Am 25. Mai 2018 ist es so weit: Die neue Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Wer die Anforderungen noch nicht erfüllt, sollte sich jetzt beeilen. Welche Firmen und Betriebe betroffen sind und was was zu tun ist, erfahren Sie hier.
Datenschutz war bereits in der Vergangenheit ein heißes Thema. Für Unternehmen aus der europäischen Union, die meist nationalen Datenschutzgesetzen unterworfen waren, tritt nun mit der EU-Datenschutz-Grundverordnung die Anwendung der bereits 2016 beschlossenen DSGVO in Kraft. Alle Unternehmen innerhalb der europäischen Union sind dann im Sinne der EU-Datenschutz-Grundverordnung einheitlichen Regeln im Umgang und der Verarbeitung personenbezogener Daten unterworfen. Ziel ist der generelle Schutz persönlicher Daten und der freie Datenverkehr innerhalb des europäischen Binnenmarktes.
Grundsätzlich ist die neue EU-Datenschutz-Grundverordnung zwar zu begrüßen, da eine einheitliche Regelung für die EU dringend notwendig war und einzelne Mitgliedsstaaten defizitäre Gesetze hatten. Für Unternehmen ist die Umsetzung der neuen EU-Datenschutz-Grundverordnung allerdings in erster Linie mit viel Aufwand verbunden, da zukünftig gängige Praktiken nicht mehr den Anforderungen entsprechen könnten, sodass entsprechend vorgesorgt werden muss. In insgesamt elf Kapiteln mit 99 Artikeln regelt die EU-Datenschutz-Grundverordnung (DSGVO) unzählige Details. Die Berücksichtigung ist immer dann erforderlich, wenn ein Unternehmen personenbezogene Daten speichert oder verarbeitet – das bedeutet: Im Prinzip betrifft die DSGVO jedes Unternehmen.
Die Bedeutung der EU-Datenschutz-Grundverordnung (DSGVO) für Unternehmen und Selbstständige
Im Rahmen der neuen EU-Datenschutz-Grundverordnung wurden längst nicht alle Sachverhalte neu geregelt, sodass viele Unternehmen mit der alten Fassung bereits vertraut sind. Dennoch wurden diverse Inhalte geschärft, sodass ab sofort auch Firmen und Unternehmer betroffen sein könnten, für die die DSGVO bisher keine große Rolle spielte. IT-Dienstleister und Webseitenbetreiber, die ihre Leistungen online bewerben, sind von der Neuregelung besonders betroffen, da diese sowohl eigene personenbezogene Daten verarbeiten, als auch die von Kunden und deren Kunden.
Für Unternehmen wie IT-Dienstleister gleichermaßen relevant ist etwa die neue Begrifflichkeit aus dem Erwägungsgrund 78. Dort ist unter anderem von „data protection by design“ und „data protection by default“ die Rede. Konkret bedeutet dies, dass die zur Verarbeitung personenbezogener Daten verwendete Technik grundsätzlich so designt und konzipiert sein muss, dass die Verarbeitung den Regelungen der EU-Datenschutz-Grundverordnung entspricht. Im Zweifelsfall müssen IT-Dienstleister oder Unternehmen dies nachweisen. Eine sorgfältige Dokumentation der verwendeten Systeme und Standards ist also ratsam.
Bei letzterem Beispiel handelt es sich nur um eine der Neuerungen der EU-Datenschutz-Grundverordnung. Nachfolgend werden noch weitere Inhalte der neuen DSGVO dargestellt, die ebenso relevant für die unternehmerische Praxis sind. Verantwortliche, ob von IT-Dienstleistern oder Unternehmen, sollten im Hinterkopf behalten, dass Bußgelder für Verstöße stark angehoben werden. Je nach Schwere eines Verstoßes können fortan bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes eines Unternehmens festgesetzt werden. Nationale Sanktionierungen sind darüber hinaus zusätzlich möglich.
Grundsätze der Verarbeitung personenbezogener Daten im Sinne der DSGVO (Artikel 5) |
· Transparente Verarbeitung nach Treu und Glauben
· Zweckgebunden · Datenminimierung · Richtigkeit · Speicherung nur so lange, wie es erforderlich ist · Integrität und Vertraulichkeit |
Wichtige Anforderungen aus der neuen EU-Datenschutz-Grundverordnung
Einer der wichtigsten Artikel der neuen DSGVO ist Artikel 6. Dort ist der sogenannte Erlaubnistatbestand definiert, der für IT-Dienstleister wie Unternehmen für die Datenverarbeitung maßgeblich ist. Grundsätzlich ist eine Datenverarbeitung nur dann erlaubt, wenn:
- eine Person dazu eingewilligt hat;
- die Datenverarbeitung für die Vertragserfüllung (und vorvertraglicher Maßnahmen) nötig ist;
- die Datenverarbeitung zur Erfüllung einer Rechtspflicht notwendig ist;
- die Datenverarbeitung zum Schutze lebenswichtiger Interessen nötig ist;
- ein öffentliches Interesse zur Datenverarbeitung besteht;
- ein berechtigtes Interesse eines Verantwortlichen oder Dritten besteht.
Eine Erleichterung im EU-weiten Datenverkehr erlaubt hingegen Artikel 1. So ist geregelt, dass der freie Verkehr mit personenbezogenen Daten nicht mehr abgelehnt werden kann, weil die einzelnen Mitgliedsstaaten den Datenschutz unterschiedlich handhaben.
Weiterhin wichtig ist das Recht der Verbraucher, welches mit der neuen EU-Datenschutz-Grundverordnung gestärkt wird. Dieser Herausforderung müssen sich IT-Dienstleister, Unternehmen und öffentliche Stellen gleichermaßen stellen. So wird beispielsweise jeder Person ein uneingeschränktes Auskunftsrecht über sämtliche persönliche Daten eingeräumt, welche angemessen, verständlich und transparent auf Anfrage mitgeteilt werden müssen. Außerdem sind Verbraucher bereits bei der Datenerhebung vollumfänglich über sämtliche Umstände rund um die Erhebung zu informieren. Wird bekannt, dass falsche Daten erhoben und gespeichert wurden, so haben Verbraucher fortan auch das Recht, eine Richtigstellung einzufordern.
Aufgrund dieser neuen Regelungen sind große Unternehmen und IT-Dienstleister im Einzelfall mit neuen Herausforderungen konfrontiert, da mit vermehrten Anfragen zu rechnen ist. Dafür müssen entsprechende Vorkehrungen getroffen werden.
Weitere Regelungen der EU-Datenschutz-Grundverordnung
Im Rahmen der neuen DSGVO ist weiterhin eine zwingende Bestellung eines Datenschutzbeauftragten erforderlich. Von dieser Pflicht sind lediglich Kleinunternehmer und kleine Unternehmer in bestimmten Fällen ausgenommen.
Erwähnenswert, aber zunächst wohl weniger relevant, ist das „Recht auf Vergessenwerden“. Entfallen die Gründe für die Speicherung personenbezogener Daten, so hat die jeweilige Person das Recht, dessen Löschung einzufordern. Gleichzeitig ist die datenerhebende Stelle verpflichtet, derartige Daten von sich aus zu löschen, wenn die Gründe entfallen.
Im Hinblick auf die Förderung eines freien Datenverkehrs ist abschließend auf Artikel 20 der neuen EU-Datenschutz-Grundverordnung hinzuweisen. So sind Daten in einer „gängigen und maschinenlesbaren Form“ zu führen, die im Bedarfsfall zur Übermittlung an Dritte geeignet sind. Insbesondere in diesem Punkt können IT-Dienstleister beispielsweise durch die Festlegung bestimmter Standards einen wichtigen Teil der DSGVO für ihre Kunden erfüllen.
Bildnachweise: DSGVO mit EU-Sternen: © Matthias Enter - Fotolia.com, Infografik personenbezogene Daten: © vanillya - Fotolia.com