Datenschutzgrundverordnung

Tipps und Tricks zur neuen EU-DSGVO

| Autor / Redakteur: Holger Loos / Georgina Bott

Durch die EU-DSGVO sollen die Verarbeitung von personenbezogenen Daten und das Datenschutzrecht europaweit vereinheitlicht werden.
Durch die EU-DSGVO sollen die Verarbeitung von personenbezogenen Daten und das Datenschutzrecht europaweit vereinheitlicht werden. (Bild: gemeinfrei / CC0)

Mit Stichtag zum 25. Mai 2018 tritt die neue Datenschutzgrundverordnung in Kraft und löst das alte Bundesdatenschutzgesetz ab. Damit ist es für jeden verpflichtend, die neuen Regelungen umzusetzen. Hier finden Sie einen kurzen Überblick und jede Woche neue kurze Tipps.

Wofür steht „EU-DSGVO“?

Die Abkürzung EU-DSGVO steht für die neue Datenschutzgrundverordnung der Europäischen Union. Durch diese Verordnung sollen die Verarbeitung von personenbezogenen Daten und das Datenschutzrecht europaweit vereinheitlicht werden.

Was sind personenbezogene Daten?

Laut Artikel 4 Absatz 1 DSGVO sind alle Informationen, die sich auf identifizierbare natürliche Personen beziehen oder die Möglichkeit der Identifizierung bieten, „personenbezogene Daten“. Es muss keine Identifizierung per se stattgefunden haben! Eine Person zählt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Dies passiert vor allem durch Zuordnung zu einer Kennung wie Name, Standortdaten oder anderen besonderen Merkmalen. Das sind zum Beispiel: Namen, Adressen, Telefonnummern, Bankdaten, E-Mail- oder IP-Adressen. Es sind also Angaben, die einer bestimmten Person zugerechnet werden können. Aufgrund ihrer Sensibilität erhalten diese Daten durch die DSGVO einen besonderen Schutz. Die DSGVO fordert zum Schutz von personenbezogenen Daten, dass Unternehmer diese Daten so weit wie möglich verschlüsseln und pseudonymisieren.

Wen betrifft die DSGVO?

Die meisten Regelungen der DSGVO betreffen so gut wie alle Unternehmen, bis auf wenige Ausnahmen. Demnach ist die neue DSGVO grundsätzlich für alle bindend – auch für kleine Betriebe, Freiberufler und Handwerker.

Wussten Sie schon, dass bereits das Verschicken von Newslettern, Werbung über Social Media oder per E-Mail sowie die Datenschutzerklärung auf der Firmen-Webpage den Anwendungsbereich der DSGVO eröffnet? Durch die weitgefasste Formulierung betreffen die Regelungen der DSGVO jedenfalls alle Unternehmen, die eine Webpräsenz betreiben.

Was passiert, wenn die DSGVO nicht fachgerecht umgesetzt wird?

Datenschutzverstöße dürfen nun auch abgemahnt werden. Da nach der neuen DSGVO jeder, der betroffen ist, ausdrücklich das Recht auf Beschwerde bei der zuständigen Behörde sowie auf einen gerichtlichen Rechtsbehelf hat, ist die Wahrscheinlichkeit bei einer Behörde gemeldet zu werden sehr viel höher als vor Einführung der Regelung. Hinzu kommen Routineprüfungen und stichprobenartige Kontrollen der zuständigen Aufsichtsbehörde. Auch Datenschutzverstöße können abgemahnt werden und es kann zu teuren Gerichtsverfahren kommen. Sie sollten daher auf Anfragen und Beschwerden eingehen und diese ernst nehmen.

Im Rahmen der neuen DSGVO wird außerdem die Haftung erweitert, sodass der Geschäftsführer persönlich haftbar ist. Zudem haben Aufsichtsbehörden die Möglichkeit, Geldbußen von bis zu 20 Millionen Euro – bei schweren Verstößen bis zu vier Prozent des weltweiten Jahresumsatzes des Vorjahres – zu verhängen. Weiterhin können auch Gewinne von Unternehmen aufgrund von Verstößen gegen die DSGVO eingezogen werden. Untätigkeit kann demnach teuer werden!

Was ist jetzt zu tun?

Um Rechtssicherheit für Ihr Unternehmen zu schaffen und hohe Strafen sowie ein schlechtes Image zu vermeiden ist die Umsetzung der Regelungen des DSGVO unerlässlich.

Praxis-Tipp 1: Verbot mit Erlaubnisvorbehalt

Wussten Sie schon, dass die Erhebung von Daten grundsätzlich von einer gesetzlichen Erlaubnis abhängt?
In der neuen DSGVO regelt das Verbot mit Erlaubnisvorbehalt, dass – sofern keine Erlaubnis vorliegt – ein grundsätzliches Verbot der Erhebung, Nutzung oder Verarbeitung personenbezogener Daten besteht. Die Erlaubnis ist direkt von der betroffenen Person einzuholen, zum Beispiel beim Versenden von Newslettern. Diese kann sich aber auch aus dem Gesetz ergeben, zum Beispiel direkt aus der DSGVO oder dem Telemediengesetz (TMG).

Praxis-Tipp 2: Einwilligungen

Wussten Sie schon, dass es nach der neuen DSGVO wichtig ist, die Einwilligung der Kunden zur Datenverarbeitung – soweit erforderlich – nicht nur einzuholen, sondern auch wirksam zu dokumentieren?
Es besteht eine Nachweispflicht! Die DSGVO schreibt keine Form vor; da eine mündliche Einwilligung aber schwer nachzuweisen ist sind schriftliche und elektronische Einwilligungen sicherer.
Eine sogenannte Generaleinwilligung ist unzulässig; jede Einwilligung ist zweckgebunden und die Verarbeitungszwecke sind zu nennen. Die Einwilligung muss freiwillig erfolgen. Der Widerruf muss nun genauso einfach wie die Erteilung der Einwilligung sein. Auf der Website genügt die Abfrage der Einwilligung per Opt-in-Kästchen. Achtung! Vorangekreuzte Kästchen (Opt-out) begründen keine wirksame Einwilligung.

Praxis-Tipp 3: Zweckbindung

Wussten Sie schon, dass Daten nur zu einem bestimmten Zweck genutzt werden dürfen?
Die Datensparsamkeit und Zweckbindung soll sicherstellen, dass nur solche Daten erhoben und verarbeitet werden, die tatsächlich benötigt werden und nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Sie dürfen also nach der neuen DSGVO nur die Daten speichern, die Sie wirklich benötigen und diese dann auch nur zu genau dem Zweck nutzen, aus dem heraus die Daten erhoben wurden.

Praxis-Tipp 4: Datensicherheit

Wussten Sie schon, dass Sie dafür verantwortlich sind, in Ihrem Unternehmen die Datensicherheit zu gewährleisten?
Nach Artikel 32 DSGVO muss jeder, der Daten verarbeitet, die Datensicherheit gewährleisten. Die TOMS – organisatorische und technische Maßnahmen – müssen dem aktuellen Stand der Technik entsprechen und ein angemessenes Schutzniveau vorweisen. Das Schutzniveau richtet sich dabei nach der Schutzbedürftigkeit der betroffenen personenbezogenen Daten. Die Umstände, die aufzuwendenden Implementierungskosten sowie der Stand der Technik bestimmen dabei, welche Maßnahmen als angemessen anzusehen sind.

Praxis-Tipp 5: Vergessenwerden

Wussten Sie schon, dass es nach der neuen DSGVO ein Recht auf Löschung („Vergessenwerden“) gibt?
In diesem Sinne hat jeder das Recht auf die Löschung oder Sperrung seiner gespeicherten Daten unter anderem dann, wenn keine Berechtigung mehr für die Verarbeitung oder Nutzung dieser Daten vorliegt, er seine Einwilligung widerrufen hat oder die Verarbeitung der Daten unrechtmäßig war. Eine Aufzählung der Löschungsgründe befindet sich in Artikel 17 DSGVO. Dieses Recht ist nach der neuen DSGVO gegen jede Stelle anwendbar, die personenbezogene Daten verarbeitet.

Praxis-Tipp 6: Rechenschaftspflicht

Wussten Sie schon, dass Sie nach der neuen DSGVO eine Rechenschaftspflicht haben?
Datenverarbeitende Institutionen sind durch die Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO dazu verpflichtet, die Einhaltung der Grundprinzipien des Datenschutzes nachweisen zu können. Unternehmen sollten daher die Einhaltung der Datenschutzanforderungen dokumentieren – am besten durch die Einrichtung eines Datenschutzmanagements. Damit kann die Umsetzung des Datenschutzrechtes gegenüber der Aufsichtsbehörde jederzeit nachgewiesen werden.

Praxis-Tipp 7: Aktualität

Wussten Sie schon, dass Sie nach der neuen DSGVO Ihre Daten immer auf dem neuesten Stand halten müssen?
Durch den Grundsatz der Datenrichtigkeit hat jede betroffene Person ein Recht darauf, dass ihre Daten inhaltlich und sachlich richtig und aktuell sind. Das heißt auch, dass Sie die Daten löschen müssen, sobald diese das Ziel erreicht haben, zu dem sie die Daten erhoben haben (Bei einem Gewinnspiel etwa nach der Ermittlung der Gewinner).

Praxis-Tipp 8: Datenübertragbarkeit

Wussten Sie schon, dass Sie nach der neuen DSGVO Daten unter Umständen übertragen müssen?
Gemäß Artikel 20 DSGVO können User ihre Daten von einem Anbieter auf einen anderen übertragen, zum Beispiel: bei einem Anbieterwechsel, Wechsel der Bank oder des Arbeitgebers. Kunden haben also das Recht, ihre Daten mitzunehmen. Es ist ratsam zu überprüfen, ob Ihr Unternehmen die Daten so gespeichert hat, dass die Datensätze exportiert werden können.

Praxis-Tipp 9: Verzeichnis der Verarbeitungstätigkeiten

Wussten Sie schon, dass Sie nach der neuen DSGVO ein Verzeichnis der Verarbeitungstätigkeiten führen müssen?
Das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) kann auch von der zuständigen Aufsichtsbehörde zur Überprüfung der Erfüllung Ihrer Rechenschaftspflicht zur Vorlage verlangt werden. Am besten führen Sie das Verzeichnis in Tabellenform: Auflistung, wann, wie und warum im Unternehmen welche Daten erhoben werden. Das gilt sowohl für Kundendaten als auch für interne Daten, wie Personaldaten.

Praxis-Tipp 10: Datenschutzbeauftragter

Wussten Sie schon, dass Sie nach der neuen DSGVO eventuell einen Datenschutzbeauftragten bestellen müssen?
Ihr Unternehmen benötigt unter anderem dann einen Datenschutzbeauftragten (Art. 37 DSGVO), wenn personenbezogene Daten (Namen/Adressen/E-Mail-Adressen) in Ihrem Unternehmen automatisiert verarbeitet werden und Ihr Unternehmen mindestens zehn Mitarbeiter hat, die personenbezogene Daten bearbeiten.
Falls einer der folgenden drei Punkte zutrifft, brauchen Sie auf jeden Fall einen Datenschutzbeauftragten:

  • Ihr Unternehmen verarbeitet Daten, für die eine Datenschutz-Folgenabschätzung notwendig ist
  • Ihr Unternehmen übermittelt personenbezogene Daten an Dritte (wie beim klassischen Adresshandel)
  • Ihr Unternehmen verarbeitet personenbezogene Daten zu Markt- und Meinungsforschungszwecken
Das sollten B2B-Unternehmen zur EU-DSGVO wissen

Datenschutzgrundverordnung

Das sollten B2B-Unternehmen zur EU-DSGVO wissen

08.05.18 - Am 25. Mai endet die Übergangsfrist für die Europäische Datenschutzgrundverordnung (EU-DSGVO) und Datenschutzverstöße werden mit hohen Strafen belegt. Was B2B-Unternehmen zur EU-DSGVO wissen sollten, haben wir in einer Beitragsübersicht zusammengefasst. lesen

Rechtsanwalt Holger Loos ist ebenso wie Beatriz Loos ein IT- und Medienrechtler der ersten Stunden.
Rechtsanwalt Holger Loos ist ebenso wie Beatriz Loos ein IT- und Medienrechtler der ersten Stunden. (Bild: Loos Rechtsanwälte GbR)

Über den Autor

Rechtsanwalt Holger Loos ist ein IT- und Medienrechtler der ersten Stunden. Bereits in seinem Jura-Studium und dann als Anwalt seit 2005 beschäftigte er sich mit IT- und internetrechtlichen Themen und hat schon früh angefangen, sich mit der rechtlichen Problematik rund um Internet auseinanderzusetzen. Er war einer der ersten Fachanwälte für IT-Recht in Nord-Bayern und zählt heute zusammen mit seiner Kanzleipartnerin und Ehefrau Beatriz Loos zu den Internetrechts-Experten in Deutschland. Er unterrichtet als Dozent an der Friedrich-Alexander-Universität Erlangen-Nürnberg an der Schnittstelle Marketing/Recht, an der IHK Schweinfurt-Würzburg unter anderem zu Medienrecht und ist gefragter Speaker und Interviewpartner zu Themen rund um IT-Recht/Medienrecht.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45199997 / Leadmanagement)