Auf einen Blick


Kurze Antworten auf wichtige Fragen zur DSGVO

Was ist die Datenschutzgrundverordnung?

Der Schutz personenbezogener Daten wird in Deutschland bisher durch das 1978 in Kraft getretene Bundesdatenschutzgesetz (BDSG) geregelt. Entsprechende Gesetze gibt es in allen übrigen EU-Ländern. Diese nationalen Datenschutzregelungen werden am 25. Mai 2018 durch eine einheitliche europäische Datenschutzgrundverordnung (DSGVO) ersetzt. Sie regelt, wie sensible Daten verarbeitet werden dürfen, an wen sie weitergegeben werden können und wann sie zu löschen sind. Gleichermaßen betrifft die DSGVO auch weltweit alle Unternehmen, die innerhalb der EU tätig sind.

Die DSGVO lehnt sich an dem bisher geltenden BDSG an. Neu oder angepasst wurden u.a. die Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten, die Dokumentationspflichten (mit einer Datenschutzfolgeabschätzung), Vorgaben für Einwilligungserklärungen (online und offline) sowie erweiterte Vorgaben für Datenschutzerklärungen auf Webseiten. Hinzugekommen sind außerdem das Recht auf Datenportabilität oder das „Recht auf Vergessenwerden“. Auch gibt es Neuregelungen bei der Auftragsdatenverarbeitung. Insgesamt sind die Anforderungen an Informations- und Dokumentationspflichten gestiegen.

Die Datenschutzgrundverordnung soll sicherstellen, dass „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 DSGVO) gewahrt werden. Viele Rechte und Pflichten der DSGVO sind in gleicher oder ähnlicher Form bereits heute Bestandteil des BDSG. Wir müssen aber leider feststellen, dass es bis dato häufig an der Umsetzung mangelt. Hier hat die Europäische Union durch die Androhung teils drastischer Geldbußen (bis zu 20 Mio. Euro oder 4% des Vorjahresumsatzes) den Druck auf Unternehmen erhöht. Die DSGVO wird zu einem bewussteren Umgang mit personenbezogenen Daten führen. Dafür müssen in Unternehmen interne Strukturen aufgebaut sowie datenschutzkonforme Prozesse eingeführt, nachhaltig kontrolliert und dokumentiert werden.

Die deutschen Landesdatenschutzbeauftragten haben bereits angekündigt, die Kontrollen hinsichtlich der Einhaltung der Datenschutzgrundverordnung zu intensivieren. Einige EU-Länder haben zudem klargemacht, dass sie den Strafrahmen ausreizen wollen. Wir befürchten außerdem, dass es eine Welle von Abmahnungen geben wird. Insbesondere Webseiten und deren Datenschutzerklärungen sind öffentlich zugänglich und sollten daher so schnell wie möglich auf Konformität geprüft werden. Gemäß dem Sprichwort „better safe than sorry“ rate ich allen Unternehmen, die DSGVO nicht auf die leichte Schulter zu nehmen und sich ernsthaft mit ihr auseinanderzusetzen.

Der Gesetzgeber kennt hier keinen Unterschied. Die DSGVO gilt für alle verantwortlichen Stellen, wie Unternehmen, Vereine, oder Freiberufler, die mit personenbezogenen Daten arbeiten. Ein Verein führt beispielsweise eine Liste oder Datenbank von Mitgliedern, hat Werbepartner oder betreibt eine eigene Webseite. In allen Fällen greift die Datenschutzgrundverordnung. Das Bayerische Landesamt für Datenschutzaufsicht hat vor kurzem sehr gute Anleitungen für kleine Unternehmen und Vereine veröffentlicht, welche von der Homepage unter www.lda.bayern.de heruntergeladen werden können.

Unternehmen sollten ein Projektteam bestehend aus Geschäftsführung, IT, Personalverantwortlichen und Fachabteilungen sowie Datenschutzexperten bilden. In diesem Team müssen alle Prozesse identifiziert werden, bei denen personenbezogene Daten erfasst, gespeichert oder verarbeitet werden. Das gilt z.B. für Daten von Mitarbeitern, Bewerbern aber auch Kunden gleichermaßen wie für Daten, die über die Webseite erhoben werden (Besucheranalyse, Kontaktformulare, Newsletter). Da eine Verarbeitung nur auf Basis von Rechtsgrundlagen (Einwilligung, Vertragserfüllung oder gesetzliche Verpflichtungen) erlaubt ist, muss die Rechtmäßigkeit geprüft und dokumentiert werden. Daten, die ohne Rechtsgrundlage verarbeitet werden, müssen gelöscht und dürfen nicht weiter erhoben werden. Im weiteren Schritt müssen die einzelnen Prozesse in Verarbeitungsverzeichnissen erfasst werden. Findet eine Weitergabe von Daten an Dritte statt, ist zudem zu prüfen, ob ein Auftragsverarbeitungsvertrag mit dem jeweiligen Partner geschlossen werden muss. Die deutschen Landesdatenschutzbeauftragten haben sehr gute Leitfäden für die DSGVO-Compliance mit Hinweisen, auf welche Anforderungen der Gesetzgeber besonders achtet, veröffentlicht. Für die ersten Schritte ist das eine sehr gute Ausgangsbasis.

In Anbetracht der Kürze der Zeit sollte jedem bewusst sein, dass er vor einer höchst ambitionierten Herausforderung steht. Professionelle Unterstützung kann helfen, Unklarheiten schnell zu beseitigen und einen klaren Fahrplan zu erarbeiten.

Nutzen Sie unsere Datenschutz Roadmap, um Ihre Aufgaben in 10 Themengebiete zu ordnen und damit Ihren Datenschutz Fahrplan aufzustellen.

Jetzt herunterladen
Inhalt wird geladen ...