EU-DSGVO

Europäische Datenschutzgrundverordnung: Eine Zusammenfassung für Unternehmen

Das Internet hat den Grundstein dafür gelegt, dass personenbezogene Daten zunehmend online verarbeitet werden. Unter anderem die rasante Entwicklung des Onlinehandels macht Datenschutzregelungen für Unternehmer und Webseitenbetreiber notwendig, die sensible Daten schützen und einen rechtmäßigen Umgang mit Ihnen gewährleisten.

Europäische Datenschutzgrundverordnung

Die Grundlage hierfür soll die Europäische Datenschutzgrundverordnung bieten, kurz DSGVO, die den digitalen Anforderungen besser gerecht wird. Sie gibt eine zeitgemäße Antwort auf die voranschreitende Digitalisierung der Wirtschaft und schafft für Sie als Unternehmer einen Rahmen, in dem Sie sich bewegen sollten.

In diesem Beitrag möchte ich Ihnen helfen auf einfache Weise zu verstehen, was die Europäische Datenschutzgrundverordnung ist und für wen sie gilt.

Dieses Verständnis ist dringend notwendig, denn ab dem 25. Mai 2018 gibt es vielerlei Änderungen, die jeden einzelnen Unternehmer und Webseitenbetreiber betreffen. Ich erkläre Ihnen hier, wie Sie diese umsetzen, um sich nachhaltig vor Abmahnanwälten oder Bußgeldern zu schützen.

Was ist die Europäische Datenschutzgrundverordnung (DSGVO)?

Die DSGVO ist eine Verordnung, die ab dem 25. Mai 2018 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer Daten regelt. Sie schützt nicht die Daten juristischer Personen. Die DSGVO gilt europaweit und ersetzt viele aktuelle Vorschriften des Bundesdatenschutzgesetzes, die außer Kraft gesetzt oder neu verfasst werden.

Das Ziel ist es, die Grundrechte natürlicher Personen und ihr Recht auf Schutz personenbezogener Daten zu wahren. Zusätzlich soll die DSGVO einen freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten und einen einheitlichen Standard schaffen. Denn, wenn es um die Regelung mit dem Umgang von personenbezogenen Daten geht, herrschten auf europäischer Ebene bisher unterschiedliche Regeln.

Unternehmen, die europaweit handeln, können sich damit auf ein europäisches Recht beziehen. Das kann vielen Unternehmen die tägliche Arbeit erleichtern. Darüber hinaus gilt die DSGVO auch für Unternehmen, die außerhalb der EU mit personenbezogenen Daten aus der EU arbeiten.

DSGVO Neuerungen

Das bisher geltende und mittlerweile veraltete Datenschutzrecht aus dem Jahr 2009 wird durch die Europäische Datenschutzgrundverordnung zahlreiche Neuerungen erfahren. Alle Unternehmen sollten sich also zu Recht fragen „EU Datenschutz Grundverordnung was ändert sich?“.

Vor allem werden bestimmte Regelungen zur Profilbildungen und zum „Recht auf Vergessenwerden“ wirksam. Zusätzlich wird es ein Marktortprinzip geben, das dafür sorgt, dass sich auch Datenverarbeiter an die DSGVO halten müssen, die ihren Unternehmenssitz nicht in der Europäischen Union haben, allerdings Personen aus der EU Produkte oder Dienstleitungen anbieten.

Für wen gilt die DSGVO?

Jedes Unternehmen (egal ob natürliche oder juristische Person), das in der Lage ist personenbezogene Daten zu verarbeiten, muss sich an die DSGVO halten. Auch betroffen sind jene Unternehmen, die mit personenbezogenen Daten im Auftrag eines Dritten arbeiten. Sie müssen sich ebenfalls der DSGVO unterordnen.

Unternehmen, die sich im Internet bewegen und agieren, werden die neuen Regelungen am stärksten spüren. So müssen beispielsweise auch soziale Netzwerke wie Facebook und Google, diverse App Dienste oder auch Cloud Lösungen die Grundsätze befolgen.

Auch Unternehmen, die digitale Werbung auf Grundlage des Surfverhaltens von EU Nutzern ausliefern, müssen sich den neuen Richtlinien anpassen.

Was muss geschützt werden bzw. was sind personenbezogene Daten?

Der Schutz personenbezogener Daten soll den Missbrauch dieser verhindern. Die Datenschutzbestimmungen hierfür finden sich zum einen im neuen Bundesdatenschutzgesetz, maßgeblicher jedoch in der Europäischen Datenschutzgrundverordnung.

Grundsätzlich sind personenbezogene Daten all jene, die sich einer bestimmten oder bestimmbaren Personen zuweisen lassen. Es sind Informationen, die einen Rückschluss auf die Persönlichkeit von natürlichen Personen möglich machen.

Beispiele für personenbezogene Daten

Beispiele für personenbezogene Daten sind, je nach Anwendungsbereich, unerschöpflich und es ist schwierig, sie alle aufzuzählen. Dennoch möchte ich Ihnen einige ausgewählte Beispiele präsentieren, damit Sie einen Eindruck erhalten, bei welchen Informationen es sich um personenbezogene Daten handelt:

  • Spezifische Personendaten wie Name, Alter, Geburtsdatum, Geburtsort, E-Mail-Adresse, Anschrift, Telefonnummer usw.

  • Persönliche Nummern wie die Steueridentifikationsnummer, Sozialversicherungsnummer, Mitgliedsnummer der Krankenversicherung, Matrikelnummer, Personal- oder Reisepassnummer

  • Informationen im Zusammenhang mit Zahlungen wie Kreditkarteninformationen, Kontonummern, Kontostände etc.

  • Surf-Daten wie Standort, IP-Adresse, gekaufte Produkte usw.

  • Physische Merkmale wie Haut-, Haar- und Augenfarbe, Geschlecht, Kleidergröße, Statur etc.

  • Qualifikationen wie Abschluss-, Schul- und Arbeitszeugnisse
    usw

  • uvm.

EU Datenschutzrichtlinie: Was bleibt gleich?

Viele Bestandteile der DSGVO waren bereits im Bundesdatenschutzgesetz verankert und werden lediglich weiterentwickelt. Die Grundidee mit der Einführung des neuen Gesetzes die Grundrechte und Grundfreiheiten jeder natürlichen Person zu schützen, bleibt bestehen. Vor allem das Grundrecht der informationellen Selbstbestimmung.

Weiterhin dürfen personenbezogene Daten nicht einfach so erhoben oder verarbeitet werden, sofern nichts Gegenteiliges vereinbart ist. Unternehmen, die sich hauptsächlich mit der Datenerhebung und Datenverarbeitung beschäftigen, werden nach wie vor in die Verantwortung genommen einen Datenschutzbeauftragten zu stellen, der den rechtmäßigen Umgang mit den Daten sicherstellt.

Gleich bleibt auch, dass die personenbezogenen Daten nicht zweckentfremdet werden dürfen. Die Abläufe müssen klar strukturiert und transparent nachvollziehbar sein.

Datenschutz Grundverordnung: Was ändert sich?

Die Änderungen im Rahmen der DSGVO sollen den Datenschutz europaweit stärken. Vor allem wird es einen einheitlichen Schutz bei der Verarbeitung personenbezogener Daten in Europa geben.

EU DSGVO Änderungen

Weiterhin drohen weitaus größere Konsequenzen bei der Missachtung der neuen Verordnung. Zu Recht fragen sich vor allem Geschäftsführer und Webseitenbetreiber im Rahmen der EU-Datenschutz-Grundverordnung was sich für Unternehmen ändert.

Im Folgenden gebe ich Ihnen eine kurze Zusammenfassung über die Datenschutz Grundverordnung:

Transparentes Nutzungsrecht

Millionen Nutzer geben tagtäglich ihre Daten im Internet preis. Ab einem gewissen Zeitpunkt verliert man den Überblick darüber, wo und mit wem man seine persönlichen Daten im Internet geteilt hat. Genau an dieser Stelle setzt die DSGVO an und ordnet den Nutzern ein stärkeres Nutzungsrecht zu.

So sollen diese künftig die Möglichkeit haben, auf eindeutige und verständliche Art Informationen darüber zu erhalten, wer mit ihren Daten wo und zu welchem Zwecke arbeitet. Das ist vor allem hilfreich, wenn Daten missbräuchlich verwendet wurden, beispielsweise im Falle eines Hackerangriffs.

So kann der Nutzer schneller reagieren und Methoden einleiten, die ihn schützen. Vor allem wird der Fokus mehr darauf gelegt werden, dass der Eigentümer der Daten der Nutzer selbst ist und nicht das Unternehmen ist, das damit arbeitet. So wird es künftig möglich sein, seine Daten von einem Internetanbieter zum anderen zu übertragen.

Vor allem eine Tatsache lässt viele Nutzer aufatmen: Die Informationen, die man einmal im Internet über sich gestreut hat, werden im Rahmen der DGSVO zukünftig einfacher zu löschen sein. Es wird das „Recht auf Vergessenwerden“ eingeführt. So muss man nicht damit rechnen, dass alles, was einmal publiziert wurde, nie wieder zu entfernen ist und für Jahrzehnte auffindbar sein wird.

Recht auf „Vergessenwerden“ – Recht auf Löschung von Daten

Laut Europäischem Gerichtshof dürfen Nutzer von Suchmaschinen wie Google in bestimmten Situationen verlangen, dass Ihre Daten gelöscht werden bzw. in der Suchmaschine nicht mehr angezeigt werden.

Das Recht auf „Vergessenwerden“ ist also keine komplette Neuerung. Diese Löschung der Daten können Nutzer nicht nur von Suchmaschinenbetreibern verlangen, sondern von jedem, Unternehmen oder Organisation, die mit personenbezogenen Daten arbeitet, wenn es keinerlei Einwilligung zur Verwendung dieser Daten gibt.

Im Artikel 17 der DSGVO ist dieser Sachverhalt klar geregelt. Vor allem muss sich daran gehalten werden, wenn der ursprüngliche Zweck für die Datenverarbeitung nicht mehr besteht, die Einwilligung vom Nutzer widerrufen wurde oder die Verarbeitung der Daten nicht rechtmäßig war.

Auch Unternehmen außerhalb der EU sind an das Recht gebunden

In Zeiten der Digitalisierung und Globalisierung verarbeiten vor allem viele Unternehmen aus den USA Daten in Europa. Als Beispiel sind hier die zahlreichen sozialen Netzwerke wie unter anderem Facebook oder Instagram zu nennen.

Bisher waren diese Unternehmen an Gesetze aus den USA gebunden. Das wird sich mit der künftigen Verordnung ändern, denn Unternehmen, die Daten aus der EU verarbeiten, werden sich ebenfalls an die DSGVO halten müssen.

Mindestalter für Datenverarbeitung ist 16

Vor allem Kinder und Teenager sind viel im World Wide Web unterwegs und verteilen ihre Spuren im Internet. Bisher konnte man bereits ab 13 Jahren dazu einwilligen, seine Daten verarbeiten zu lassen.

Das wird sich mit dem neuen Gesetz ändern, denn das Mindestalter hierfür wird auf 16 Jahre angehoben. Damit wird Kindern und Jugendlichen vor allem die Anmeldung und die leichtsinnige Freigabe ihrer Daten in sozialen Netzwerken erschwert.

Bei Verstößen drohen hohe Geldstrafen

Zuwiderhandlungen gegen die DSGVO werden ggf. strafrechtlich verfolgt. Zudem werden die Bußgelder durch die DSGVO drastisch erhöht und betragen nun maximal 20 Mio. Euro bzw. 4 % des Konzernumsatzes.

Datenschutz Grundverordnung 2018: Checkliste wichtiger Punkte für Unternehmer

Mit dem Inkrafttreten der neuen Verordnung sind Unternehmen gezwungen sowohl Anpassungen im Arbeitsalltag als auch auf ihren Webseiten vorzunehmen, um sich rechtmäßig zu verhalten.

Mit dieser DGSVO Checkliste möchte ich Ihnen einige Tipps an die Hand geben, worauf Sie künftig achten sollten, um sich vor Abmahnern zu schützen und sich richtig zu verhalten, wenn es um die Verarbeitung von personenbezogenen Daten geht.

Wenn Sie sich an die Tipps dieser Datenschutz Grundverordnung 2018 Checkliste halten, sind Sie auf einem guten Weg, eine nachhaltige Datenschutzpolitik in Ihrem Unternehmen zu etablieren.

Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz und bekennen Sie Stellung

Datenschutz wird immer wichtiger, denn es gehört mittlerweile zum Alltag, dass wir unsere Daten preisgeben. Durch die neuen Regelungen werden Unternehmen diesem Thema eine weitaus höhere Relevanz zusprechen müssen als zuvor.

Das setzt eine interne Kommunikation und Sensibilisierung der Mitarbeiter voraus. Am einfachsten geht das mit Mitarbeiterschulungen, in denen Mitarbeiter, die mit sensiblen personenbezogenen Daten arbeiten, an die vielfältigen Anforderungen der DSGVO herangeführt und eingearbeitet werden.

So werden auch Ihre Mitarbeiter dem Thema eine große Bedeutung beimessen und sich im zukünftigen Umgang mit Daten richtig verhalten.

Bennen bzw. stellen Sie einen Datenschutzbeauftragten ein

Unternehmen ab einer gewissen Größe und öffentliche Institutionen, die personenbezogene Daten verarbeiten, sind laut DSGVO und dem neuen BDSG verpflichtet, einen Datenschutzbeauftragten zu benennen.

Der Datenschutzbeauftragte ist vor allem dafür da, das Datenschutzniveau innerhalb eines Unternehmens zu prüfen und zu überwachen. Indem Sie intern einen Datenschutzbeauftragten benennen oder extern bestellen, gewährleisten Sie, dass die DSGVO befolgt wird und Sie sich in einem rechtsicheren Rahmen befinden.

Stellen Sie also sicher, dass der Datenschutzbeauftragte die notwendigen Kompetenzen mitbringt, um diese Rolle professionell ausüben zu können. In meinem Artikel zum Thema Datenschutzbeauftragter haben Sie die Möglichkeit, ausführlich zu diesem Thema nachzulesen.

Aktualisieren Sie Ihr Impressum bzw. die Datenschutzerklärung auf Ihrer Webseite

Die DSGVO verlangt nach einer Datenschutzerklärung auf Ihrer firmeneigenen Webseite. Alte Erklärungen müssen in jedem Fall aufgrund neuer Regelungen angepasst werden. Der Link zur Datenschutzerklärung sollte von überall auf Ihrer Webseite aus abrufbar sein und vorzugsweise im Footer als „Datenschutz“ Navigationsreiter platziert werden.

Europäische Datenschutzgrundverordnung Checkliste

Ziel ist es, die Nutzer mithilfe der Datenschutzerklärung aufzuklären, wie ihre personenbezogenen Daten verarbeitet und wofür sie genutzt werden. Jede Datenschutzerklärung erfordert den Namen und die Kontaktdaten des Webseitenbetreibers sowie die des betrieblichen Datenschutzbeauftragten (falls eine Bestellpflicht besteht).

Holen Sie sich eine Einwilligung von Ihren Kunden ein

Die Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten ist, sofern nicht gesetzlich oder auf Grundlage eines Vertrages gestattet, nur gegen eine Einwilligung möglich. Diese muss von dem Nutzer eindeutig erteilt worden sein und neben Angaben zu Verwendungszweck auch über Widerspruch, Löschung und Auskunft informieren.

Ohne diese Einwilligungserklärung handelt es sich um einen Verstoß gegen das Datenschutzrecht. Arbeiten Sie beispielsweise mit einem Newsletter, ist es zwingend notwendig, sich vorab die Einwilligung Ihres Kunden zu holen. Folgende Anforderungen müssen dabei erfüllt werden:

  • Die Einwilligung muss einer bestimmten Form folgen. So kann diese laut DSGVO entweder elektronisch, mündlich oder schriftlich erteilt werden.

  • Eine Einwilligung kann nicht generell eingeholt und für diverse Zwecke genutzt werden. Sie erfolgt immer für einen konkreten Zweck und muss jedes Mal erneut eingeholt werden.

  • Die Einwilligung muss freiwillig passieren. Es darf also keine Bedingung für ein Zustandekommen des Vertrags sein, wenn sie nicht für die Erfüllung des Vertrags notwendig ist.

  • Wichtig ist, dass Sie immer nachweisen können, dass eine Einwilligung vorliegt. Vor allem bei mündlichen Einwilligungen muss hier an eine entsprechende Nachweisbarkeit gedacht werden. Elektronisch ist das Opt-In-Kästchen eine gute Lösung.

  • Eine Einwilligung muss immer auch widerrufen werden können. Das muss ebenso einfach möglich sein, wie die Erteilung der Einwilligung.

Die guten Nachrichten sind: Alte Einwilligungen müssen nicht aktualisiert werden, sofern sie den bisherigen EU Datenschutzrichtlinien unterliegen und wirksam waren. In der DSGVO ist die Einwilligung des Empfängers jedoch eingefasst, sodass Sie diese nachweisen müssen, wenn Sie beispielsweise einen Newsletter versenden.

Dokumentieren Sie Ihre Aktivitäten und seien Sie in der Lage, diese nachzuweisen

Laut Artikel 30 der DSGVO muss jedes Unternehmen ein „Verzeichnis der Verarbeitungstätigkeiten“ führen, um den Umgang mit Daten zu dokumentieren. Das ist im Grunde eine Übersicht aller Verarbeitungstätigkeiten/-prozesse, in der Sie festhalten, welche Daten Sie wie und wann im Unternehmen verarbeiten, beispielsweise die Daten der Kunden oder Ihrer Mitarbeiter (Name, Adresse, Telefonnummer etc.).

Bei größeren Unternehmen lohnt es sich, hierfür einen Projektverantwortlichen zu benennen. Es geht vor allem darum, nachweisen zu können, dass Sie sich mit dem Thema Datenschutz auseinandergesetzt haben und Schritte eingeleitet haben, um die Rechte Ihrer Kunden zu wahren.

Das können Sie gewährleisten, indem Sie festhalten, wie Sie ihre Daten beispielsweise gegen Hackerangriffe schützen, welche Seminare der interne Datenschutzbeauftragte aufgesucht hat oder welche Verträge hinsichtlich des Datenschutzes mit Dienstleistern bestehen. Mit sorgfältig gepflegten Unterlagen können Sie auch im Falle einer Prüfung ohne Strafe bestehen.

Entwickeln Sie Prozesse und achten Sie auf deren Ausführung

Es ist wichtig, einen einheitlichen Standard im Unternehmen zu schaffen, wenn es um die Datenverarbeitung geht. Ihre Mitarbeiter sollten Prozesse befolgen, wenn Sie mit personenbezogenen Daten arbeiten und stets in der Lage sein, eine Auskunft zu erteilen, wenn Ihre Kunden dies wünschen.

Am besten Sie bieten Ihren Mitarbeitern oder einzelnen Abteilungen Schulungen an, in denen sie in allen Datenschutzfragen aufgeklärt werden, um zukünftig souverän mit diesen umgehen können.

Führen Sie eventuell eine Folgenabschätzung durch

Eine Datenschutz Folgenabschätzung ist eine Methode, die von Unternehmen und Einrichtungen durchzuführen ist, sofern ein voraussichtlich hohes Risiko mit der Verarbeitung von personenbezogenen Daten einhergeht.

Das können Arztpraxen oder Anwälte sein, aus deren Kundendaten eine Identifizierung möglich ist zu Themen wie Gesundheit, Finanzen, Sexualität und vielem mehr. Werden diese Daten missbraucht, dann besteht für die Personengruppe ein besonders hohes Risiko.

Mit der Folgenabschätzung soll vor allem das Risiko für die Persönlichkeitsrechte der betroffenen Personen ermittelt werden, um im Einzelfall bereits präventiv reagieren zu können.

Empfehlung und Fazit

Wenn Sie sich über die neuen Regelungen, die aus der DSGVO hervorgehen, informieren und rechtmäßig mit sensiblen Daten umgehen, dann sollten Sie wenig Probleme mit den Datenschutzänderungen haben. Im Grunde ist die DSGVO eine erweiterte Fassung vieler bereits bestehender Bestimmungen, an die sich Unternehmen halten müssen.

Dennoch kommen die meisten Unternehmen nicht drum herum, Zeit, Mühe und Geld in neue Unternehmensprozesse zu investieren bzw. bestehende Prozesse umzustrukturieren. Gerade die Enthaftung der Geschäftsleitung und die Meidung der Festsetzung hoher Bußgelder sollte hier das klar definierte Ziel sein.

Lassen Sie sich in einem kostenlosen Erstgespräch von mir zu den Neuerungen zur DSGVO beraten. Seit über 10 Jahren Jahren bin ich bereits als externer Berater in Datenschutzfragen und Datenschutzbeauftragter für viele Unternehmen tätig und stehe Ihnen sehr gerne unterstützend zur Seite, damit wir gemeinsam in Ihrem Unternehmen einen rechtmäßigen Gebrauch von personenbezogenen Daten sicherstellen.