Ab Ende Mai gilt die neue Datenschutzgrundverordnung europaweit. Sie bringt zahlreiche Neuerungen sowohl für Privatpersonen als auch für Unternehmen. Bei Verstoß drohen empfindliche Geldstrafen. In unserer DSGVO-Serie behandeln wir die wichtigsten Punkte: von den Grundlagen und Folgen bis hin zu entsprechenden Lösungsansätzen. Teil 1 startet mit den brennendsten Grundsatzfragen zur neuen Verordnung!
Was ist die EU-DSGVO?
Hierbei handelt es sich um eine europaweite, unmittelbar anwendbare Verordnung, die ab dem 25. Mai 2018 auch in Deutschland das Datenschutzrecht bestimmt. So soll eine einheitliche Rechtsgrundlage innerhalb der EU garantiert werden. Die Datenschutzgrundverordnung (DSGVO) löst damit die EU-Datenschutzrichtlinie (95/46/EG) sowie das darauf basierende Bundesdatenschutzgesetz (BDSG) ab. Gleichzeitig tritt ein dazugehöriges Ergänzungsgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz; DSAnpUG bzw. BDGS neu) zur Konkretisierung der DSGVO in Kraft. Zusätzlich soll es noch eine EU-e-Privacy-Verordnung speziell für die Themen Internet- und Telemediendienste sowie insbesondere E-Mail-Marketing geben. Ziel dieser Änderungen ist die Stärkung der individuellen Rechte: Die Verarbeitung personenbezogener Daten soll für Betroffene transparenter und kontrollierbar werden. Dabei bleiben die wichtigsten Grundsätze gleich, werden jedoch deutlich intensiver betont. Dazu zählen insbesondere Rechtmäßig- und Richtigkeit, Zweckbindung, Datensparsamkeit und Speicherbegrenzung (zeitliche Beschränkung), sowie Vertraulichkeit und Rechenschaftspflicht der Verantwortlichen für die entsprechende Einhaltung.
Welche Neuerungen beinhaltet die Datenschutzgrundverordnung?
Die neue DSGVO erlaubt die Verarbeitung personenbezogener Daten nur noch, wenn eine der folgenden Bedingungen erfüllt ist: Es liegt eine konkrete Einwilligung des Users vor, es gibt einen entsprechenden (Vor-)Vertrag, die Daten bzw. die Verarbeitung erfolgt gemäß den Gesetzesanforderungen, es greifen lebenswichtige Interessen des Betroffenen, es liegen Aufgaben bzw. die Wahrung öffentlicher Interessen vor oder die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Dabei gilt es jedoch abzuwägen, ob nicht die Grundrechte des Betroffenen schwerer wiegen, insbesondere, wenn Kinder involviert sind. Außerdem verlangt die neue Verordnung eine erhöhte Transparenz für die Betroffenen, im Sinne einfach verständlicher und zugänglicher Informationen und einer entsprechenden Auskunftspflicht. Zusätzlich gilt ab Mai „Privacy by Default“, d.h. die Datenschutzeinstellungen müssen standardmäßig auf höchster Stufe eingestellt sein.
Was bedeutet das für Sie…?
Diese Änderungen ziehen je nach Betroffenem unterschiedliche Konsequenzen nach sich. Im Wesentlichen gibt es dabei zwei Parteien: Einzelpersonen und Unternehmen.
…als Privatpersonen
Kern des Ganzen ist und bleibt der „Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts.“ Das bedeutet in erster Linie, dass Ihre Grundrechte und Grundfreiheiten sowie insbesondere Ihre personenbezogenen Daten einem erhöhten Schutz unterliegen. Darunter fallen alle Informationen, die sich auf identifizierte bzw. identifizierbare natürliche Personen beziehen. Dazu zählt die Zuordnung einer Person zu einem Namen, einer Kennnummer, einem Standort oder sonstigen Daten, die einen direkten Rückschluss auf ein bestimmtes Individuum zulassen. Zudem genießen Sie erhöhte Transparenz, Einsicht und vereinfachte Widerspruchs-/ Rückrufmöglichkeiten („Recht auf Vergessenwerden“).
…als Unternehmen
Die Zeit zur endgültigen Implementierung und Umsetzung der neuen Richtlinien ist nicht mehr allzu lange. Mit dem 25. Mai 2018 wird es für Unternehmen keine Schlupflöcher mehr geben: Weder Schonfristen noch sonstige Milderungsgründe sind vorgesehen. Bei Verstoß gegen die Datenschutzgrundverordnung drohen bis zu 20 Millionen Euro, bzw. 4% des weltweiten Jahresumsatzes Strafe – je nachdem, welcher Faktor höher ausfällt. Dies betrifft übrigens alle Unternehmen, die Daten von EU-Bürgern verarbeiten, also z.B. auch US-Riesen wie Facebook oder Google. Umso wichtiger ist es, sich in der jetzigen Übergangsphase intensiv mit dem Thema auseinander zu setzen. So müssen bei der Erhebung personenbezogener Daten deutlich mehr kritische Punkte beachtet werden. Bislang bestehende Einwilligungen und Datenverarbeitungen behalten nur dann ihre Gültigkeit, wenn sie auch der neuen Datenschutzgrundverordnung entsprechen. Andernfalls müssen völlig neue Datenschutzerklärungen aufgesetzt werden. Der entscheidende Punkt für Unternehmen ist insbesondere die Rechenschaftspflicht (Accountability), die in der DSGVO verankert ist: Hierbei müssen Sie die Einhaltung der neuen Richtlinien einwandfrei nachweisen können.
Doch die Datenschutzgrundverordnung hat auch Vorteile: Der freie Verkehr von Daten und damit verbundene wirtschaftliche Interessen finden ebenfalls Anwendung. Entscheidender Faktor der gesetzlich erlaubten Datenverwertung wird die Abwägung zwischen berechtigtem (wirtschaftlichen) Interesse und personenspezifischem Datenschutz sein. Diese kann mithilfe von Pseudonymisierung und Aufklärung zu Ihren Gunsten ausfallen. Auch innerhalb einer Unternehmensgruppe ist der Austausch von Daten zu Kunden und Beschäftigten bei einem solchen berechtigten Interesse erlaubt.
Fazit
Die neue Verordnung bringt einige Verschärfungen der bisherigen Richtlinien mit sich, deren Implementierung viel Zeit und vor allem Sorgfalt erfordert. Dabei sind Aufwand und Folgen für viele noch nicht gänzlich absehbar. Ein besonderes Augenmerk sollte dabei auf den Details liegen. Im zweiten Teil der DSGVO-Serie diskutieren wir deshalb explizit die Herausforderungen und Schwierigkeiten, die die Umsetzung insbesondere auf Unternehmensseite mit sich bringt.
Sehr geehrte Frau Markiewitz,
vielen Dank für den interessanten Artikel.
Wie Sie bereits sehr richtig geschrieben haben werden ab dem 25.5.2018 die Hintertürchen beim Datenschutz geschlossen. Wer nun tatsächlich noch glaubt, dass er sich beim Datenschutz weiterhin auf die faule Haut legen kann handelt fahrlässig.
Bereits die Meldung eines unzufriedenen Kunden kann u. U. bereits dazu führen, dass die Kontrollbehörden auf den Plan gerufen werden. Die werden dann danach gucken welchen Datenschutzbeauftragten der Betrieb als Ansprechpartner gemeldet. Da der jedoch selbst keine Verantwortung trägt sondern ausschließlich der Unternehmer selbst, sind alle Unternehmen, egal ob klein oder groß gleichermaßen gefordert ihren Datenschutz auf die Reihe zu kriegen.
Doch hier ist Vorsicht geboten! Derzeit versuchen fadenscheinige Anbieter, ja sogar Rechtsanwälte mit teils fadenscheinigen Versprechungen Kasse zu machen. Man versucht sich an der Unwissenheit und Hilflosigkeit der Unternehmer zu bereichern und so den Markt langfristig unter sich aufzuteilen.
Solche vielversprechenden Abzocke-Lösungen bieten außer ein paar ohnehin kostenlos erhältlichen Dokumentenvorlagen (Vordrucke, Verfahrensverzeichnisse) und einer Kopie der DS-GVO keinerlei belastbaren unternehmerischen Datenschutz!
Wer darauf setzt und glaubt damit die Richtlinien zum Datenschutz erfüllt zu haben, handelt fahrlässig und muss die Folgen tragen.
Die Richtlinien der DSGVO sind nicht ohne Grund so beschaffen, dass die Aufgabe Datenschutz nicht auf außenstehende übertragbar oder käuflich erwerbbar ist.
Datenschutz lebt ausschließlich innerhalb der Unternehmen und eine echte Compliance kann nur durch das Unternehmen selbst geschaffen werden.
Das Mittel der Wahl ist ein ausgebildeter Datenschutzbeauftragter, ob intern oder extern ist nicht nur eine Kostenfrage.
Selbst wer sich beim Datenschutz nicht hat eingehend beraten lassen und durch seine Unwissenheit auf das falsche Pferd setzt handelt ebenfalls fahrlässig und bei Verstoß gegen drohen bis zu 20 Millionen Euro, bzw. 4% des weltweiten Jahresumsatzes Strafe – je nachdem, welcher Faktor höher ausfällt.
Datenschutz wird künftig zu einer Maßeinheit für unternehmerische Qualität. Unternehmen werden daran gemessen wie aufrichtig sie mit ihren Daten umgehen.
Transparenz und Compliance beim Datenschutz bringt Unternehmen das Vertrauen von Kunden, Mitarbeitern und Partnern und Unternehmen die nicht mitziehen können erhebliche Nachteile beim Wettbewerb erfahren.
Mein Rat an Unternehmer: Lassen Sie sich durch die DS-GVO nicht verrückt machen und bleiben Sie besonnen. Greifen Sie nicht voreilig zu fadenscheinigen Lösungen die schnelle Hilfe versprechen.
Die Lösung ist diesmal nicht käuflich erwerbbar da die Lösung beim Datenschutz die Unternehmer selbst sind. Diesmal sind ausschließlich Sie gefordert, also holen Sie sich fachlichen Rat von denen die seit Jahren bereits am unternehmerischen Datenschutz mitwirken.
Datenschutz hat immer auch etwas mit IT/EDV zu tun. Ein Datenschutzbeauftragter der beide Bereiche vollumfänglich abdeckt kann Schaden von Ihrem Unternehmen abwenden und sehr viel Geld sparen.
Es würde mich freuen wenn diese Artikelreihe die Risiken beim Einkauf von Datenschutzlösungen noch besser beleuchtet. LG
Tom