Die Datenschutzgrundverordnung (EU-DSGVO) ist eine Verordnung der Europäischen Union (EU) mit dem Ziel
_ Schaffung eines gleich hohen Datenschutzniveaus innerhalb der EU-Staaten
- (bisher konnten Unternehmen Standorte mit weniger strengen Datenschutzvorgaben wählen)
_ und stärkere Kontrolle und Transparenz der Verarbeitung personenbezogener Daten.
Die DSGVO gilt seit 25. Mai 2018 europaweit und löst in Deutschland das (alte) bisher geltende Bundesdatenschutzgesetz (BDSG) ab. Gleichzeitig mit der DSGVO tritt das BDSG-neu in Kraft. Dieses Gesetz regelt den Datenschutz allerdings nur soweit wie die DSGVO vorsieht, dass bestimmte Datenschutzbereiche auf nationaler Ebene geregelt werden dürfen oder müssen (sogenannte „Öffnungsklauseln“).
Die Vorschriften des BDSG-neu finden keine Anwendung, soweit die DSGVO unmittelbar gilt (§ 1 Abs. 5 BDSG-neu), da eine EU-Verordnung Vorrang gegenüber nationalem Recht hat.
Die DSGVO verlangt von der verantwortlichen Stelle, also dem Unternehmen oder der Institution, die Erfüllung der sogenannten Rechenschaftspflicht. Damit ist die verantwortliche Stelle für die Einhaltung des Datenschutzes nach den Regeln der DSGVO verantwortlich. Dazu ist ein Datenschutzmanagement notwendig. Dessen Ausgestaltung ist abhängig von der Größe des Unternehmens, den personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Auch in kleinen und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Stellung des Datenschutzbeauftragten: Deutschland hat von dieser Öffnungsklausel Gebrauch gemacht und die Anforderungen, ab wann genau ein Datenschutzbeauftragter zu benennen ist, präzisiert bzw. verschärft geregelt: Nach dem neuen Datenschutzgesetz BDSG-neu aus dem Jahr 2018 müssen verantwortliche Stelle oder Auftragsverarbeiter einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Zentrale Punkte der Datenschutzgrundverordnung
Das Marktortprinzip - Räumlicher Anwendungsbereich
Es gilt das einheitliche europäische Datenschutzrecht nicht nur für Betriebe mit EU-Standort, sondern vielmehr auch für Unternehmen, die ihre Waren und Dienstleistungen innerhalb der EU anbieten. Solche Unternehmen aus Drittländern (z. B. Social-Media-Anbieter) müssen sich also genauso an die DSGVO halten. Sie sind außerdem verpflichtet, einen bestellten Vertreter in der EU zu benennen, sofern sie in Europa keine Niederlassung haben. Das Marktortprinzip gilt sogar für statistische Erhebungen. Wenn ein Marktforschungsunternehmen mit Firmensitz außerhalb der EU Daten über das Internetverhalten von EU-Bürgern sammelt, findet auch hier die DSGVO Anwendung.
Mehr Transparenz für Verbraucher
Jeder Verbraucher soll und darf wissen, welche Firmen persönliche Daten über ihn gesammelt haben. Dazu sieht die Datenschutzgrundverordnung erweiterte Informationsansprüche vor. Unternehmen müssen transparent darlegen, wann und zu welchem Zweck persönliche Kundendaten gespeichert wurden. Auch über die Speicherdauer muss Rechenschaft abgelegt werden. Zudem sind Unternehmen mitteilungspflichtig, wenn europäische Kundendaten außerhalb der EU gesammelt oder weiterverarbeitet werden.
Recht auf Vergessenwerden - Löschanspruch
Verarbeitende Stellen müssen die Daten löschen, sobald beispielsweise der Zweck wegfällt oder die Einwilligung widerrufen wird. Internetnutzer können persönliche Daten entfernen lassen. Vor allem bei sehr persönlichen Angaben zur ethnischen Herkunft, zu sexuellen Vorlieben oder zur politischen Meinung eines Users besteht nach DSGVO ein persönlicher Löschungsanspruch. Große Unternehmen stellen zu diesem Zweck oft Formulare zur Verfügung wie dieses Musterformular. Der Unternehmer muss die entsprechenden Daten löschen und zudem andere Unternehmen, die diese Daten veröffentlicht oder hierauf verlinkt haben, über den Löschanspruch informieren.
Datenportabilität
Verbraucher können durch die Datenschutzgrundverordnung einfacher über ihre eigenen Daten bestimmen. So können sie ihre Daten beispielsweise zu einem anderen Unternehmen / Anbieter mitnehmen. Der bisherige Anbieter ist durch die DSGVO dazu verpflichtet, alle gespeicherten Kundendaten in einem sicheren und standardisierten Format bereitzustellen, sofern die Anwendung bereits über eine derartige Funktionalität verfügt. Eine Nachrüstung bereits vorhandener Tools ist nicht erforderlich. Bei einer Neuanschaffung sollte dieser Punkt jedoch berücksichtigt werden. Der neue Anbieter muss diese Daten – soweit technisch möglich – dann in sein System übernehmen. Im besten Fall übermittelt der alte Anbieter die Daten direkt an den neuen Geschäftspartner des ehemaligen Kunden. Diesem Datentransfer muss der Verbraucher natürlich zuvor zustimmen.
Auskunftsrecht
Auch in diesem Bereich wurden die Rechte der Verbraucher erweitert. Nach Artikel 15 EU-DSGVO beinhaltet dies nun zum Beispiel nicht nur die Auskunft über den Zweck der Datenverarbeitung, sondern auch über die Dauer und die bestehenden Rechte in Verbindung mit dieser (z. B. Widerrufsrecht, Beschwerderecht, Recht auf Löschung).
Eine Anlaufstelle bei allen Datenschutzfragen
Wenn ein ausländisches Unternehmen gegen Datenschutzbestimmungen verstoßen hat, mussten sich Verbraucher vor Inkrafttreten der DSGVO direkt an die Aufsichtsbehörde des jeweiligen Landes wenden. Da aber ein internationales Beschwerdeverfahren viele Hürden mit sich bringt, sieht die DSGVO eine vereinfachte Regelung vor. Bürger eines EU-Landes können sich seither direkt an die inländische Aufsichtsbehörde wenden, wenn der Verdacht einer nicht konformen Nutzung von personenbezogenen Daten besteht. Für deutsche Staatsbürger ist demnach die deutsche Aufsichtsbehörde zuständig. Diese kümmert sich um alle weiteren Belange und stimmt mit der Dienststelle des betroffenen EU-Landes das weitere Vorgehen ab. Eine gerichtliche Überprüfung von ausländischen Datenschutzverfehlungen wird ebenfalls im Heimatland des Betroffenen durchgeführt. So lassen sich aufwendige internationale Verfahren vermeiden.
Umsetzung der Datenschutz-Regeln im Unternehmen
Bestandsanalyse
Unternehmer müssen wissen, wo und warum sowie auf welcher rechtlichen Grundlage (z. B. Vertrag, Einwilligung) kundenspezifische Daten verarbeitet werden. Im Zuge einer 'Inventur“ sollten Betriebe genau prüfen, wo und für welche Zwecke sie die Angaben über ihre Kundschaft verwenden. Ebenfalls wichtig zu wissen: Wie lange werden die Daten gespeichert, wer hat Zugriff darauf und an wen werden die Informationen weitergegeben. Im Zweifelsfall bedarf es einer genauen Absprache zwischen Geschäftsführung, Datenschutzbeauftragtem, IT-Abteilung und Kundenservice, um die aktuellen Gegebenheiten zu klären.
Verarbeitungsverzeichnis erstellen
Das Verarbeitungsverzeichnis erweitert die Dokumentationspflicht. Rechtskonforme Muster dazu lassen sich im Internet finden, z. B.beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA). Es bietet eine gute Übersicht über folgende Punkte:
- Zweck der Datenverarbeitung,
- Kontaktdaten des zuständigen Ansprechpartners im Unternehmen,
- Darstellung der Datensicherheitsmaßnahmen und
- Aufstellung der erhobenen Datenkategorien.
Umgehende Meldung von Datenschutzverletzungen
Um Verbraucherdaten besser zu schützen, müssen nach der Datenschutzgrundverordnung Hackerangriffe sofort gemeldet werden vor. Unternehmen müssen im Falle von Datenschutzverletzungen die zuständige Datenschutzbehörde binnen 72 Stunden informieren. Dies ist über den Online-Service der zuständigen Datenschutzaufsichtsbehörde möglich. In Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Von der Meldepflicht ausgenommen sind lediglich Datenschutzverletzungen, die kein Risiko für die Freiheit und die persönlichen Rechte der Betroffenen bedeuten. Im Zweifelsfall ist es definitiv ratsam, eine Datenschutzverletzung schleunig anzuzeigen. Ansonsten drohen dem betroffenen Unternehmen eventuell Geldbußen. Betroffene Kunden müssen nur informiert werden, wenn ein hohes Risiko für ihre Daten besteht.
Arbeitnehmer-Datenschutz
Dazu gehören:
- die Einwilligung von Arbeitnehmern zur Verarbeitung persönlicher Daten, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist (z. B. Fotos eines Mitarbeiters auf der Unternehmenswebsite),
- die Übereinstimmung von Betriebs- oder Dienstvereinbarungen mit den Vorgaben der DSGVO und
- Regeln für den Datentransfer im Konzern (z. B. über die Rechtsgrundlage „berechtigtes Interesse“).
- Unter die Kategorie "Arbeitnehmer" fallen auch LeiharbeinehmerInnen, Auszubildende, Freiwillige u.a.m.
Auftragsverarbeitungsvertrag formulieren
Sobald ein Unternehmen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss nach DSGVO vorab ein Auftragsverarbeitungsvertrag geschlossen werden. Wenn also externe Buchhalter, Hoster oder IT-Unternehmen im Spiel sind, muss ein entsprechender Kontrakt abgeschlossen werden. Als Grundlage dient ein kommentierter Mustervertrag – wie die Vorlage des BayLDA , die Musterverträge und begleitende Hinweise von Bitkom e. V. und diejenigen von der Gesellschaft für Datenschutz und Datensicherheit e. V..
Datensschutz-/ DSGVO- konform im Unternehmen - Nichts vergessen ! ? |
|||||||||
|
Bestandsaufnahme/ |
… |
Dauer der Speicherung / |
… |
Datenanwendung |
… |
Budget- / |
… | Planung der Maßnahmen | |
|
Zuständigkeiten |
… | Dokumentation / Datenverarbeitungs- verzeichnis |
… |
Vorlagen / AGB checken |
… | Werbemaßnahmen Check - Website - Email / Newsletter | … | Interne Daten- sicherheit prüfen |
|
Weiter zu berücksichtigen:
Datenschutzkonforme Verarbeitung
- Gesetzlicher Erlaubnistatbestand - Einwilligung (Art.6 DSGVO)
- Datenschutz und Datensicherheit:
- Pricacy by Design (Datenschuz durch Technik),
- Privacy by Default (Datenschutz durch Voreinstellungen): Pseudonomysierung,Verschlüsselung, Einschränkung der Eingabemöglichkeiten, automtische Löschung von Daten
- Datenschutz-Folgeabschätzung
- Datenschutz Management
| Relevante Abteilungen im Unternehmen |
Zusammenhänge zum Datenschutz: Bundesdatenschutzgesetz (BDSG) und DSGVO
-
DSGVO und BDSG-neu: für beide gilt Anwendung ab dem 25. Mai 2018.
-
BDSG-neu: ergänzt, modifiziert bzw. spezifiziert die DSGVO-Vorgaben, muss aber konform gehen - nicht widersprechen.
-
BDSG-neu gilt im nationalen Raum, die DSGVO hat Anwendungsvorrang.
Die wichtigsten Änderungen bei DSGVO und BDSG
- betreffen die "Stellung eines Datenschutzbeauftragten", Transparenz-und Dokumentationspflichten, Auftragsverarbeitung, AN-Datenschutz
-
sowie Straf- und Bußgeldvorschriften
BDSG: wenn z.B. wissentlich nicht allgemein zugängliche, personenbezogene Daten ohne Berechtigung im großen Umfang anderen zugänglich gemacht oder übermittelt werden, gewerbsmäßig handelnd, kann es zur Geld- oder Freiheitsstrafe bis zu drei Jahren kommen. DSGVO: vor Anwendung der DSGVO belief sich das Bußgeld im alten BDSG auf 300.000 Euro. Es beziffert sich mit der DSGVO auf 20 MIo. Euro bzw.bis zu 4 Prozent desJahresumsatzes.
Stand 2021/21
Cookie-Regulierung und der Datenschutz |
|||
|
EU |
DSGVO |
ePrivacy-RL ↓ ↓ |
|
|
BRD |
"BDSG-neu" |
$ 7 Abs. 2 UWG |
TTDSG |
|
Spezial-gesetzliche Vorschriften |
|||
TTDSG und die DSGVO - Data-Lifecycle
|
||||
| TTDSG | ⇒ |
DSGVO | ⇒ | DSGVO |
|
|
|
||
|
|
|
||
|
||||
Die Aufsichtsbehörden befassten sich intensiv mit den neuen Rechtsgrundlagen und deren Anforderungen und stimmten eine einheitliche Sichtweise ab. Ergebnisse dieses Prozesses sind gemeinsame Kurzpapiere zur EU-DSGVO, welche die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zeitnah veröffentlichten.
Die Datenschutzkonferenz (DSK) stellt kleinen Unternehmen und Vereinen Unterlagen zur Verfügung, um ihnen die wesentlichen Anforderungen der Datenschutz-Grundverordnung kompakt und verständlich darzulegen. DIese Kurzpapiere können auch hier abgerufen werden.
Diese Kurzpapiere dienen als eine erste Orientierung, wie die Datenschutz-Grundverordnung im praktischen Vollzug nach Auffassung der Datenschutzkonferenz angewendet werden sollte. Diese Kurzpapiere (auch unter Einfluss des Download Kurzpapier (PDF) - Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 EU-DSGVO stehen unter dem Vorbehalt einer zukünftigen - möglicherweise stark abweichenden - Auslegung durch den Europäischen Datenschutzausschuss.
Folgende Kurzpapiere sind von der Datenschutzkonferenz bislang beschlossen worden (wird zwar laufend aktualisiert, aber ohne Recht und Pflicht auf Vollständigkeit):
In allen Fällen, zu denen Sie sich unsicher sind, finden Sie hier auf unserer Website einiges an Tipps und weiterführenden Informationen.
Darüber hinaus - damit Sie sich wirklich sicher sein können (!), gibt es unseren bewährten Quick-Check, mit Hilfe dessen Sie sich aufzeigen lassen können, wo es gegebenenfalls noch weiteren Klärungsbedarf gibt!
