EU-DSGVO - Die neue EU-Datenschutz-Grundverordnung

Post von .
Alles neu macht der Mai: Am 25.05.2018 tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Alles neu macht der Mai: Am 25.05.2018 tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Ziel der 99 Artikel dieser umfangreichen Verordnung ist die Schaffung eines einheitlichen Datenschutzrechts innerhalb der EU. Als “Verordnung” muss die DSGVO auch nicht zunächst (wie von EU-Richtlinien bekannt) in nationale Gesetze umgewandelt werden, sondern gilt unmittelbar. Ein gewisser rechtlicher Gestaltungsspielraum ist dennoch in einigen Bereichen explizit gegeben, so finden sich etwa im Bundesdatenschutzgesetz (BDSG) Regelungen, die ausschließlich für Deutschland gelten.

Sämtliche Unternehmen, die entweder ihren Sitz in der EU haben oder Daten von EU-Bürgern verarbeiten, sind von den gesetzlichen Neuregelungen betroffen - und müssen daher zahlreiche Auflagen in Bezug auf die Datenverarbeitung erfüllen. So spielt es keine Rolle, ob Sie einen E-Commerce-Shop betreiben, ein Online-Tool zum Rechnungsversand anbieten oder Newsletter versenden: Jedes Unternehmen, das in irgendeiner Form über digitale Kundendaten verfügt, ist von der Gesetzesreform betroffen.

Auf welche Veränderungen müssen sich Unternehmen also einstellen, wenn sie ab Ende Mai nicht gesetzeswidrig handeln möchten?

Die Auswirkungen auf die Datenverarbeitung im Unternehmen

Die Zeiten, in denen betriebliche Stammdaten und personenbezogene Kundendaten in schweren Leitz-Ordnern im Keller des Unternehmens gelagert wurden, sind mittlerweile vorbei. Nahezu jede Firma profitiert von den Erleichterungen und Chancen, die die Digitalisierung ermöglicht.

Zunächst stellt sich die Frage, was überhaupt unter “personenbezogenen Daten” im Sinne der DSGVO zu verstehen ist.

In Art. 4 DSGVO ist der Begriff näher bestimmt: “Personenbezogene Daten” meint sämtliche Informationen, die die Identifizierung einer Person möglich macht, wie beispielsweise:

  • Name
  • Anschrift
  • E-Mail-Adresse
  • Telefonische Erreichbarkeit
  • Kfz-Kennzeichen
  • Kontodaten
  • Geburtstag
  • Standortdaten
  • Browser-Cookies
  • IP-Adressen etc.

Umsetzung mit “TOM”

“TOM”, oder ausführlicher: technische und organisatorische Maßnahmen sollen gewährleisten, dass personenbezogene Daten unter Wahrung eines geeigneten Schutzniveaus und im Sinne der DSGVO behandelt werden.

So heißt es in Art. 32 Abs. 1 DSGVO, dass “[u]nter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen [...] Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen” zu treffen haben, “um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und der organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.”

Diese Regelungen richten sich an den “Verantwortlichen”, also die “natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung dieser Verarbeitung von personenbezogenen Daten entscheidet [...]” (vgl. Art. 4 Nr. 7 DSGVO).

Der Verantwortliche ist demzufolge für die Einhaltung und Dokumentation dieser Maßnahmen zuständig, des Weiteren muss er dafür Sorge tragen, dass die allgemeinen Grundsätze, also die “Grundregeln” für die Verarbeitung personenbezogener Daten eingehalten werden.

Grundsätze für die Verarbeitung personenbezogener Daten

In Art. 5 Abs. 1 DSGVO werden die Grundsätze für die Verarbeitung personenbezogener Daten aufgeführt.

Diese Grundsätze sind:

1. “Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz”

Sämtliche Daten müssen auf rechtmäßige Weise, nach “Treu und Glauben”, also durch redliches und anständiges Handeln, und in einer für die betroffene Person nachvollziehbare Weise verarbeitet werden.

2. “Zweckbindung”

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarende Weise weiterverarbeitet werden.

3. “Datenminimierung”

Die Erhebung personenbezogener Daten muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

4. “Richtigkeit”

Die erhobenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

5. “Speicherbegrenzung”

Personenbezogene Daten dürfen nur in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

6. “Integrität und Vertraulichkeit”

Gesammelte Daten dürfen nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

7. “Rechenschaftspflicht”

Der Verantwortliche ist für die Einhaltung verantwortlich und muss dessen Einhaltung nachweisen können.

Durch die Einhaltung dieser Grundsätze soll ein EU-weiter sensibler Umgang mit personenbezogenen Daten gewährleistet werden, “datenschutzrechtliches Niemandsland” wird es so innerhalb Europas nicht mehr geben.

Stärkung der Nutzerrechte

Personenbezogene Daten gehören dem Nutzer und so hat künftig jeder das Recht zu wissen, wer welche Daten über ihn gesammelt hat und zu welchem Zweck sie wo und wie verarbeitet werden.

  • Im Falle eines Hacking-Angriffs muss der Nutzer frühzeitig informiert werden, damit er zeitnah Maßnahmen ergreifen kann.
  • Das Recht des Nutzers auf Vergessen gestattet Nutzern, personenbezogene Daten restlos löschen zu lassen.
  • Eine Einwilligung zur Datenverarbeitung ist künftig erst ab 16 Jahren möglich. Eine rechtswirksame Anmeldung etwa bei sozialen Netzwerken ist somit erst zu einem späteren Zeitpunkt möglich - ob sich Jugendliche daran halten, sei dahingestellt.
  • Auch US-Unternehmen müssen sich fortan an die EU-Datenschutzvorgaben halten, wenn sie ihre Leistungen auf dem europäischen Markt anbieten.
  • Flexible Bußgelder bei Nichteinhaltung der Vorgaben können bis zu 4% der Jahresumsätze erreichen - je höher der Umsatz, desto höher auch das mögliche Bußgeld.

Datenverarbeitung nur nach Einwilligung

Wenn ein Unternehmen personenbezogene Daten verarbeiten möchte, muss es zunächst die Einwilligung des Betroffenen einholen.

Die Bedingungen für die Einwilligung sind in Art. 7 DSGVO niedergeschrieben:

  1. Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogener Daten eingewilligt hat.
  2. Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen, sodass es von anderen Sachverhalten klar zu unterscheiden ist.
  3. Der Betroffene hat das Recht, die Einwilligung jederzeit zu widerrufen.
  4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss größte Rücksicht darauf genommen werden, ob die Erbringung der Dienstleistung von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist.

Informationspflicht gegenüber Betroffenen

Zukünftig müssen Unternehmen strengeren Informationspflichten nachkommen, die eine Stärkung der Betroffenenrechte zur Folge hat. Der Kunde muss sich unter anderem darüber informieren können,

  • auf welcher Rechtsgrundlage sich die Datenverarbeitung stützt,
  • wie lange seine Daten gespeichert werden und
  • welche Kriterien zur Festlegung dieser Dauer herangezogen wurden.

Sobald personenbezogene Daten zu einem anderen Zweck weiterverarbeitet werden, müssen dem Kunden erneut Informationen bereitgestellt werden (vgl. Artt. 13 f).

Das Recht auf Datenübertragbarkeit

Neben dem Recht auf eine Bereitstellung der personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format hat die Person gegenüber einem Unternehmen auch das Recht, diese Daten an einen Dritten weitergeben zu lassen. Diese Weitergabe darf nicht vom Verantwortlichen behindert werden. Bei einer Berichtigung, Löschung oder Einschränkung der Verarbeitung der personenbezogenen Daten ist der Verantwortliche dazu verpflichtet, dies den Empfängern der Daten mitzuteilen (vgl. Art. 20 DSGVO).

Datenschutz-Folgenabschätzungen

Anstatt der vorher gängigen Vorabkontrollen wird künftig eine Datenschutz-Folgenabschätzung durchgeführt.

Wenn bei einer Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vermutet wird, so muss der Verantwortliche im Vorhinein eine Abschätzung der Folgen durchführen. Diese Abschätzung bezieht sich besonders auf den Schutz von personenbezogenen Daten.

Bestätigt sich dieses Risiko, wird, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, eine unabhängige Aufsichtsbehörde konsultiert (vgl. Artt. 35 f).

Fazit

Mit den längst fälligen Neuerungen der DSGVO wird der Gesetzgeber dem beruflichen Alltag von Unternehmen im digitalen Zeitalter gerecht. Der Schutz des Einzelnen ist eines der großen Themen unserer Zeit und eine Herausforderung für alle, die mit sensiblen Daten arbeiten. Die oben beschriebene umfassende Verordnung nimmt Bezug auf alle Bereiche der Verarbeitung von personenbezogenen Daten von EU-Bürgern. Damit werden insbesondere die Rechte und Freiheiten von natürlichen Personen gestärkt, indem Unternehmen mehr in die Pflicht genommen werden. Durch die Änderungen und besonders durch die Leitprinzipien der Verordnung verfügen Unternehmen über eine Art verbindlichen Kompass, wenn es um Fragen bezüglich des Umgangs mit personenbezogenen Daten geht.


Thema: . Tags: Datenschutz, E-Commerce, SaaS, Cloud Computing, FinTech, digitale Konnektivität, DSGVO, digitale Daten

Passende Themen

Die Sicherheit in der Cloud

Thumb 280 die sicherheit in der cloud2
Der Anteil der Unternehmen, die auf die Cloud setzen, wächst beständig. Doch wo Licht ist, fällt auch Schatten: Datenlecks in den Cloud-Lösungen großer...  Mehr

Wem gehören die digitalen Daten?

Thumb joshua sortino 215039 unsplash01
Das Thema rund um den Schutz personenbezogene Daten im Internet entfachen immer wieder heftige Diskussionen. Aber die Frage, wem eigentlich diese Daten...  Mehr

Unseren Blog abonnieren

Wie wir Unternehmen dabei helfen, ihre Liquidität zu verbessern und das Mahnwesen zu perfektionieren.

Vielen Dank!

Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail die wir Ihnen gerade geschickt haben.