DSGVO – Die EU-Datenschutz-Grundverordnung im Überblick

Ab dem 25. Mai 2018 ist es soweit: Die Datenschutz-Grundverordnung (kurz: DSGVO oder im Englischen GDPR) tritt in Kraft und gilt in allen EU-Mitgliedsstaaten verpflichtend. Unternehmen, die sich nicht daran halten, müssen mit hohen Geldstrafen rechnen. Eine Übergangsfrist wird nicht gewährt. In diesem Blogbeitrag geben wir einen kurzen Überblick, was die DSGVO beinhaltet und was Unternehmen beachten sollten.

Beunruhigend: die Bitkom zeigt in Ihrer Umfrage auf, das rund 44 Prozent der Unternehmen in Deutschland sich noch nicht mit der neuen EU-Verordnung beschäftigt haben!

Was ist die DSGVO und worum geht es?

Die DSGVO, auch unter der englischen Bezeichnung GDPR bekannt, ist eine Grundverordnung der Europäischen Union. Das Ziel der DSGVO ist es, die (rechtlichen) Rahmenbedingungen für die Verarbeitung personenbezogener Daten sowohl für private Unternehmen, als auch für öffentliche Stellen EU-weit zu vereinheitlichen. Das Ziel ist ein freier Datenverkehr innerhalb der EU und die transparente Verarbeitung personenbezogener Daten. Die DSGVO löst die bis dahin geltende Richtlinie „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (95/46/EG) ab, die noch von den jeweiligen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste. Im Gegensatz zu einer Richtlinie gilt eine Grundverordnung für alle Mitgliedsstaaten gleichermaßen und direkt. Interessant ist vor allem, dass sich die Verordnung erstmals auch auf Unternehmen aus Drittstaaten auswirkt, sofern diese sich mit ihren Angeboten an EU-Bürger wenden und daher auch Daten von EU-Bürgern verarbeiten („Marktortprinzip“). Dies bedeutet, dass vor allem auf außereuropäische Unternehmen mehr Arbeit zu kommt, da der Geltungsbereich bisher nicht so weitgreifend war. In der EU ansässige Unternehmen hingegen werden es künftig etwas einfacher haben Dienstleistungen und Produkte anzubieten, weil im Idealfall einzelne bisher zu beachtende nationale Richtlinien wegfallen und nur die DSGVO zu beachten sein wird.

Ganz so einfach wird es jedoch leider doch nicht. Grundsätzlich ist es zwar den Mitgliedstaaten im Rahmen der DSGVO verboten, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. So wird es also auch weiterhin nationale Datenschutzgesetze geben, die die DSGVO ergänzen und/oder anpassen, wie es in Deutschland mit dem „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)“ geschehen soll.

Was regelt die DSGVO?

Die DSGVO regelt die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Bereits geltenden Betroffenenrechte werden erweitert und um neue Rechte ergänzt (z. B. um das Recht darauf, Daten von einem zum anderen Anbieter einfacher übertragen zu lassen – Datenportabilität). Die wichtigsten Ziele im Überblick:

Meine Daten bei Unternehmen

Wenn Personen Unternehmen Informationen überlassen, z. B. aufgrund einer Beziehung zu diesem Unternehmen oder auch als Gegenleistung für einen Dienst wie beispielsweise Online-Bestellungen, will die DSGVO dafür sorgen, dass die Betroffenen mehr Auskunft über die Verarbeitung ihrer Daten erhalten.

Unterstützung für Datenportabilität

Bei einem Unternehmen hinterlassene personenbezogene Daten müssen künftig problemlos von einem Anbieter in das System eines anderen Anbieters übertragen werden können, wenn die Person die Dienste des einen Unternehmens nicht länger in Anspruch nehmen möchte.

Das Recht auf Vergessenwerden

Die DSGVO enthält nun neue Leitlinien zu der Frage, was zu geschehen hat, wenn eine Person nicht mehr möchte, dass ihre Daten verarbeitet werden. Ebenso wurden die Anforderungen zu der Frage angepasst, inwiefern Daten gelöscht werden können und müssen, wenn es keine legitimen Gründe gibt, sie aufzubewahren.

Meldung von Datenschutzverletzungen

Ein für Unternehmen sehr wichtiger Punkt. Wie müssen Unternehmen verfahren, wenn der Fall einer Datenschutzverletzung eintritt/ eingetreten ist. Damit soll die Meldung von Datenschutzverletzungen in den europäischen Ländern einheitlich geregelt werden. Der wichtigste Aspekt ist hier, dass die zuständigen nationalen Behörden über gravierende Datenschutzverletzungen so schnell wie möglich unterrichtet werden müssen. Dies soll gewährleisten, dass die Benutzer geeignete Maßnahmen treffen können, um ihre persönlichen Daten und – falls Finanzinformationen betroffen sind – ihre Bankkonten zu schützen.

Aus Unternehmenssicht: was ist zu beachten?

Die Erhebung personenbezogener Daten geschieht heutzutage so gut wie überall im Unternehmen. Beschäftigte arbeiten immer öfter auch außerhalb des Unternehmens mit Laptops, Smartphones oder Tablets und auch Cloud-Anwendungen werden vermehrt in verschiedenen Unternehmen genutzt. Die Einbindung des IT-Teams erfolgt zudem nicht mehr zwingend bei jeder Entscheidung. Somit entstehen in einzelnen Abteilungen und auch auf einzelnen Arbeitsplätzen personenbezogene Daten die dort gespeichert werden. Den Überblick zu behalten, wer was wann wo gespeichert, abgefragt und verwendet hat ist für die IT-Abteilung damit nahezu unmöglich.

Zu beachten: Bußgelder werden in Zukunft bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Jahresumsatzes betragen können, je nachdem was höher ist. Die Datenschutzbehörden sind zudem angehalten, Verstöße effektiver zu verfolgen und Bußgelder zu verhängen.

Um als Unternehmen nun DSGVO-konform agieren zu können, muss als allererstes ein entsprechendes Fundament geschaffen werden. Wichtig ist Klarheit darüber zu erlangen, wo im Unternehmen personenbezogene Daten erfasst und aufbewahrt werden. Dies sind oft und vor allem die Bereiche Marketing und Vertrieb. Aber auch im Kundendienst und in der Buchhaltung sind mit Sicherheit einige personenbezogene Daten vorhanden. An dieser Stelle nicht zu vernachlässigen sind auch die PCs, die den Mitarbeitern auf Reisen und für das Homeoffice zur Verfügung stehen.
Ist der Grundstein gelegt und klar, wo alles personenbezogene Daten erfasst und verarbeitet werden gilt es, diese mit einem hohen Schutz auszustatten und den Prozess der Datenverarbeitung zu dokumentieren. Theoretisch kann es künftig passieren, dass sofort Rechenschaft darüber abgelegt werden muss, wie die Datenverarbeitungsprozesse im Unternehmen erfolgen.

Für Unternehmen, die bisher den Datenschutz schon ernst genommen haben und dies entsprechend dokumentieren, wird es wesentlich weniger Aufwand sein, auch die neuen Datenschutzbestimmungen einzuhalten und nachweisen zu können. Zwar werden erhöhte Dokumentations- und Nachweispflichten mehr Arbeit bringen, aber schnell umzusetzen sein. Fleißarbeit wird für die Unternehmen anfallen, die bisher keine Dokumentation ihre Datenverarbeitung vorliegen haben haben.

Privacy by Design und Privacy by Default

Die DSGVO fordert die Einhaltung der Prinzipien „Privacy by Design“ und „Privacy by Default“ ein: personenbezogene Daten sollen nicht um ihrer selbst Willen erhoben werden, sondern nur dann, wenn es zur Erbringung eines Dienstes erforderlich ist. Das bedeutet, dass die Datenschutzbestimmungen bereits bei der Entwicklung von Produkten und Verfahren berücksichtigt werden müssen und die Daten nur dann erfasst werden dürfen, wenn es wirklich für die Erbringung des Dienstes notwendig ist (Privacy by Design). Auch die Voreinstellungen bei Geräten oder Plattformen muss ab sofort die technisch höchste Datenschutzstufe haben (Privacy by Default).

Fazit

Nicht alles ist neu an der DSGVO bzw. GDPR. Gerade Unternehmen aus Deutschland werden vieles bereits kennen, sofern sie denn das Bundesdatenschutzgesetz (BDSG) umfassend beachtet haben. Manches ändert sich nur geringfügig, aber auch dies muss beachtet werden. Bisherige Datenverarbeitungen und auch Einwilligungen zur Datenverarbeitung werden nur dann gültig bleiben, wenn sie den neuen Regelungen der DSGVO entsprechen. Nicht zu vergessen sind auch die nun deutlich empfindlicheren Strafen, die bei Datenschutzverletzungen verhängt werden können und genug Anlass geben sollten, sich mit dem Thema zu beschäftigten.

Weiterführende Links

Vortag „Datenschutzgrundverordnung: Rechte für Menschen, Pflichten für Firmen & Chancen für uns“ von Lars Hohl auf dem 33C3

GDPR – Die neue EU-Datenschutz-Grundverordnung

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance

DSGVO: Diese Änderungen kommen auf dein Online-Business zu (Teil 1)