Die europäische Datenschutz-Grundverordnung (kurz: DSGVO) ist eine Verordnung der EU, die an vielen Stellen das deutsche Bundesdatenschutzgesetz (kurz: BDSG) ersetzt. Die DSGVO gilt schon seit dem 25.05.2016 für die gesamte EU, jedoch befinden wir uns gerade in der Übergangsphase. Ab dem 25.05.2018 muss die Verordnung von allen Mitgliedsstaaten angewendet werden.

 

Für wen gilt die DSGVO?

Sie betrifft jedes Unternehmen, das im Internet aktiv ist (Nutzer-Tracking, Kundendaten, Newsletter, Werbemails, Werbung auf Facebook oder die eigene Datenschutzregelung), und betrifft alle Unternehmen die in der EU ansässig sind sowie alle außereuropäischen Unternehmen, die einen Sitz in der EU haben und für Unternehmen die personenbezogene Daten eines EU-Bürgers verarbeiten.

 

Was ist neu?

Viele Grundsätze sind schon bekannt, wie beispielsweise die Zweckbindung erhobener Daten, die Datenrichtigkeit oder die Datensparsamkeit. Neu hinzugekommen sind:

Die Datensicherheit (Art. 32 DSGVO): Welche Maßnahmen zur Datensicherheit „angemessen“ sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc. 

Das Recht auf Vergessen/Löschen (Art.17 DSGVO): Nicht wirklich neu, aber nun schriftlich im DSGVO verankert. Der Anspruch kann gegen jede Stelle geltend gemacht werden, die  personenbezogene Daten verarbeitet. 

Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Die Nutzer können von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem gängigen Format an einen anderen Verantwortlichen weiterzugeben.

Die Rechenschaftspflicht (Art. 5 DSGVO): Auf Aufforderung müssen Datenverantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen können.

 

Einwilligung zur Speicherung und Nutzung von personenbezogenen Daten

Die Einwilligung kann mündlich, schriftlich oder in elektronischer Form erfolgen. Beachten Sie bitte, dass es bei der mündlichen Einwilligung schwer ist, sie nachzuweisen. Die Einwilligung muss freiwillig abgegeben werden und darf nur zweckgebunden erfolgen. Generaleinwilligungen sind weiterhin nicht erlaubt. Sie kann jederzeit widerrufen werden und der Widerruf muss so einfach sein wie die Einwilligung. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie man sie nachvollziehbar für den Verwendungszweck braucht (DSGVO Art 5.1) Denken Sie hier immer an eine umfassende Dokumentation!

Bisher eingeholte datenschutzrechtliche Einwilligungen sind weiterhin gültig, solange sie die bisherigen Anforderungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) erfüllen. Das einheitliche Mindestalter (Art. 7 DSGVO) wurde nun für die Einwilligung von Minderjährigen geregelt. Die Einwilligungen von unter 16-jährigen (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

Bei E-Mail-Abonnements ist bereits jetzt eine zweifache Bestätigung (Double-Opt-in) vorgesehen. Der Einsatz von Cookies ist aktuell mit einer Einverständniserklärung verbunden, die auf dem Bildschirm erscheint. Mit beidem sollten Sie sich nach wie vor absichern. Wenn Sie Dienste wie Google Analytics auf Ihrer Website nutzen, sollten Sie sich davon überzeugen, ob diese Angebote der DSGVO entsprechen. Ist das der Fall, können Sie wie gewohnt damit weiterarbeiten.

 

Auftragsdatenverarbeitung (ADV)

Wichtig: Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig. Neu ist nach der DSGVO, dass auch der Auftragnehmer (also der Auftragsdatenverarbeiter) mitverantwortlich ist. Auftragnehmer müssen z.B.: Ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30). Mit der Aufsichtsbehörde zusammenarbeiten (Artikel 31) und technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1 DSGVO) Neu ist auch, dass der Vertrag zur ADV nicht mehr zwingend schriftlich geschlossen werden muss, sondern mit der DSGVO auch die elektronische Form ausreicht.

 

Datenschutzpflicht für Arbeitgeber 

Analysieren Sie die datenschutzrelevanten Vorgänge in Ihrem Unternehmen. Welche personenbezogenen Daten werden wie, wann und warum verarbeitet? Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch? Achten Sie auf eine datenschutzkonforme Vertragsgestaltung. Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben (z. B. externe Rechnungsstellen). Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein. Die Einwilligung muss in Schriftform erfolgen, d. h. eigenständig unterschrieben werden, notfalls ist aber auch die elektronische Einwilligung möglich. Weisen Sie die Arbeitnehmer darauf hin, dass die Einwilligung jederzeit widerruflich ist. Und der Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten).

 

Fazit: 

Deutschland war schon vorher gut abgesichert, aber es ändert sich hier doch Einiges. Sie kommen nicht umhin, den Datenschutz zu kontrollieren und ggf. anzupassen. Bitte lassen Sie auch ihr Kontaktformular nicht außer Acht. Verschlüsseln Sie die Datenübertragung, damit keine Abmahnung ins Haus flattert. Denn bei Verstößen riskieren Sie Abmahnungen oder massive Bußgelder. Und denken Sie an die Dokumentationspflicht!

 

Weitere Informationen im Web finden Sie beispielsweise auch bei