von LocalBranding
Am 25. Mai 2018 tritt nach einer zweijährigen Übergangsphase die europaweit gültige Datenschutzgrundverordnung (kurz DS-GVO) in Kraft. Diese wird die mittlerweile veralteten nationalen Datenschutzgesetze des Jahres 1995 der Europäischen Mitgliedsstaaten ersetzen und harmonisieren.
Die DS-GVO ersetzt das bislang geltende nationale Datenschutzrecht (z.B. das Bundesdatenschutzgesetz „BDSG“). Die neue Datenschutz-Grundverordnung der EU beinhaltet an manchen Stellen allerdings sogenannte Öffnungsklauseln. Aufgrund dieser Öffnungsklauseln können die Mitgliedsstaaten die EU-DS-GVO durch weitere nationale Regelungsinhalte ergänzen.
Die DS-GVO soll sicherstellen, dass personenbezogene Daten bei ganz oder teilweise automatisierter Verarbeitung, z. B. im Internet, sowie bei nichtautomatisierter Verarbeitung bestmöglich geschützt sind und so deren ungewollte Weitergabe an Dritte verhindert wird.
Die Datenschutzgrundverordnung gilt für Unternehmen, die in der EU ansässig sind und personenbezogene Daten verarbeiten. Da jedes Unternehmen mit persönlichen Daten von Kunden, Lieferanten, Mitarbeiter oder anderen Personen arbeitet, gilt die DS-GVO für alle europäischen Unternehmen.
Auch außereuropäische Unternehmen müssen sich in folgenden Fällen an die neuen Regelungen halten:
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar" ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie z.B. einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hierbei aus.
Beispiele personenbezogener Daten sind folgende:
Das heutige Bundesdatenschutzgesetz verpflichtet Unternehmen zum Schadensersatz, wenn ein materieller Schaden entstanden ist. Die DS-GVO erweitert diese Haftungsverantwortlichkeit auf die Schadensersatzpflicht im Fall von rein moralischen Schäden.
Je nach Schwere des Verstoßes beläuft sich der EU-DS-GVO Bußgeldrahmen für Unternehmen auf bis zu 10 Mio. Euro bzw. 20 Mio. Euro. Oder auf bis zu 2% bzw. 4% des gesamten (weltweit) erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres – je nachdem welcher Betrag höher ist.
Jede Website speichert wiederum zumindest die IP-Adresse des Besuchers. Hiermit wird die firmeneigene Website zum weiteren Umsetzungsziel der neuen Regelung. Wir haben dieses Thema separat für dich behandelt. Interessiert? Klicke hier um zum Blog-Eintrag Web-Checkliste DS-GVO zu gelangen.
Die Hauptverantwortung bzgl. der Verarbeitung personenbezogener Daten gilt dem Verantwortlichen und dem (im Falle einer Einstellung) Datenschutzbeauftragten sowie dem Datenverarbeiter. Der DSB überwacht das Personal bzw. dessen Computer und Computerprogramme. Zusätzlich ist er oder sie für die Schulung der Mitarbeiter in Sachen des Datenschutzes zuständig. Die Position des DSB hat kein Weisungsrecht inne und unterliegt einem speziellen Kündigungsschutz.
Die Bedingungen für die Einstellung eines DSB sind wie folgt: Unternehmen müssen Datenschutzbeauftragte bestellen, sobald sich im Betrieb mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder diese auf andere Weise erheben, verarbeiten oder nutzen. In jedem Fall muss ein DSB bestellt werden, wenn die automatisierte Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Der DSB kann auch freiwillig bestellt werden.
Mit dem Eintreten der DS-GVO bist Du als Unternehmen fortan dazu verpflichtet, betroffenen Personen folgende Informationen unentgeldlich und zeitnah zur Verfügung stellen zu können:
Folgende Konditionen gelten für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten:
Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung gegeben hat oder wenn die Verarbeitung rechtlich verpflichtend ist bzw. zur Durchführung vorvertraglicher Maßnahmen unabdingbar ist.
Die Einwilligung in Schriftform ist empfehlenswert. Für die Zukunft hat der Betroffene ein Recht auf Widerruf seiner Einwilligung. Für die rechtmäßige Einwilligung eines Kindes, muss dieses das 16. Lebensjahr vollendet haben oder die Zustimmung der Eltern für die Datenverarbeitung erhalten.
Die EU-DS-GVO führt den Begriff des „Profilings“ ein, welcher die Verknüpfung von personenbezogenen Daten natürlicher Personen und die daraus resultierenden Vorhersagen über bestimmte persönliche Aspekte wie z.B. persönliche Vorlieben beschreibt. Verantwortliche Stellen werden zukünftig durch die DS-GVO verpflicht, geeignete Maßnahmen zu treffen, um die Freiheiten, Rechte und Interessen Betroffener zu wahren. Der Betroffene sollte als Mindestforderung das Recht auf Eingreifen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung haben.
Die DS-GVO unterscheidet zwischen einer Erstverarbeitung und einer Weiterverarbeitung. Die Weiterverarbeitung wird nur dann zulässig sein, wenn sie mit dem ursprünglich festgelegten Zweck der Datenerhebung vereinbar ist.
Im Fall des Zweckwegfalls sind personenbezogene Daten umgänglich zu löschen, wenn keine anderweitige Rechtsgrundlage die weitere Verarbeitung rechtfertigen kann. Zudem sind Unternehmen zukünftig dazu verpflichtet, nach Veröffentlichung personenbezogener Daten andere Unternehmen darüber zu informieren, dass der Betroffene die Löschung aller Links, Replikationen, Kopien der Daten beatragt hat.
Betroffene natürliche Personen sind zukünftig dazu berechtigt, von Unternehmen ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Desweiteren können Betroffene die Weiterleitung an ein anderes Unternehmen beantragen, soweit dies technisch machbar ist.
Unternehmen sind zukünftig zu datenschutzfreundlichen Voreinstellungen (umfassen Datenmengenbegrenzung, Umfang der Bearbeitung, deren Speicherfrist und Zugänglichkeit) technischer und organisatorischer Maßnahmen verpflichtet.
Im Falle einer Datenschutzverletzung muss die betroffene Person innerhalb von 72 Stunden durch den Verantwortlichen, ohne unangemessene Verzögerung und in klarer Sprache informiert werden. Die zuständige Aufsichtsbehörde muss hierüber eine Meldung abgeben.
Die Sicherheit der Verarbeitung wird durch geeignete technische und organisatorische Maßahmen garantiert. Außerdem forder die DS-GVO explizit den technischen Einsatz von Pseudonymisierung und Verschlüsselung.
Die Folgeabschätzung muss nur im Falle von besonderen Risiken für die Rechte und Freiheiten der Betroffenen bei der Verarbeitung von personenbezogenen Daten durchgeführt werden. Die Datenschutz-Folgeabschätzung beschreibt die geplanten Verarbeitungsvorgang und die Verarbeitungszwecke. Sie bewertet die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck. Zusätzlich bewertet die Datenschutz-Folgeabschätzung die Risiken für Rechte und Freiheiten der Betroffenen.
Zertifizierungen, Datenschutzsiegel und -prüfzeichen werden mit Inkrafttreten der DS-GVO von großer Bedeutung sein. Sie gelten als Nachweis für das Einhalten der Regelung.
Sollte eine Datenübermittlung an Drittstaaten - durch z.B. Auftragsverarbeiter im Ausland - stattfinden, unterliegen diese ebenfalls den Richtlininen der DS-GVO.
Es wird keinerlei Haftung auf Richtigkeit und Vollständigkeit durch die Verfasser übernommen. Insbesondere wird darauf hingewiesen, dass jeder Fall gesondert zu prüfen ist und dass dieser Beitrag weder eine Rechtsberatung darstellt noch eine individuelle Rechtsberatung ersetzt.
Verfasst von Frank Jeroma
Frank Jeroma ist Gründer und Geschäftsführer der LocalBranding GmbH. Er hat über 20 Jahre Erfahrung im Bereich der integrierten Markenführung. Mit der Entwicklung von tragfähigen Geschäfts- und Markenkonzepten speziell für kleine und mittlere Unternehmen leistet er seinen Beitrag zum Erhalt der ökonomischen Vielfalt in Deutschland und Europa.