Die DSGVO kommt: Das müssen Sie wissen
Am 25. Mai 2018 wird es ernst: Ab diesem Stichtag gilt die Europäische Datenschutz-Grundverordnung (DSGVO) verbindlich in allen EU-Mitgliedsstaaten. Damit werden die Vorschriften der EU-Datenschutzrichtlinie 95/46 ersetzt, die in Deutschland bisher mit dem Bundesdatenschutzgesetztes (BDSG) umgesetzt wurden.
In der Praxis bedeutet dies: Unternehmen, die innerhalb der EU personenbezogene Daten etwa von Kunden oder Lieferanten erheben, verarbeiten und speichern, müssen die Anforderungen der DSGVO ab Mai 2018 zwingend erfüllen, um im Ernstfall empfindliche Bußgelder zu vermeiden. Eine Übergangsfrist gibt es nicht mehr – denn in Kraft getreten ist die DSGVO bereits am 25. Mai 2016. Der zweijährige Übergang zur Anwendung der EU-Verordnung sollte Unternehmen genügend Zeit geben, ihre Datenschutzprozesse zu überprüfen und schrittweise anzupassen.
Wie aktuelle Studien zeigen, ist ein Großteil der deutschen Unternehmen Ende 2017 jedoch noch unzureichend auf die EU-Datenschutz-Grundverordnung vorbereitet – besonders in kleinen und mittleren Unternehmen besteht oft noch Unklarheit zu den neuen Vorschriften. Unsere Übersicht stellt als Orientierung die wichtigsten Kernpunkte und Änderungen zusammen und gibt Tipps, wie sich Unternehmen beim Thema DSGVO gut aufstellen.
Überblick: Ziele und Grundsätze der DSGVO
Ziel der DSGVO ist es zum einen, nationale Regelungen zum Datenschutz in der Europäischen Union weitestgehend zu harmonisieren und so einen gemeinsamen Datenschutzrahmen für die EU-Mitgliedsstaaten zu schaffen. Zum anderen soll eine maßvolle Modernisierung datenschutzrechtlicher Grundsätze dafür sorgen, damit das zentral verankerte Grundrecht jedes Einzelnen auf Schutz seiner personenbezogenen Daten auch im Zeitalter von Digitalisierung und Globalisierung wirkungsvoll gesichert ist.
Auch wenn die DSGVO umfangreiche Neuregelungen mit sich führt, so bleiben bekannte Grundsätze des Datenschutzrechts wie „Zweckbindung“, „Datenminimierung“ und „Transparenz“ im Kern erhalten – allerdings werden diese allgemeinen Grundsätze in strengeren Vorschriften umgesetzt. Dies betrifft z. B. den Grundsatz der „Zweckbindung“, der im Wortlaut der DSGVO strenger normiert ist. Auch das Prinzip der „Datensicherheit“ hat in der neuen Verordnung einen weitaus höheren Stellenwert als im BDSG. Zu den Kernpunkten und Änderungen siehe auch den nächsten Abschnitt.
Kernpunkte und wesentliche Änderungen
Im Vergleich mit dem Bundesdatenschutzgesetz (BDSG) und den Vorschriften der bislang gültigen EU-Richtlinie 95/46 enthält die Europäische Datenschutz-Grundverordnung (DSGVO) zahlreiche Änderungen, Erweiterungen, neue Elemente und neue Begriffsdefinitionen.
Räumlicher Anwendungsbereich (sog. „Marktortprinzip“)
Die Regelungen des DSGVO gelten auch für Unternehmen, die zwar keine Niederlassung in der EU haben, deren Angebote und Dienstleistungen sich aber an EU-Bürger richten und die personenbezogene Daten von EU-Bürgern verarbeiten.
Einheitliche Anlaufstelle („One-Stop-Shop“-Prinzip):
Künftig sind für grenzüberschreitende Datenverarbeitungen innerhalb der EU die Aufsichtsbehörden am Sitz der Hauptniederlassung zuständig.
Begriffserweiterung personenbezogene Daten:
Mit der DSGVO werden personenbezogene Daten begrifflich weiter gefasst als „alle Informationen über eine bestimmte oder bestimmbare natürliche Person (…); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“ (Art 4. Abs 1 DSGVO).
Neue Arten von Daten:
Hinsichtlich des Schutzes besonders sensitiver Daten wurden neue Definitionen für „biometrische Daten“ und „genetische Daten“ aufgenommen. Werden sensitive Daten – dazu fallen z. B. auch Informationen zu Religionszugehörigkeit oder Sexualleben – verarbeitet, muss zwingend eine Datenschutzfolgeabschätzung durchgeführt werden, die z. B. Eintrittswahrscheinlichkeit und Schwere möglicher Risiken bewertet.
„Verbot mit Erlaubnisvorbehalt“:
Der Grundsatz des sog. „Verbots mit Erlaubnisvorbehalt“ wurde stärker normiert. Die Verarbeitung von Daten ist demnach nur zulässig, wenn eine Einwilligung oder eine klar definierte Ausnahme vorliegt (zu diesen Ausnahmen zählen z. B. die Erfüllung eines Vertrages oder aufgrund rechtlicher Verpflichtungen). Bei Einwilligungen ist maßgeblich, dass diese auf einer eindeutigen, freiwilligen und spezifisch informierten Handlung basieren. Im Fall z. B. von Online-Diensten kann dies etwa durch das Anklicken eines entsprechenden Kästchens erfolgen.
Personenbezogene Daten von Kindern:
Neu hinzugekommen ist die Regelegung, dass die Einwilligung in die Datenverarbeitung ausdrücklich erst ab 16 Jahren möglich ist. Zuvor Bedarf es der elterlichen Einwilligung.
Erweitertes Widerspruchrecht:
Gestärkt wurde auch das allgemeine Widerspruchsrecht gegen eine rechtmäßige Verarbeitung von personenbezogenen Daten. Betroffene können insbesondere Datenverarbeitungen zu Zwecken des Direktmarketings widersprechen.
Datensicherheit:
Dem Grundsatz der Datensicherheit kommt ein höherer Stellenwert zu als im BDSG. Gemäß DSGVO haben Verantwortliche und Auftrags(daten)verarbeiter geeignete technische und organisatorische Maßnahmen zu erfüllen, die sich u. a. nach dem Stand der Technik, Art und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos richten. Zum technischen und organisatorischen Datenschutz zählen u. a. die Regelungen zu Privacy by Design/Privacy by Default, zur Auftragsdatenverarbeitung, zu Datenschutzfolgeabschätzungen sowie zur Meldung von Datenpannen, die in der DSGVO strenger geregelt sind.
Verzeichnis der Datenverarbeitungstätigkeiten:
Verantwortliche und Auftrags(daten)verarbeiter müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen und dieses sog. „Verfahrensverzeichnis“ auf Verlagen der Aufsichtsbehörde zur Verfügung stellen.
Erweiterte Informationspflichten:
Die Informationspflichten der Auftrags(daten)verarbeiter gegenüber den Betroffenen wurden erheblich erweitert. Demnach müssen Betroffenen künftig u. a. über Zweck und Rechtsgrundlage der Datenverarbeitung, Name und Kontaktdaten des für die Datenerhebung Verantwortlichen, voraussichtliche Dauer der Datennutzung sowie die Betroffenenrechte wie Widerspruch oder Beschwerderecht in verständlicher und leicht zugänglicher Form informieren (Art. 14, 15 DSGVO).
Recht auf Datenübertragbarkeit (sog. „Datenportabilität“):
Es gibt eine neue Übertragbarkeitsverpflichtung für Daten, die betroffene Personen selbst zur Verfügung gestellt haben. Unternehmen sind künftig dazu verpflichtet, diese Daten dem Betroffenen auf Wunsch und unter bestimmten Voraussetzungen unverzüglich in einem gängigen elektronischen Format bereitzustellen und ggf. an Dritte zu übermitteln. Relevant ist diese Regelung z. B. im Fall eines Kontowechsels zu einer anderen Bank oder bei einem Anbieterwechsel in Sozialen Netzwerken.
Erweiterte Löschpflicht:
Betroffene haben mit bestimmten Ausnahmen künftig das Recht, die Löschung ihrer Daten zu verlangen, wenn diese z. B. für den ursprünglichen Erhebungszweck nicht mehr erforderlich sind oder die dazu erteilte Einwilligung widerrufen wurde. Durch ein neues „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO) haben Betroffene nun auch den Anspruch auf Löschung von Daten, die eine verantwortliche Stelle z. B. im Internet öffentlich gemacht hat.
Verschärfung der Sanktionen:
Bei Verstößen gegen die Regelungen der DSGVO können die Datenschutzbehörden künftig drastische Geldstrafen verhängen: So drohen je nach Art, Schwere und Dauer des Verstoßes Bußgelder von bis zu 20 Mio. EUR oder bis zu vier Prozent des weltweiten letztjährigen Jahresumsatzes (zum Vergleich: die im BDSG festgelegte Höchstgrenze von Bußgeldern lag bisher bei 300.000 EUR).
Wie Unternehmen vorgehen sollten
Auch wenn die Europäische Datenschutz-Grundverordnung (DSGVO) umfangreiche Änderungen und Neuregelungen enthält: Viele der datenschutzrechtlichen Bestimmungen und Prinzipien sind im Kern auch im bisher maßgeblichen Bundesdatenschutzgesetz (BDSG) verankert. Das heißt: Unternehmen, die den Datenschutz auch bisher in angemessener Weise beachtet haben, sollten nicht in Panik verfallen. Dennoch müssen Unternehmen ihre Datenschutzpraxis so bald wie möglich überprüfen und entsprechende Maßnahmen ergreifen, um die neuen Richtlinien zum Stichtag 25. Mai 2018 umzusetzen.
Verantwortliche sensibilisieren
Je nach Unternehmensgröße und -struktur sind für die Umsetzung der DSGVO IT-Mitarbeiter, das Qualitätsmanagement, ein Datenschutzbeauftragter, im Zweifelsfall jedoch die Geschäftsführung selbst verantwortlich. Da die Regelungen der DSGVO verschiedene Unternehmensbereiche wie die Finanzbuchhaltung, den Vertrieb und die Personalabteilung direkt betreffen, sollten Sie ein Team aus verantwortlichen Mitarbeitern der entsprechenden Abteilungen zusammenstellen, dieses Team für die Anforderungen der EU-Verordnung sensibilisieren und einen ersten Arbeitsplan für die Umsetzung im Unternehmen erarbeiten.
Prozesse und Dokumente überprüfen
Überprüfen Sie die Prozesse, in denen personenbezogene Daten erhoben, verarbeitet oder gespeichert werden, sowie sämtliche datenschutzrechtlich relevanten Dokumente. Zu den zu prüfenden Prozessen und Dokumenten gehören u. a.:
- Verfahrensverzeichnisse
- Datenschutzerklärungen
- Vereinbarungen zur Auftragsdatenverarbeitung (ADV)
- Bestehende Verträge mit datenschutzrechtlichem Bezug
- Einwilligungserklärungen
- Prozesse bei Datenpannen
- Verfahren, um Daten in einem gängigen elektronischen Format übertragen zu können
- Prozesse zur Umsetzung von Widersprüchen
- Technische und organisatorische Maßnahmen (TOM)
Passen Sie Ihre Datenschutzprozesse und Dokumente an und etablieren Sie ggf. rechtzeitig neue Strukturen, um die Anforderungen der DSGVO rechtssicher und wirksam umzusetzen. Beachten Sie dabei auch die zahlreichen Dokumentations- und Informationspflichten beim Datenschutz.
Bewusstsein schärfen und Mitarbeiter schulen
Schärfen Sie das Bewusstsein für den Datenschutz und die DSGVO im eigenen Unternehmen und schulen Sie Mitarbeiter gründlich im Umgang mit den Neuregelungen.
Quellen und Weblinks
Weiterführende Informationen und Verordnungstext:
Broschüre der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (inkl. Verordungstext)
Repräsentative Studien:
Studie des Beratungsunternehmens IDC
Studie des Digitalverbands Bitkom
Warum Sie auf den Brief setzen sollten: Lesen Sie unseren Beitrag DSGVO: Sicher und verbindlich kommunizieren.