DSGVO: Diese Pflichten gelten für Unternehmen

Die DSGVO ist die Hauptquelle datenschutzrechtlicher Bestimmungen in der Europäischen Union. Seither gelten einheitliche Regeln in allen EU-Mitgliedsstaaten zum Thema Datenschutz und Datensicherheit.

Das bedeutet mehr Einheitlichkeit und Klarheit hinsichtlich globaler Handelszweige, stellt Unternehmen aber auch vor einige Herausforderungen. Unternehmen haben durch die DSGVO mehr Pflichten zu erfüllen, Verbraucher mehr Rechte. Und auch die Bussgelder wurden erhöht, sodass es für Unternehmen noch zwingender wurde, die Datenschutzbestimmungen ordnungsgemäss umzusetzen.

Doch was genau ist der Inhalt der DSGVO? Welche Pflichten treffen Ihr Unternehmen? Wie setzen Sie diese richtig um? Und welche Rechte haben betroffene Personen? Wir beantworten die wichtigsten Fragen rund um die DSGVO in diesem Artikel.

Sie benötigen Unterstützung oder haben Rückfragen zum Thema? Unser Team besteht aus Experten in den Bereichen Datenschutzrecht, IT und Sicherheit. Gerne unterstützen wir Sie bei der Umsetzung datenschutzrechtlicher Vorschriften. Wenden Sie sich für ein unverbindliches Kontaktieren Sie uns direkt an uns.

Das Wichtigste in Kürze

• Seit dem 25. Mai 2018 gilt die DSGVO innerhalb der gesamten EU. Damit verbunden gibt es einheitliche, strenge Regeln zum Schutz personenbezogener Daten.
• Unternehmen sollten sich eingehend mit den Änderungen befassen, um hohe Strafen zu verhindern. Bis zu 20 Millionen Euro oder 4% des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs können als Bussgelder verhängt werden.
• Verbraucher haben durch die DSGVO weitreichende Rechte erhalten, zum Beispiel das Recht auf Auskunft oder Löschung ihrer Daten. Auch das Recht auf Datenübertragbarkeit ist neu.
• Geschützt sind vor allem personenbezogene Daten, also solche, die Auskunft über die Identität natürlicher Personen geben. 

Was ist die DSGVO der EU?

Die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung betrifft alle Länder der EU. Sie gilt für alle Unternehmen, deren Produkte an Verbraucher in der EU verkauft werden und deren personenbezogene Daten hierfür gespeichert, verarbeitet oder weitergegeben werden.

Dabei wird nicht unterschieden, ob es sich um personenbezogene Daten im öffentlichen, arbeitsbezogenen oder privaten Bereich handelt. Zum Beispiel werden auch die Daten von Beschäftigten in einem Unternehmen von der DSGVO umfasst, ebenso wie Daten im B2B-Bereich, wenn Geschäftspartner personenbezogene Daten miteinander austauschen. Das führt dazu, dass fast alle Unternehmen, die in der EU tätig sind, die Regelungen der DSGVO grundsätzlich befolgen müssen.

Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Gleichzeitig soll ein sicherer, verantwortungsbewusster Austausch von Daten gewährleistet werden. Dieses Ziel war durch die vormals geltende Datenschutzrichtlinie der EU nicht erreicht worden, sodass sich der europäische Gesetzgeber gezwungen sah, eine Verordnung zu erlassen.

Was sind personenbezogene Daten?

Mit personenbezogenen Daten sind alle Informationen gemeint, die einen Rückschluss auf eine natürliche Person zulassen. Dazu zählen insbesondere

• Allgemeine Daten der natürlichen Person (wie Namen, Geburtsdaten, Telefonnummern, Adressen)
• Kennziffern (wie Sozialversicherungsnummern, Steuernummern, Personalausweisnummer)
• Bankdaten
• Online-Daten (wie IP-Adressen, Standorte, Passwörter)
• Körperliche Merkmale (z. B. Hautfarbe, Kleidergröße, Geschlecht)
• Eigentumsdaten (wie Grundbucheinträge, Kfz-Kennzeichen)
• Kundendaten (z. B. Bestellungen, Kontodaten)
• Dokumente (z. B. Zeugnisse, Urkunden, Zertifikate)

Unter besonderem Schutz stehen Daten, die aus Sicht des Gesetzgebers sensibel sind. Dazu zählen Religion, Gesundheit, Gewerkschaftszugehörigkeit, Sexualität, ethnische Herkunft oder politische Ansichten.

Verarbeitung meint dabei jede Datenverarbeitung z.B. mit Computern, Scannern, Digitalkameras oder Smartphones sowie analoge Datensammlungen wie etwa Akten. Das betrifft in Unternehmen und Behörden allerdings die meisten Bereiche und Datensammlungen, sodass die DSGVO allgegenwärtig ist.

Pflichten aus der EU-Datenschutzgrundverordnung

Der Umgang mit personenbezogenen Daten ist immer von einer Verantwortung gegenüber natürlichen Personen geprägt. Wer mit diesen Daten arbeiten möchte, muss also akzeptieren, dass mit der Datenverarbeitung auch gewisse Pflichten einhergehen.

Dabei können die Pflichten sehr vielfältig sein. Alle im Detail zu erläutern, würde den Rahmen dieses Artikels sprengen. In unserem Wissenszentrum finden Sie zu allen Pflichten, die Unternehmen durch die DSGVO auferlegt werden, umfangreiche Beiträge und Informationen.

Technische und organisatorische Massnahmen

Unternehmen müssen technische und organisatorische Massnahmen treffen, die die Daten der betroffenen Person bestmöglich schützen. Diese variieren je nach Branche, Daten-Kategorien, Risikofaktor und Verarbeitungsarten.

Ziel ist es, genau abzuwägen, welche getroffenen Massnahmen notwendig und sinnvoll sind, um die erhobenen Daten bestmöglich zu schützen. Dazu ist es notwendig, ein Verarbeitungsverzeichnis zu führen und ggf. Folgeabschätzungen durchzuführen.

Datenschutzbeauftragte

Viele Unternehmen sind verpflichtet, einen internen Datenschutzbeauftragten einzustellen oder einen externen Datenschutzbeauftragten zu benennen.

Wenn das Unternehmen bzw. der Auftragsverarbeiter Daten, die einer Datenschutz-Folgeabschätzung unterliegen oder Daten zum Zwecke der Übermittlung (z.B. zu Forschungszwecken) verarbeitet, ist ein Datenschutzbeauftragter unabhängig von der Anzahl der Mitarbeiter zu benennen.

Verzeichnis von Verarbeitungstätigkeiten

Grundlage für alle organisatorischen Massnahmen, und überhaupt für ein funktionierendes Datenschutz-Konzept, ist in aller Regel die Bestandsaufnahme. Die DSGVO sieht hierfür ein Verarbeitungsverzeichnis vor.

Mit einem solchen Verzeichnis überprüfen Unternehmen ihre Tätigkeiten und Abläufe darauf, ob personenbezogene Daten erhoben, gespeichert oder verarbeitet werden. Alle Prozesse, in denen das der Fall ist, werden in dem Verarbeitungsverzeichnis aufgelistet und dokumentiert..

Hierzu sind folgende Angaben festzuhalten:

• Beschreibung des Prozesses: Welcher Prozess ist gemeint (z.B. Personalakte)?
• Verantwortlicher: Wer ist für die automatisierte Verarbeitung zuständig und Ansprechpartner?
• Zweck der Verarbeitung: Wieso werden Daten verarbeitet?
• Kategorien der betroffenen Personen (Mitarbeiter, Kunden) und Kategorien personenbezogener Daten
• Kategorien von Empfängern, falls gegenüber Dritten die personenbezogenen Daten offengelegt werden
• Übermittlungen in Drittländer inklusive Benennung des Staates und des Empfängers bzw. der Organisation
• Löschfristen: Wie lange dürfen die Daten gespeichert werden?
• Technische und organisatorische Massnahmen zum Schutz der Daten

Datenschutz-Folgenabschätzungen

Hat eine Verarbeitung aufgrund ihrer Technologie, der Form oder Art und Weise ein erhöhtes Risiko für die Rechte und Freiheiten betroffener Personen, muss eine Datenschutz-Folgeabschätzung durchgeführt werden.

In einer Folgenabschätzung wird analysiert, ob eine umfangreiche Verarbeitung wirklich nötig ist, welche Risiken für die betroffenen Daten und die Personen bestehen und ob sich Zweck und Risiko die Waage halten. Nur wenn eine solche Risikobewertung zugunsten der Verarbeitung ausfällt, darf eine solche durchgeführt werden.

Auftragsverarbeitungen

Werden Datenverarbeitungen nicht von den Unternehmen selbst, sondern von Externen durchgeführt, ist immer ein Auftragsverarbeitungsvertrag (AVV) mit diesem zu schliessen. In diesem ist festzulegen, wie Daten verarbeitet werden, welche Schutzmechanismen greifen und wie Daten gespeichert werden dürfen.

In diesem Vertrag müssen die Regeln der DSGVO Einzug finden und beachtet werden.

Notfall-Pläne

Für den Fall, dass es zu einem Datenleck oder einer Datenpanne kommt, sollten Unternehmen Notfall-Pläne bereithalten, mit denen die Mitarbeiter vertraut sind. Damit soll gewährleistet werden, dass die Vorgaben der DSGVO im Notfall schnellstmöglich wieder erfüllt werden können.

Die zuständige Aufsichtsbehörde muss bei einem hohen Risiko für die betroffenen Personen innerhalb von 72 Stunden informiert werden.

DSGVO gewährleistet mehr Rechte für Verbraucher

Nicht nur die Pflichten für Unternehmen sind vielfältiger geworden, auch haben betroffene Personen mehr Rechte erlangt. Das liegt vor allem an dem Grundsatz der informationellen Selbstbestimmung. Dieser besagt, dass jede Person frei entscheiden kann, welche Informationen sie von sich preisgibt und welche nicht.

Die DSGVO gibt Verbrauchern, Kunden, Lieferanten und Mitarbeitern damit mehr Kontrolle über ihre eigenen personenbezogenen Informationen. Die Undurchsichtigkeit der Unternehmen, die diese Daten verwenden oder erfassen, wird damit geringer und die Verfahren transparenter. Daran müssen sich dann auch Unternehmen halten, die mit personenbezogenen Informationen arbeiten möchten.

Zu den wichtigsten Rechten von betroffenen Personen zählen:

1. Zugang zu Daten: Jede Person hat das Recht, auf die gespeicherten Daten zuzugreifen und zu erfahren, welche Daten erfasst und wie diese verwendet werden. Eine Kopie dieser Information muss durch die Unternehmen kostenlos und in elektronischer Form zur Verfügung gestellt werden, sofern die betroffene Person dies erfragt.
2. Widerrufsrecht: Wenn die betroffene Person kein Kunde mehr ist oder die Einwilligung widerruft, muss das Unternehmen diese Daten unverzüglich löschen (wenn keine gesetzl. Aufbewahrungspflicht etc. besteht). Betroffene haben ein Recht darauf, die Löschung der Daten anzuordnen.
3. Datenübertragbarkeit: Betroffene Personen können verlangen, dass Daten von einem Service-Anbieter an einen anderen übertragen werden.
4. Berichtigung: Kunden müssen Daten jederzeit berichtigen lassen können, wenn diese unvollständig, veraltet oder falsch sind.
5. Einschränkung der Datenverwendung: Privatpersonen haben das Recht, die Datenverwendung einzuschränken. Dann werden die Daten nicht weiterverarbeitet, aber auch nicht gelöscht.
6. Einspruch einlegen: Betroffene können Unternehmen untersagen, ihre Daten für direktes Marketing zu verwenden. Über dieses Recht müssen Verbraucher im Voraus belehrt werden.
7. Benachrichtigung bei Verletzung der Datensicherheit: Wenn es zu einem Vorfall der Datensicherheit kommt, etwa durch ein Datenleck oder Ähnliches, haben die betroffenen Personen bei hohem Risiko ein Recht darauf, über das Datenleck informiert zu werden.

Wo gilt die DSGVO?

Die DSGVO gilt in den EU-Mitgliedsstaaten und auch darüber hinaus. In den betroffenen Ländern hat die DSGVO Vorrang. Ein Vorrang bedeutet allerdings nicht zwangsläufig, dass die nationalen Gesetze durch die DSGVO ersetzt werden.

Wie in vielen Verordnungen gibt es auch in der DSGVO Klauseln, die es den Staaten erlauben, eigene Regelungen zu treffen oder bestehende Regelungen zu konkretisieren. Sie haben also trotz der einheitlichen Rechtsgrundlage die Möglichkeit, einzelne Bereiche weiter zu regeln und selbständig die DSGVO zu spezifizieren.

Wichtig ist ausserdem, dass die DSGVO nicht nur für Unternehmen mit Sitz in der EU von Relevanz ist. Aufschluss über den Geltungsbereich der DSGVO gibt das sogenannte Marktortprinzip: Alle personenbezogenen Daten, die im Zusammenhang mit Verkäufen und Dienstleistungen innerhalb der Europäischen Union stehen, dürfen von der verarbeitenden Stelle nur innerhalb der Regeln der DSGVO verarbeitet werden.

Auch Plattformen wie die von Google, Facebook oder anderen Social-Media-Kanälen müssen sich an die DSGVO halten, wenn sie das Verhalten von EU-Bürgern beobachten möchten, etwa um diese Daten für Werbezwecke zu nutzen.

Wer ist von der DSGVO betroffen?

Grundsätzlich müssen alle Unternehmen, die innerhalb der EU personenbezogene Daten speichern, verarbeiten oder weitergeben, die Regeln der DSGVO befolgen. Das bedeutet, dass grundsätzlich jede Behörde und jedes Unternehmen von den Regeln der DSGVO betroffen ist.

Nicht von der DSGVO betroffen sind nur persönliche oder familiäre Tätigkeiten (sogenannte Haushaltsausnahme). Private Gespräche, E-Mail-Kontakte oder Chats sind grundsätzlich nicht mit DSGVO-Pflichten verbunden. Vorsichtig sollten Sie hingegen sein, wenn Sie private Fotos auf öffentlichen Plattformen teilen. Hier findet die DSGVO wiederum Anwendung, mit der Folge, dass alle Betroffenen in die Veröffentlichung einwilligen müssen.

Ausgeschlossen können auch Tätigkeiten sein, die gar nicht erst unter das EU-Recht fallen. Das gilt etwa für Tätigkeiten, die im Bereich der gemeinsamen Aussen- und Sicherheitspolitik anfallen, zum Beispiel in der Strafverfolgung. Auch für die Organe der EU gibt es gesonderte Regeln.

Fazit

Die DSGVO sieht viele Massnahmen und Regeln vor, um personenbezogene Daten bestmöglich zu schützen. Für Unternehmen bedeutet das viel Arbeit, die am besten mit einem System wie der Priverion Datenschutz Plattform angegangen wird. Die DSGVO sieht vor, dass eingangs ein Verarbeitungsverzeichnis angelegt wird, also zunächst eine Art Inventur über bestehende Prozesse geführt wird. 

Neben dem vielen Aufwand bietet die DSGVO damit aber auch die Möglichkeit, bestehende Strukturen im Unternehmen zu überprüfen und eventuell sogar effizienter und datenschonender zu gestalten. Das senkt nicht nur das Risiko für eine Datenpanne, und damit für einen Imageschaden und Bussgelder, sondern sorgt auch für bessere und einfachere Arbeitsabläufe, die den Umsatz sogar steigern können. Unternehmen sollten die DSGVO daher auch als Chance begreifen, ihr Unternehmen zu reformieren und zu verbessern.

Sie haben offene Fragen zum Thema Datenschutz und Zertifizierung? Unser juristisch sowie technisch ausgebildetes Personal berät Sie umfassend zu allen Fragen des Datenschutzrechts. Wenden Sie sich gern jederzeit an uns. .