Die neue DSGVO – was ändert sich?

Alles neu macht der Mai: Mit Stichtag zum 25. Mai 2018 wird das alte BDSG durch die neue DSGVO abgelöst. Damit ist es für jeden verpflichtend, die neuen Datenschutz-Regelungen in die eigenen Unternehmensstrukturen zu integrieren. Um Ihnen den Einstieg zu erleichtern möchten wir Sie im Folgenden darüber informieren, was Sie alles beachten müssen. Denn je eher Sie mit der Umsetzung beginnen, desto besser!

DSGVO, was ist das überhaupt?

Hinter der Abkürzung „DSGVO´´ verbirgt sich die neue Datenschutzgrundverordnung der Europäischen Union. Die Verarbeitung von personenbezogenen Daten und das Datenschutzrecht soll durch diese Verordnung europaweit vereinheitlicht werden. Die DSGVO beinhaltet Regeln für die Verarbeitung von personenbezogenen Daten, die für Unternehmen und öffentliche Institutionen gelten.

Ab dem 25. Mai 2018 tritt die neue DSGVO in Kraft und löst damit die bisher geltende Datenschutzrichtline ab. In Deutschland wird die neue DSGVO durch das neue Bundesdatenschutzgesetz (BDSG-neu) ergänzt.

Was ist das Ziel der DSGVO?

Durch die Vereinheitlichung des Datenschutzrechts innerhalb der EU soll die DSGVO sicherstellen, dass alle Länder ein gleichartiges Schutzniveau für personenbezogene Daten vorweisen können. Damit haben vor allem Unternehmer eine höhere Rechtssicherheit und müssen nicht wie bisher verschiedene länderspezifische Datenschutzgesetze und somit unterschiedliche Regelungen beachten.

Sofern personenbezogene Daten von EU-Bürgern betroffen sind, sollen die Regelungen der DSGVO auch für Unternehmen mit Sitz außerhalb der EU gelten. Besonders Social Media oder Cloud-Dienste aus dem Ausland sollen damit in den Wirkungsbereich der DSGVO eingebunden werden.

Was ist mit „personenbezogene Daten`` gemeint?

Alle Informationen, die sich auf identifizierbare natürliche Personen beziehen oder die Möglichkeit der Identifizierung bieten, werden nach Artikel 4 Absatz 1 DSGVO als „personenbezogene Daten“ bezeichnet. Die Möglichkeit der Identifizierung ist bereits ausreichend, es muss keine Identifizierung per se stattgefunden haben! Eine Person zählt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Dies passiert vor allem durch Zuordnung zu einer Kennung wie Name, Standortdaten oder anderen besonderen Merkmalen. In der DSGVO werden diese als „betroffenen Personen“ bezeichnet.

Zu den personenbezogenen Daten zählen unter anderem: Namen, Adressen, Telefonnummern, Bankdaten, E-Mail-Adresse, Cookie-Informationen oder IP-Adressen. Es sind also Angaben, die einer bestimmten Person zugerechnet werden können. Da die DSGVO nur für natürliche Personen – also Menschen – gilt, ist die Verordnung nicht für Unternehmen oder Behörden anwendbar – für deren Personal, Kunden oder Lieferanten aber schon.

Was müssen Unternehmer im Umgang mit personenbezogenen Daten beachten?

Die DSGVO fordert zum Schutz von personenbezogenen Daten, dass Unternehmer geeignete technische und organisatorische Maßnahmen (kurz TOM) ergreifen, um diese Daten zu verschlüsseln und zu pseudonymisieren. Dabei ist der aktuelle Stand der Technik und das Risiko der anzuwendenden TOMs zu berücksichtigen.

Betrifft die neue DSGVO auch mein Unternehmen?

Verfallen Sie nicht der irrigen Annahme, die DSGVO würde nur für große Betriebe oder „Datenkraken“ greifen! Vielmehr betreffen die Regelungen der DSGVO durch die weitgefasste Formulierung alle Unternehmen, insbesondere dann, wenn sie eine Webpräsenz betreiben. Das beinhaltet bereits die Datenschutzerklärung auf der Firmen-Webpage sowie das Verschicken von Newslettern, Werbung über Social Media oder per E-Mail. Die neue DSGVO gilt also für alle, also auch für kleine Betriebe, Freiberufler und Handwerker.

Welche Neuerungen bringt die DSGVO?

Da in Deutschland bereits ein hohes Datenschutz-Niveau vorliegt, ändert sich für Sie vielleicht weniger, als Sie denken – gesetzt dem Fall, dass Ihr Unternehmen sich auf dem aktuellen Stand befindet. Bei der Verarbeitung und im Umgang mit personenbezogenen Daten sind nach der neuen DSGVO folgende Grundsätze einzuhalten:

Alte Grundsätze

Das Verbot mit Erlaubnisvorbehalt

Das Verbot mit Erlaubnisvorbehalt regelt, dass – sofern keine Erlaubnis vorliegt –ein grundsätzliches Verbot der Erhebung, Nutzung oder Verarbeitung personenbezogener Daten besteht. Das Erheben von Daten ist also erlaubnisabhängig. Die Erlaubnis ist direkt von der betroffenen Person einzuholen, z.B.: beim Versenden von Newslettern, kann sich aber auch aus dem Gesetz ergeben, z.B.: direkt aus der DSGVO oder dem Telemediengesetz (TMG). Weiterhin wird der Beschäftigtendatenschutz ausgebaut. Arbeitgeber dürfen demnach nur solche Beschäftigtendaten erheben, die direkt für eine Bewerbung auf eine Anstellung oder die Ausübung der Arbeitstätigkeit erforderlich sind.

Die Datensparsamkeit und Zweckbindung: Die Datensparsamkeit und Zweckbindung soll sicherstellen, dass nur solche Daten erhoben und verarbeitet werden, die tatsächlich benötigt werden und nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden.

Die Datenrichtigkeit: Jede betroffene Person hat das Recht darauf, dass ihre Daten inhaltlich und sachlich richtig und aktuell sind.

Neue Grundsätze:

Die Datensicherheit: Nach Artikel 32 DSGVO muss jeder, der Daten verarbeitet, die Datensicherheit gewährleisten. Die TOMS – organisatorische und technische Maßnahmen – müssen dem aktuellen Stand der Technik entsprechen und ein angemessenes Schutzniveau vorweisen. Das Schutzniveau richtet sich dabei nach der Schutzbedürftigkeit der betroffenen personenbezogenen Daten. Die Umstände, die aufzuwendenden Implementierungskosten sowie der Stand der Technik bestimmen dabei, welche Maßnahmen als angemessen anzusehen sind.

Das Recht auf Löschung („Vergessenwerden“): Wie bereits vom EuGH bestimmt, haben EU-Bürger das Recht, dass Suchergebnisse von Suchmaschinen – unter besonderen Voraussetzungen – nicht mehr angezeigt werden. In diesem Sinne hat jeder das Recht auf die Löschung oder Sperrung seiner gespeicherten Daten unter anderem, sofern keine Berechtigung mehr für die Verarbeitung oder Nutzung dieser Daten vorliegt, er seine Einwilligung widerrufen hat oder die Verarbeitung der Daten unrechtmäßig war. Eine Aufzählung der Löschungsgründe befindet sich in Artikel 17 DSGVO. Dieses Recht ist nach der neuen DSGVO gegen jede Stelle anwendbar, die personenbezogene Daten verarbeitet.

Das Recht auf Datenübertragung: Gemäß Artikel 20 DSGVO können User ihre Daten von einem Anbieter auf einen anderen übertragen, z.B.: bei einem Anbieterwechsel, Wechsel der Bank oder des Arbeitgebers.

Die Rechenschaftspflicht: Datenverarbeitende Institutionen sind durch die Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO dazu verpflichtet, die Einhaltung der Grundprinzipien des Datenschutzes nachweisen zu können. Unternehmen sollten daher die Einhaltung der Datenschutzanforderungen dokumentieren –am besten durch die Einrichtung eines Datenschutzmanagements.

Ungehemmter Austausch personenbezogener Daten innerhalb der EU: Der Datenaustausch personenbezogener Daten innerhalb der EU darf nicht eingeschränkt oder verboten werden.

Was hat es mit den höheren Bußgeldern auf sich?

Die neue DSGVO beinhaltet eine erweiterte Haftung, sodass der Geschäftsführer persönlich haftbar gemacht wird. Zusätzlich haben Aufsichtsbehörden die Möglichkeit, Geldbußen von bis zu 20 Millionen Euro – bei schweren Verstößen bis zu 4% des weltweiten Jahresumsatzes des Vorjahres– zu verhängen. Weiterhin können auch Gewinne von Unternehmen aufgrund von Verstößen gegen die DSGVO eingezogen werden. Untätigkeit kann demnach teuer werden!

Da nach der neuen DSGVO jeder, der betroffen ist, ausdrücklich das Recht auf Beschwerde bei der zuständigen Behörde sowie auf einen gerichtlichen Rechtsbehelf hat, ist die Wahrscheinlichkeit bei einer Behörde gemeldet zu werden sehr viel höher als vor Einführung der Regelung. Hinzu kommen Routineprüfungen und stichprobenartige Kontrollen der zuständigen Aufsichtsbehörde.

Datenschutzverstöße können auch nach der DSGVO abgemahnt werden und es kann zu Gerichtsverfahren kommen. Sie sollten daher auf Anfragen und Beschwerden – vor allem von den Datenschutzbehörden, aber auch von Ihren Nutzern und Angestellten – eingehen und diese ernst nehmen.

Eine gründliche Vorbereitung und natürlich die Umsetzung der Regelungen des DSGVO sind daher unerlässlich um Rechtssicherheit für Ihr Unternehmen und Ihre Kunden zu schaffen und hohe Strafen sowie ein schlechtes Image zu vermeiden.

Was ist jetzt zu tun?

Folgende Fragestellungen sollten Sie positiv beantworten können:

Weist Ihr Webauftritt eine geeignete Datenschutzerklärung auf? Werden Besucher Ihrer Website über Ihre Datenverarbeitung informiert? Wie steht es um Ihre Auftragsdatenverarbeitung?

Gewährleisten Sie, dass personenbezogene Daten durch geeignete Sicherheitsmaßnahmen abgesichert werden? Haben Sie bereits die Zustimmung für die Datenverarbeitung eingeholt? Archivieren Sie die betreffenden Datensätze mit Details zur Datenverarbeitung?

Weisen Sie auf die Erfassung von Daten hin und machen Sie Angaben zum Zweck der Datenverarbeitung? Haben Sie Richtlinien zur Datenspeicherung und Ihrer Löschung erstellt?

Sind Ihre Mitarbeiter geschult? Prüfen und verbessern Sie regelmäßig die Datenrichtlinien? Wissen Sie, ob Sie einen Datenschutzbeauftragten einstellen müssen? Haben Sie konforme Verträge mit Zulieferern aufgesetzt?

Sie können oder wollen das nicht alleine bewältigen?

Kein Problem! Um Ihren zeitlichen Aufwand so gering wie möglich zu halten und dennoch rechtskonform alles umzusetzen wenden Sie sich doch einfach an uns!

Wir unterstützen Sie gerne in dem Vorhaben, Ihr Unternehmen datenschutzkonform zu betreiben und hohe Bußgelder der Aufsichtsbehörden zu vermeiden.

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

 

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.