EU-DSGVO: Relevante Informationen und Tipps zur Umsetzung

Ende der Übergangsfrist zur Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO)

 

Seit April 2016 gelten schon die neuen Bestimmungen zum Datenschutzrecht der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) - oder kurz: DSGVO

 

Was sich so sperrig anhört, hat höchste Relevanz für Unternehmen wie Verbraucher.


Um den EU-Wettbewerb nicht weiter zu verzerren, soll diese Verordnung eine europäische Harmonisierung der nationalen Datenschutzbestimmungen herstellen. Das bedeutet deutlich mehr Rechte für Verbraucher im Hinblick auf den Datenschutz. Auf der anderen Seite verlangt die Verordnung von jedem Unternehmen eine Revision und Anpassung aller Prozesse, bei denen personenbezogene Daten erhoben, gespeichert und verarbeitet werden.

 

 

DSGVO
Umsetzungsfrist der EU-DSGVO endet am 25.05.2018.

Übergangsfrist endet im Mai und bringt einen verschärften Bußgeldkatalog mit sich

In Kürze, genauer am 25. Mai 2018 endet die zweijährige Übergangsfrist, um die neuen Bestimmungen gesetzeskonform zu erfüllen. Und was wurde aufgrund dieses Datums nicht alles geschrieben und teilweise sogar Panik geschürt. Aber es stimmt auch: Es verlangt einigen Aufwand, ein rechtlich einwandfreies Datenschutzkonzept nach DSGVO zu erstellen – betrachtet man allein die Ausweitung der Dokumentations- und Meldepflichten, die damit einhergehen.

 

Wirksame, verhältnismäßige und abschreckende Geldbußen bei Verstößen

Gleichzeitig sind die Aufsichtsbehörden verpflichtet bei Verstößen Geldbußen so zu dimensionieren, dass diese „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind“ – abhängig davon wie schwer, wie lang und von welcher Art der Verstoß war. Die Verordnung sieht dafür Bußgelder in Höhen von bis zu 20.000.000 EUR bzw. 4% des weltweit erzielten Jahresumsatzes vor. Selbstverständlich sind die hohen Summen als maximale Strafen für besonders schwerwiegende oder wiederholte Vergehen gegen die Datenschutzbestimmung zu verstehen. Trotzdem – so schätzen verschiedene Experten übereinstimmend – bekommt die Einhaltung der Datenschutzregelungen europaweit auf diese Weise einen höheren Stellenwert.

 


TIPP für Unternehmen

Die Überprüfungen aller betrieblichen Prozesse, bei denen personenbezogene Daten anfallen, verarbeitet, gespeichert und gegebenenfalls an Dritte weitergegeben werden, müssen mindestens auf leitender Ebene fachlich geprüft werden und die Veränderungen durch die DSGVO projektiert werden.


Eine kompakte Zusammenfassung über lesenswerte Artikel beziehungsweise relevante Checklisten und Informationsquellen mit kurzer Beschreibung finden Sie in folgender Handreichung zum kostenfreien Download (PDF).

 


Wen betreffen die neuen Bestimmungen der EU-DSGVO?

Die DSGVO betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet, etwa von Mitarbeitern, Kunden, Interessenten oder Lieferanten. De facto gehen die neuen Regeln also nahezu alle Unternehmen an. Dies gilt unabhängig von der Form, in der die Daten gespeichert sind. Eine handschriftliche Telefonnotiz auf Papier zu einem Kundengespräch ist ebenso Regelungsgegenstand wie die digital gespeicherte Kundeninformation in einem modernen IT-System. Darüber hinaus betrifft die DSGVO grundsätzlich jeden, der eine Webseite betreibt, unerheblich ob dies privat oder kommerziell geschieht.

Zwei beispielhafte Szenarien: Onlineformulare und Maildienstleister

Manches Unternehmen verwendet externe Dienstleister, die personenbezogene Daten speichern müssen, beispielsweise um eine Onlinebestellung abwickeln zu können. Solche personenbezogenen Daten sind Teil dann Teil der sogenannten Auftragsdatenverarbeitung, wofür der Betroffene seine Einwilligung geben muss.


Beispiel 1: Ein Unternehmen nutzt Webspace eines externen Webhosting-Dienstleister (z. B. Strato, GMX oder jimdoo) für die eigene Webpräsenz, der die Unternehmenswebseite auf dessen Servern speichert. Werden beispielsweise bei einer Kundenanfrage über ein eingebundenes Webformular personenbezogene Daten erfasst, werden diese notwendigerweise auf des Hostingdienstes Servern als Eintrag in einer Datenbank zwischengespeichert. Danach erfolgt automatisiert die Benachrichtigung des Webseitenbetreibers, z. B. als E-Mail mit der Kundenanfrage und den dafür eingegebenen Kontaktdaten.


Beispiel 2: Ein Unternehmen nutzt einen externen Dienstleister für den Newsletter-Versand. Dieser erhält und speichert die Kontaktdaten (z. B. E-Mailadressen und Namen) der gewünschten Empfänger, um die Dienstleistung Newsletterversand im Auftrag des werbenden Unternehmens erbringen zu können. Gemäß der DSGVO muss vertraglich bei Beauftragung des Dienstleisters geregelt sein, dass der hier beschriebene Maildienstleister die zur Verfügung gestellten Daten ordnungsgemäß und ausschließlich zweckgebunden nutzen darf. Damit wird der Maildienstleister mit in die Verantwortung genommen. Diese Verpflichtung geschieht üblicherweise mithilfe rechtskonformer Formulare, die die einzelnen Dienstleister bereits oft (schon aus eigenem Interesse) für Ihre Auftraggeber zum Download bereitstellen.


TIPP für Unternehmen

Prüfen Sie Ihre beauftragten Dienstleister und fragen Sie ihn nach einem EU-DSGVO-konformen Vertrag zur Auftragsdatenverarbeitung (ADV).

Sie verarbeiten selber im Auftrag von Dritten personenbezogene Daten für die Erbringung Ihrer Dienstleistung? Dann hilft ein Blick in die Musterverträge zur ADV, die die Gesellschaft für Datenschutz und Datensicherheit e. V. bereitstellt (siehe hier).


Erleichterungen für Kleinstunternehmen und KMU

Nicht jedes Unternehmen ist in gleichem Maße betroffen. Dafür sorgt „Erwägungsgrund 13“ dafür, dass bestimmte Vorgaben für Kleinstunternehmen anders geregelt sind, um diese nicht über Gebühr durch die Umsetzung zu belasten. So gibt es etwa für Unternehmen mit weniger als zehn Mitarbeitern keine Pflicht zur Bestellung eines Datenschutzbeauftragten. Für Unternehmen mit weniger als 250 Mitarbeitern besteht ebenso keine Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten unter bestimmten Voraussetzungen (vgl. Art. 30, Abs. 5 DSGVO).


Insgesamt stärken die neuen Datenschutzregelungen deutlich die Nutzer, Verbraucher und Kinder z. B. durch erweiterte Auskunftspflichten über Verwendung personenbezogener Daten oder das Recht auf Löschung (bzw. „Vergessenwerden“ - Art. 17 DSGVO). Sensible Daten, die Aufschluss etwa über den Gesundheitszustand, religiöse Zugehörigkeit, weltanschauliche Orientierung  einer Person geben, werden als besonders schützenswerte Datenkategorie eingestuft. Einen kompakten Überblick aus Verbrauchersicht bietet das Fachmagazin c’t  online: „Aufgewertet – Die DSGVO bringt den Bürgern neue Recht“ (Februar 2018).


TIPP für Privatpersonen

Unter dem oben genannten Artikel findet sich auch ein kostenfreies Musterschreiben als Word-Dokument (gültig ab 25.05.2018), um von Unternehmen eine Auskunft anzufordern, welche personenbezogenen Daten und Kategorien über die eigene Person gespeichert  sind.


TIPP für Unternehmen

Laden Sie sich das oben genannte Musterschreiben herunter und versuchen Sie einmal anhand eines Musterkunden eine solche fiktive Anfrage zu stellen. Wo Probleme bei der Beantwortung oder der Bearbeitung entstehen, lassen sich gegebenenfalls tieferliegende Probleme bei der sachgerechten Datenverarbeitung  identifizieren, die im Sinne der DSGVO behoben werden müssen.


Fazit: Sachdienliche Informationen nutzen – Prioritäten setzen

Keine Panik wegen der EU-DSGVO: Das neue Regelwerk orientiert sich maßgeblich an früheren nationalen Datenschutzregelungen aus Deutschland. Damit dürften deutsche Unternehmen in der Regel bereits einen hohen Datenschutzstandard erfüllen. Trotzdem sollten Unternehmen die Neuerungen nicht auf die leichte Schulter nehmen. Die Prozessverantwortlichen in den Unternehmen sind gut beraten, die Bestimmungen der DSGVO Schritt für Schritt durchzugehen und zügig, aber auch pragmatisch umzusetzen.


Prozessverantwortlichen in den Unternehmen sind gut beraten, die Bestimmungen der DSGVO Schritt für Schritt durchzugehen und zügig, aber auch pragmatisch umzusetzen.
Als Hilfestellung sind Checklisten und Best-Practice-Beispiele aus seriösen Quellen dafür sachdienlich.

Einen kommentierten Überblick zu online verfügbaren Fachartikeln und Infoseiten zur DSGVO finden Sie hier als PDF zum kostenfreien Download.


Hinweis: Dieser Artikel bietet eine erste Orientierung und Hilfe zur Einordnung bezüglich der europäischen DSGVO. Aufgrund der thematischen Komplexität wird jedoch kein Anspruch auf Vollständigkeit erhoben. Ebenso kann trotz sorgfältiger Recherche und Bearbeitung im Detail keine Gewähr für juristische Korrektheit übernommen werden.


Verfasser: Dipl.-Hdl. Leif Wegner | mtec-akademie

TIPP: Datenschutz im Unternehmen nachhaltig verankern

Soll die Expertise im eigenen Hause fachlich und jederzeit verfügbar sein, dann ist eine Qualifizierung (künftig) datenschutzverantwortlicher Mitarbeiter oder auch bereits abgestellter Datenschutzbeauftragter eine lohnende Investition. Eine Möglichkeit, Mitarbeiter für die neuen Herausforderungen durch die EU-DSGVO praxisorientiert zu qualifizieren, bietet die mtec-akademie im Juni in Göttingen mit der viertägigen Ausbildung zum/zur

IT-Security Beauftragte/r (TÜV)IT-Security Beauftragter Signet (Qualifizierte Weiterbildung zur EU-DSGVO

Zertifizierte Fortbildung für Datensicherheitsbeauftragte zur Umsetzung der EU-DSGVO

Mehr Informationen: www.mtec-akademie.de/BU115

Termine und Anmeldung
18.–21.06.2018
2.300,00 EUR*