Datenschutzgrundverordnung

Am 25.05.2018 wird die Datenschutz-Grundverordnung (DSGVO) der EU rechtswirksam. Ab dann müssen sich alle Unternehmen, die in der EU tätig sind, an die umfangreichen neuen Regelungen der Verordnung halten.


Hier lesen Sie, was die DSGVO für Sie bedeutet und auf welche Änderungen Sie sich vorbereiten müssen.
Infografik herunterladen

Was ist die Datenschutzgrundverordnung?

Was beinhaltet die DSGVO? 
Die DSGVO ist eine neue, für alle Staaten der Europäischen Union gültige, Verordnung zum Schutz von personenbezogenen Daten. Die DSGVO enthält Vorschriften, die die Verarbeitung von personenbezogenen Daten durch Unternehmen und Behörden regeln. 

Ab wann gilt die neue Verordnung?
Die DSGVO wird nach einer zweijährigen Übergangszeit am 25.05.2018 direkt in der gesamten EU gültig und rechtswirksam.

Wen betrifft die DSGVO? 
Die DSGVO betrifft alle Unternehmen,  deren Angebot sich an einen bestimmten nationalen Markt in der EU richtet, unabhängig davon, ob sich der Sitz des Unternehmens in Europa befindet und wie groß das Unternehmen ist.

Was sind personenbezogene Daten? 
Personenbezogene Daten sind Informationen, die einer konkreten Person zugeordnet werden können. Dazu gehören alle Daten, die direkt zur Identifizierung einer Person geeignet sind wie z.B. der Name, die Adresse, die E-Mail-Adresse oder die Telefonnummer, aber auch Daten über die eine Identifizierung indirekt möglich ist wie z.B. eine Kunden- oder Mitarbeiternummer.

Welche Änderungen kommen auf Sie zu?

Die EU- Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das in Deutschland geltende Bundedatenschutzgesetz (BDSG) basiert, wird nun durch die europaweit direkt geltende Regelung, die Datenschutz-Grundverordnung umgesetzt. Die nationalen Gesetzgeber haben nur noch die Möglichkeit über so genannte Öffnungsklauseln eigene Regelungen zu treffen. 

Die bisher im BDSG verankerten Grundprizipien des Datenschutzes bleiben erhalten. Jegliche Art von Datenverarbeitung ist weiterhin nur zulässig ist, wenn entweder eine gesetzliche Erlaubnis vorliegt, oder eine Einwilligung stattgefunden hat. Weiterhin gelten auch die Grundsätze der Datenvermeidung, Datensparsamkeit sowie die Zweckbindung der Datenverarbeitung.
1. "Marktortprinzip"

Hiernach gilt die DSGVO nicht nur für in der EU niedergelassene Unternehmen. Voraussetzung ist lediglich, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU gilt.
Damit gilt die DSGVO auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind.
2. "One-Stop-Shop"

Für Unternehmen mit Niederlassungen in mehreren EU-Mitgliedsstaaten wird nur die Aufsichtsbehörde an Ihrem Hauptsitz zuständig sein. So ist gewährleistet, dass sie einen zentralen Ansprechpartner haben.
3. Ausdehnung der Sanktionsmöglichkeiten

Bei Verstößen drohen nun Bußgelder bis zu 20 Mio. € bzw. 4% des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres (je nach dem welcher der Beträge höher ist)
4. Kopplungsverbot

Es wird verboten, die Vertragserfüllung von einer Einwilligung zur Preisgabe von Daten abhängig zu machen, die für die Vertragserfüllung gar nicht erforderlich ist.
5. Recht auf Datenübertragbarkeit

Unter bestimmten Voraussetzungen hat eine betroffene Person Anspruch eine Kopie der sie betreffenden Daten zu erhalten, um diese zu einem neuen Anbieter "mitzunehmen". Die Daten können entweder dem Betroffenen zur Verfügung gestellt werden oder direkt an den neuen Anbieter geschickt werden.
6. "Privacy by Design - Privacy by Default"

Unternehmen, die Daten erheben, haben schon bei der Produktentwicklung und -implementierung dafür Sorge zu tragen, dass die Datenschutzgrundsätze eingehalten werden. Ebenso soll sichergestellt sein, dass die Standardeinstellungen darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten Zweck erforderlich sind.

Kernelemente der DSGVO

Rechenschaftspflicht und Datenschutz-Management (Art. 5 Abs. 2)

Die DSGVO verlangt von Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist die verantwortliche Stelle, also das Unternehmen, verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – dies ist abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Beim Klicken auf den Pfeil sehen Sie auf einem Blick, was ein Unternehmen beim Datenschutzmanagement dokumentieren muss:
  • die Zuständigkeiten für den Datenschutz im Unternehmen; dazu gehört die Einbindung des betrieblichen Datenschutzbeauftragten
  • die Sensibilisierung und Schulung der Mitarbeiter 
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden 
  • den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (hier finden Sie ein Arbeitspapier zum Umgang Datenpannen)


Kostenlose Tipps zur Erstellung von Verarbeitungsverzeichnissen finden Sie auf der Seite der Bundesbauftragten für Datenschutz und der activemind.AG.

  • Kostenlose Tipps zur Erstellung von Verarbeitungsverzeichnissen finden Sie auf der Seite der Bundesbauftragten für Datenschutz und der activemind.AG.
  •  

Ihre Informationspflichten (Art. 12ff.)

Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz in der Datenschutz Grundverordnung eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 hat das Unternehmen geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen können schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt werden. Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13) oder bei einer dritten (Art. 14) erhoben werden. „Direkterhebung“ meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person. 
Klicken Sie auf den Pfeil, um eine Liste der Informationen zu erhalten, die das Unternehmen der betroffenen Person mitteilen muss:
  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, 
  • Kontaktdaten des Datenschutzbeauftragten, 
  • Zwecke der Verarbeitung und Rechtsgrundlage, 
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: berechtigtes Interesse des Verantwortlichen, 
  • ggf. Empfänger oder Kategorien von Empfängern, 
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission, 
  • Dauer der Datenspeicherung, 
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit, 
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a), 
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte, 
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22). 

Betroffenenrechte (Art. 15ff.)

Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 innerhalb eines Monats antworten. Es muss in jedem Fall schnell reagiert werden. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Das Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten. 

Die DSGVO stärkt die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Die DSGVO enthält umfangreiche Informationspflichten:

  1. bei der Datenerhebung
  2. zu Auskunftsrechten
  3. zu Rechten auf Berichtigung
  4. zur Löschung
  5. zur Einschränkung der Verarbeitung
  6. zur Datenübertragbarkeit
  7. zu Widerspruchsrechten
  8. sowie zum Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. 

Einwilligung der betroffenen Person (Art. 4 Nr.11)

Nach Artikel 4 Nr. 11 DSGVO bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Formale Anforderungen an die Einwilligung enthält § 7 DSGVO. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGB oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen. Dabei sind folgende Grundsätze zu beachten:
1. Freiwilligkeit

Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss.
2. Informiertheit

Für das weitere Erfordernis der Informiertheit greift die DSGVO auf bisher bekannte Grundsätze zurück. Blankoeinwilligungen genügen nicht den Anforderungen. Die betroffene Person muss verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.
3. Eindeutigkeit

Das Einverständnis in die Verarbeitung muss eindeutig zum Ausdruck kommen.
4. Kopplungsverbot

Die DSGVO führt das sogenannte Kopplungsverbot ein. Danach dürfen Unternehmen Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt.
5. Form

Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. In der Praxis ist es empfehlenswert, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden.
6. Hinweis auf Widerrufsmöglichkeit

Nicht neu ist das Erfordernis des Hinweises auf die Widerrufsmöglichkeit. Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.

Datenschutzbeauftragter (Art. 35 ff.)

Ab dem 25.05.18 wird es erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 35 ff. DSGVO). Diese ist bindend sofern ein Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Darüber hinaus kann jedes Unternehmen einen Datenschutzbeauftragten freiwillig bestellen.

In dem kostenlosen Whitepaper von activemind.AG finden Sie weitere Informationen zum betrieblichen Datenschutzbeauftragten, welche Vorausetzungen er erfüllen muss und welche Aufgaben er innehat.

 

Für rechtlich verbindliche Informationen, wenden Sie sich an den Datenschutzbeauftragten in Ihrem Unternehmen oder Ihren Rechtsberater.
Hier finden Sie die DSGVO

Checklisten und Tipps für Ihre Vorbereitung