DSGVO – Was ist das?

Was Sie über die Europäische Datenschutzgrundverordnung wissen sollten.

© rcaucino, Adobe Stock

Bisher war Datenschutz in der europaweiten Kommunikation schwierig: unterschiedliche Gesetzeslagen in den Mitgliedsstaaten erschwerten den Datenverkehr. Das soll sich jetzt ändern: Ab dem 25. Mai 2018 gilt europaweit die Europäische Datenschutzgrundverordnung, kurz: DSGVO. Was genau diese Verordnung bedeutet und was Sie als Unternehmer wissen müssen, erklärt Ihnen STC.

.

1. Die Eckdaten.

Bei der DSGVO (oder Englisch: GDPR – General Data Protection Regulation) handelt es sich um eine Verordnung, was bedeutet, dass sie – im Gegensatz zu einer Richtlinie, die von den Staaten individuell umgesetzt wird – unmittelbar in allen Mitgliedsstaaten Geltung hat. Die DSGVO, die ab 25. Mai 2018 also in der gesamten Europäischen Union gilt, soll das europäische Datenschutzrecht vereinheitlichen und damit vor allem zweierlei vereinbaren: Den Schutz personenbezogener Daten und die Wahrung des europäischen Binnenmarktes.

©STC Research

1.1 Der Schutz personenbezogener Daten

Als personenbezogene Daten gelten alle Daten, durch die eine natürliche Person identifiziert werden kann. Dies sind zum Beispiel Namen, Adressen oder Nummern wie Sozialversicherungs- oder Steuernummer. Die DSGVO führt allgemeingültige Grundsätze ein, nach denen diese Daten z.B. nicht länger zeitlich unbegrenzt gespeichert werden dürfen.

1.2 Der Schutz des europäischen Binnenmarktes

Es gibt kaum noch ein international agierendes Unternehmen, das nicht auf digitalen Datenverkehr baut: Kundendaten müssen übermittelt, Aufgaben outgesourced werden. Damit Unternehmen europaweit weiterhin problemlos Daten austauschen können, vereinheitlicht die DSGVO die Gesetze zu Datenschutz und -verkehr flächendeckend.

.

2. Wen betrifft die DSGVO?

Deutschland verfügte bisher bereits über vergleichsweise starke Datenschutzgesetze. Daher sind die Änderungen für Nutzer nach dem 25. Mai 2018 nicht so gravierend wie in anderen Ländern. Dennoch gibt es Änderungen, über die Unternehmen und Privatpersonen in Deutschland Bescheid wissen sollten. Welche das sind – und welche für Sie als Gewerbetreibender oder als Privatnutzer von Interesse sind – erfahren Sie hier.

.

2.1 DSGVO für Unternehmen

Wer mit seinem Unternehmen im Internet aktiv ist – egal, ob es sich hierbei um die Verarbeitung tausender internationaler Kundendaten handelt oder nur um die eigene Facebook-Seite – muss sich an die Vorgaben der DSGVO halten. Das bedeutet, dass z.B. die meisten europäischen Webseitenbetreiber ihre Datenschutzerklärung erneuern sollten. Wer sich nicht an die neuen Anforderungen hält, den erwarten teilweise hohe Bußgelder. Die wichtigsten Änderungen für Gewerbetreibende sind:

.

2.2 DSGVO für Privatpersonen

Die DSGVO betrifft vor allem Unternehmen, die personenbezogene Daten verarbeiten. Dennoch gibt es einige Änderungen, die auch für Privatpersonen interessant sind. Sind Sie also als Nutzer im Internet unterwegs – beim Online-Banking, in Social Networks oder auf Verkaufsseiten – ist es auch für Sie wichtig zu wissen, welche Rechte Sie an Ihren Daten geltend machen können.

Recht auf Vergessenwerden
Mit dem sogenannten „Recht auf Vergessenwerden“ legt die DSGVO fest, dass Nutzer ein Recht auf die Löschung ihrer Daten haben. Dies tritt z.B. in Kraft, wenn sie dem Unternehmen die Einwilligung zur Verarbeitung entziehen oder das Speichern nicht länger notwendig ist.
Infomationspflichten und Auskunftsrecht
Nutzer haben in Zukunft ein Recht darauf, von Informaionsverarbeitenden Unternehmen genau zu erfahren, welche Daten diese speichern, wohin und zu welchem Zweck sie übertragen und wie lange sie gespeichert werden. Schon bei der Erhebung der Daten ist es zudem notwendig, dass Unternehmen Nutzer über die Eckdaten ihrer Datenspeicherung (z.B. Zweck und Namen der Verantwortlichen) informieren.
Datenübertragbarkeit
Unternehmen müssen mit Inkrafttreten der DSGVO in der Lage sein, gespeicherte personenbezogene Daten in gegliederter elektronischer Form an andere Unternehmen zu übertragen. Dies soll Nutzern den Wechsel zu anderen Anbietern, z.B. sozialen Netzwerken oder Banken, erleichtern.
Automatisierte Einzelfallentscheidungen
Bisher waren automatisierte Einzelfallenscheidungen – d.h. beispielsweise Einstellungsentscheidungen, die nicht von einem Menschen, sondern aufgrund von Algorithmen getroffen werden – in Deutschland allgemein verboten. Mit Inkrafttreten der DSGVO können Einzelpersonen gegen diese Entscheidungen zwar Widerspruch einlegen, sie sind aber nicht mehr grundsätzlich illegal.

.

3. Ihre nächsten Schritte

Es wird deutlich: kaum ein Unternehmen wird von der neuen DSGVO unberührt bleiben. Dennoch fand eine Studie der Bitkom noch vor kurzem heraus, dass gut die Hälfte aller Unternehmen in Deutschland die Anforderungen nicht oder nur teilweise fristgerecht umsetzen werden. Damit Sie nicht zu dieser Hälfte gehören, sollten Sie folgende Schritte in Angriff nehmen:

.

3.1 Analyse

Finden Sie genau heraus, welche personenbezogenen Daten Ihr Unternehmen sammelt, verarbeitet und speichert – dies gilt sowohl für Kunden- als auch für Mitarbeiterdaten. Stellen Sie sich hierbei folgende Fragen:

  • Zu welchem Zweck werden die Daten gespeichert?
  • Wie sensibel sind die Daten und ist ihr Speichern möglicherweise problematisch?
  • Wie lange werden die Daten gespeichert und ist diese Zeitspanne mit dem „Recht auf Vergessenwerden“ vereinbar?
  • An welche Instanzen werden die Daten übermittelt und ist auch hierbei die notwendige Datensicherheit gewährleistet?

.

3.2 Anpassung

Sobald Sie wissen, welche Daten Sie erheben, sind Sie in der Lage, Ihr Unternehmen strukturell an die DSGVO anzupassen. Überprüfen Sie im Zuge dessen besonders Verträge, die Sie mit Kunden und Mitarbeitern schließen:

  • Sind erteilte Einwilligungen gültig? Nutzen Sie eine Opt-In- oder eine Opt-Out-Methode? Können Sie gewährleisten, dass Einwilligungen zur Datennutzung freiwillig und nachweisbar erteilt wurden?
  • Ist Ihre Datenschutzerklärung auf dem neuesten Stand? Ist sie in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache verfasst?
  • Nutzen Sie Auftragsdatenverarbeitung wie externe Callcenter oder Newsletter? Sind auch Ihre Vertragspartner datenschutzrechtlich an die DSGVO angepasst?
  • Sind Ihre Mitarbeiter über die DSGVO informiert und wissen, welche neuen Rechte und Pflichten sich für sie ergeben?

.

3.3 Dokumentation und Absicherung

Wenn Sie Änderungen vornehmen, sollten Sie sich immer über die in der DSGVO festgehaltene Rechenschaftspflicht im Klaren sein. Das bedeutet: Dokumentieren sie genau, wie Sie die Daten Ihrer Kunden und Mitarbeiter schützen und wer im Falle eines Problems zuständig für Datenschutzfragen ist. Um sicherzustellen, dass Ihr Unternehmen mit der DSGVO konform ist, kann es sinnvoll sein, sich von Profis beraten zu lassen.

©STC Research

Falls es trotz aller Vorbereitung zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist daher das Rundumpaket aller benötigten Absicherungen für Cyberfälle.

©STC Research

Weitere Informationen zu Cyber-Risiken, deren Absicherung und Ihr persönliches Versicherungsangebot finden Sie hier.

.

4. Kontakt

Sie haben weitere Fragen zur DSGVO oder möchten wissen, wie Sie ihr Unternehmen speziell anpassen können? Füllen Sie einfach unser Kontaktformular aus – STC hilft Ihnen gerne.

Weitere Informationen zu digitaler Sicherheit und dazu, wie Sie Ihr Unternehmen besser gegen Cyberrisiken absichern können, finden Sie außerdem hier.

    Ihr Name (Pflichtfeld):

    Ihre E-Mail-Adresse (Pflichtfeld):

    Ihre Telefonnummer:

    Zeitpunkt des gewünschten Rückrufs:

    Betreff:

    Ihre Nachricht:


    Quellen:

    www.bitkom.org (eingesehen am 19.02.2018)