Die EU-Datenschutz-Grundverordnung im Überblick

Veröffentlicht am: 27. Juli 2017

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (kurz: DSGVO oder im Englischen GDPR) trat in Kraft und gilt seitdem in allen EU-Mitgliedsstaaten verpflichtend. Unternehmen, die sich nicht daran halten, müssen mit hohen Geldstrafen rechnen. In diesem Blogbeitrag geben wir einen kurzen Überblick, was die DSGVO beinhaltet und was Unternehmen beachten sollten.

Was ist die DSGVO und worum geht es?

Die DSGVO, auch unter der englischen Bezeichnung GDPR bekannt, ist eine Grundverordnung der Europäischen Union. Das Ziel der DSGVO ist es, die (rechtlichen) Rahmenbedingungen für die Verarbeitung personenbezogener Daten sowohl für private Unternehmen, als auch für öffentliche Stellen EU-weit zu vereinheitlichen. Das Ziel ist ein freier Datenverkehr innerhalb der EU und die transparente Verarbeitung personenbezogener Daten. Die DSGVO löst die bis dahin geltende Richtlinie „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (95/46/EG) ab, die noch von den jeweiligen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste. Im Gegensatz zu einer Richtlinie gilt eine Grundverordnung für alle Mitgliedsstaaten gleichermaßen und direkt. Interessant ist vor allem, dass sich die Verordnung erstmals auch auf Unternehmen aus Drittstaaten auswirkt, sofern diese sich mit ihren Angeboten an EU-Bürger wenden und daher auch Daten von EU-Bürgern verarbeiten („Marktortprinzip“). Das bedeutet, dass vor allem auf außereuropäische Unternehmen mehr Arbeit zu kommt, da der Geltungsbereich bisher nicht so weitgreifend war. In der EU ansässige Unternehmen hingegen sollen es so etwas einfacher haben, Dienstleistungen und Produkte anzubieten, weil im Idealfall einzelne bisher zu beachtende nationale Richtlinien wegfallen und nur die DSGVO zu beachten ist.

Ganz so einfach ist es jedoch leider nicht. Grundsätzlich ist es zwar den Mitgliedstaaten im Rahmen der DSGVO verboten, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. So wird es also auch weiterhin nationale Datenschutzgesetze geben, die die DSGVO ergänzen und/oder anpassen, wie es in Deutschland mit dem „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)“ geschehen soll.

Nachtrag: Am 25. November 2019 wurde das Datenschutz-Anpassungsgesetz im Bundesgesetzblatt verkündet. Dabei handelt es sich vornehmlich um eine begriffliche Anpassung vieler nationaler Regelungen an die DSGVO und keine weitreichenden Änderungen für Unternehmen.

Was regelt die DSGVO?

Die DSGVO regelt die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Bereits geltenden Betroffenenrechte werden erweitert und um neue Rechte ergänzt (z. B. um das Recht darauf, Daten von einem zum anderen Anbieter einfacher übertragen zu lassen – Datenportabilität). Die wichtigsten Ziele im Überblick:

Meine Daten bei Unternehmen

Wenn Personen Unternehmen Informationen überlassen, z. B. aufgrund einer Beziehung zu diesem Unternehmen oder auch als Gegenleistung für einen Dienst wie beispielsweise Online-Bestellungen, will die DSGVO dafür sorgen, dass die Betroffenen mehr Auskunft über die Verarbeitung ihrer Daten erhalten.

Unterstützung für Datenportabilität

Bei einem Unternehmen hinterlassene personenbezogene Daten müssen künftig problemlos von einem Anbieter in das System eines anderen Anbieters übertragen werden können, wenn die Person die Dienste des einen Unternehmens nicht länger in Anspruch nehmen möchte.

Das Recht auf Vergessenwerden

Die DSGVO enthält neue Leitlinien zu der Frage, was geschehen muss, wenn eine Person nicht mehr möchte, dass ihre Daten verarbeitet werden. Ebenso wurden die Anforderungen zu der Frage angepasst, inwiefern Daten gelöscht werden können und müssen, wenn es keine legitimen Gründe gibt, sie aufzubewahren.

Meldung von Datenschutzverletzungen

Ein für Unternehmen sehr wichtiger Punkt: Wie müssen Unternehmen verfahren, wenn der Fall einer Datenschutzverletzung eintritt/ eingetreten ist? Damit soll die Meldung von Datenschutzverletzungen in den europäischen Ländern einheitlich geregelt werden. Der wichtigste Aspekt ist hier, dass die zuständigen nationalen Behörden über gravierende Datenschutzverletzungen so schnell wie möglich unterrichtet werden müssen. So soll gewährleistet werden, dass die Benutzer geeignete Maßnahmen treffen können, um ihre persönlichen Daten und – falls Finanzinformationen betroffen sind – ihre Bankkonten zu schützen.

Aus Unternehmenssicht: was ist zu beachten?

Die Erhebung personenbezogener Daten geschieht heutzutage so gut wie überall im Unternehmen. Beschäftigte arbeiten immer öfter auch außerhalb des Unternehmens mit Laptops, Smartphones oder Tablets, und auch Cloud-Anwendungen werden vermehrt in verschiedenen Unternehmen genutzt. Die Einbindung des IT-Teams erfolgt zudem nicht mehr zwingend bei jeder Entscheidung. Somit entstehen in einzelnen Abteilungen und auch auf einzelnen Arbeitsplätzen personenbezogene Daten, die dort lokal gespeichert werden. Den Überblick zu behalten, wer was wann wo gespeichert, abgefragt und verwendet hat, ist für die IT-Abteilung damit nahezu unmöglich.

Zu beachten: Bußgelder werden in Zukunft bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Jahresumsatzes betragen können, je nachdem was höher ist. Die Datenschutzbehörden sind zudem angehalten, Verstöße effektiver zu verfolgen und Bußgelder zu verhängen.

Um als Unternehmen nun DSGVO-konform agieren zu können, muss als erstes ein entsprechendes Fundament geschaffen werden. Wichtig ist Klarheit darüber zu erlangen, wo im Unternehmen personenbezogene Daten erfasst und aufbewahrt werden. Dies sind oft und vor allem die Bereiche Marketing und Vertrieb, aber auch im Kundendienst und in der Buchhaltung sind einige personenbezogene Daten vorhanden. An dieser Stelle sind auch die PCs, die den Mitarbeitern auf Reisen und für das Homeoffice zur Verfügung stehen, nicht zu vernachlässigen.

Ist der Grundstein gelegt und klar, wo alles personenbezogene Daten erfasst und verarbeitet werden, gilt es, diese mit einem hohen Schutz auszustatten und den Prozess der Datenverarbeitung zu dokumentieren. Theoretisch kann es künftig passieren, dass sofort Rechenschaft darüber abgelegt werden muss, wie die Datenverarbeitungsprozesse im Unternehmen erfolgen.

Für Unternehmen, die bisher den Datenschutz schon ernst genommen haben und dies entsprechend dokumentieren, wird es wesentlich weniger Aufwand sein, auch die neuen Datenschutzbestimmungen einzuhalten und nachweisen zu können. Zwar werden erhöhte Dokumentations- und Nachweispflichten mehr Arbeit bringen, aber schnell umzusetzen sein. Fleißarbeit wird für die Unternehmen anfallen, die bisher keine Dokumentation ihre Datenverarbeitung vorliegen haben haben.

Privacy by Design und Privacy by Default

Die DSGVO fordert die Einhaltung der Prinzipien „Privacy by Design“ und „Privacy by Default“ ein: personenbezogene Daten sollen nicht um ihrer selbst Willen erhoben werden, sondern nur dann, wenn es zur Erbringung eines Dienstes erforderlich ist. Das bedeutet, dass die Datenschutzbestimmungen bereits bei der Entwicklung von Produkten und Verfahren berücksichtigt werden müssen und die Daten nur dann erfasst werden dürfen, wenn es wirklich für die Erbringung des Dienstes notwendig ist (Privacy by Design). Auch die Voreinstellungen bei Geräten oder Plattformen muss ab sofort die technisch höchste Datenschutzstufe haben (Privacy by Default).