DSGVO - Was ändert sich?

Ab dem 25. Mai gilt EU-weit die Datenschutzgrundverordnung, kurz: DSGVO. Mit der DSGVO gibt es erstmals einheitliche Datenschutzrichtlinien für die gesamte Europäische Union – Doch wie sehen diese Richtlinien aus? Was gleich bleibt, was sich ändert und wie Sie sich und Ihr Unternehmen auf die DSGVO einstellen können, erklärt Ihnen STC.

Was ist eigentlich die DSGVO?

Ganzer Artikel: DSGVO – Was ist das?

Bisher galt in Deutschland zu Datenschutzfragen das BDSG, das Bundesdatenschutzgesetz. Da die Datenschutzgesetze sich in den verschiedenen EU-Staaten teilweise stark unterschieden, wurde am 25. Mai 2016 die Europäische Datenschutzgrundverordnung verabschiedet. Seitdem haben die Mitgliedsstaaten Zeit, die jeweils eigenen Gesetze mit dieser in Einklang zu bringen – bis zum 25. Mai 2018, wenn die Verordnung EU-weit Pflicht wird.

Die DSGVO regelt erstmals einheitlich Fragen zum Speichern von personenbezogenen Daten, digitaler Einwilligung und Löschungsrechten. Damit sollen EU-weiter Handel und Datenaustausch möglich und zugleich die Rechte der EU-Bürger gewahrt bleiben.

Viele der bestehenden Grundsätze zum Datenschutz bleiben auch mit Inkrafttreten der DSGVO gleich oder werden nur unerheblich verändert. Was sich ändert, sind unter anderem die Bußgelder bei Nichtbeachtung. Es ist also sinnvoll, sich noch einmal ins Gedächtnis zu rufen, worauf sie achten sollten, wenn Sie Daten erheben:

Verbot der Datenerhebung mit Erlaubnisvorbehalt

Sie dürfen personenbezogene Daten grundsätzlich nur dann speichern und verarbeiten, wenn Sie über die explizite Erlaubnis des Dateninhabers verfügen. Genauere Informationen dazu, wie diese Erlaubnis auszusehen hat, finden Sie unter Punkt 2.3: Einwilligungen. 

Datenrichtigkeit

Die Daten, die Sie speichern, müssen sachlich richtig und aktuell gehalten werden.

Zweckbindung

Sie dürfen Daten nur zu dem gleichen Zweck verwerten, zu dem Sie sie erhoben und eine Einverständnis eingeholt haben.

Datensparsamkeit

Sie dürfen nur so viele Daten erheben und verarbeiten, wie Sie tatsächlich und zu dem angegebenen Zweck benötigen. 

Neue Maßstäbe: Datensicherheit

Die DSGVO verlangt, dass Sie erhobene Daten auf angemessene Art und Weise schützen. Was "angemessen" bedeutet, hängt von folgenden Faktoren ab:

• Stand der Technik und Implementierungskosten
• Art, Umfang, Umstände und Zweck der Verarbeitung
• Schwere des Risikos für die Rechte der betroffenen Person, d.h. Sensibilität der Daten

Welche Maßnahmen genau angebracht sind, ist also wie so oft Abwägungssache. Wenn nötig, sollten Sie sich also zu diesem Punkt von Experten beraten lassen. 

2. Was ist neu?

Da das Deutsche Datenschutzgesetz bereits vor Inkrafttreten der DSGVO recht stark war, ändert sich in Deutschland nicht so viel wie in anderen Ländern. Dennoch: Wer über eine Internetpräsenz verfügt oder Kunden- und Mitarbeiterdaten digital speichert, hat sich in Zukunft an die DSGVO zu halten. Bei verstoß drohen saftige Bußgelder - bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes können die Behörden verlangen. Welche neuen Regelungen sind es also, auf die sich Unternehmen einstellen sollten?

2.1 Rechenschaftspflicht

Das Wichtigste zuerst: In Zukunft gilt in allen Datenschutzfragen für Datenverantwortliche die Rechenschaftspflicht. Das bedeutet: Speichern Sie personenbezogene Daten, so müssen Sie nachweisen können, dass Sie sich an alle bestehenden Gesetze halten und die Daten entsprechend des Standes der Technik und der Sensibilität der Daten geschützt sind. Jedes Unternehmen sollte also Strukturen etablieren, in denen das Datenschutzmanagement nicht nur geklärt ist, sondern auch detailliert dokumentiert wird.

Was sind personenbezogene Daten? Personenbezogene Daten sind

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Das bedeutet: Jede Information, die sich einer natürlichen Person zuordnen lässt, gilt als personenbezogene Daten. Hierfür muss die Person nicht namentlich identifiziert sein: Die Möglichkeit der Identifizierung reicht aus. Durch eine Zuordnung wie „Der Fahrer des Wagens mit dem Kennzeichen XX-555“ wird eine Person identifizierbar, die Daten damit personenbezogen.

2.2 Recht auf „Vergessenwerden“

Das Recht auf Vergessenwerden ist nicht komplett neu: Nutzer können z.B. Suchmaschinen kontaktieren und verlangen, dass Einträge über sie, die veraltet oder nicht mehr korrekt sind, gelöscht werden. Mit der DSGVO wird dieses Recht erweitert: Jetzt können Personen von jedem Unternehmen, das Daten speichert, verlangen, aus dem System gelöscht zu werden. Als Unternehmer sind Sie verpflichtet, die Daten zu löschen, wenn

• Die Daten zu den Zwecken, für die sie gesammelt wurden, nicht mehr nötig sind,
• Die betroffene Person ihre Einwilligung zur Speicherung widerruft und es keine berechtigten Gründe gibt, sie dennoch zu speichern,
• Die Daten unrechtmäßig verarbeitet wurden,
• Die Löschung nötig ist, um nationale oder EU-Gesetze zu erfüllen.

2.3 Einwilligungen

Schon beim Bestellen eines Newsletters müssen Nutzer eine Einwilligung zur Datenspeicherung abgeben. Diese Einwilligung berechtigt den Datenverantwortlichen, die Daten in angemessenem Rahmen zu speichern und zu verarbeiten. Folgendes sollten Betreiber bei der Erstellung eines Einwilligungsformulares beachten:

• Widerrufsrecht: Kunden müssen jederzeit in der Lage sein, ihre Einwilligung mit garantierter Wirkung zurückzuziehen. Wichtig: Mit Eintreten der DSGVO muss der Widerruf vom Anbieter ebenso einfach gestaltet sein wie das Erteilen der Einwilligung.
• Freiwilligkeit: Selbstverständlich muss die Einwilligung freiwillig erteilt werden. Das bedeutet zum einen, dass „Opt-out“- Verfahren wie vorangekreuzte Kästchen nicht ausreichen. Zum anderen gibt es ein Koppelungsverbot: Das Erteilen der Einwilligung darf nicht die Voraussetzung für die Erfüllung eines Vertrages sein, es sei denn, die Datenverarbeitung ist dafür praktisch notwendig. Neu ist ebenfalls, dass Einwilligungen von Jugendlichen unter sechzehn Jahren unter der DSGVO nur noch mit Einverständnis der Erziehungsberechtigten gültig sind.
• Form und Nachweisbarkeit: Theoretisch ist es nicht nötig, dass eine Einwilligung schriftlich erfolgt; sie kann auch mündlich abgegeben werden. Hier ist es jedoch notwendig, die Rechenschaftspflicht in Betracht zu ziehen. Danach liegt die Beweislast für das Erteilen einer Einwilligung beim Betreiber. Einwilligungen sollten also möglichst immer schriftlich oder elektronisch festgehalten werden. 

2.4 Datenschutzerklärung

Auf jeder Website, die in irgendeiner Form personenbezogene Daten verarbeitet, gibt es eine Datenschutzerklärung. Diese Datenschutzerklärung ist schon lange Pflicht, die Bestimmungen über ihren Aufbau und Inhalt werden mit der DSGVO aber generalüberholt.

Die Datenschutzerklärung muss datenbezogene Informationen nun „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache [übermitteln]; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“ Zudem muss sie die Rechtsgrundlage für das Verarbeiten der Daten formulieren.

Die Gratwanderung zwischen verständlicher Sprache und rechtlicher Präzision dürfte einige Webseitenbetreiber vor Probleme stellen. Da sie dennoch immens wichtig ist, kann es hier ratsam sein, rechtliche Beratung zu suchen.

2.5 Datenübertragbarkeit

Eine weitere Neuerung der DSGVO ist die Verpflichtung zur Datenübertragbarkeit. Hiernach sind Betreiber, die Daten sammelt, dazu verpflichtet, diese auf Wunsch des Nutzers an andere Betreiber weiterzugeben. Dies soll Nutzern den Wechsel von einem Anbieter zum anderen erleichtern. Zu beachten ist, dass die Daten in elektronischer, gegliederter Form und den technischen Standards entsprechend von einem an den anderen Anbieter übermittelt werden müssen.

2.6 Auftragsdatenverarbeitung

Auftragsdatenverarbeitung – kurz ADV – findet immer dann statt, wenn ein primärer Anbieter von Diensten einen zweiten mit der Verarbeitung bestimmter personenbezogener Daten beauftragt. Dies gilt zum Beispiel, wenn Ihre Website von Ihnen betrieben wird, Ihr Newsletter aber von einem externen Anbieter geführt wird. Auch Callcenter und manche Clouddienste fallen unter die ADV.

Durch die DSGVO werden die rechtlichen Bestimmungen zu Auftragsdatenverarbeitung vereinheitlicht und teilweise vereinfacht. Folgendes sollten Sie wissen:

• Grundsätzlich bleibt der Auftraggeber, auch wenn er sich der ADV bedient, verantwortlich für Datenschutzfragen und die Einhaltung der Gesetze.
• Der Vertrag zwischen Auftraggeber und -nehmer muss nicht länger schriftlich vorliegen; es reicht auch die elektronische Form.
• Der Auftragnehmer verpflichtet sich, seinerseits umfangreiche Verzeichnisse über die gespeicherten Daten zu führen, mit den Behörden zusammenzuarbeiten und unabhängig vom Auftraggeber die nötigen Datenschutzmaßnahmen durchzusetzen. 

3. Wichtig für Arbeitgeber: Die Daten ihrer Mitarbeiter schützen

Auch Mitarbeiterdaten sind personenbezogene Daten und müssen entsprechend geschützt werden. Zunächst gelten hier also alle schon beschriebenen Bestimmungen genauso wie für Kundendaten. Es gibt außerdem einige Aspekte, die Arbeitgeber besonders beachten sollten:

• Nur erforderliche Daten dürfen gespeichert werden. Die DSGVO sieht vor, dass auch Mitarbeiterdaten nur dann gespeichert oder verarbeitet werden dürfen, wenn sie für das Zustandekommen, Bestehen oder die Beendigung des Arbeitsverhältnisses bzw. die Ausübung der Tätigkeit notwendig sind. Was „notwendig“ ist und was nicht, ist im Einzelfall eine Abwägungsfrage. Es gilt: Wer sich unsicher ist, sollte rechtliche Beratung suchen.
• Einwilligungen müssen freiwillig erteilt werden. Dies kann sich bei Angestellten komplexer gestalten als bei Kunden. Schließlich besteht ein Abhängigkeitsverhältnis, in dem für Angestellte unter Umständen keine wahre Freiwilligkeit besteht.
• Die Beweislast liegt beim Arbeitgeber. Sowohl bei der Freiwilligkeit von Einwilligungen als auch bei anderen Datenschutzfragen liegt die Beweislast beim Arbeitgeber. Das bedeutet: Gibt ein Angestellter einen Verstoß an, so liegt es beim Arbeitgeber, zu beweisen, dass die Daten verantwortungsvoll behandelt und geschützt wurden. Kann er dies nicht, macht er sich strafbar.

Als Arbeitgeber sollten Sie im Vorfeld der DSGVO also genau überprüfen, welche Mitarbeiterdaten Sie speichern, ob diese wirklich erforderlich sind und welche Daten gelöscht werden sollten. Zudem sollten Sie ein effektives System für die Dokumentation Ihrer Datenschutzmaßnahmen anlegen, sodass Sie im Streitfall beweisen können, dass Sie sich angemessen verhalten haben.

4. Was tun im Schadenfall?

Falls es trotz aller Vorbereitung zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist daher das Rundumpaket aller benötigten Absicherungen für Cyberfälle.

Weitere Informationen zu Cyber-Risiken, deren Absicherung und Ihr persönliches Versicherungsangebot finden Sie hier.

5. Weitere Infos

Haben Sie weitere Fragen oder wünschen sich eine persönliche Beratung dazu, wie Sie Ihr Unternehmen an die DSGVO-Bestimmungen anpassen können? Kontaktieren Sie uns! Füllen Sie einfach das untenstehende Kontaktformular aus, wir melden uns so schnell wie möglich bei Ihnen.