Datenschutz-Grundverordnung (EU-DSGVO)
Das neue Datenschutzrecht - Pflichten, Strafen, Empfehlungen
Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in ganz Europa in Kraft. Das neue Datenschutzrecht soll europaweit ein einheitliches Datenschutzniveau für alle Bürger gewährleisten. Auch für deutsche Unternehmen besteht durch die neue Rechtslage Handlungsbedarf, denn es gibt eine Reihe neuer Pflichten. Die DSGVO beschert dem Mittelstand dadurch nicht nur Zeit- und Geldaufwand für die Umsetzung, sondern auch erhebliche rechtliche Risiken. Zugleich sollte die Gesetzesänderung als Chance begriffen werden, den bisherigen Datenschutz im Unternehmen zu evaluieren, Mitarbeiter zu sensibilisieren und ein effektives Datenschutzmanagement zu integrieren.
Anwaltliche Leistungen im Bereich Datenschutz und Datenschutzgrundverordnung
Lassen Sie sich durch unsere Rechtsanwälte bundesweit zu allen Themen des Datenschutzes beraten. Im Bereich der Datenschutzgrundverordnung liegt unsere Expertise insbesondere in folgenden Bereichen:
- Beratung bei der Umsetzung der DSGVO
- Gestaltung individueller Verfahrensverzeichnisse, Datenschutzerklärungen und Richtlinien für Ihr Unternehmen
- Prüfung von datenschutzrechtlichen Einwilligungen
- Prüfung und Gestaltung von Verträgen mit Auftragsverarbeitern
- Zusammenarbeit mit externen Dienstleistern für die technische Umsetzung
Ist Ihr Unternehmen bereit für die Datenschutzgrundverordnung? Machen Sie eine Bestandsaufnahme und prüfen Sie, wo noch Beratungs- und Umsetzungsbedarf besteht: Checkliste für Unternehmen zur DSGVO
Grundlagen und Ziele der DSGVO
Die DSGVO ist eine Verordnung der europäischen Union. Sie löst die europäische Datenschutzrichtlinie aus dem Jahr 1995 ab. Der Unterschied der nun in Kraft tretenden Verordnung zur bisherigen Richtlinie ist, dass sie unmittelbar in den Mitgliedsstaaten wirkt und keines Umsetzungsaktes bedarf. Als vorrangiges Recht wird die DSGVO dann dem nationalen Recht, also z.B. dem Bundesdatenschutzgesetz (BDSG), vorgehen.
Viele Detailfragen lässt die Verordnung aber dennoch offen, um den Mitgliedstaaten jedenfalls einigen Spielraum bei der Umsetzung zu lassen. Von diesen sogenannten „Öffnungsklauseln“ hat der deutsche Gesetzgeber auch in einigen Bereichen Gebrauch gemacht und diese in das neue Bundesdatenschutzgesetz eingearbeitet.
Welche Unternehmen sind betroffen?
Nach Art. 3 DSGVO sind alle Unternehmen, die ihren Sitz oder eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten, von der DSGVO erfasst. Alle Unternehmen, die in irgendeiner Form personenbezogene Daten erfassen, speichern oder verarbeiten, sind von der DSGVO betroffen. So reicht bereits das Führen einer Kundendatenbank aus. Auch für den Datenschutz im eigenen Betrieb ergeben sich Änderungen.
Gerade Unternehmen, die im Internet präsent sind, müssen sich auf Neuregelungen einstellen, insbesondere in den Bereichen Datenschutzerklärung, Nutzer-Tracking, Social Media, Newsletter oder E-Mail-Marketing.
Datenschutz und Geschäftsführerhaftung
Für die Befolgung der datenschutzrechtlichen Vorschriften sind vor allem die Geschäftsführer in der Verantwortung. Kommen Sie ihren Pflichten nicht umfänglich nach, droht eine Haftung des Geschäftsführers bei Datenschutz-Verstößen. Geschäftsführer müssen sich daher unbedingt über die für ihr Unternehmen geltenden Regeln informieren und für einen regelkonformen Umgang mit den Daten sorgen.
Nähere Informationen zur Geschäftsführerhaftung und die wichtigsten Pflichten des Geschäftsführers im Datenschutzrecht erfahren Sie auch in unserem Youtube-Video zum Thema:
Datenschutzrechtliche Grundsätze
An den datenschutzrechtlichen Grundsätzen ändert sich in Deutschland nicht viel, da viele Grundsätze bereits im Bundesdatenschutzgesetzt festgeschrieben waren. Es lohnt sich aber, die folgenden Grundsätze (Art. 5 DSGVO) zu kennen, um die Regelungen der DSGVO besser zu verstehen:
- Verbot mit Erlaubnisvorbehalt: Grundsätzlich ist die Verarbeitung und Nutzung personenbezogener Daten verboten, es sei denn, es besteht eine Erlaubnis. Diese kann sich ergeben aus der DSGVO selbst (z.B. weil die Verarbeitung zur Erfüllung eines Vertrages notwendig ist) oder durch eine Einwilligung der betroffenen Person.
- Rechtmäßigkeit, Transparenz: Daten müssen auf rechtmäßige Weise und für die Betroffenen in nachvollziehbarer Weise verarbeitet werden.
- Zweckbindung: Die Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Eine Weitergabe von Daten an Dritte oder für andere Zwecke ist verboten.
- Datenminimierung: Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie für den verfolgten Zweck tatsächlich notwendig sind.
- Datenrichtigkeit: Die Daten müssen inhaltlich und sachlich richtig sein und auf dem neuesten Stand gehalten werden.
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für die verfolgten Zwecke erforderlich ist. Ist der Zweck erreicht, müssen sie grundsätzlich gelöscht werden.
- Datensicherheit, Integrität und Vertraulichkeit: Dieser neue Grundsatz im Datenschutzrecht schreibt fest, dass eine angemessene Sicherheit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet sein muss. Je nach Schutzbedürftigkeit und Sensibilität der Daten werden strengere technische Maßnahmen erforderlich sein.
Was sind personenbezogene Daten?
Ausgangspunkt für die Anwendbarkeit der DSGVO ist der Begriff der „personenbezogenen Daten“. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es reicht aus, dass die Möglichkeit besteht, anhand der vorhandenen Daten eine natürliche Person zu identifizieren. Zu personenbezogenen Daten gehören in jedem Fall der Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtstag, Kontodaten, IP-Adressen oder Cookies.
Auch wichtig zu wissen: Personenbezogene Daten liegen auch dann vor, wenn die Daten pseudonymisiert werden. Nur wenn völlig ausgeschlossen ist, dass Daten einer bestimmten Person zugeordnet werden können, liegen keine personenbezogenen Daten vor. Dies ist aber selbst bei komplexen Verschlüsselungen nicht der Fall.
Was ändert sich durch die DSGVO für Unternehmen?
Einerseits werden den Unternehmen umfassendere Pflichten bei der Erhebung und Verarbeitung von personenbezogenen Daten auferlegt. Sie müssen den Verbraucher grundsätzlich umfassender über die Erhebung seiner Daten und seine daraus resultierenden Rechte informieren. Zum anderen bestehen erhöhte Dokumentationspflichten. Unternehmen müssen grundsätzlich die Einhaltung der Datenschutzanforderungen dokumentieren. Dies dient auch dazu, der neu geschaffenen Rechenschaftspflicht nachkommen zu können. In Zukunft können Datenschutzbehörden die Dokumentationen oder das Verfahrensverzeichnis über alle Datenverarbeitungstätigkeiten anfordern. Reagiert man als Unternehmen darauf nicht, droht ein Bußgeld. Insofern ist es entscheidend, ein effektives Datenschutzmanagement einzurichten und den Dokumentationspflichten nachzukommen.
Die Änderungen für Unternehmen durch die DSGVO auf einen Blick:
- Dokumentationspflichten und Datenschutzfolgeabschätzungen
- Pflicht zur Führung eines Verfahrensverzeichnisses für alle Unternehmen
- Gewährleistung von Datenportabilität
- Benennung eines Datenschutzbeauftragten ab einer gewissen Größe des Unternehmens
- Meldepflicht bei Datenpannen
- Neue Vorgaben für Datenschutzerklärungen auf Webseiten
- Neue Vorgaben für Einwilligungen
- „Recht auf Vergessenwerden“
- Neuregelung der Auftragsverarbeitung
- Neue Vorgaben für den Umgang mit Mitarbeiterdaten
- privacy by design und privacy by default
- Prinzip des „One-Stop-Shop“
Welche Anforderungen müssen Einwilligungen erfüllen? Was passiert mit bereits erteilten Einwilligungen?
Für viele Verarbeitungstätigkeiten sind Einwilligungen erforderlich, z.B. beim Neswletter-Versand. Aber wie hole ich als Unternehmer nach der DSGVO wirksam und rechtssicher Einwilligungen ein?
Einwilligungen sind grundsätzlich formfrei möglich, d.h. es sind sowohl elektronische oder schriftliche als auch mündliche Einwilligungen erlaubt. Jedoch müssen Sie als Unternehmer nachweisen, dass Sie eine Einwilligung eingeholt haben. Insofern ist nur eine schriftliche oder elektronische Einwilligung (Opt-In) empfehlenswert.
Die Einwilligung muss immer zweckgebunden sein und die Zwecke der Verarbeitung genau ausführen. Die DSGVO verlangt dafür eine verständliche und einfache Sprache in leicht zugänglicher Form (Art. 7 Abs. 2 DSGVO). Nicht erlaubt sind allgemeine Einwilligungen in alle Verarbeitungstätigkeiten. Außerdem müssen Einwilligungen freiwillig sein. Unternehmen dürfen eine Vertragserfüllung daher nicht davon abhängig machen, ob eine Einwilligung für über die zur Vertragserfüllung hinausgehenden Zwecke erteilt wird.
Bereits erteilte Einwilligungen sind wie bisher frei widerruflich, wobei der Widerruf so einfach wie die Erteilung sein muss.
Alle Einwilligungen, die vor dem 25. Mai 2018 eingeholt wurden, bleiben unter der DSGVO wirksam, sofern sie die bisherigen Anforderungen des Bundesdatenschutzgesetzes entsprechen. Wurde die Einwilligung nicht wirksam erteilt oder können Sie als Unternehmer die Einwilligungserklärung nicht einwandfrei nachweisen, müssen diese Einwilligungen neu eingeholt werden.
Was droht bei Verstößen gegen die DSGVO?
Während Verstöße gegen Datenschutzgesetze bislang kaum oder nur mit geringen Bußgeldern geahndet wurden, wird sich dies durch die DSGVO ändern.
Die DSGVO verlangt ausdrücklich "abschreckende" Geldbußen (Art. 83 Abs. 1 DSGVO). Je nach Verstoß sieht die Verordnung einen Strafrahmen von bis zu 10 oder 20 Mio. Euro bzw. 2 oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens vor. Der rechtlich korrekte Umgang mit personenbezogenen Daten kann für Unternehmen daher künftig von existenzieller Bedeutung sein.
Um den vom Gesetzgeber gewünschten Abschreckungseffekt zu erzielen, werden die Aufsichtsbehörden wohl nun stärker durchgreifen. Es ist damit zu rechnen, dass zukünftig auch vermeintlich kleine oder einfache Datenschutzverstöße mit deutlich höheren Bußgeldern als bislang geahndet werden. Dafür werden die Bundes- und Landesdatenschutzbehörden auch mit neuen Kontroll- und Sanktionsbefugnissen ausgestattet.
Darüber hinaus besteht für Unternehmen die Gefahr, wegen Verstößen gegen die DSGVO von Konkurrenten abgemahnt oder von Betroffenen zur Zahlung von Schadensersatz in Anspruch genommen zu werden.
Für Geschäftsführer und Vorstände droht darüberhinaus eine persönliche Haftung (mehr dazu finden Sie auf folgender Seite: Geschäftsführerhaftung bei Datenschutzverstößen).
Umsetzung der DSGVO im Unternehmen
Als Kanzlei für Datenschutzrecht beraten unsere Rechtsanwälte Ihr Unternehmen bei der Umsetzung der Datenschutzgrundverordnung.
Zur Implementierung der neuen Datenschutzgrundordnung empfehlen wir folgende Vorgehensweise:
- 1. Step: Compliance Richtlinien: In dem ersten Schritt sollten die internen Vorgaben (Compliance) zu den datenschutzrechtlichen Bestimmungen des jeweiligen Unternehmens festgestellt werden und mit den neuen Anforderungen der DSGVO abgeglichen werden. Wie geht also das Unternehmen mit dem Datenschutz um? Werden die derzeitigen Praktiken des Unternehmens den datenschutzrechtlichen Anforderungen gerecht?
- 2. Step: Prioritätsliste: Die aus dem ersten Schritt gewonnenen Feststellungen werden gelöst. Sollten verschiedenste Defizite hinsichtlich des Datenschutzes festgestellt werden, stellt sich die Frage, ob es dem Unternehmen möglich ist, diese Defizite gleichzeitig sowie vollständig zu beheben. Sollte dies beispielsweise durch vertragliche Beziehungen nicht möglich sein, wäre eine Prioritätsliste zu erstellen, anhand der zunächst die Schritte einzuleiten sind, die die wesentlichsten Defizite beseitigt.
- 3. Step: Arbeitsgemeinschaft: Die Umsetzung der DSGVO macht oft die Ernennung eines Datenschutzbeauftragten und regelmäßig auch die Mithilfe der Geschäftsführung notwendig. Ist noch kein Datenschutzbeauftragter bestellt worden, ist dies nachzuholen, wofür die Zustimmung der Geschäftsführung notwendig sein kann. Dieser Schritt dient der zügigen Implementierung und teilt uns als betreuende Kanzlei für Datenschutz einen Ansprechpartner für die datenschutzrechtliche Umsetzung aus dem Unternehmen zu. Auf diese Weise werden firmeninterner Prozesse für den Datenschutz an die richtigen Adressaten geleitet, die nicht mangels entsprechender Befugnisse behindert werden können.
- 4. Step: Gewonnene Erkenntnisse umsetzen: Die Änderungen im Datenschutzrecht haben zusätzliche Anforderungen an die Unternehmen zur Folge. So werden strengere Organisations-, Dokumentations- und Sicherheitsanforderungen gestellt. Mit den vorangegangenen Systems haben wir die datenschutzrechtlichen Defizite ermittelt, die wir in diesem Schritt in die firmeninternen Prozesse eingliedern.
Haben Sie Fragen oder benötigen Sie eine Beratung zum Themenbereich Datenschutzrecht und DSGVO? Kontaktieren Sie uns gern unverbindlich telefonisch oder per E-Mail oder nutzen Sie unser Kontaktformular: