06.06.2018 | 

Seit dem 25. Mai 2018 ist sie anzuwenden, um Usern, Kunden oder Mitarbeitern die Macht über ihre personenbezogenen Daten zurückzugeben - und damit auch das Recht auf Vergessenwerden. Ganze 99 Artikel umfasst die Datenschutzgrundverordnung (DSGVO), die den Datenschutz EU-weit vereinheitlicht. Offene Fragen gibt es jedoch noch viele.

DSGVO

DSGVO – was bedeutet das?

In den letzten Wochen wurden massenweise E-Mails verschickt - und alle hatten nur ein Anliegen: Sie fragten um die Einwilligung der Empfänger für den weiteren Mail-Versand.

So sieht es die neue Datenschutzgrundverordnung vor, die die EU-Kommission zum verbesserten Schutz privater Daten bereits im Jahr 2016 erlassen hatte. Auch wenn sie es erst seit einigen Wochen in die Schlagzeilen gebracht hat, gilt die DSVGO bereits seit 2016 als entscheidender Maßstab, den die nationalen Datenschutzrichtlinien weder unter- noch überschreiten dürfen. Einige Öffnungsklauseln schaffen jedoch den Gestaltungsfreiraum, den die Mitgliedsländer der EU für Alleingänge nutzen können.

Per Gesetz wurde im Jahr 2017 das Bundesdatenschutzgesetz (BDSG) größtenteils aufgehoben, einige mit der DSGVO unwirksam gewordene Regelungen wurden in andere Bereiche übertragen. Gleichzeitig waren Regeln anzupassen, aber auch neue Vorschriften zu schaffen, um auf diese Weise eine Vereinheitlichung der Rechtsgrundlagen innerhalb der Europäischen Gemeinschaft zu bewirken. Und hier waren die Unterschiede im Datenschutz teilweise erheblich, was insbesondere für über die nationalen Grenzen hinaus agierende Unternehmen außerordentliche Probleme mit sich brachte. Besonders interessant: Unternehmen aus Drittstaaten, die in der EU aktiv sind, müssen sich nun an die geltende Datenschutzgrundverordnung halten – so auch Amazon, Google & Co. Bei Zuwiderhandlungen drohen durchaus empfindliche Strafen, umso wichtiger ist die Auseinandersetzung mit den Details der DSGVO – hier ein Überblick.

Die Neuerungen der DSGVO

In erster Linie geht es demnach um den Schutz personenbezogener Daten - und die werden in den unterschiedlichsten Bereichen ganz selbstverständlich erhoben, gespeichert und verarbeitet: Ob ein Friseur sich Details zur Haarstruktur, zu verwendeten Farbe oder besondere Präferenzen seiner Kunden notiert, Bewerberunterlagen aufgehoben oder die Daten der Besucher einer Webseite mit Hilfe von Tracking-Tools analysiert und weitergeleitet werden, die Bandbreite der Auswirkungen der DSGVO ist enorm: All diese Informationen dürfen nicht mehr ohne Erlaubnis der betreffenden Person gespeichert, verarbeitet oder gar an Dritte weitergeleitet werden.

Es war auch nach den alten Regeln des BDSG schon rechtens, als Kunde die von Unternehmen zur eigenen Person gespeicherten Informationen einsehen zu wollen. In der Regel handelt es sich hier um Informationen wie Geschlecht, Alter und Anschrift, aber auch Konfession sowie Ausweis- und Führerscheindaten. Die Datenschützer waren damit nicht zufrieden: Mit der neuen DSGVO erweitert sich dieses Recht jedoch erheblich, denn die betroffenen Personen haben nun einen Anspruch auf Herausgabe und Löschung der Daten – und damit auf Vergessenwerden.

Die Auswirkungen der Datenschutzgrundverordnung

Die bei Verstößen drohenden Bußgelder sind nicht unerheblich: Bis zu 20 Millionen Euro oder alternativ vier Prozent des gesamten jährlichen Umsatzes weltweit können von den Aufsichtsbehörden erhoben werden, wobei die Variante mit der höheren Strafe bevorzugt wird. Zu erwarten ist jedoch, dass viele Entscheidungen vor Gericht ausgetragen werden müssen. Die Formulierungen der DSGVO sind zum Leidwesen der Datenschützer nämlich nicht immer so eindeutig, dass eine Auslegung wohl zunächst richterlich geklärt werden muss.

Wie jedoch erste Anzeigen belegen, eröffnet die Datenschutzgrundverordnung ein weiteres kritisches Potenzial: Konkurrierende Unternehmen zeigen ihre Wettbewerber bei Verstößen gegen die DSGVO an, um sich selbst Vorteile zu verschaffen. Selbst eine Abmahnwelle könnte sich entwickeln, wie das bereits in anderen Bereichen der Fall war. Da grundsätzlich alle betroffen sind, die mit personenbezogenen Daten arbeiten oder diese weiterleiten, ist der Handlungsbedarf enorm.

Hinweis:

Die DSGVO macht keinen Unterschied zwischen B2B- oder B2C-Beziehungen - die Regelungen gelten gleichermaßen für alle.

Zusammengefasst heißt das:

  • Die DSGVO ist seit dem 25.5.2018 geltendes Recht in der EU
  • Die Verordnung dient dem Schutz personenbezogener Daten der EU-Bürger, soll aber auch den freien Verkehr dieser Daten gewährleisten.
  • Die Regelungen gelten für alle Personen und Körperschaften, die entsprechende Daten verarbeiten und das unabhängig vom Standort des verarbeitenden Unternehmens. Damit fallen auch Cloud-Anbieter sowie Datenverarbeiter unter die Bestimmungen der DSGVO.
  • Die DSGVO gilt innerhalb der 28 EU-Mitgliedsstaaten, aber auch für außerhalb ansässige Organisationen oder Unternehmen, sollten sie entsprechende Daten verarbeiten.

DSGVO – was ändert sich genau?

Die 99 Artikel der DSGVO auf den Punkt gebracht:

  • Der Begriff "personenbezogene Daten" wird eindeutig gefasst: Es handelt sich um sämtliche Informationen, anhand derer eine Person identifiziert werden kann.
  • Natürlichen Personen werden somit umfangreichere Rechte eingeräumt: Ohne deren ausdrückliche Zustimmung dürfen relevante Informationen nicht weiter genutzt werden – sie haben ein Recht auf Vergessenwerden.
  • Grundsätzlich muss bekanntgegeben werden, was wo und wie lange gespeichert wird.
  • Die drohenden Bußgelder zur Sanktionierung von Verstößen wurden deutlich erhöht.
  • Verantwortliche müssen alle effektiven Maßnahmen ergreifen.
  • Die Pflicht zur Ernennung eines Datenschutzbeauftragten wurde konkreter gefasst.

Daraus leiten sich konkrete Überlegungen zur Umsetzung der DSGVO ab:

1. Wann muss ein Datenschutzbeauftragter benannt werden?

Werden in einem Unternehmen personenbezogene Daten per EDV, also automatisiert, verarbeitet, dann ist es zur Benennung eines Datenschutzbeauftragtet verpflichtet. Relevant sind in dieser Beziehung nicht nur die Daten der Kunden, sondern auch die der Mitarbeiter.

Es gilt jedoch eine Ausnahme für kleine Firmen, in denen nur bis zu neun Beschäftigte mit der Datenverarbeitung beschäftigt sind. In diesem Fall zeichnet der Geschäftsführer für den Datenschutz verantwortlich. Zu berücksichtigen ist jedoch, dass auch die Mitarbeiter mitgezählt werden müssen, die unregelmäßig auf relevante Daten zugreifen. Dazu gehören beispielsweise Außendienstmitarbeiter, die mit der Kundendatenbank arbeiten. Unerheblich ist nämlich, ob es sich um angestellte oder freie Mitarbeiter, Auszubildende oder Praktikanten handelt – entscheidend ist deren Anzahl.

Hinweis: 

Von dieser Ausnahme sind generell die Unternehmen ausgeschlossen, die mit besonders sensiblen Daten wie ethnische Herkunft, Gesundheit und sexuelle Orientierung oder politische Einstellungen operieren. Das heißt unter dem Strich: Kleinste Praxen im medizinischen Bereich benötigen bereits einen Datenschutzbeauftragten. 

2. Was ist das Verzeichnis der Verarbeitungstätigkeiten?

Es klingt kompliziert, ist auch mit etwas Aufwand verbunden, aber obligatorisch: Im Verzeichnis der Verarbeitungstätigkeiten soll aufgelistet werden, welche Informationen wann, warum und wie erhoben, gespeichert und eventuell an Dritte übermittelt werden. Eine Tabelle reicht in der Regel in kleinen Firmen aus, bei größeren empfiehlt sich die Einsetzung eines Projektverantwortlichen. Wichtig ist nämlich, dass die internen Daten, beispielsweise aus der Lohnbuchhaltung oder Personalverwaltung, eine ebenso große Rolle spielen wie externe, z.B. Kundendaten.

Folgende Fakten - bei Bedarf auch von Geschäftspartnern und Lieferanten - müssen demnach erfasst werden:

  • Wie werden Betroffene zur Erhebung und Speicherung von personenbezogenen Daten informiert? Ist dies beispielsweise in den AGB geregelt, wird das mündlich erledigt oder gibt es einen Verweis auf der Webseite?
  • Welche Informationen werden zu welchem Zweck erhoben und wie werden sie weiterverwendet? Das ist entscheidend dafür, ob die Datenverarbeitung gesetzlich erlaubt ist, weil Daten nur zweckgebunden verwendet werden dürfen.
  • Wie lange und wo werden die Informationen gespeichert? Sollte dies außerhalb der EU geschehen, sind die Voraussetzungen zur Übermittlung einzuhalten.
  • Werden sie pseudonymisiert oder anonymisiert?
  • Werden sie weitergegeben und an wen? Muss der Datenempfänger sich ebenfalls um den Datenschutz kümmern?
  • Ist der Datenschutz in Form von organisatorischen und technischen Maßnahmen gewährleistet?
  • Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt?

Anhand dieses Fragenkatalogs lässt sich dann das Verarbeitungsverzeichnis erstellen, wobei grundsätzlich zwischen Auftragsverarbeitern, Verantwortlichen und der Erfassung der technischen und organisatorischen Maßnahmen unterschieden wird.

Die Aufsichtsbehörde hat das Recht, diese Verzeichnisse nach Art. 30 Abs. 4 DS-GVO und EG 82 einzusehen, um die Verarbeitungsvorgänge gezielt kontrollieren zu können. Dafür entfallen die bisherigen Regelungen des BDSG, die sich sowohl auf ein allgemeines Verfahrensverzeichnis bezogen, das bislang öffentlich einsehbar war, als auch eine interne vom Datenschutzbeauftragten vorgehaltenen Übersicht umfasste. Grundsätzlich sind diese Verzeichnisse in deutscher Sprache zu erstellen, zu führen und nach Bedarf zu aktualisieren. Die zuständige Aufsichtsbehörde kann jedoch festlegen, ob sie in Papier- oder elektronischer Form vorgelegt werden sollen. Änderungen sollten für wenigstens ein Jahr gespeichert werden, um eine lückenlose Dokumentation zu erhalten.

Hinweis:

Auch vor Anwendung der DSGVO war ein solches Verzeichnis verpflichtend, wurde jedoch kaum geführt. Unternehmen müssen demnach den Weg der Informationen – von deren Erhebung über deren Speicherung bis hin zur Verwendung – jederzeit abbilden können.  

3. Wie lassen sich Prozesse identifizieren und optimieren?

Zunächst sind alle in Bezug auf die DSGVO relevanten Prozesse zu erfassen, um bei Bedarf Optimierungen zu veranlassen. Anhaltspunkte können folgende Abläufe sein:

  • Kundeninformation zur Datenverarbeitung
  • Mitarbeiterreaktion auf Kundenanfrage zur Datenspeicherung
  • Vorgehensweise und Verantwortlichkeit bei Kundenwunsch der Datenlöschung
  • Verfahrensweise bei Datenleck wie Hackerangriff – Unternehmen sind verpflichtet, innerhalb von 72 Stunden die dafür zuständige Datenschutzbehörde des Landes in Kenntnis zu setzen.
  • Abfolge des Löschprozesses, sobald das Ziel der Datenspeicherung erreicht wurde
  • Schulungen für Mitarbeiter

Sobald diese Prozesse erfasst sind, können Optimierungspotenziale erkannt und ausgeschöpft werden.

4. Was versteht die DSGVO unter einer Datenschutz-Folgeabschätzung (DS-FA?)

Bei der Datenschutz-Folgeabschätzung handelt es sich um einen neuen Begriff für die aus dem § 4 des BDSG bereits bekannte Vorabkontrolle: Wie bisher kommt diese zusätzliche Prüfung ins Spiel, sollten besonders sensible Daten erhoben, gespeichert und verarbeitet werden. Der Begriff ist schwer abzugrenzen, handelt es sich doch um die Daten, die dem Grundsatz nach eine Bewertung der Persönlichkeit der jeweiligen Person, ihrer Leistungen, Fähigkeiten oder auch ihres Verhaltens erlauben.

Ist das der Fall, hat der Datenschutzbeauftragte die Risiken für den Betroffenen zu prüfen, die aus dem jeweiligen Verfahren erwachsen und dessen Freiheiten und Rechte beeinträchtigen könnten. Als Ergebnis dieses Prüfverfahrens steht eine Stellungnahme, die die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten zum Gegenstand hat. Bei der Datenschutz-Folgeabschätzung geht es also um eine fundierte Einschätzung der Gefahren und der möglichen Konsequenzen in Bezug auf die persönlichen Freiheiten und Rechte der betroffenen Personen.

5. Wann ist eine Datenschutz-Folgeabschätzung durchzuführen?

Leider gibt es noch keine eindeutigen Regelungen zur Notwendigkeit einer Datenschutz-Folgeabschätzung. Trotzdem können hier eine wesentliche Kriterien weiterhelfen: Eine solche Abschätzung ist angebracht, wenn ausgesprochen sensible Informationen erfasst und verarbeitet werden. Das ist beispielsweise bei Arztpraxen der Fall, aber auch bei Versicherungsmaklern oder ähnlichen Dienstleistern. Allgemein formuliert bezieht sich die Notwendigkeit auf die Daten, die neben einer Identifizierung auch eine Kategorisierung von Personen erlauben.

Relevante Themen sind dabei Krankheiten, sexuelle Präferenzen, ethnische oder rassische Informationen, politische Ansichten oder Finanzen. Alle diese Daten haben eines gemeinsam, denn deren Missbrauch stellt ein hohes Risiko für die betroffenen Personen dar. Da dies sich nicht nur aus Art und Umfang der erfassten Informationen ergibt, sondern auch aus dem Zweck der Verarbeitung, soll die Datenschutz-Folgeabschätzung die Gefahren explizit ermitteln. So lassen sich geeignete Schutzmaßnahmen ableiten. 

Wesentliche Schritte sind dabei die Beschreibungen

  • der Verarbeitungsvorgänge,
  • des Zwecks,
  • der Begründung des berechtigten Interesses des Unternehmens, das in Bezug auf den Zweck verhältnismäßig sein muss,
  • der Risiken für die Betroffenen,
  • der Dokumentation, die die organisatorischen und technischen Maßnahmen zum Schutz vor unberechtigten Zugriffen oder Weitergaben umfasst, aber auch den Umgang mit einem Leck und die installierten Kontrollmechanismen.

Hinweis: 
Im Zweifelsfall stehen die Datenschutzbehörden des Landes zur Beratung und Aufklärung zur Verfügung.

6. DSGVO – wie können Unternehmen Bußgelder vermeiden bzw. was sollten Unternehmen tun?

Ein probates Mittel ist die umfassende Dokumentation aller unternommen Schritte. Diese sollte bei der Aus- und Weiterbildung des Datenschutzbeauftragten beginnen und über die Installation von schützender Software bis hin zur Einbindung spezieller Dienstleister reichen. Je umfassender Unternehmen ihre organisatorischen und technischen Maßnahmen zum Datenschutz dokumentieren, desto größer die Chance, dass sie bei eventuellen Datenlecks oder kleineren Fehlern kein Bußgeld bezahlen müssen. Insbesondere der Datenschutzerklärung, die aktuell bereits Gegenstand einiger Anzeigen ist, sollte dabei Augenmerk gewidmet werden. Sämtliche Unterlagen müssen im Ernstfall sauber geführt zur Verfügung stehen.

Bei der Fülle an abzuleistenden Schritten empfiehlt es sich als erstes, die öffentlich einsehbaren Bereiche anzupassen – in erster Linie Ihre Website.

Gerne unterstützt Sie p2 media bei der Umsetzung an folgenden Standorten:

Werbeagentur Hamburg
Werbeagentur Düsseldorf
Werbeagentur Dortmund
Werbeagentur Köln 

Fazit – DSGVO

Vieles ist noch nicht abschließend geklärt und wird einer laufenden Rechtsprechung bedürfen. Dennoch ist die Absicht, natürlichen Personen wieder Macht über ihre eigenen Daten einzuräumen, anzuerkennen. Die DSGVO sollte nicht unterschätzt werden, auch wenn Grundzüge bereits im Bundesdatenschutzgesetz enthalten waren. Schon die Entwicklung konformer Kontaktformulare und Mailing-Kampagnen erfordert ein Umdenken. Sich intensiv mit der Materie auseinanderzusetzen und bei Bedarf auch professionellen Rat einzuholen, dürfte für Sicherheit sorgen.

Achtung: Dieser Artikel zum Thema DSGVO erhebt keinen Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit - bitte wenden Sie sich bei Unklarheiten und/oder im Falle eines Rechtsstreits an eine anwaltliche Kanzlei Ihres Vertrauens.

zur Übersicht