Datenschutz-Grundverordnung (DSGVO)

Neuigkeiten bei der digital⁴ Beratungsgesellschaft: Datenschutz-Grundverordnung (DSGVO)

Wie der Name schon sagt, hat die Datenschutz-Grundverordnung (DSGVO) etwas mit Datenschutz zu tun. Um genau zu sein, ist es ein einheitliches Datenschutzgesetz für die Europäische Union (EU), welches eine EU-einheitliche Regulierung der Verarbeitung personenbezogener Daten – zum Schutze der Betroffenen – als Hintergrund hat (Art 4 Nr. 2 DSGVO).

Leider führt die Einführung der DSGVO nicht zu einer Vereinfachung des gegenständlich schon recht komplizierten Datenschutzrechts, sie bedeutet vor allem Fleißarbeit für die Verantwortlichen, denn: Unternehmen müssen sich auf erhöhte Dokumentationspflichten durch die Führung von Verfahrensverzeichnissen, sowie weitreichendere Nachweis- und Rechenschaftspflichten (Accountability) einstellen.

Wer den vorgenannten, neuen Pflichten nicht im Sinne der DSGVO nachkommt, riskiert, im Vergleich zu den bisherigen Sanktionen im Datenschutzrecht (bis zu 50.000 Euro nach TMG bzw. bis zu 300.000 Euro nach BDSG), Bußgelder von bis zu 20 Millionen Euro. Im Falle von schweren Verstößen können bei großen, weltweit operierenden Unternehmen, sogar bis zu vier Prozent des Jahresumsatzes als Geldbuße anfällig werden.

Wenngleich auch die vorbezeichneten Grenzen eher selten erreicht werden dürften, so ist dennoch mit einem Anstieg des Bußgeldrahmens zu rechnen, daher sollte gehandelt werden.

Was viele immer noch nicht wissen!

Die DSGVO wurde am 27. April 2016 im Amtsblatt der Europäischen Union veröffentlicht (Verordnung (EU) 2016/679) und ist bereits am 25. Mai 2016 in Kraft getreten (Art. 99 DSGVO). Sie ist ein EU-Gesetz, welches unmittelbar in den EU-Staaten und damit auch in Deutschland seine Wirkung entfaltet. Betroffen sind alle Unternehmen, die personenbezogene Daten verarbeiten, auch dann, wenn sie ihren Unternehmenssitz nicht unmittelbar in der EU begründen, aber dennoch Daten von EU-Bürgern verarbeiten.

Wer ist betroffen?

Von den umfangreichen Vorgaben und Regelungen der DSGVO ist jeder Unternehmer betroffen, der personenbezogene Daten Dritter erhebt, verarbeitet, sowie nutzt und hierbei nicht nur aus persönlichen oder familiären Gründen tätig wird. Demnach sind auch „Kleinhändler“ (bspw. Gewerbetreibende) an die DSGVO gebunden, genauso wie etwa ein Großhändler. Privilegiert wird der Kleinhändler nur insofern, als dass er keinen Datenschutzbeauftragten bestellen muss, auch sind die Vorgaben, was die Maßnahmen zur Datensicherheit angeht, für einen kleinen Online-Händler geringer, als für ein großes Online-Unternehmen.

Stichtag 25. Mai 2018

Am 25. Mai 2018 kommt die DSGVO in der EU und damit auch in Deutschland zur Anwendung, ebenso das überarbeitete Bundesdatenschutzgesetz (BDSG-Neu), welches deutsche Ergänzungen zur DSGVO enthält. Beides hat weitreichende Folgen, insbesondere für alle die, die im Online-Handel tätig sind. Zu beachten ist hier:

Anwendungsvorrang

Die Anwendung der datenschutzrechtlichen Regelungen der DSGVO hat Vorrang gegenüber denen des BDSG, sowie denen des TMG, da die DSGVO als in Deutschland unmittelbar geltendes Recht die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten abschließend regelt, abgesehen von nationalgesetzlichen Konkretisierungen ab dem 25. Mai 2018 im BDSG-Neu.

Übergangsfristen

Es gibt weder Übergangsfristen, noch sonstige Milderungsgründe für Unternehmen, welche den umfangreichen Anforderungen an das neue Datenschutzrecht bis zum 25. Mai 2018 nicht nachgekommen sind, der Schutz der Betroffenen steht ganz deutlich im Vordergrund. Unternehmen sollten ihre Datenverarbeitungsprozesse daher dringend an die DSGVO anpassen, da Datenverarbeitungen und auch Einwilligungen in die Datenverarbeitung nur dann ihre Gültigkeit behalten, wenn sie den Regelungen der DSGVO entsprechen.

Die Grundprinzipien des Datenschutzes

Die bisherigen Grundprinzipien des Datenschutzes bleiben natürlich erhalten, allerdings werden diese in Art. 5 DSGVO nochmals besonders betont, d.h. eine Datenverarbeitung muss

  • rechtmäßig sein,
  • nach Treu und Glauben erfolgen,
  • transparent und damit nachvollziehbar sein,
  • die Zweckbindung erfüllen,
  • eine Datenminimierung auf das notwendige Maß erfüllen,
  • richtig sein,
  • der Speicherbegrenzung hinsichtlich der Aufbewahrungszeit genügen,
  • durch Integrität, sowie Vertraulichkeit durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden und
  • der Rechenschaftspflicht ausreichend genügen.

Zu den vorgenannten Grundprinzipien des Datenschutzes kommen noch die Prinzipien des Art. 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ hinzu. Umgangssprachlich etabliert haben sich hier die Begriffe „Privacy by Design“ und „Privacy by Default“.

Privacy by Design

„Datenschutz durch Technikgestaltung“ (Privacy by Design) bedeutet, dass Datenschutzmaßnahmen bereits in die konzeptionelle Entwicklung von Verfahren und/oder Produkten, und das nach dem aktuellen Stand der Technik, einbezogen werden müssen. Mit anderen Worten bedeutet dies, dass der Schutz von personenbezogenen Daten bereits durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen im Stadium der Entwicklung erfolgen muss.

Privacy by Default

„Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) bedeutet, dass die Werkeinstellungen grundsätzlich datenschutzfreundlich auszugestalten sind.  Dies bedeutet mit anderen Worten, dass bspw. die Voreinstellungen bei Geräten oder bei Online-Plattformen standardmäßig auf die höchste Datenschutzstufe voreingestellt sein müssen. Damit sollen insbesondere die Nutzer geschützt werden, welche weniger technikaffin sind, um die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen.

Besonderheiten für die Einwilligung

Mit der DSGVO wird die ausdrückliche „Einwilligung der Betroffenen zur Datenverarbeitung“, insbesondere für Betreiber von Online- Präsentationen, zur absoluten Pflicht, trotz der neuen „Generalerlaubnis“ zur Verarbeitung von Daten auf Grundlage berechtigter (auch wirtschaftlicher) Interessen. Einwilligungen sollten dennoch – idealerweis in Schriftform – nachgewiesen werden können, denn im Zweifelsfall gehen Ansprüche immer zu Lasten des Verarbeiters (Art. 7 Abs. 1 DSGVO).

Eine Einwilligung muss grundsätzlich von einer einwilligungsfähigen Person („Einwilligungsfähigkeit“ ist ein rechtlicher Begriff, der die Fähigkeit eines Betroffenen beschreibt, in die Verletzung eines ihm zuzurechnenden Rechtsguts einzuwilligen bzw. diese abzulehnen), in informierender Weise, sowie in unmissverständlicher Form und das freiwillig (d.h. die Wahl zu haben, ob und wie, sowie dem Wissen und der Möglichkeit, eine Einwilligung widerrufen zu können) für den konkreten Fall einer Erklärung oder Handlung abgegeben werden. So muss bspw. ein Arbeitergeber nachweisen können, dass ein Mitarbeiter in die Darstellung eines Fotos auf der Unternehmens-Präsentation (konkret) eingewilligt hat, idealerweise inklusive einer ausführlichen Belehrung über die Freiwilligkeit, sowie den fehlenden Folgen einer Verweigerung. Zu beachten ist hierbei das sog. „Koppelungsverbot“ (Art. 7 Abs. 4 DSGVO), d.h. die Erbringung einer Leistung darf grundsätzlich nicht von einer dafür (natürlich nicht) erforderlichen Einwilligung abhängig gemacht werden!

Erforderliche Maßnahmen zur Anpassung an die DSGVO

An dieser Stelle soll nicht auf die mitunter sehr umfangreichen Maßnahmen zur Anpassung hinsichtlich der DSGVO eingegangen werden, daher lediglich eine Übersicht der wichtigsten Punkte. Es sollte(n)

  • die Mitarbeiter auf die neuen Vorgaben hinsichtlich des Datenschutzes sensibilisiert, sowie auf die Befolgung der Prinzipien (nachweislich) verpflichtet werden,
  • alle Datenverarbeitungsprozesse auf deren Zulässigkeit (siehe Grundprinzipien des Datenschutzes, sowie Besonderheiten bei der Einwilligung) geprüft werden,
  • ein Verfahrensverzeichnis mit der Übersicht aller Datenverarbeitungsprozesse erstellt werden,
  • die Datenschutzerklärung (bspw. in Allgemeinen Geschäftsbedingungen oder in einer Online-Datenschutzerklärung) aktualisiert werden,
  • geprüft werden, ob Datenübermittlungsprozesse zulässig sind und ob ggf. dazu erforderliche notwendige Auftragsverarbeitungsverträge bzw. Verträge zur Auftragsdatenverarbeitung (u.a. auch mit dem Provider einer Internetpräsentation) vorliegen,
  • geprüft werden, ob die Anforderungen an die technisch-organisatorische Sicherheit der personenbezogenen Daten erfüllt werden,
  • geprüft werden, ob eine Datenfolgeabschätzung durchzuführen ist,
  • geprüft werden, ob ein Datenschutzbeauftragter bestellt werden muss (i.d.R. in Unternehmen mit 10 Mitarbeitern),
  • geprüft werden, ob ein Beschwerdemanagement für die Fälle der Geltendmachung von Betroffenenrechten einzurichten ist und, das wichtigste zum Schluss,
  • regelmäßig überprüft und auch überwacht werden, dass alle Prozesse des Datenschutzes weiterhin den gesetzlichen Anforderungen entsprechen.

Zusammenfassung

Datenschutz im Unternehmen, insbesondere in Unternehmen mit Beschäftigten, ist und bleibt kompliziert, denn: Es ist abstrakt, über unzählige Einzelgesetze verteilt und ohne Zugriff auf juristische Literatur und/oder Gerichtsurteile nur sehr schwer nachvollzieh-/umsetzbar. Die Vielzahl an erforderlichen Datenschutzprozessen kann es daher durchaus (insbesondere auch wirtschaftlich betrachtet) erforderlich machen, externe Datenschutzbeauftragte oder spezialisierte Rechtsanwälte mit der Umsetzung der DSGVO zu beauftragen – von einer halbherzigen Umsetzung oder gar einem „Copy & Paste“-Verfahren sei an dieser Stelle dringend abgeraten, denn: Für etwaige Datenschutzverstöße haftet nicht nur das Unternehmen selbst, sondern auch die Geschäftsführung!

Copyright

Sie dürfen diesen Blog-Artikel unter der „CC BY-ND 3.0 DE“-Lizenz vervielfältigen und weiterverbreiten. Bitte beachten Sie hierzu unsere Nutzungsbedingungen unter https://www.digitalhoch4.de/nutzungsbedingungen#lizenzierung.

WEITERE NEUIGKEITEN

Lesen Sie unsere Beiträge!

Bleiben Sie am Puls der Zeit: Time is cash, time is money!

Sie wollen wissen, wie Sie Ihre Besucherzahlen und auch Ihren Online-Umsatz über eine geschickte Optimierung der Geschwindigkeit Ihrer Unternehmenswebseite steigern können? Die Antwort lautet: Bleiben Sie mit uns am Puls der Zeit, denn: Time is cash, time is money!

SSL-Verschlüsselung

Vielleicht haben auch Sie schon davon gehört, von der verschlüsselten Übertragung von Webseiten-Inhalten, der sog. SSL-Verschlüsselung, zu erkennen am „s“ in der Protokollangabe der Internetadresse. Diese ist gegenwärtig „in aller Munde“, insbesondere bei Datenschützern.

Verschlüsselung im Kontext der Datenschutzgrundverordnung

Wer Daten, insbesondere solche mit Personenbezug, ohne Verschlüsselung versendet oder versenden lässt, bspw. über das Kontaktformular einer Internetpräsentation, der kommuniziert im „Klartext“, vergleichbar mit einer Postkarte, die auch ein Jeder lesen kann!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

fünf + zwanzig =