Bisher war Datenschutz in der europaweiten Kommunikation schwierig: unterschiedliche Gesetzeslagen in den Mitgliedsstaaten erschwerten den Datenverkehr. Das soll sich jetzt ändern: Ab dem 25. Mai 2018 gilt europaweit die Europäische Datenschutzgrundverordnung, kurz: DSGVO. Was genau diese Verordnung bedeutet und was Sie als Unternehmer wissen müssen, erklärt Ihnen STC.
Bei der DSGVO (oder Englisch: GDPR – General Data Protection Regulation) handelt es sich um eine Verordnung, was bedeutet, dass sie – im Gegensatz zu einer Richtlinie, die von den Staaten individuell umgesetzt wird – unmittelbar in allen Mitgliedsstaaten Geltung hat. Die DSGVO, die ab 25. Mai 2018 also in der gesamten Europäischen Union gilt, soll das europäische Datenschutzrecht vereinheitlichen und damit vor allem zweierlei vereinbaren: Den Schutz personenbezogener Daten und die Wahrung des europäischen Binnenmarktes.
Als personenbezogene Daten gelten alle Daten, durch die eine natürliche Person identifiziert werden kann. Dies sind zum Beispiel Namen, Adressen oder Nummern wie Sozialversicherungs- oder Steuernummer. Die DSGVO führt allgemeingültige Grundsätze ein, nach denen diese Daten z.B. nicht länger zeitlich unbegrenzt gespeichert werden dürfen.
Es gibt kaum noch ein international agierendes Unternehmen, das nicht auf digitalen Datenverkehr baut: Kundendaten müssen übermittelt, Aufgaben outgesourced werden. Damit Unternehmen europaweit weiterhin problemlos Daten austauschen können, vereinheitlicht die DSGVO die Gesetze zu Datenschutz und -verkehr flächendeckend.
Deutschland verfügte bisher bereits über vergleichsweise starke Datenschutzgesetze. Daher sind die Änderungen für Nutzer nach dem 25. Mai 2018 nicht so gravierend wie in anderen Ländern. Dennoch gibt es Änderungen, über die Unternehmen und Privatpersonen in Deutschland Bescheid wissen sollten. Welche das sind – und welche für Sie als Gewerbetreibender oder als Privatnutzer von Interesse sind – erfahren Sie hier.
.
Wer mit seinem Unternehmen im Internet aktiv ist – egal, ob es sich hierbei um die Verarbeitung tausender internationaler Kundendaten handelt oder nur um die eigene Facebook-Seite – muss sich an die Vorgaben der DSGVO halten. Das bedeutet, dass z.B. die meisten europäischen Webseitenbetreiber ihre Datenschutzerklärung erneuern sollten. Wer sich nicht an die neuen Anforderungen hält, den erwarten teilweise hohe Bußgelder. Die wichtigsten Änderungen für Gewerbetreibende sind:
Rechenschaftspflicht
In Zukunft wird für Unternehmen, die personenbezogene Daten nutzen und verarbeiten, eine Rechenschaftspflicht gelten. Das bedeutet: Sie müssen nachweisen können, dass sie sich an die geltenden Datenschutzgesetze halten. Konkret heißt das, dass Sie als Unternehmer genau dokumentieren sollten, wie Sie mit Daten verfahren und diese schützen.
Bußgelder
Damit die neuen Vorgaben auch eingehalten werden, hat die EU die Bußgelder bei Verstoß deutlich erhöht: Bis zu 20 Millionen Euro Buße können die Aufsichtsbehörden nun verlangen. Bei Großkonzernen kann diese Zahl sogar auf bis zu 4% des weltweiten Umsatzes vom Vorjahr steigen. Es lohnt sich also, sich gut zu informieren und nötige Änderungen vorzunehmen.
Datenschutzerklärung und Einwilligungen
Nach der DSGVO muss die Datenschutzerklärung jeder Internetpräsenz in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ verfasst sein. Gleiches gilt für Einwilligungen zur Datenverarbeitung z.B. bei der Anmeldung für Newsletter. Diese dürfen zudem nicht als Bedingungen an Downloads o.ä. gekoppelt sein. Dies hat zur Folge, dass jedes Unternehmen, das eine Website betreibt, seine Datenschutzerklärung und eventuelle Einwilligungen genau und gegebenenfalls mithilfe einer Rechtsberatung überprüfen und anpassen sollte.
Genauere Informationen dazu, welche Änderungen auf Sie als Unternehmer zukommen, finden Sie hier.
Die DSGVO betrifft vor allem Unternehmen, die personenbezogene Daten verarbeiten. Dennoch gibt es einige Änderungen, die auch für Privatpersonen interessant sind. Sind Sie also als Nutzer im Internet unterwegs – beim Online-Banking, in Social Networks oder auf Verkaufsseiten – ist es auch für Sie wichtig zu wissen, welche Rechte Sie an Ihren Daten geltend machen können.
Recht auf Vergessenwerden
Mit dem sogenannten „Recht auf Vergessenwerden“ legt die DSGVO fest, dass Nutzer ein Recht auf die Löschung ihrer Daten haben. Dies tritt z.B. in Kraft, wenn sie dem Unternehmen die Einwilligung zur Verarbeitung entziehen oder das Speichern nicht länger notwendig ist.
Infomationspflichten und Auskunftsrecht
Nutzer haben in Zukunft ein Recht darauf, von Informaionsverarbeitenden Unternehmen genau zu erfahren, welche Daten diese speichern, wohin und zu welchem Zweck sie übertragen und wie lange sie gespeichert werden. Schon bei der Erhebung der Daten ist es zudem notwendig, dass Unternehmen Nutzer über die Eckdaten ihrer Datenspeicherung (z.B. Zweck und Namen der Verantwortlichen) informieren.
Datenübertragbarkeit
Unternehmen müssen mit Inkrafttreten der DSGVO in der Lage sein, gespeicherte personenbezogene Daten in gegliederter elektronischer Form an andere Unternehmen zu übertragen. Dies soll Nutzern den Wechsel zu anderen Anbietern, z.B. sozialen Netzwerken oder Banken, erleichtern.
Automatisierte Einzelfallentscheidungen
Bisher waren automatisierte Einzelfallenscheidungen – d.h. beispielsweise Einstellungsentscheidungen, die nicht von einem Menschen, sondern aufgrund von Algorithmen getroffen werden – in Deutschland allgemein verboten. Mit Inkrafttreten der DSGVO können Einzelpersonen gegen diese Entscheidungen zwar Widerspruch einlegen, sie sind aber nicht mehr grundsätzlich illegal.
Es wird deutlich: kaum ein Unternehmen wird von der neuen DSGVO unberührt bleiben. Dennoch fand eine Studie der Bitkom noch vor kurzem heraus, dass gut die Hälfte aller Unternehmen in Deutschland die Anforderungen nicht oder nur teilweise fristgerecht umsetzen werden. Damit Sie nicht zu dieser Hälfte gehören, sollten Sie folgende Schritte in Angriff nehmen:
.
Finden Sie genau heraus, welche personenbezogenen Daten Ihr Unternehmen sammelt, verarbeitet und speichert – dies gilt sowohl für Kunden- als auch für Mitarbeiterdaten. Stellen Sie sich hierbei folgende Fragen:
.
Sobald Sie wissen, welche Daten Sie erheben, sind Sie in der Lage, Ihr Unternehmen strukturell an die DSGVO anzupassen. Überprüfen Sie im Zuge dessen besonders Verträge, die Sie mit Kunden und Mitarbeitern schließen:
.
Wenn Sie Änderungen vornehmen, sollten Sie sich immer über die in der DSGVO festgehaltene Rechenschaftspflicht im Klaren sein. Das bedeutet: Dokumentieren sie genau, wie Sie die Daten Ihrer Kunden und Mitarbeiter schützen und wer im Falle eines Problems zuständig für Datenschutzfragen ist. Um sicherzustellen, dass Ihr Unternehmen mit der DSGVO konform ist, kann es sinnvoll sein, sich von Profis beraten zu lassen.
Falls es trotz aller Vorbereitung zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist daher das Rundumpaket aller benötigten Absicherungen für Cyberfälle.
Quellen:
www.bitkom.org (eingesehen am 19.02.2018)