Die DSGVO kommt

Sind Sie vorbereitet?





Wissen Sie, warum der 25.05.2018 ein besonderer Tag in der deutschen Firmengeschichte sein wird? Sie haben keine Ahnung? Nicht schlimm, einfach weiterlesen und in gut fünf Minuten werden Sie (hoffentlich) schlauer sein. Die Uhr tickt, denn am 25. Mai tritt die Datenschutzgrundverordnung (kurz DSGVO) in Kraft und wird in allen europäischen Ländern zur Pflicht. Beschlossen wurde sie schon im April 2016 durch das EU-Parlament und nach einer gewährten Frist von zwei Jahren, ist das neue Gesetz ab dem 25.05.2018 tatsächlich anzuwenden. Ziel der DSGVO ist die Harmonisierung des europäischen Datenschutzes. 


Die wichtigsten Fakten zur DSGVO

  • 88 Seiten


  • 99 Artikel

  • offizieller Titel: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.  April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum  freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“


  • Der erste Entwurf wurde 2011 fertiggestellt

  • die DSGVO gilt alleinig ab dem 25. Mai 2018

Odoo text and image block

Warum braucht die EU eine DSGVO?

Bisher galten innerhalb der EU unterschiedliche Datenschutzstandards. Mit der DSGVO will man diesen Flickenteppich nun durch ein einheitliches Modell ersetzen. Ziel ist es, Bürgern mehr Selbstbestimmung zu ermöglichen, in dem die Informationspflicht über die Verwendung personenbezogener Daten seitens der Unternehmen und Selbstständigen zunimmt. Außerdem wird die Rechtsprechung mit der neuen Verordnung an heutige digitale Datenverarbeitungs-Methoden angepasst.

Das Gesetz gilt übrigens nicht nur für in Europa ansässige Unternehmen, sondern auch für Firmen, die außerhalb der EU auf personenbezogene Nutzerdaten von EU- und Nicht-EU-Bürgern über EU-Server zugreifen. Aus diesem Grund hat übrigens Facebook 1,5 Milliarden Nutzerdaten von Irland auf US-amerikanische Server verschoben. So stellt der Social-Media-Gigant sicher, dass die neuen Regularien lediglich auf Daten von EU-Bürgern angewendet werden müssen, nicht aber auf die Daten der restlichen Facebook-Nutzer (ca. 70 Prozent), die keinen Wohnsitz in der EU haben.

Wen betrifft die neue DSGVO?

Grundlegend betrifft die neue Datenschutzverordnung der EU alle Menschen, die automatisiert benutzerbezogene Daten verarbeiten. Weil solche Kundendaten insbesondere von unternehmerisch tätigen Personen (sowohl natürliche als auch juristische Personen) erhoben werden, sollte sich also jeder Gewerbetreibende und Freiberufler, unabhängig von der Rechtsform, mit der DSGVO auseinandersetzen.
Odoo image and text block

Wie sieht es mit den Sanktionen aus?

Um den Datenschutz zu gewährleisten, werden die Behörden in allen EU-Staaten mehr Befugnisse als bisher erhalten. Als eine Neuerung dürfen sie dann gegenüber anderen Behörden Anordnungen und Sanktionen erlassen. Darüber hinaus werden die Behörden den Datenschutz nun gnadenlos durchsetzen und bedienen sich dabei Bußgeldern in Höhe von

  • bis zu vier Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens bzw.

  • 20 Millionen Euro

Um diesen drastischen Sanktionen zu entgehen, ist es immens wichtig, die Neuerungen zu kennen.


        Was bedeutet Verarbeitungszeichnis und Dokumentationspflicht?

        Ohne Erhebung und Speicherung von Daten funktioniert der Handel nicht, denn allein um einen Auftrag erledigen zu können, müssen Kunden ihre personenbezogenen Daten eintragen. Zusätzlich wird aber auch eine Vielzahl von anderen Daten erhoben und verarbeitet, z.B. durch Tracking und Analyse-Tools. Im Rahmen der DSGVO kommen weitreichende Dokumentationspflichten auf die Unternehmer zu. Letzten Endes muss ein Unternehmen stets in der Lage sein, nachweisen zu können, dass alle Verarbeitungsvorgänge datenschutzkonform stattfinden. Zentrales Element der Dokumentation ist das sogenannte Verarbeitungsverzeichnis. Dieses katalogisiert und erfasst alle Datenverarbeitungsprozesse des Unternehmens und muss geführt werden. Das Verzeichnis kann auch in elektronischer Form geführt werden. Zu beachten ist aber, dass das Verarbeitungsverzeichnis aufgrund der Vorlagepflicht gegenüber der Aufsichtsbehörde ggf. auch in gedruckter Form exportierbar sein muss.
        Folgender Mindestinhalt muss enthalten sein:

        • Namen und Kontaktdaten des Verantwortlichen

        • Zweck der Verarbeitung

        • Kategorien betroffener Personen

        • Kategorien personenbezogener Daten

        • Kategorien von Empfängern, denen gegenüber Daten offengelegt wurden oder noch offengelegt werden

        • Übermittlungen von Daten an ein Drittland oder eine internationale Organisation

        • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

        • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO

        Was ist mit Auftragsverarbeitung gemeint?

        Wer Daten durch externe Partner erheben, verarbeiten oder nutzen lässt, bedient sich der nach der DSGVO der Auftragsverarbeitung. Klassische Anwendungsfälle sind zum Beispiel Dienstleister, die den Versand von Newslettern oder die Lohnbuchhaltung eines Unternehmens übernehmen. Dabei ist es stets erforderlich, einen Vertrag über die Auftragsverarbeitung zu schließen. In diesem ist detailliert zu regeln, welche Daten übermittelt und wie diese verarbeitet werden. Nach der DSGVO ist es aber möglich, diesen auch elektronisch zu schließen. Wer Daten zur Auftragsverarbeitung weitergibt, sollte folgendes beachten:

        • Der Auftraggeber haftet für Datenschutzverstöße des Auftragnehmers

        • Der Auftraggeber ist verpflichtet, die Weisungen zu dokumetieren

        • Der Auftraggeber hat die Datenverarbeitung zu kontrollieren



        Wann ist ein Datenschutzbeauftragter notwendig?

        Auch nach der DSGVO gibt es die Vorschrift, dass Unternehmen mit einer bestimmten Größe und Personenzahl einen Datenschutzbeauftragten für sich haben müssen. Diese Pflicht trifft weiterhin alle Unternehmen, die ständig 10 Personen mit der Datenverarbeitung betrauen. „Ständig“ meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss. Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört. Daher müssen auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte gegebenenfalls dazu gezählt werden.

        Die DSGVO-Checkliste im Überblick

        1. Einwilligung für die Verarbeitung und Nutzung personenbezogener Daten einholen

        Grundsätzlich ist die Datenverarbeitung nur erlaubt, wenn Sie eine Einwilligung der betroffenen Person erhalten haben. In der DSGVO wurde das Mindestalter auf 16 Jahre gesetzt. Das heißt, Sie müssen diese Personen angemessen und verständlich unterrichten, dass personenbezogene Daten gespeichert und allenfalls verarbeitet werden.

        Tipp: Holen Sie sich die Einwilligung für das Speichern und Verarbeiten der Daten mit einem Hinweis auf das Widerrufsrecht. Dies geht am einfachsten bei einem Formular mit einer Checkbox, welche angeklickt werden MUSS und nicht schon vorausgefüllt sein darf.

         

        2. Auskunftsrecht

        Ein Besucher Ihrer Webseite hat das Recht, von Ihnen eine Bestätigung zu verlangen, dass personenbezogene Daten über ihn gesammelt werden. Natürlich hat der Besucher auch das Recht, Zugang zu diesen Daten zu erhalten.


        
3. Recht auf Berichtigung und Löschung

        Wünscht es Ihr Besucher, müssen Sie die Daten schnellstmöglich korrigieren oder gar löschen. 


        4. Privacy by Design und Privacy by Default

        Privacy by Design bedeutet nichts anderes als das der Schutz der gespeicherten personenbezogenen Daten bereits in der Entwicklung einer Hard- oder Software sichergestellt werden sollte.

        Tipp: Ihre Software, zum Beispiel Ihre Webseite, sollte immer auf dem aktuellsten Stand sein. Gleiches gilt für Ihr CRM oder weitere Software, in der personenbezogene Daten gespeichert werden.


        
Privacy by Default bedeutet, dass Produkte standardmäßig datenschutzfreundlich einzustellen sind. So ist z.B. das Setzen von Cookies nicht oder nur mit Zustimmung des Betroffenen erlaubt. 

        Tipp: Fragen Sie Ihre Kunden beim Besuch der Firmenwebseite, ob und welche Daten gespeichert werden dürfen.  

         

        5. Dokumentations- und Meldepflicht

        Das DSGVO sieht vor, dass Sie ein Register aller gespeicherten personenbezogenen Daten führen müssen. Der Inhalt des Registers ist in Artikel 30 § 1 DSGVO detailliert beschrieben. Sollte es zu einer Datenschutzverletzung kommen, müssen Sie dieses Register innerhalb von 72 Stunden den Behörden zur Verfügung stellen. Firmen oder Unternehmen mit weniger als 250 Mitarbeitern sind von dieser Pflicht - mit wenigen Ausnahmen - ausgenommen (vgl. Art. 30 § 5 DSGVO).

        6. Überprüfung der internen Abläufe rund um den Datenschutz 

        Wurde ein Datenschutzbeauftragter benannt? Und sind alle internen Abteilungen im Haus darüber informiert, wer diese zentrale Anlaufstelle ist? Wurden alle Mitarbeiter darüber in Kenntnis gesetzt, wie künftig mit personenbezogenen Daten im Unternehmen umgegangen werden muss?


        7. Check der Bestandsadressen 

        Für die bereits im Unternehmen gespeicherten Adressen muss keine erneute Einwilligung zur Nutzung der Daten eingeholt werden. Jedoch ist zu prüfen, ob die bereits erteilten, „alten“ Einwilligungen die Anforderungen der DSGVO erfüllen.

        8. Vorgehensweise für Meldepflichten festlegen 

        Was passiert, wenn Sie der Aufsichtsbehörde einen Vorfall melden müssen? Legen Sie sich einen Plan zurecht und üben Sie den Ernstfall.

        9. Löschen aller irrelevanten Daten 

        Alle Daten, die Sie nicht wirklich für Ihren Geschäftserfolg benötigen, sollten Sie löschen. So verringern Sie die Gefahr, dass Ihnen etwas „durchrutscht“.

        10. Überprüfen der Hard- und Software

        Kann Ihre IT die Anforderungen der DSGVO überhaupt leisten? Sprechen Sie mit Ihrem IT-Partner über mögliche Lösungen, die Ihnen das Leben erleichtern und für Rechtssicherheit sorgen. Wenn Sie Ihre Daten in einer Cloud gespeichert haben, überprüfen Sie, wo die Daten genau liegen.

        11. Website & Kontaktformulare auf HTTPS umstellen

        Dieser Punkt sollte spätestens jetzt nachgeholt werden. Vor allem bei Kontaktformularen muss die Datenübertragung verschlüsselt werden.


        12.  Datenschutzerklärung erweitern

        Erweitern Sie die Datenschutzerklärung auf Ihrer Website um die Belehrung über die Betroffenenrechte, legen Sie alle Auftragsverarbeiter offen (auch Online-Dienstleister, mit denen Sie zusammenarbeiten) und vergessen Sie nicht, die zuständige Aufsichtsbehörde anzugeben. 

        Fazit

        Mit der DSGVO gibt es ab dem 25. Mai 2018 europaweit einheitliche und strengere Datenschutzregeln. Die neuen Dokumentations-, Nachweis- und Rechenschaftspflichten, die Auskunftspflichten gegenüber Betroffenen und vor allem eine DSGVO-konformen Datenschutzerklärung sollte jedes Unternehmen schnellstens in Angriff nehmen.

        Für die meisten Unternehmen empfiehlt sich die Hinzuziehung interner oder externer Rechtsberatung. Neben der Geschäftsleitung sollten auch die für die Umsetzung zuständigen Mitarbeiter in den Prozess mit einbezogen werden. Die hohen Strafen für eine Nichteinhaltung der neuen Regeln machen den Versuch, irgendwie unbemerkt unter dem Radar durchzufliegen, zu einem riskanten Unterfangen, von dem wir dringend abraten.


        Aber Achtung!

        Nichts wird so heiß gegessen, wie es gekocht wird. Wir haben diesen interessanten Link für euch gefunden. Lesen Sie, was ein Online-Rechtsanwalt dazu zu sagen hat.

        Noch einen tollen Tipp haben wir für Sie. Melden Sie sich in der Facebook-Gruppe von LawLikes an. Dort gibt Sabrina Keese-Haufs tolle kostenlose Tipps zu verschiedenen Rechtsthemen. Sie ergänzt ihr Angebot mit einem tollen Newsletter der Mut machen soll, die Anforderungen auf alle Fälle umsetzen zu können.