Datenschutzverordnung

Die Datenschutz-Grundverordnung der EU


Am 25.05.2018 wird die Datenschutz-Grundverordnung (DSGVO) der EU rechtswirksam. Ab dann müssen sich alle Unternehmen, die in der EU tätig sind, an die umfangreichen neuen Regelungen der Verordnung halten. 

Was ist die Datenschutz-Grundverordnung?


 

Was ist die Datenschutz-Grundverordnung?

Die DSGVO ist eine neue Verordnung zum Schutz von personenbezogenen Daten. Sie ist für alle EU-Staaten gültig und regelt die Verarbeitung von personenbezogenen Daten durch Unternehmen und Behörden.
 

Ab wann gilt die neue Verordnung?

Die DSGVO wird nach einer zweijährigen Übergangszeit am 25.05.2018 direkt in der gesamten EU gültig und rechtswirksam.
 

Wen betrifft die DSGVO?

Die DSGVO betrifft alle Unternehmen, deren Angebot sich an einen bestimmten nationalen Markt in der EU richtet.  Dies gilt unabhängig davon, ob sich der Sitz des Unternehmens in Europa befindet und wie groß das Unternehmen ist.
 

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die einer konkreten Person zugeordnet werden können. Dazu gehören alle Daten, die direkt zur Identifizierung einer Person geeignet sind wie z. B. der Name, die Adresse, die E-Mail-Adresse oder die Telefonnummer. Aber auch Daten, über die eine Identifizierung indirekt möglich ist, zählen dazu – wie z. B. eine Kunden- oder Mitarbeiternummer oder eine IP-Adresse.
 

Welche Änderungen kommen auf Sie zu?



Die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das in Deutschland geltende Bundesdatenschutzgesetz (BDSG) basiert, wird nun durch die europaweit direkt geltende Regelung, die Datenschutz-Grundverordnung umgesetzt. Die nationalen Gesetzgeber haben nur noch die Möglichkeit, über so genannte Öffnungsklauseln eigene Regelungen zu treffen. 
Die bisher im BDSG verankerten Grundprinzipien des Datenschutzes bleiben erhalten. Jegliche Art von Datenverarbeitung ist weiterhin nur zulässig ist, wenn entweder eine gesetzliche Erlaubnis vorliegt oder eine Einwilligung stattgefunden hat. Weiterhin gelten auch die Grundsätze der Datenvermeidung, Datensparsamkeit sowie die Zweckbindung der Datenverarbeitung.
 
  • Marktortprinzip:
    Hiernach gilt die DSGVO nicht nur für in der EU niedergelassene Unternehmen. Voraussetzung ist lediglich, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU gilt. Damit gilt die DSGVO auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind.
     
  • One-Stop-Shop:
    Für Unternehmen mit Niederlassungen in mehreren EU-Mitgliedsstaaten wird nur die Aufsichtsbehörde an Ihrem Hauptsitz zuständig sein. So ist gewährleistet, dass sie einen zentralen Ansprechpartner haben.
     
  • Ausdehnung der Sanktionsmöglichkeiten:
    Bei Verstößen drohen nun Bußgelder bis zu 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres.
     
  • Kopplungsverbot:
    Es wird verboten, die Vertragserfüllung von einer Einwilligung zur Preisgabe von Daten abhängig zu machen, die für die Vertragserfüllung gar nicht erforderlich ist.
  • Recht auf Datenübertragbarkeit:
    Unter bestimmten Voraussetzungen hat eine betroffene Person Anspruch, eine Kopie der sie betreffenden Daten zu erhalten, um diese zu einem neuen Anbieter "mitzunehmen". Die Daten können entweder dem Betroffenen zur Verfügung gestellt werden oder direkt an den neuen Anbieter geschickt werden.
     
  • Privacy by Design – Privacy by Default:
    Unternehmen, die Daten erheben, haben schon bei der Produktentwicklung und -implementierung dafür Sorge zu tragen, dass die Datenschutzgrundsätze eingehalten werden. Ebenso soll sichergestellt sein, dass die Standardeinstellungen darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten Zweck erforderlich sind.
 

Kernelemente der DSGVO


Rechenschaftspflicht und Datenschutz-Management (Art. 5 Abs. 2)

Die DSGVO verlangt von Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist die verantwortliche Stelle, also das Unternehmen, verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – dies ist abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.

Das muss ein Unternehmen beim Datenschutz dokumentieren:
  • Zuständigkeiten für den Datenschutz im Unternehmen; dazu gehört die Einbindung des betrieblichen Datenschutzbeauftragten
  • Sensibilisierung und Schulung der Mitarbeiter 
  • Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden 
  • Stand der Technik als Anforderung an die IT-Sicherheit
  • Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • Prozess zur Meldung von Verletzungen des Datenschutzes. Hier finden Sie ein Arbeitspapier zum Umgang mit Datenpannen.
TIPP: Kostenlose Tipps zur Erstellung von Verarbeitungsverzeichnissen finden Sie auf der Seite der Bundesbauftragten für Datenschutz und der activemind.AG.
 

Ihre Informationspflichten (Art. 12ff.)

Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz in der DSGVO eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 hat das Unternehmen geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen können schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt werden. Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13) oder bei einer dritten (Art. 14) erhoben werden. „Direkterhebung“ meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person.

Folgende Informationen muss das Unternehmen der betroffenen Person mitteilen:
  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters 
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung und Rechtsgrundlage
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: berechtigtes Interesse des Verantwortlichen, 
  • ggf. Empfänger oder Kategorien von Empfängern 
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission, 
  • Dauer der Datenspeicherung
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit 
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a) 
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22). 

Betroffenenrechte (Art. 15ff.)

Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 innerhalb eines Monats antworten. Es muss in jedem Fall schnell reagiert werden. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Das Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten. 
 
Die DSGVO stärkt die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Die DSGVO enthält umfangreiche Informationspflichten:
  1. bei der Datenerhebung
  2. zu Auskunftsrechten
  3. zu Rechten auf Berichtigung
  4. zur Löschung
  5. zur Einschränkung der Verarbeitung
  6. zur Datenübertragbarkeit
  7. zu Widerspruchsrechten
sowie zum Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. 

Einwilligung der betroffenen Person (Art. 4 Nr. 11)

Nach Artikel 4 Nr. 11 DSGVO bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Formale Anforderungen an die Einwilligung enthält § 7 DSGVO. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGB oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen. Dabei sind folgende Grundsätze zu beachten:
  1. Freiwilligkeit: Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss.
     
  2. Informiertheit: Für das weitere Erfordernis der Informiertheit greift die DSGVO auf bisher bekannte Grundsätze zurück. Blankoeinwilligungen genügen nicht den Anforderungen. Die betroffene Person muss verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.
     
  3. Eindeutigkeit: Das Einverständnis in die Verarbeitung muss eindeutig zum Ausdruck kommen.
     
  4. Kopplungsverbot: Die DSGVO führt das sogenannte Kopplungsverbot ein. Danach dürfen Unternehmen Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt.
     
  5. Form: Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. In der Praxis ist es empfehlenswert, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels Double-Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden.
     
  6. Hinweis auf Widerrufsmöglichkeit: Nicht neu ist das Erfordernis des Hinweises auf die Widerrufsmöglichkeit. Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.

Datenschutzbeauftragter (Art. 35 ff.)

Ab dem 25.05.18 wird es erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 35 ff. DSGVO). Diese ist bindend, sofern ein Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Darüber hinaus kann jedes Unternehmen einen Datenschutzbeauftragten freiwillig bestellen.
In dem kostenlosen Whitepaper von activemind.AG finden Sie weitere Informationen zum betrieblichen Datenschutzbeauftragten, welche Voraussetzungen er erfüllen muss und welche Aufgaben er innehat.
 
TIPP: Für rechtlich verbindliche Informationen, wenden Sie sich an den Datenschutzbeauftragten in Ihrem Unternehmen oder Ihren Rechtsberater.

Die Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (kurz DSFA) ist erforderlich, wenn durch Ihre Datenverarbeitungsprozesse ein Risiko für die Rechte und Freiheiten der Betroffenen vorliegt. Die EU hat dafür praxistaugliche Kriterien veröffentlicht, die - sollten sie zutreffen - eine DSFA erforderlich machen. Wer diese nicht durchführt, obwohl er dazu verpflichtet war, riskiert hohe Geldbußen. Im Zweifel sollte deshalb eine DSFA entsprechend dokumentiert werden.

Ob und wie Sie das tun sollten, lesen Sie hier: Die Datenschutz-Folgenabschätzung