Ab dem 25. Mai gilt EU-weit die Datenschutzgrundverordnung, kurz: DSGVO. Mit der DSGVO gibt es erstmals einheitliche Datenschutzrichtlinien für die gesamte Europäische Union – Doch wie sehen diese Richtlinien aus? Was gleich bleibt, was sich ändert und wie Sie sich und Ihr Unternehmen auf die DSGVO einstellen können, erklärt Ihnen STC.
Ganzer Artikel: DSGVO – Was ist das?
Bisher galt in Deutschland zu Datenschutzfragen das BDSG, das Bundesdatenschutzgesetz. Da die Datenschutzgesetze sich in den verschiedenen EU-Staaten teilweise stark unterschieden, wurde am 25. Mai 2016 die Europäische Datenschutzgrundverordnung verabschiedet. Seitdem haben die Mitgliedsstaaten Zeit, die jeweils eigenen Gesetze mit dieser in Einklang zu bringen – bis zum 25. Mai 2018, wenn die Verordnung EU-weit Pflicht wird.
Die DSGVO regelt erstmals einheitlich Fragen zum Speichern von personenbezogenen Daten, digitaler Einwilligung und Löschungsrechten. Damit sollen EU-weiter Handel und Datenaustausch möglich und zugleich die Rechte der EU-Bürger gewahrt bleiben.
Viele der bestehenden Grundsätze zum Datenschutz bleiben auch mit Inkrafttreten der DSGVO gleich oder werden nur unerheblich verändert. Was sich ändert, sind unter anderem die Bußgelder bei Nichtbeachtung. Es ist also sinnvoll, sich noch einmal ins Gedächtnis zu rufen, worauf sie achten sollten, wenn Sie Daten erheben:
Verbot der Datenerhebung mit Erlaubnisvorbehalt
Sie dürfen personenbezogene Daten grundsätzlich nur dann speichern und verarbeiten, wenn Sie über die explizite Erlaubnis des Dateninhabers verfügen. Genauere Informationen dazu, wie diese Erlaubnis auszusehen hat, finden Sie unter Punkt 2.3: Einwilligungen.
Datenrichtigkeit
Die Daten, die Sie speichern, müssen sachlich richtig und aktuell gehalten werden.
Zweckbindung
Sie dürfen Daten nur zu dem gleichen Zweck verwerten, zu dem Sie sie erhoben und eine Einverständnis eingeholt haben.
Datensparsamkeit
Sie dürfen nur so viele Daten erheben und verarbeiten, wie Sie tatsächlich und zu dem angegebenen Zweck benötigen.
Neue Maßstäbe: Datensicherheit
Die DSGVO verlangt, dass Sie erhobene Daten auf angemessene Art und Weise schützen. Was "angemessen" bedeutet, hängt von folgenden Faktoren ab:
Welche Maßnahmen genau angebracht sind, ist also wie so oft Abwägungssache. Wenn nötig, sollten Sie sich also zu diesem Punkt von Experten beraten lassen.
Da das Deutsche Datenschutzgesetz bereits vor Inkrafttreten der DSGVO recht stark war, ändert sich in Deutschland nicht so viel wie in anderen Ländern. Dennoch: Wer über eine Internetpräsenz verfügt oder Kunden- und Mitarbeiterdaten digital speichert, hat sich in Zukunft an die DSGVO zu halten. Bei verstoß drohen saftige Bußgelder - bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes können die Behörden verlangen. Welche neuen Regelungen sind es also, auf die sich Unternehmen einstellen sollten?
Das Wichtigste zuerst: In Zukunft gilt in allen Datenschutzfragen für Datenverantwortliche die Rechenschaftspflicht. Das bedeutet: Speichern Sie personenbezogene Daten, so müssen Sie nachweisen können, dass Sie sich an alle bestehenden Gesetze halten und die Daten entsprechend des Standes der Technik und der Sensibilität der Daten geschützt sind. Jedes Unternehmen sollte also Strukturen etablieren, in denen das Datenschutzmanagement nicht nur geklärt ist, sondern auch detailliert dokumentiert wird.
Was sind personenbezogene Daten? Personenbezogene Daten sind
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Das bedeutet: Jede Information, die sich einer natürlichen Person zuordnen lässt, gilt als personenbezogene Daten. Hierfür muss die Person nicht namentlich identifiziert sein: Die Möglichkeit der Identifizierung reicht aus. Durch eine Zuordnung wie „Der Fahrer des Wagens mit dem Kennzeichen XX-555“ wird eine Person identifizierbar, die Daten damit personenbezogen.
Das Recht auf Vergessenwerden ist nicht komplett neu: Nutzer können z.B. Suchmaschinen kontaktieren und verlangen, dass Einträge über sie, die veraltet oder nicht mehr korrekt sind, gelöscht werden. Mit der DSGVO wird dieses Recht erweitert: Jetzt können Personen von jedem Unternehmen, das Daten speichert, verlangen, aus dem System gelöscht zu werden. Als Unternehmer sind Sie verpflichtet, die Daten zu löschen, wenn
Schon beim Bestellen eines Newsletters müssen Nutzer eine Einwilligung zur Datenspeicherung abgeben. Diese Einwilligung berechtigt den Datenverantwortlichen, die Daten in angemessenem Rahmen zu speichern und zu verarbeiten. Folgendes sollten Betreiber bei der Erstellung eines Einwilligungsformulares beachten:
Auf jeder Website, die in irgendeiner Form personenbezogene Daten verarbeitet, gibt es eine Datenschutzerklärung. Diese Datenschutzerklärung ist schon lange Pflicht, die Bestimmungen über ihren Aufbau und Inhalt werden mit der DSGVO aber generalüberholt.
Die Datenschutzerklärung muss datenbezogene Informationen nun „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache [übermitteln]; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“ Zudem muss sie die Rechtsgrundlage für das Verarbeiten der Daten formulieren.
Die Gratwanderung zwischen verständlicher Sprache und rechtlicher Präzision dürfte einige Webseitenbetreiber vor Probleme stellen. Da sie dennoch immens wichtig ist, kann es hier ratsam sein, rechtliche Beratung zu suchen.
Eine weitere Neuerung der DSGVO ist die Verpflichtung zur Datenübertragbarkeit. Hiernach sind Betreiber, die Daten sammelt, dazu verpflichtet, diese auf Wunsch des Nutzers an andere Betreiber weiterzugeben. Dies soll Nutzern den Wechsel von einem Anbieter zum anderen erleichtern. Zu beachten ist, dass die Daten in elektronischer, gegliederter Form und den technischen Standards entsprechend von einem an den anderen Anbieter übermittelt werden müssen.
Auftragsdatenverarbeitung – kurz ADV – findet immer dann statt, wenn ein primärer Anbieter von Diensten einen zweiten mit der Verarbeitung bestimmter personenbezogener Daten beauftragt. Dies gilt zum Beispiel, wenn Ihre Website von Ihnen betrieben wird, Ihr Newsletter aber von einem externen Anbieter geführt wird. Auch Callcenter und manche Clouddienste fallen unter die ADV.
Durch die DSGVO werden die rechtlichen Bestimmungen zu Auftragsdatenverarbeitung vereinheitlicht und teilweise vereinfacht. Folgendes sollten Sie wissen:
Auch Mitarbeiterdaten sind personenbezogene Daten und müssen entsprechend geschützt werden. Zunächst gelten hier also alle schon beschriebenen Bestimmungen genauso wie für Kundendaten. Es gibt außerdem einige Aspekte, die Arbeitgeber besonders beachten sollten:
Als Arbeitgeber sollten Sie im Vorfeld der DSGVO also genau überprüfen, welche Mitarbeiterdaten Sie speichern, ob diese wirklich erforderlich sind und welche Daten gelöscht werden sollten. Zudem sollten Sie ein effektives System für die Dokumentation Ihrer Datenschutzmaßnahmen anlegen, sodass Sie im Streitfall beweisen können, dass Sie sich angemessen verhalten haben.
Falls es trotz aller Vorbereitung zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist daher das Rundumpaket aller benötigten Absicherungen für Cyberfälle.
Weitere Informationen zu Cyber-Risiken, deren Absicherung und Ihr persönliches Versicherungsangebot finden Sie hier.
Haben Sie weitere Fragen oder wünschen sich eine persönliche Beratung dazu, wie Sie Ihr Unternehmen an die DSGVO-Bestimmungen anpassen können? Kontaktieren Sie uns! Füllen Sie einfach das untenstehende Kontaktformular aus, wir melden uns so schnell wie möglich bei Ihnen.