegung sehr unterschiedlich handhabten.

Daraus ergebe sich ein Problem im Vollzug und ein Mangel an Vorstellungen, wie Datenschutzbehörden eigentlich arbeiten sollen. Das Ziel der DSGVO, die Harmonisierung europäischer Datenschutzstandards, sei damit verfehlt. Viele hoffen daher auf die 2020 anstehende Evaluierung der Verordnung.

Datenschutz-Tipps vom Profi:

Kleinere Unternehmen müssen die Regeln der DSGVO genauso einhalten wie große Konzerne oder Mittelständler. Hier ein paar einfache Tipps, wie man effizient vorgeht.

  1. Orientieren Sie sich an den Checklisten für KMU, die von den Datenschutzbehörden herausgegeben werden (z.B. https://www.lda.bayern.de/media/pruefungen/201811_kmu_fragebogen.pdf )
  2. Nutzen Sie für die Datenschutzorganisation eine spezialisierte Verwaltungssoftware (z.B. https://www.audatis-manager.de/)
  3. Wenn Sie mit einem externen Datenschutzbeauftragten arbeiten, benennen Sie zusätzlich einen internen Ansprechpartner („Datenschutz-Koordinator“).
  4. Lassen Sie die Datenschutzhinweise Ihrer Website durch einen sogenannten „Datenschutz-Generator“ erstellen (z.B. www.datenschutz-generator.de)
  5. Nutzen Sie Webinare als preiswerte Möglichkeit zur Weiterbildung und Sensibilisierung der Mitarbeiter, die außerhalb der Firmenzentrale arbeiten (Homeoffice, Filialen,…)

 

Tipps von Mathias Dehe; Link: www.dehe-consulting.de

Fazit

Die Datenschutzgrundverordnung setzt auf Datenschutz in Form eines Pflichtenkatalogs, der die Einhaltung datenschutzrechtlicher Anforderungen effektiv und schnell sicherstellen soll. Dabei tragen die Unternehmen die Verantwortung, dieses System umzusetzen.

Verstöße gegen die datenschutzrechtlichen Bestimmungen können empfindliche Geldbußen oder Schadensersatzansprüche der betroffenen Personen nach sich ziehen. Daher lohnt es sich für Unternehmer, ihre internen Prozesse auf datenschutzrelevante Fragen zu überprüfen und gegebenenfalls anzupassen.

 

Quellen:

https://www.datenschutzbeauftragter-info.de/raeumlicher-anwendungsbereich-wo-gilt-die-dsgvo/www.datenschutzexperte.de/raeumlicher-anwendungsbereich-eu-dsgvo/

https://www.datenschutzexperte.de/raeumlicher-anwendungsbereich-eu-dsgvo/

https://www.bmwi.de/Redaktion/DE/Artikel/Digitale-Welt/europaeische-datenschutzgrundverordnung.html

https://dsgvo-gesetz.de/

https://www.datenschutz-janolaw.de/info-faq/aktuelles/geltungsbereich-datenschutzgrundverordnung.html

https://www.adorgasolutions.de/dsgvo-struktur-und-aufbau/

https://www.dataguard.de/gesetz/?gclid=Cj0KCQiAiZPvBRDZARIsAORkq7cEIfgjNbvhZ4Sso2fS3VAaBzLDLYxCHWHfBPmpKxJMLFgBhRHIL9saAjaiEALw_wcB

https://www.lpsp.de/blog/was-sind-personenbezogene-daten

https://www.datenschutzbeauftragter-info.de/neues-eu-datenschutzgesetz-das-sind-ihre-rechte/

https://www.datenschutz.org/datenschutzbeauftragter-ab-wann/

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Betriebliche_Datenschutzbeauftragte/Inhalt/FAQ/Bestellung_DSB.php

 

Bildquelle: pixabay.com / TPHeinz

Bildquelle: pixabay.com / geralt