DSGVO: Diese Verpflichtungen gelten für Unternehmen.

Die DSGVO ist die Hauptquelle für Datenschutzbestimmungen in der Europäischen Union. Seitdem gelten einheitliche Regeln in allen EU-Mitgliedsstaaten für Datenschutz und Datensicherheit.

Dies bedeutet mehr Einheitlichkeit und Klarheit in Bezug auf den globalen Handel, bringt aber auch einige Herausforderungen für Unternehmen mit sich. Unternehmen haben aufgrund der DSGVO mehr Verpflichtungen zu erfüllen, und Verbraucher haben mehr Rechte. Die Strafen wurden ebenfalls erhöht, wodurch es für Unternehmen noch dringlicher ist, Datenschutzbestimmungen ordnungsgemäß umzusetzen.

Aber was genau beinhaltet die DSGVO? Welche Verpflichtungen betreffen Ihr Unternehmen? Wie setzen Sie sie richtig um? Und welche Rechte haben die betroffenen Personen? Wir beantworten die wichtigsten Fragen zur DSGVO in diesem Artikel.

Die wichtigsten Fakten in Kürze

• Seit dem 25. Mai 2018 ist die DSGVO in der gesamten EU in Kraft. Dies ist mit einheitlichen, strengen Regeln zum Schutz personenbezogener Daten verbunden.
• Unternehmen sollten sich ausführlich mit den Änderungen auseinandersetzen, um hohe Strafen zu vermeiden. Strafen können bis zu 20 Millionen Euro oder 4% des im vorherigen Geschäftsjahr erzielten Jahresumsatzes verhängt werden.
• Die DSGVO hat Verbrauchern weitreichende Rechte eingeräumt, wie z.B. das Recht auf Zugang zu ihren Daten oder deren Löschung. Das Recht auf Datenübertragbarkeit ist ebenfalls neu.
• Personenbezogene Daten, d.h. Daten, die Informationen über die Identität natürlicher Personen liefern, werden besonders geschützt.

Was ist die EU-DSGVO?

Die Datenschutz-Grundverordnung, die im Mai 2018 in Kraft getreten ist, betrifft alle Länder in der EU. Sie gilt für alle Unternehmen, deren Produkte an Verbraucher in der EU verkauft werden und deren personenbezogene Daten zu diesem Zweck gespeichert, verarbeitet oder übertragen werden.

Es wird keine Unterscheidung zwischen persönlichen Daten im öffentlichen, beruflichen oder privaten Sektor gemacht. Beispielsweise unterliegen die Daten von Mitarbeitern in einem Unternehmen der DSGVO, genauso wie Daten im B2B-Bereich, wenn Geschäftspartner persönliche Daten austauschen. Das bedeutet, dass praktisch alle Unternehmen, die in der EU tätig sind, grundsätzlich die Bestimmungen der Datenschutz-Grundverordnung einhalten müssen.

Die DSGVO zielt darauf ab, natürliche Personen beim Umgang mit personenbezogenen Daten zu schützen. Gleichzeitig soll ein sicherer, verantwortungsbewusster Datenaustausch sichergestellt werden. Die zuvor geltende EU-Datenschutzrichtlinie hatte dieses Ziel nicht erreicht, weshalb der europäische Gesetzgeber sich gezwungen sah, eine Verordnung zu erlassen.

Was sind personenbezogene Daten?

Personenbezogene Daten beziehen sich auf alle Informationen, die Rückschlüsse auf eine natürliche Person zulassen. Dazu gehören insbesondere

• Allgemeine Daten der natürlichen Person (wie Namen, Geburtsdaten, Telefonnummern, Adressen)
• Identifikationsnummern (wie Sozialversicherungsnummern, Steuernummern, Ausweisnummern)
• Bankdaten
• Online-Daten (wie IP-Adressen, Standorte, Passwörter)
• Physische Merkmale (wie Hautfarbe, Kleidergröße, Geschlecht)
• Eigentumsdaten (wie Grundbuchauszüge, Fahrzeugkennzeichen)
• Kundendaten (z. B. Bestellungen, Kontodaten)
• Dokumente (z. B. Zeugnisse, Urkunden, Zertifikate)

Daten, die aus Sicht des Gesetzgebers als sensibel gelten, unterliegen einem besonderen Schutz. Hierzu gehören Religion, Gesundheit, Gewerkschaftszugehörigkeit, Sexualität, ethnische Herkunft oder politische Überzeugungen.

Verarbeitung bedeutet in diesem Zusammenhang jede Art der Datenverarbeitung, sei es mit Computern, Scannern, Digitalkameras oder Smartphones, ebenso wie analoge Datensammlungen wie Akten. Dies betrifft jedoch die meisten Bereiche und Datensammlungen in Unternehmen und Behörden, daher ist die DSGVO allgegenwärtig.

Verpflichtungen aus der EU-Datenschutz-Grundverordnung

Der Umgang mit personenbezogenen Daten ist immer von Verantwortung gegenüber natürlichen Personen geprägt. Jeder, der mit diesen Daten arbeiten möchte, muss akzeptieren, dass damit bestimmte Verpflichtungen bei der Datenverarbeitung einhergehen.

In diesem Zusammenhang können die Verpflichtungen sehr vielfältig sein. Sie alle im Detail zu erläutern, würde den Rahmen dieses Artikels sprengen. In unserem Wissenszentrum finden Sie ausführliche Artikel und Informationen zu allen Verpflichtungen, die Unternehmen durch die DSGVO auferlegt werden.

Technische und organisatorische Maßnahmen

Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um die Daten der betroffenen Personen bestmöglich zu schützen. Diese variieren je nach Branche, Datenkategorien, Risikofaktoren und Arten der Verarbeitung.

Es geht darum abzuwägen, welche Maßnahmen notwendig und sinnvoll sind, um die gesammelten Daten bestmöglich zu schützen. Hierzu ist es erforderlich, eine Aufzeichnung der Verarbeitungstätigkeiten zu führen und gegebenenfalls Datenschutz-Folgenabschätzungen durchzuführen.

Datenschutzbeauftragter

Viele Unternehmen sind verpflichtet, einen internen Datenschutzbeauftragten einzustellen oder einen externen Datenschutzbeauftragten zu bestellen.

Ein Datenschutzbeauftragter muss bestellt werden, unabhängig von der Anzahl der Mitarbeiter, wenn das Unternehmen oder der Verarbeiter Daten verarbeitet, die eine Datenschutz-Folgenabschätzung erfordern, oder Daten für Übermittlungszwecke verarbeitet (z.B. zu Forschungszwecken).

Aufzeichnung der Verarbeitungstätigkeiten

Die Grundlage für alle organisatorischen Maßnahmen und ein funktionierendes Datenschutzkonzept im Allgemeinen ist das Inventar. Die DSGVO stellt hierfür eine Aufzeichnung der Verarbeitungstätigkeiten (ROPA) zur Verfügung.

Unternehmen überprüfen ihre Aktivitäten und Prozesse mit einer solchen Aufzeichnung, um festzustellen, ob personenbezogene Daten erfasst, gespeichert oder verarbeitet werden. Alle Prozesse, in denen dies der Fall ist, werden in der ROPA aufgelistet und dokumentiert.

Folgende Informationen müssen erfasst werden:

• Beschreibung des Prozesses: Um welchen Prozess handelt es sich (z.B. Personalakte)?
• Verantwortliche Person: Wer ist für die automatisierte Verarbeitung verantwortlich, und wer ist der Ansprechpartner?
• Verarbeitungszweck: Warum werden Daten verarbeitet?
• Kategorien der betroffenen Personen (Mitarbeiter, Kunden) und Kategorien der personenbezogenen Daten.
• Kategorien der Empfänger, wenn personenbezogene Daten an Dritte weitergegeben werden.
• Übermittlungen an Drittländer, einschließlich der Angabe des Landes und des Empfängers oder der Organisation.
• Löschfristen: Wie lange dürfen die Daten gespeichert werden?
• Technische und organisatorische Maßnahmen zum Datenschutz

Datenschutz-Folgenabschätzungen

Angenommen, eine Verarbeitungstätigkeit birgt aufgrund ihrer Technologie, Form oder Art ein erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Personen. In diesem Fall muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Eine Auswirkungsabschätzung analysiert, ob eine umfangreiche Verarbeitung erforderlich ist, die Risiken für die betroffenen Personen und ob der Zweck und das Risiko ausgeglichen sind. Nur wenn eine solche Risikobewertung für die Verarbeitung spricht, darf sie durchgeführt werden.

Auftragsverarbeitung

Wenn Unternehmen die Datenverarbeitung nicht selbst durchführen, sondern von externen Parteien durchführen lassen, muss immer ein Verarbeitungsvertrag mit der Drittpartei abgeschlossen werden. In diesem Vertrag muss festgelegt werden, wie die Daten verarbeitet werden, welche Schutzmechanismen gelten und wie die Daten gespeichert werden dürfen.

Die Regeln der DSGVO müssen in diesem Vertrag enthalten und eingehalten werden.

Notfallpläne

Wenn ein Datenleck oder ein Datenbruch auftritt, sollten Unternehmen Notfallpläne haben, die den Mitarbeitern vertraut sind. Dies stellt sicher, dass die Anforderungen der Datenschutz-Grundverordnung im Notfall so schnell wie möglich wieder erfüllt werden können.

Die zuständigen Aufsichtsbehörden müssen innerhalb von 72 Stunden informiert werden, wenn ein hohes Risiko für die betroffenen Personen besteht.

Die DSGVO sichert den Verbrauchern mehr Rechte zu.

Nicht nur sind die Verpflichtungen für Unternehmen vielfältiger geworden, sondern auch die Rechte der betroffenen Personen haben zugenommen. Dies ist hauptsächlich auf das Prinzip der informationellen Selbstbestimmung zurückzuführen. Es besagt, dass jede Person frei ist zu entscheiden, welche Informationen sie über sich preisgibt und welche nicht.

Die DSGVO gibt Verbrauchern, Kunden, Lieferanten und Mitarbeitern somit mehr Kontrolle über ihre eigenen persönlichen Informationen. Die Undurchsichtigkeit der Unternehmen, die diese Daten nutzen oder sammeln, wird dadurch reduziert, und die Verfahren werden transparenter. Unternehmen, die mit persönlichen Informationen arbeiten möchten, müssen sich dann ebenfalls daran halten.

Die wichtigsten Rechte der betroffenen Personen umfassen Folgendes:

1. Zugang zu den Daten: Jede Person hat das Recht, auf die gespeicherten Daten zuzugreifen und zu erfahren, welche Daten gesammelt werden und wie sie verwendet werden. Unternehmen müssen eine Kopie dieser Informationen kostenlos und in elektronischer Form bereitstellen, wenn die betroffene Person dies beantragt.
2. Recht auf Widerruf: Wenn die betroffene Person nicht mehr Kunde ist oder ihre Einwilligung widerruft, muss das Unternehmen diese Daten unverzüglich löschen (sofern keine gesetzliche Aufbewahrungspflicht besteht). Betroffene Personen haben das Recht, die Löschung von Daten zu verlangen.
3. Datenübertragbarkeit: Betroffene Personen können verlangen, dass Daten von einem Dienstleister zu einem anderen übertragen werden.
4. Berichtigung: Kunden müssen Daten jederzeit korrigieren lassen können, wenn sie unvollständig, veraltet oder falsch sind.
5. Einschränkung der Datenverwendung: Privatpersonen haben das Recht, die Verwendung von Daten einzuschränken. In diesem Fall werden die Daten nicht weiterverarbeitet, aber nicht gelöscht.
6. Einen Widerspruch einlegen: Dateninhaber können Unternehmen untersagen, ihre Daten für Direktmarketingzwecke zu verwenden. Verbraucher müssen über dieses Recht im Voraus informiert werden.
7. Benachrichtigung bei Datenverstoß: Wenn ein Vorfall mit einem Datenverstoß auftritt, wie beispielsweise ein Datenleck oder Ähnliches, haben Dateninhaber das Recht, über den Vorfall informiert zu werden, wenn das Risiko hoch ist.

Wo gilt die DSGVO?

Die DSGVO gilt in den EU-Mitgliedstaaten und darüber hinaus. In den betroffenen Ländern hat die DSGVO Vorrang. Dies bedeutet jedoch nicht zwangsläufig, dass die DSGVO nationale Gesetze außer Kraft setzt.

Wie in vielen Vorschriften gibt es auch in der DSGVO Klauseln, die es den Staaten ermöglichen, ihre eigenen Vorschriften zu erlassen oder bestehende Vorschriften zu konkretisieren. So können sie trotz der einheitlichen rechtlichen Grundlage bestimmte Bereiche weiter regeln und die DSGVO eigenständig spezifizieren.

Es ist auch wichtig zu beachten, dass die DSGVO nicht nur für in der EU ansässige Unternehmen relevant ist. Das sogenannte Marktplatzprinzip gibt Aufschluss über den Anwendungsbereich der DSGVO: Alle personenbezogenen Daten im Zusammenhang mit Verkäufen und Dienstleistungen innerhalb der Europäischen Union dürfen nur gemäß den Bestimmungen der DSGVO durch die verarbeitende Stelle verarbeitet werden.

Plattformen wie Google, Facebook oder andere soziale Medien müssen sich ebenfalls an die DSGVO halten, wenn sie das Verhalten von EU-Bürgern überwachen möchten, beispielsweise um diese Daten für Werbezwecke zu verwenden.

Wer ist von der DSGVO betroffen?

Grundsätzlich müssen alle Unternehmen, die personenbezogene Daten innerhalb der EU speichern, verarbeiten oder übertragen, die Regeln der DSGVO einhalten. Dies bedeutet, dass im Grunde jede öffentliche Behörde und jedes Unternehmen von den Vorschriften der DSGVO betroffen ist.

Die DSGVO betrifft nicht persönliche oder familiäre Aktivitäten (sogenannte Haushaltsausnahme). Private Gespräche, E-Mail-Kontakte oder Chats unterliegen nicht den Verpflichtungen der DSGVO. Andererseits sollten Sie vorsichtig sein, wenn Sie private Fotos auf öffentlichen Plattformen teilen. Hier gilt die DSGVO wieder, mit der Konsequenz, dass alle betroffenen Personen der Veröffentlichung zustimmen müssen.

Aktivitäten, die grundsätzlich nicht von EU-Recht erfasst sind, können ebenfalls ausgenommen sein. Dies gilt beispielsweise für Aktivitäten, die im Bereich der Gemeinsamen Außen- und Sicherheitspolitik, wie beispielsweise der Strafverfolgung, entstehen. Für EU-Institutionen gelten auch separate Regelungen.

Fazit

Die DSGVO bietet viele Maßnahmen und Regeln zum bestmöglichen Schutz personenbezogener Daten. Für Unternehmen bedeutet dies viel Arbeit, die am besten mit einem System wie der Priverion Data Protection Platform bewältigt wird. Die DSGVO erfordert, dass zu Beginn ein Verzeichnis von Verarbeitungstätigkeiten erstellt wird, d.h., es wird zunächst eine Art Bestandsaufnahme der vorhandenen Prozesse vorgenommen.

Neben den vielen damit verbundenen Anstrengungen bietet die DSGVO auch die Möglichkeit, bestehende Strukturen im Unternehmen zu überprüfen und effizienter und datenfreundlicher zu gestalten. Dies reduziert nicht nur das Risiko eines Datenlecks und somit des Imageschadens und der Geldstrafen für das Unternehmen, sondern gewährleistet auch bessere und einfachere Arbeitsabläufe, die sogar den Umsatz steigern können. Unternehmen sollten die DSGVO daher auch als Chance sehen, ihr Geschäft zu reformieren und zu verbessern.