Die neue Datenschutzgrundverordnung – Diese Änderungen kommen 2018 auf Sie zu
Was ist die EU-DSGVO?
Datenschutz war bisher für alle Unternehmer ein wichtiges Thema. Bisher mussten sich Unternehmen nach dem Bundesdatenschutzgesetz (BDSG) richten, doch ab dem 25. Mai 2018 tritt die neue EU Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Dabei handelt es sich um eine gesetzliche Richtlinie der Europäischen Union. Diese hat das Ziel, das Datenschutzrecht innerhalb der EU zu vereinheitlichen.
Auf Unternehmen kommen somit weitreichende Änderungen zu. Etliche Prozesse und Informationspflichten müssen überprüft und angepasst werden. In diesem Beitrag erläutern wir Ihnen im Detail, welche Neuerungen Sie in Zukunft berücksichtigen müssen.
Welche Daten sind von der Datenschutzgrundverordnung betroffen?
Die neue Datenschutzgrundverordnung gilt für alle Personen und Unternehmen, die personenbezogene Daten verarbeiten, speichern oder übermitteln. Somit ist jedes Unternehmen betroffen, welches im Internet aktiv ist und z. B. anhand von Newsletter, Werbemails oder Nutzer-Tracking personenbezogene Daten sammelt.
Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen z. B.:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Kontodaten
- Kfz-Kennzeichen
- Standortdaten
- IP-Adressen
- Cookies
Welche Änderungen kommen auf Unternehmen zu?
1. Erhebung und Weiterverarbeitung der Daten
Personenbezogene Daten dürfen ausschließlich für einen bestimmten Zweck erhoben werden, d. h. gewonnene Daten dürfen vom Unternehmen nicht für weitere Zwecke genutzt werden, die vorher nicht festgelegt wurden. Die Speicherung und Verarbeitung der Daten ist beispielsweise dann erlaubt, wenn sie für die Erfüllung eines Vertrags oder für die Erfüllung gesetzlicher Rechte und Pflichten erforderlich sind. Weitere Daten, die ein Unternehmen erheben und speichern darf, sind z. B. solche, die für die Einstellung eines Mitarbeiters und die Zahlung des Lohns notwendig sind, also Kontonummer, die Krankenkasse oder der Familienstand.
Konkret sollte jedoch im Einzelfall entschieden werden, ob die Erhebung bestimmter Daten tatsächlich erforderlich ist.
2. Einwilligung
Ein stillschweigendes Einverständnis genügt nicht mehr. Eine wirksame Einwilligung muss bestimmte formale Kriterien erfüllen und entweder schriftlich, elektronisch oder mündlich erfolgen. Jedoch muss die Einwilligung immer dokumentiert werden, denn Sie müssen stets nachweisen können, dass die Einwilligung zur Datenverarbeitung erteilt wurde, was bei mündlichen Einwilligungen schnell zu Problemen führen kann. Holen Sie sich deshalb eine Einwilligung in schriftlicher oder elektronischer Form.
Eine weitere Neuerung ist ein strengeres Koppelungsverbot, d.h. Einwilligungen sind nur dann gültig, wenn die Erfüllung eines Vertrags unabhängig von der Einwilligung ist. Die Teilnahme an Gewinnspielen oder der Download von Inhalten darf also nicht mehr an das Abonnement eines Newsletters gekoppelt werden.
Darüber hinaus muss der Betroffene darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist.
3. Informationspflichten
Als Unternehmen sollten Sie Ihre Datenschutzerklärung bis zum 25. Mai komplett überarbeiten. Die EU-DSVO schreibt vor, dass die Datenschutzbestimmungen zukünftig:
- präzise,
- transparent,
- verständlich,
- sowie in klarer und einfacher Sprache verfasst sein muss.
Um ein ausreichendes Maß an Transparenz zu garantieren, ist dem Nutzer deutlich darauf hinzuweisen, welche Daten zu welchem Zweck und in welcher Dauer erhoben werden. Ebenso muss der Betroffene ausdrücklich über seine Rechte informiert werden. Dazu zählen Auskunfts-, Berechtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Übertragbarkeit der Daten.
4. Recht auf Löschung / Vergessenwerden
Mit der EU Datenschutz-Grundverordnung wird das Recht des Betroffenen verstärkt, die Löschung seiner Daten zu beantragen. Wurden die Daten beispielsweise an Dritte übergeben, ist die Löschanweisung an diese weiterzuleiten.
Ebenso hat der Betroffene das Recht, all seine erfassten Daten mitzunehmen (Recht auf Datenübertragbarkeit). Unternehmen müssen bei entsprechender Aufforderung der Herausgabe der Daten nachkommen und diese portabel gestalten.
5. Datenübermittlung
Werden personenbezogene Daten an Organisationen in Drittländern oder internationale Organisationen erfolgen, muss dem Betroffenen der eindeutige Empfänger sowie die Bedingung der Übermittlung mitgeteilt werden. Aus der Mitteilung sollte auch hervorgehen, welche Maßnahmen zum Datenschutz der Empfänger gewährleistet. Dies ist allerdings nur zulässig, sofern die Gesetzgebung des jeweiligen Landes einen angemessenen Datenschutz gewährleistet.
6. Sicherheit der Verarbeitung
Nach der Datenschutz-Grundverordnung sind Unternehmen dazu verpflichtet, einen angemessenen Schutz der Daten zu garantieren, z. B. durch ein Datenschutzmanagementsystem oder eine Anti-Viren-Software.
Im Vorfeld gilt es, konkrete Risiken zu ermitteln und anschließend abzuschätzen, welche technischen und organisatorischen Maßnahmen zur Vorbeugung solcher Risiken getroffen werden müssen. Geeignete Schutzmaßnahmen sind u. a. Pseudonymisierung oder eine Verschlüsselung der Daten.
Sofern ein Datenschutzsystem eingesetzt wird, ist dieses regelmäßig zu überprüfen und auf dem aktuellen Stand zu halten.
7. Benachrichtigungspflichten bei Datenschutzverletzungen
Sollte trotz Datenschutzmanagement eine Datenpanne oder ein Hackerangriff stattfinden, sollten die Betroffenen sowie die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigt werden. Zusätzlich ist dem Betroffenen mitzuteilen, welche Art der Verletzung vorliegt und welche Folgen daraus für ihn entstehen könnten. Er sollte ebenso darüber informiert werden, welche Maßnahmen geplant sind, um den entstandenen Schaden zu beheben.
8. Datenschutz-Folgenabschätzung
In der EU-DSGVO haben sich die Dokumentationspflichten nochmals deutlich verschärft. Datenverarbeitende Unternehmen sind nun dazu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen. Dabei handelt es sich um eine Risikoeinschätzung, bei der die Vorgänge der Datenverarbeitung sowie deren Zweck und Notwendigkeit ausführlich beschrieben werden. Ergänzend sind geplante Maßnahmen zum Datenschutz aufzuführen.
Eine Datenschutz-Folgenabschätzung ist immer dann notwendig, wenn besonders sensible Daten verarbeitet werden und ein hohes Risiko für den Betroffenen besteht.
9. Bestellung des Datenschutzbeauftragten
Ist die Verarbeitung personenbezogener Daten die Kerntätigkeit eines Unternehmens, besteht in Zukunft die Pflicht, einen Datenschutzbeauftragten zu bestellen. Dies gilt allerdings nur dann, wenn Umfang oder Zweck eine regelmäßige und systemische Überwachung erfordern.
Dabei muss jedes Unternehmen eigenständig kontrollieren, ob die Erfordernis besteht, einen Datenschutzbeauftragten zu bestellen.
Folgen eines Datenschutzverstoßes
Je nach Art des des Datenschutzverstoßes können Bußgelder mit bis zu 10 Mio. bzw. sogar 20 Mio. Euro verhängt werden. In Abhängigkeit von Größe und Rechtsform des Unternehmens ist sogar eine Koppelung an den Jahresumsatz möglich. In solchen Fällen drohen Geldstrafen, die bis zu zwei oder gar vier Prozent des jährlichen Umsatzes ausmachen.
Zusammenfassung
Mit der am 25. Mai in Kraft tretende Datenschutz-Grundverordnung kommen große Neuerungen auf Unternehmen zu. Datenschutzerklärungen auf Webseiten müssen überarbeitet und unternehmensinterne Prozesse überprüft werden. Zudem sollten Mitarbeiter geschult und für das Thema Datensicherheit sensibilisiert werden.
Ohne professionelle Beratung ist es jedoch für viele Unternehmen und Webseitenbetreiber kaum möglich, den vielen Anforderungen gerecht zu werden. Lassen Sie sich im Zweifelsfall anwaltlich beraten, um den Schutz und den richtigen Umgang der Daten zu gewährleisten.