von LocalBranding
Am 25. Mai 2018 tritt nach einer zweijährigen Übergangsphase die europaweit gültige Datenschutzgrundverordnung (kurz DS-GVO) in Kraft. Diese wird die mittlerweile veralteten nationalen Datenschutzgesetze des Jahres 1995 der Europäischen Mitgliedsstaaten ersetzen und harmonisieren.
Die DS-GVO ersetzt das bislang geltende nationale Datenschutzrecht (z.B. das Bundesdatenschutzgesetz „BDSG“). Die neue Datenschutz-Grundverordnung der EU beinhaltet an manchen Stellen allerdings sogenannte Öffnungsklauseln. Aufgrund dieser Öffnungsklauseln können die Mitgliedsstaaten die EU-DS-GVO durch weitere nationale Regelungsinhalte ergänzen.
Die DS-GVO soll sicherstellen, dass personenbezogene Daten bei ganz oder teilweise automatisierter Verarbeitung, z. B. im Internet, sowie bei nichtautomatisierter Verarbeitung bestmöglich geschützt sind und so deren ungewollte Weitergabe an Dritte verhindert wird.
Für wen ist die DS-GVO relevant?
Die Datenschutzgrundverordnung gilt für Unternehmen, die in der EU ansässig sind und personenbezogene Daten verarbeiten. Da jedes Unternehmen mit persönlichen Daten von Kunden, Lieferanten, Mitarbeiter oder anderen Personen arbeitet, gilt die DS-GVO für alle europäischen Unternehmen.
Auch außereuropäische Unternehmen müssen sich in folgenden Fällen an die neuen Regelungen halten:
- Das Unternehmen hat eine Niederlassung in der EU
- Das Unternehmen verarbeitet personenbezogene Daten von EU-Bürgern
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar" ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie z.B. einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hierbei aus.
Beispiele personenbezogener Daten sind folgende:
- IP-Adresse (Computer, wird bei jedem Website-Besuch gespeichert)
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Standortdaten
Empfindliche Bußgelder
Das heutige Bundesdatenschutzgesetz verpflichtet Unternehmen zum Schadensersatz, wenn ein materieller Schaden entstanden ist. Die DS-GVO erweitert diese Haftungsverantwortlichkeit auf die Schadensersatzpflicht im Fall von rein moralischen Schäden.
Je nach Schwere des Verstoßes beläuft sich der EU-DS-GVO Bußgeldrahmen für Unternehmen auf bis zu 10 Mio. Euro bzw. 20 Mio. Euro. Oder auf bis zu 2% bzw. 4% des gesamten (weltweit) erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres – je nachdem welcher Betrag höher ist.
Eigene Website?
Jede Website speichert wiederum zumindest die IP-Adresse des Besuchers. Hiermit wird die firmeneigene Website zum weiteren Umsetzungsziel der neuen Regelung. Wir haben dieses Thema separat für dich behandelt. Interessiert? Klicke hier um zum Blog-Eintrag Web-Checkliste DS-GVO zu gelangen.
Solltest Du einen Datenschutzbeauftragten (DSB) einstellen?
Die Hauptverantwortung bzgl. der Verarbeitung personenbezogener Daten gilt dem Verantwortlichen und dem (im Falle einer Einstellung) Datenschutzbeauftragten sowie dem Datenverarbeiter. Der DSB überwacht das Personal bzw. dessen Computer und Computerprogramme. Zusätzlich ist er oder sie für die Schulung der Mitarbeiter in Sachen des Datenschutzes zuständig. Die Position des DSB hat kein Weisungsrecht inne und unterliegt einem speziellen Kündigungsschutz.
Die Bedingungen für die Einstellung eines DSB sind wie folgt: Unternehmen müssen Datenschutzbeauftragte bestellen, sobald sich im Betrieb mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder diese auf andere Weise erheben, verarbeiten oder nutzen. In jedem Fall muss ein DSB bestellt werden, wenn die automatisierte Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Der DSB kann auch freiwillig bestellt werden.
Die wichtigsten Neuerungen und Grundsätze
Transparenz- und Informationspflichten
Mit dem Eintreten der DS-GVO bist Du als Unternehmen fortan dazu verpflichtet, betroffenen Personen folgende Informationen unentgeldlich und zeitnah zur Verfügung stellen zu können:
- Kontaktdaten des Verantwortlichen sowie dessen Stellvertretung
- Kontaktdaten des Datenschutzbeauftragten (sofern vorgeschrieben und gestellt)
- Identität der Verantwortlichen Stelle
- Zweckbestimmung und Kategorien der Empfänger
- Übermittlung personenbezogener Daten an ein Drittland
- Dauer der Speicherung
- Rechte des Betroffenen
- Profiling Logik und Tragweite
- Rechtfertigung der Interessen des Verantwortlichen
Rechtmäßigkeit der Verarbeitung
Folgende Konditionen gelten für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten:
- Nachvollziehbare Verarbeitungsweise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
- Festgelegte, eindeutige und legitime Zwecke
- Angemessene Zwecke
- Sachlich richtig und auf dem neuesten Stand
- Dem Zweck entsprechende Dauer der Speicherung
- Angemessene Sicherheit
Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung gegeben hat oder wenn die Verarbeitung rechtlich verpflichtend ist bzw. zur Durchführung vorvertraglicher Maßnahmen unabdingbar ist.
Die Einwilligung in Schriftform ist empfehlenswert. Für die Zukunft hat der Betroffene ein Recht auf Widerruf seiner Einwilligung. Für die rechtmäßige Einwilligung eines Kindes, muss dieses das 16. Lebensjahr vollendet haben oder die Zustimmung der Eltern für die Datenverarbeitung erhalten.
Profiling
Die EU-DS-GVO führt den Begriff des „Profilings“ ein, welcher die Verknüpfung von personenbezogenen Daten natürlicher Personen und die daraus resultierenden Vorhersagen über bestimmte persönliche Aspekte wie z.B. persönliche Vorlieben beschreibt. Verantwortliche Stellen werden zukünftig durch die DS-GVO verpflicht, geeignete Maßnahmen zu treffen, um die Freiheiten, Rechte und Interessen Betroffener zu wahren. Der Betroffene sollte als Mindestforderung das Recht auf Eingreifen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung haben.
Weiterverarbetiung
Die DS-GVO unterscheidet zwischen einer Erstverarbeitung und einer Weiterverarbeitung. Die Weiterverarbeitung wird nur dann zulässig sein, wenn sie mit dem ursprünglich festgelegten Zweck der Datenerhebung vereinbar ist.
Recht auf Löschung („Vergessenwerden“)
Im Fall des Zweckwegfalls sind personenbezogene Daten umgänglich zu löschen, wenn keine anderweitige Rechtsgrundlage die weitere Verarbeitung rechtfertigen kann. Zudem sind Unternehmen zukünftig dazu verpflichtet, nach Veröffentlichung personenbezogener Daten andere Unternehmen darüber zu informieren, dass der Betroffene die Löschung aller Links, Replikationen, Kopien der Daten beatragt hat.
Recht auf Datenübertragbarkeit
Betroffene natürliche Personen sind zukünftig dazu berechtigt, von Unternehmen ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Desweiteren können Betroffene die Weiterleitung an ein anderes Unternehmen beantragen, soweit dies technisch machbar ist.
Datenschutzfreundliche Voreinstellungen
Unternehmen sind zukünftig zu datenschutzfreundlichen Voreinstellungen (umfassen Datenmengenbegrenzung, Umfang der Bearbeitung, deren Speicherfrist und Zugänglichkeit) technischer und organisatorischer Maßnahmen verpflichtet.
Benachrichtigungspflichten bei Datenschutzverletzungen
Im Falle einer Datenschutzverletzung muss die betroffene Person innerhalb von 72 Stunden durch den Verantwortlichen, ohne unangemessene Verzögerung und in klarer Sprache informiert werden. Die zuständige Aufsichtsbehörde muss hierüber eine Meldung abgeben.
Sicherheit der Verarbeitung
Die Sicherheit der Verarbeitung wird durch geeignete technische und organisatorische Maßahmen garantiert. Außerdem forder die DS-GVO explizit den technischen Einsatz von Pseudonymisierung und Verschlüsselung.
Datenschutz-Folgeabschätzung
Die Folgeabschätzung muss nur im Falle von besonderen Risiken für die Rechte und Freiheiten der Betroffenen bei der Verarbeitung von personenbezogenen Daten durchgeführt werden. Die Datenschutz-Folgeabschätzung beschreibt die geplanten Verarbeitungsvorgang und die Verarbeitungszwecke. Sie bewertet die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck. Zusätzlich bewertet die Datenschutz-Folgeabschätzung die Risiken für Rechte und Freiheiten der Betroffenen.
Zertifizierungen
Zertifizierungen, Datenschutzsiegel und -prüfzeichen werden mit Inkrafttreten der DS-GVO von großer Bedeutung sein. Sie gelten als Nachweis für das Einhalten der Regelung.
Internationale Datenübermittlung
Sollte eine Datenübermittlung an Drittstaaten - durch z.B. Auftragsverarbeiter im Ausland - stattfinden, unterliegen diese ebenfalls den Richtlininen der DS-GVO.
Haftungshinweis
Es wird keinerlei Haftung auf Richtigkeit und Vollständigkeit durch die Verfasser übernommen. Insbesondere wird darauf hingewiesen, dass jeder Fall gesondert zu prüfen ist und dass dieser Beitrag weder eine Rechtsberatung darstellt noch eine individuelle Rechtsberatung ersetzt.