Ein wichtiger Hinweis vorab: In diesem Blog-Beitrag möchten wir Sie lediglich über das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) informieren. Alle Angaben sind ohne Gewähr. Bei Fragen konsultieren Sie bitte Ihren Rechtsanwalt.
(stge/uwsi) Zwei Jahre Übergangsfrist hatten alle Zeit, sich auf den 25. Mai 2018 vorzubereiten. Dies war der Stichtag für das endgültige Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), durch die Datenschutzgesetze in der gesamten EU vereinheitlicht werden sollten. Dabei war auch der „freie Verkehr personenbezogener Daten“ aus wirtschaftlichen Interessen zu berücksichtigen.
Für wen gilt die DSGVO?
Die DSGVO gilt seit dem 25. Mai 2018 für alle in der EU ansässigen Unternehmen, Unternehmen mit einer Niederlassung in der EU sowie alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten.
Auch wenn dieser Termin lange bekannt war, so sickerte er erst durch steigende Berichterstattung z. B. über öffentliche Medien, Fachverbände und IHK so langsam ins Bewusstsein durch, wie nicht nur die Anforderungen an die Dokumentation erhöht wurden. Sehr öffentlichkeitswirksam waren die in Aussicht gestellten Bußgelder bei Nichteinhaltung in Höhe von bis zu 20 Millionen Euro, oder – je nachdem, was höher liegt – bei Unternehmen sogar bis zu vier Prozent des weltweiten Jahresumsatzes.
In den Monaten April und Mai stapelten sich dann bei uns die Aufträge für Aktualisierungen von Webseiten bestehender und neuer Kunden. Dort ging es nicht nur um aktualisierte Datenschutzerklärungen, in denen u. a. sämtliche Verarbeitungsprozesse und Verbindungen zu Google, Facebook & Co. aufgeführt sein mussten. Selbst bei einem simplen Kontaktformular muss nun eine Checkbox ergänzt werden, die vor Absenden des Formulars vom Besucher der Webseite angeklickt werden muss. Mit dieser Checkbox bestätigt der Kunde, dass er ausdrücklich der Übermittlung und Verarbeitung der im Formular angegebenen Daten zustimmt. Ohne diese Zustimmung wäre wohl dann eine Beantwortung der Anfrage gesetzeswidrig …
Die wichtigsten Grundsätze der DGSVO
Viele bekannte Datenschutzprinzipien und Regelungen finden sich in der DSGVO wieder. Jedoch ändern sich sehr viele Details, weshalb wir Ihnen – falls nicht bereits geschehen – eine detaillierte Prüfung empfehlen.
Hier ein Überblick über die wichtigsten Grundlagen, die Sie bei der Erhebung und Verarbeitung von personenbezogenen Daten immer im Hinterkopf behalten sollten:
- Verbot mit Erlaubnisvorbehalt
Grundsätzlich ist das Sammeln und Verarbeiten von personenbezogenen Daten verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann neben der Einwilligung der betroffenen Person auch z. B. durch eine gesetzliche Erlaubnis entstehen.
Eine gesetzliche Erlaubnis besteht zum Beispiel, wenn Sie die Daten im Rahmen der Vertragsabwicklung benötigen. - Einwilligung
Die Pflicht der schriftlichen Einwilligung entfällt. Mit der DSGVO würde theoretisch bereits ein Kopfnicken als Einwilligung zählen. Doch aufgrund der Nachweispflicht ist eine Einwilligung in schriftlicher oder digitaler Form empfehlenswert. - Informationspflicht
Nutzer haben das Recht, über die Verarbeitung Ihrer Daten informiert zu werden. Sie müssen darüber in Kenntnis gesetzt werden, zu welchem Zweck, auf welche Art, in welchem Umfang, ob sie an Dritte weitergeben werden und wann sie gelöscht werden. Dies muss präzise, transparent, verständlich und leicht zugänglich erfolgen. Dieser Pflicht müssen Unternehmen nicht auf Verlangen, sondern von sich aus erfüllen. Ein geeigneter Ort für diese Angaben sind meist die Datenschutzbestimmungen. - Widerrufsrecht
Eine Einwilligung ist nur dann rechtens, wenn Nutzer über das Recht des Widerrufes informiert wurden. - Kopplungsverbot
Neu in der DSGVO ist unter anderem die Untersagung des Zwangs zur Abgabe einer Einwilligung als Zugangsschranke. Es ist untersagt, eine nicht dafür erforderliche Einwilligung an eine Leistungserbringung zu koppeln. Ein Beispiel ist die derzeit im Internet übliche Anmeldepflicht für einen E-Mail-Newsletter zum Download eines Whitepapers oder E-Books. - Datensparsamkeit
Sie dürfen nur so viele Daten erheben und verarbeiten, wie Sie wirklich benötigen. - Datensicherheit
Sobald Sie personenbezogene Daten erheben und verarbeiten, müssen Sie nach aktuellem Stand der Technik für dessen Sicherheit sorgen. Sie haben dafür Sorge zu tragen das die Daten jederzeit vor Zugriff, Manipulation und Löschung vor Unbefugten geschützt ist. - Meldungspflicht bei Datenpannen
Vor der DSGVO mussten Verletzungen des Schutzes von personenbezogenen Daten lediglich gemeldet werden, wenn besonders sensiblen Daten wie Gesundheits- oder Bankdaten betroffen waren. Seit dem 25. Mai 2018 muss jede Verletzung des Schutzes von personenbezogenen Daten innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informiert werden. - Recht auf Vergessenwerden
Die DSGVO sieht ein Recht auf „Vergessenwerden“ vor. Dies soll Betroffenen helfen, „die Vergangenheit hinter sich zu lassen“. Betroffene können das Löschen von personenbezogenen Daten verlangen, wobei die Forderung mit der Meinungsfreiheit und öffentlichen Interesse sowie der Kosten der Durchführung abzuwägen ist. - Recht auf Datenübertragung
Mit dem Recht auf Datenübertragung soll verhindert werden, das Nutzer durch ihre Daten an einen Anbieter gebunden (sog. „Lock-in-Effekt) sind. Es ermöglicht, das Nutzer die Herausgabe ihrer Daten in einem maschinenlesbaren Format zu verlangen und sogar ein Transfer der Daten zu einem Drittunternehmen – auch wenn es sich um ein Konkurrenzunternehmen handelt. Betroffen sind aber lediglich Daten, die auf Grundlage eines Vertrags mitgeteilt wurden. Daten, die durch unternehmensinterne Algorithmen oder Optimierungen entstanden sind, müssen nicht herausgegeben werden. Da auch die Interessen des Unternehmens berücksichtigt werden müssen, können kleine Anbieter auf die entstehenden Kosten verweisen und die Herausgabe der Daten verweigern. - Privacy by Design und Privacy by Default
Produkte und Dienstleistungen müssen so gestaltet sein, das sie bereits bei der Konzeption und Entwicklung die Datenschutzmaßnahmen nach dem aktuellen Stand der Technik einbezogen haben (Privacy by Design). Ebenso muss die höchste Datenschutzstufe standardmäßig voreingestellt sein (Privacy by Default).
Einwilligung und Widerruf
Wichtig für die Datenverarbeitung von personenbezogenen Daten ist eine deutliche und protokolierte Einwilligung, die nur mit Information über die Möglichkeit des Widerrufs gültig ist. Dies trifft z. B. bei der Verarbeitung von Registrierungen, Kontaktanfragen oder Newsletter-Anmeldungen zu.
Das Verzeichnis von Verarbeitungstätigkeiten
Unternehmen sind verpflichtet, jeden Prozess bei dem personenbezogene Daten erhoben und verarbeitet werden, im Verzeichnis von Verarbeitungstätigkeiten zu Dokumentieren. Das Verzeichnis von Verarbeitungstätigkeiten muss jederzeit und vollständig der Aufsichtsbehörde vorgehalten werden können, ansonsten droht ein Bußgeld.
Ein Verweis auf die Befreiung, bei weniger als 250 Mitarbeiter kommt nur äußerst selten infrage, da bereits eine „nur gelegentliche“ Verarbeitung von personenbezogenen Daten nur schwer einzuhalten ist. Da die Datenverarbeitung mittels Webseite, Shop, CRM-Software oder Lohnabrechnungssysteme etc. in der Regel permanent und nicht gelegentlich erfolgt, ist ein Verweis auf die Befreiung meist ohne Erfolg.
Für das Verzeichnis gibt es inhaltliche Vorgaben – dessen Form der Umsetzung ist aber frei wählbar. Bei Fragen, wie Sie ein Verzeichnis von Verarbeitungstätigkeiten erstellen und welche Prozesse enthalten sein müssen, konsultieren Sie am besten Ihren Rechtsanwalt.
Die Datenschutz-Folgeabschätzung
Verarbeitet Ihr Unternehmen besonders sensible Daten wie z. B. Gesundheit, politische Gesinnung oder in Ihrem Unternehmen wird Videoüberwachung eingesetzt, müssen Sie zusätzlich zum Verzeichnis von Verarbeitungstätigkeiten die möglichen Risiken aufzählen und in einem Bericht aufzeigen, wie Sie diese abwenden. Diese Folgeabschätzungen und Berichte müssen permanent aktuell gehalten werden.
