EU Datenschutzgrundverordnung (DSGVO)
Inhaltsnavigation
- Was ist die DSGVO?
- Datenschutzgrundverordnung: Was ist neu?
- Was bedeuten die neuen Datenschutz-Regeln für mein Unternehmen?
- In 10 Schritten zur DSGVO
- DSGVO praxisnah: Personenbezogene Angaben datenschutzkonform verarbeiten
- Mit welchen Strafen bei Verstößen ist zu rechnen und an wen melde ich diese?
- Neuerungen für den Datenschutzbeauftragten
- Neue Pflichten beim Datenschutz von Arbeitgebern
- Müssen die Datenschutzerklärungen auf Website & Co. angepasst werden?
- Benötige ich einen Experten für die neue Datenschutzerklärung?
- Glückwunschkarten und DSGVO
- Wo finde ich Checklisten, Muster und Tools zur DSGVO?
- Häufige Fragen zur DSGVO
- Zusammenfassung
Was ist die DSGVO?
Seit dem 25. Mai 2018 gelten in der gesamten Europäischen Union einheitliche und strengere Datenschutz-Regeln: Mit der Datenschutz-Grundverordnung (DSGVO) wird die Bearbeitung personenbezogener Daten innerhalb des europäischen Binnenmarktes eindeutigen Regeln unterworfen. Diese haben Auswirkungen für alle Unternehmen, die im EU-Raum geschäftlich aktiv sind. Die DSGVO ersetzt dabei die EU-Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995. Seit dem 25. Mai 2018 muss die DSGVO zwingend angewendet werden.
Unternehmen, die die Vorgaben der DSVGO missachten, müssen mit empfindlichen Geldstrafen rechnen. Diese können dabei nicht nur gegen Privatunternehmen erlassen werden. Selbst für Behörden hat der Schutz personenbezogener Daten nun oberste Priorität. Wer die gesetzlichen Vorgaben ignoriert, wird kräftig zur Kasse gebeten: Die Verordnung sieht Bußgelder bis zu 20 Millionen Euro vor. Bei besonders schweren Vergehen werden sogar bis zu 4 % des gesamten weltweiten Umsatzes im letzten Geschäftsjahr fällig. Nicht nur deshalb ist es sehr wichtig, die Inhalte der DSGVO zu kennen. Datenschutzkonformes Arbeiten ist mit Inkrafttreten der Regeln endgültig ein essenzieller Bestandteil der betrieblichen Organisation.
Zentrale Punkte der Datenschutzgrundverordnung
Die Modernisierung des Datenschutzes sorgte in erster Linie dafür, dass EU-weit einheitliche Bestimmungen gelten. Während in Deutschland das Thema Datenschutz schon immer sehr ernst genommen wurde, galten in anderen Ländern deutlich schwächere Gesetzesvorgaben. Vor allem die rasante Entwicklung der gesamten Informationstechnik macht eine Novellierung des Datenschutzes nötig. Die Standards der alten Datenschutzrichtlinie (95/46/EG) von 1995 waren längst nicht mehr zeitgemäß.
Dies sind die zentralen Punkte der DSGVO:
- Das Marktortprinzip
Mit Einführung der Datenschutzgrundverordnung gilt das einheitliche europäische Datenschutzrecht nicht nur für Betriebe mit EU-Standort. Vielmehr sind auch Unternehmen in der Pflicht, die ihre Waren und Dienstleistungen innerhalb der EU anbieten. Solche Unternehmen aus Drittländern (z. B. Social-Media-Anbieter) müssen sich also genauso an die DSGVO halten. Sie sind außerdem verpflichtet, einen bestellten Vertreter in der EU zu benennen, sofern sie in Europa keine Niederlassung haben. Wichtig ist nicht mehr, wo ein Artikel produziert wurde. Entscheidend ist vielmehr, ob ein Produkt oder eine Dienstleistung auf dem europäischen Binnenmarkt angeboten wird. Das Marktortprinzip gilt sogar für statistische Erhebungen. Wenn ein Marktforschungsunternehmen mit Firmensitz außerhalb der EU Daten über das Internetverhalten von EU-Bürgern sammelt, findet auch hier die DSGVO Anwendung. - Mehr Transparenz für Verbraucher
Jeder Verbraucher soll und darf wissen, welche Firmen persönliche Daten über ihn gesammelt haben. Dazu sieht die Datenschutzgrundverordnung erweiterte Informationsansprüche vor. Unternehmen müssen transparent darlegen, wann und zu welchem Zweck persönliche Kundendaten gespeichert wurden. Auch über die Speicherdauer muss Rechenschaft abgelegt werden. Zudem sind Unternehmen mitteilungspflichtig, wenn europäische Kundendaten außerhalb der EU gesammelt oder weiterverarbeitet werden. Jeder Kunde hat die Möglichkeit, diese Daten bei einem Unternehmen abzufragen. Eine kleine Ausnahme gibt es allerdings: Die Neufassung des Bundesdatenschutzgesetzes (BDSG), welche ebenfalls seit dem 25. Mai 2018 gültig ist, schränkt den Informationsanspruch in wenigen Fällen ein. Kleinstbetriebe, die ihre Datenerfassung noch in analoger Form betreiben, sind beispielsweise von der Informationspflicht ausgenommen. - Recht auf Vergessenwerden
Fotos, Postings, Blogs oder Kleinanzeigen – das Internet vergisst so gut wie nichts. Wer über eine große Suchmaschine nach Daten über eine bestimmte Person sucht, kann schnell ein aussagekräftiges Persönlichkeitsprofil erstellen. Die Datenschutzgrundverordnung schiebt dieser Entwicklung bei Bedarf einen Riegel vor: Internetnutzer können persönliche Daten entfernen lassen. Vor allem bei sehr persönlichen Angaben zur ethnischen Herkunft, zu sexuellen Vorlieben oder zur politischen Meinung eines Users besteht nach DSGVO ein persönlicher Löschungsanspruch. Große Unternehmen stellen zu diesem Zweck oft Formulare zur Verfügung wie dieses Musterformular. Der Unternehmer muss die entsprechenden Daten löschen und zudem andere Unternehmen, die diese Daten veröffentlicht oder hierauf verlinkt haben, über den Löschanspruch informieren. - Datenportabilität
Verbraucher können durch die Datenschutzgrundverordnung einfacher über ihre eigenen Daten bestimmen. Nach dem Motto „Meine Daten, meine Entscheidung“ dürfen sie ihre Daten beispielsweise zu einem anderen Unternehmen mitnehmen. Die neuen Bestimmungen machen nicht nur einen Telefon- oder Stromanbieterwechsel einfacher, sondern jeglichen Vertragswechsel. Der bisherige Anbieter ist durch die DSGVO dazu verpflichtet, alle gespeicherten Kundendaten in einem standardisierten Formular bereitzustellen, sofern die Anwendung bereits über eine derartige Funktionalität verfügt. Eine Nachrüstung bereits vorhandener Tools ist nicht erforderlich. Bei einer Neuanschaffung sollte dieser Punkt jedoch berücksichtigt werden. Der neue Anbieter muss diese Daten – soweit technisch möglich – dann in sein System übernehmen. Im besten Fall übermittelt der alte Anbieter die Daten direkt an den neuen Geschäftspartner des ehemaligen Kunden. Diesem Datentransfer muss der Verbraucher natürlich zuvor zustimmen. - Eine Anlaufstelle bei allen Datenschutzfragen
Wenn ein ausländisches Unternehmen gegen Datenschutzbestimmungen verstoßen hat, mussten sich Verbraucher vor Inkrafttreten der DSGVO direkt an die Aufsichtsbehörde des jeweiligen Landes wenden. Da aber ein internationales Beschwerdeverfahren viele Hürden mit sich bringt, sieht die DSGVO eine vereinfachte Regelung vor. Bürger eines EU-Landes können sich seither direkt an die inländische Aufsichtsbehörde wenden, wenn der Verdacht einer nicht konformen Nutzung von personenbezogenen Daten besteht. Für deutsche Staatsbürger ist demnach die deutsche Aufsichtsbehörde zuständig. Diese kümmert sich um alle weiteren Belange und stimmt mit der Dienststelle des betroffenen EU-Landes das weitere Vorgehen ab. Eine gerichtliche Überprüfung von ausländischen Datenschutzverfehlungen wird ebenfalls im Heimatland des Betroffenen durchgeführt. So lassen sich aufwendige internationale Verfahren vermeiden.
Wie setzen Sie die Datenschutz-Regeln in Ihrem Unternehmen um?
Betroffen von der DSGVO sind die Geschäfte aller Betriebe mit Firmensitz in der Europäischen Union: vom kleinen Ein-Personen-Unternehmen bis zum international agierenden „Big Player“. Die Vorgaben der DSGVO im geschäftlichen Alltag umzusetzen, mag zunächst kompliziert klingen, doch mit einigen wenigen Tipps lässt sich ein Betrieb in puncto Datenschutz zukunftssicher aufstellen:
- Bestandsanalyse
Unternehmer müssen wissen, wo und warum sowie auf welcher rechtlichen Grundlage (z. B. Vertrag, Einwilligung) kundenspezifische Daten verarbeitet werden. Im Zuge einer „Dateninventur“ sollten Betriebe genau prüfen, wo und für welche Zwecke sie die Angaben über ihre Kundschaft verwenden. Ebenfalls wichtig zu wissen: Wie lange werden die Daten gespeichert, wer hat Zugriff darauf und an wen werden die Informationen weitergegeben. Im Zweifelsfall bedarf es einer genauen Absprache zwischen Geschäftsführung, Datenschutzbeauftragtem, IT-Abteilung und Kundenservice, um die aktuellen Gegebenheiten zu klären. - Verarbeitungsverzeichnis erstellen
Das Verarbeitungsverzeichnis erweitert die Dokumentationspflicht. Rechtskonforme Muster dazu lassen sich im Internet finden, z. B. auf der Webseite des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) oder des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V. Es löst die bisherigen Meldungen beim Verfahrensregister ab und bietet eine gute Übersicht über folgende Punkte:- Zweck der Datenverarbeitung,
- Kontaktdaten des zuständigen Ansprechpartners im Unternehmen,
- Darstellung der Datensicherheitsmaßnahmen und
- Aufstellung der erhobenen Datenkategorien.
- Umgehende Meldung von Datenschutzverletzungen
Um Verbraucherdaten besser zu schützen, müssen nach der Datenschutzgrundverordnung Hackerangriffe sofort gemeldet werden vor. Unternehmen müssen im Falle von Datenschutzverletzungen die zuständige Datenschutzbehörde binnen 72 Stunden informieren. Dies ist über den Online-Service der zuständigen Datenschutzaufsichtsbehörde möglich. In Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Von der Meldepflicht ausgenommen sind lediglich Datenschutzverletzungen, die kein Risiko für die Freiheit und die persönlichen Rechte der Betroffenen bedeuten. Im Zweifelsfall ist es definitiv ratsam, eine Datenschutzverletzung schleunig anzuzeigen. Ansonsten drohen dem betroffenen Unternehmen eventuell Geldbußen. Betroffene Kunden müssen nur informiert werden, wenn ein hohes Risiko für ihre Daten besteht. - Auftragsverarbeitungsvertrag formulieren
Sobald ein Unternehmen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss nach DSGVO vorab ein Auftragsverarbeitungsvertrag geschlossen werden. Wenn also externe Buchhalter, Hoster oder IT-Unternehmen im Spiel sind, muss ein entsprechender Kontrakt abgeschlossen werden. Als Grundlage dient ein kommentierter Mustervertrag – wie die Vorlage des BayLDA , die Musterverträge und begleitende Hinweise von Bitkom e. V. und diejenigen von der Gesellschaft für Datenschutz und Datensicherheit e. V..
Betriebe, die datenschutzkonform arbeiten, haben ein deutlich höheres Ansehen bei potenziellen Kunden. Zudem müssen solche Firmen keine Sanktionen oder Rügen bezüglich eines mangelhaften Datenschutzes befürchten. Damit bei den Planungen zur Umsetzung der Datenschutzgrundverordnung kein wesentlicher Aspekt vergessen wird, hat die IHK München die Umsetzung anhand eines Kleinstunternehmens durchgespielt: So setzt die Einzelhändlerin Miranda Mustera die unterschiedlichen DSGVO-Pflichten um.
In 10 Schritten zum datenschutzkonformen Unternehmen nach DSGVO
1. Dateninventur
Wo und wie werden personenbezogene Daten im Unternehmen verarbeitet? Wie verwendet der Betrieb die Daten?
2. Dauer der Speicherung / Löschkonzept
Wie lange werden Daten gespeichert? Gibt es Möglichkeiten, die Speicherdauer zu verkürzen? Sind automatische Löschroutinen vorhanden oder geplant?
3. Datenanwendung
Welche Systeme werden zum Zwecke der Datenverarbeitung benutzt? Sind diese sicher genug? Wenn nicht, gibt es alternative Möglichkeiten?
4. Budget und Zeit planen
Gibt es im Unternehmen genügend finanzielle und personelle Ressourcen, um die DSGVO-Vorgaben umfassend umzusetzen? Oder sollte ein externer Dienstleister bei der Aufgabe helfen?
5. Maßnahmen planen
Wann müssen welche Aufgaben erledigt werden, damit alles Wichtige frühzeitig erledigt ist?
6. Zuständigkeiten klären
Wer übernimmt im Betrieb welche Aufgaben zur Umsetzung der Datenschutzgrundverordnung? Besteht die Notwendigkeit, einen Datenschutzbeauftragten zu bestellen?
7. Dokumentation erstellen
Mit der Erstellung eines Datenverarbeitungsverzeichnisses sollte frühestmöglich gestartet werden. Wichtige Meilensteine auf dem Weg Richtung DSGVO müssen umfangreich dokumentiert werden. Um die Arbeit zu erleichtern, können dafür verschiedene Musterdokumente verwendet werden.
8. Vorlagen / AGB checken
Halten die verwendeten Vorlagen und AGBs der DSGVO stand?
9. Werbemaßnahmen prüfen
Auch die Datenschutzerklärung auf der Firmenwebseite sowie Werbemaßnahmen wie E-Mail-Newsletter an Kunden müssen ggf. angepasst werden (Stichwort: Double-Opt-In).
10. Interne Datensicherheit optimieren
Sind die genutzten IT-Komponenten sicher und umfassend geschützt? Gibt es gravierende Lücken, beispielsweise beim Schutz vor Hackerangriffen? Wie sieht es mit Passwortsicherungen, Backup-Systemen und Zugriffsbeschränkungen aus?
DSGVO praxisnah: Personenbezogene Angaben datenschutzkonform verarbeiten
Es mag seltsam klingen, aber nach der Datenschutzgrundverordnung ist die Erhebung von Daten über eine natürliche Person zunächst generell verboten. Die Hintertür für Unternehmen nennt sich im Fachjargon „gesetzlicher Erlaubnistatbestand“. Doch wann ist eine Datenspeicherung laut DSGVO eigentlich gestattet? Informationen dazu finden sich in Art. 6 DSGVO. Eine Datenverarbeitung ist demnach nur rechtmäßig, wenn eine der folgenden Gegebenheiten erfüllt ist:
- Einwilligung
Die betroffene Person hat der Datenerhebung explizit zugestimmt. - Bestehendes oder geplantes Vertragsverhältnis
Unternehmen dürfen die personenbezogenen Daten ihrer Kunden verarbeiten, die für eine Vertragserfüllung erforderlich sind. - Rechtliche Pflicht
Zur Erfüllung gesetzlicher Pflichten können Daten über eine natürliche Person auch ohne deren Zustimmung verarbeitet werden. - Lebenswichtige Belange
Für den Schutz von Leib und Leben können ebenso Daten verarbeitet werden. Das ist u. a. in einem Krankenhaus oder auf einer Gesundheitskarte der Fall. - Wahrnehmung einer Aufgabe im öffentlichen Interesse
Wenn die Datenverarbeitung notwendig ist, damit eine Person eine bestimmte Aufgabe im öffentlichen Interesse erledigen kann, ist sie ebenfalls erlaubt. - Berechtigtes Interesse
Zur Wahrung eines berechtigten Interesses kann einer Datenverarbeitung auch zugestimmt werden.
Die ausdrückliche Einwilligung der betroffenen Person zur Datenverarbeitung – birgt für Unternehmen einige Tücken. Die Einwilligung muss nämlich freiwillig geschehen und eindeutig sein. Eine Kopplung an Verträge oder an sonstige Leistungen, die erbracht werden sollen, ist laut Datenschutzgrundverordnung untersagt.
- Datenschutz und Datensicherheit
Um personenbezogene Daten in einem Unternehmen möglichst sicher verarbeiten zu können, sollten Administratoren einige wichtige Aspekte berücksichtigen. Zunächst müssen sich IT-Mitarbeiter mit den Themen „Privacy by Design“ und „Privacy by Default“ auseinandersetzen. Diese Fachbegriffe sind nicht unbedingt neu, doch durch die Datenschutzgrundverordnung bekommen sie eine ganz neue Relevanz. - Privacy by Design
Lässt sich am ehesten mit „Datenschutz durch Technik“ übersetzen. Die komplette IT eines Unternehmens – von der Webseite bis zur Netzwerkkonfiguration – sollte demnach so strukturiert sein, dass sämtliche Datenschutzaspekte logisch und nachvollziehbar bleiben. - Privacy by Default: ist der „Datenschutz durch Voreinstellungen“ (siehe hierzu auch den Fachartikel "Datenschutz und Datensicherheit"). Damit ist gemeint, dass User durch werkseitige Einstellungen so durch Bestellprozesse etc. geleitet werden, dass diese Standardeinstellungen für größtmöglichen Datenschutz sorgen. Ein Browser, der Cookies generell ablehnt, wäre dafür ein adäquates Beispiel. Im Unternehmensbereich haben sich beim Thema „Privacy by Default“ derweil folgende Voreinstellungen bewährt:
- Pseudonymisierung,
- Verschlüsselung,
- Einschränkung der Eingabemöglichkeiten und
- automatische Löschung von Daten.
- Datenschutz-Folgenabschätzung
In manchen Fällen ist es durchaus möglich, dass bei der Verarbeitung von personenbezogenen Daten ein gewisses Risiko entsteht. Wenn Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung der Daten unmittelbar gefährdet sein könnten, sieht die Datenschutzgrundverordnung eine schriftliche Folgeabschätzung vor. Hier müssen Unternehmen genau erläutern, warum die Notwendigkeit einer Datenerhebung besteht. Ebenso anzuführen sind die detaillierten Verarbeitungsvorgänge sowie eine genaue Bewertung der möglichen Datenschutzrisiken. Eine umfassende Beschreibung der momentan angewendeten Datensicherheitsmaßnahmen komplettiert die Datenschutz-Folgenabschätzung. Weitere Aspekte zu dem Thema beleuchten die DSFA-Tipps der IHK München. - Datenschutzmanagement
Eine datenschutzkonforme Bearbeitung von personenbezogenen Daten ist nur durch effizientes Datenschutzmanagement möglich. Diese Aufgabe wird – zumindest in größeren Betrieben – von einem Datenschutzbeauftragten übernommen. Dieser ist dabei nicht nur dafür verantwortlich, entsprechende Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Vielmehr sorgt er zusammen mit den Administratoren auch für einen datenschutzkonformen Umgang, für IT-Sicherheit, schult gegebenenfalls Mitarbeiter und meldet eventuelle Datenpannen an die Geschäftsführung. Weitere Maßnahmen für ein effektives Datenschutzmanagement können hier eingesehen werden.
Mit welchen Strafen bei Verstößen ist zu rechnen und an wen melde ich diese?
Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen. Weitere Informationen hat die IHK München in einem ausführlichen FAQ-Bereich zu den Melde- und Benachrichtigungspflichten zusammengetragen.
Auch zu den Rechten von Betroffenen im Datenschutz gibt es von der IHK München detailliertes Informationsmaterial. Folgende Fragen werden hier anschaulich beantwortet:
- Welche Rechte hat eine Person, deren Daten erhoben wurden?
- Wie weit geht die Auskunftspflicht?
- Was muss unter Umständen berichtigt werden?
Welche Regeln gelten für den Datenschutzbeauftragten?
Seit Inkrafttreten der Datenschutzgrundverordnung ist die Benennung eines Datenschutzbeauftragten für viele Firmen europaweit Pflicht. Ergänzend zu den Bestellvoraussetzungen nach DSGVO können Mitgliedsstaaten nationale Bestellkriterien festlegen. Für alle Unternehmen in Deutschland gilt z. B. eine Bestellpflicht bei Erfüllung zumindest einer der folgenden Voraussetzungen:
- Ab 20 Personen, die ständig mit der automatisierten personenbezogenen Datenverarbeitung beschäftigt sind.
- Kerntätigkeit: Umfangreiche und systematische Überwachung von Betroffenen oder die Verarbeitung sensibler Daten i.S.d. Art. 9 oder 10 DSGVO.
- Unabhängig von der Anzahl der Personen, wenn Verarbeitungen vorliegen, die einer Datenschutz-Folgenabschätzung unterliegen.
Sollten diese Punkte – auch nur teilweise – auf ein Unternehmen zutreffen, muss zwingend ein Datenschutzbeauftragter benannt werden. Unternehmen können wählen, ob sie einen Mitarbeiter oder einen externen Datenschutzbeauftragten benennen. Ein ernannter Datenschutzbeauftragter muss der Datenschutzaufsichtsbehörde gemeldet werden. Zu den Aufgaben eines Datenschutzbeauftragten gehört es u. a., das Unternehmen über die datenschutzrechtlichen Vorgaben in einem Betrieb zu beraten und die Umsetzung zu überwachen. Bei Datenschutzverstößen sind Mitarbeiter sowie Vertragspartner verpflichtet, das Management oder einen benannten betrieblichen Ansprechpartner (z. B. einen Datenschutzbeauftragten) entsprechend zu informieren.
Pflichten beim Datenschutz von Arbeitgebern
Nach der DSGVO unterliegen die Daten von Arbeitnehmern erhöhten Anforderungen. Dies wird u. a. durch umfassende Informations- und Dokumentationspflichten sichergestellt. Zum Beschäftigtendatenschutz gehören:
- die Einwilligung von Arbeitnehmern zur Verarbeitung persönlicher Daten, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist (z. B. Fotos eines Mitarbeiters auf der Unternehmenswebsite),
- die Übereinstimmung von Betriebs- oder Dienstvereinbarungen mit den Vorgaben der DSGVO und
- Regeln für den Datentransfer im Konzern (z. B. über die Rechtsgrundlage „berechtigtes Interesse“).
Ausführliche Informationen zum Beschäftigtendatenschutz lassen sich auf der Webseite der IHK München nachlesen.
Pflichten nach der DSGVO für die Datenschutzerklärungen auf Website & Co.
- Firmenwebsite und das Newslettersystem sollten während einer Bestandsanalyse zur DSGVO überprüft werden. Betreiber einer geschäftlichen Webseite sind z. B. verpflichtet, eine rechtskonforme Datenschutzerklärung zu hinterlegen. Diese sollte auch die erweiterten Informationspflichten beinhalten. Über die IHK-Checkliste können Sie prüfen, ob Sie alle notwendigen Angaben veröffentlicht haben. Dabei ist u. a. auf folgende Punkte einzugehen:
- Rechtsgrund und Speicherdauer von personenbezogenen Daten,
- Logfiles,
- Cookies,
- Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.),
- Registrierungsmöglichkeiten,
- Einbindung sozialer Netzwerke und
- Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.).
Auch ein eventuell vorhandenes Newslettersystem sollte im Zusammenhang mit dieser „Dateninventur“ unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Der Nachweis der Einwilligung ist vom Unternehmen konkret zu erbringen, was beispielsweise über Double-Opt-In-Verfahren erfolgen kann und muss. Von einer Datenverarbeitung betroffene Personen müssen also zwingend über diese informiert werden.
Zudem ist das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zu beachten. Dieses ist am 14.05.2024 in Kraft getreten und hat das seit 01.12.2021 geltende Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) abgelöst. Es besteht
- ein grundsätzliches Einwilligungserfordernis, sofern
- via Technik (z. B. Cookies, Fingerprinting) Informationen (personenbezogene wie nicht personenbezogene) in einer Endeinrichtung eines Nutzers gespeichert werden oder auf die dort gespeicherten Informationen zugegriffen wird und
- keine der Ausnahmen des § 25 Abs. 2 TDDDG greift.
- Ferner sind technische und organisatorische Vorkehrungen zu treffen, um zu gewährleisten, dass Nutzer von digitalen Diensten (z. B. Websites) gegen die Kenntnisnahme durch Dritte geschützt sind und die Nutzung jederzeit beenden können.
Benötige ich einen Experten für die neue Datenschutzerklärung?
Für eine rechtskonforme Datenschutzerklärung im Sinne der DSGVO ist nicht unbedingt eine Rechtsberatung notwendig. Im Internet finden sich zahlreiche Vorlagen und Hilfestellungen, mit denen eine individuelle Datenschutzerklärung erarbeitet werden kann. Praxishilfen gibt es u. a. hier:
Glückwunschkarten und die Datenschutz-Grundverordnung
Die gute Nachricht: Bei Versand von Glückwunsch- und Weihnachtskarten an Kunden, ob per Brief oder E-Mail, ist im Normalfall keine vorherige Einwilligung erforderlich. Denn derartige Glückwunschkarten zählen im Rahmen einer Kundenpflege zu den sozialadäquaten Verhaltensweisen. Haben Unternehmen ihren Kunden in den Vorjahren Weihnachts- und Glückwunschgrüße übermittelt, so können sie dies auch in Zeiten der DSGVO weiterhin tun. Denn Ihren Kunden ist die Verarbeitung ihrer Adressdaten hierfür bekannt und sie können dieser jederzeit widersprechen.
Rechtlich lässt sich ein Versand von Glückwunsch- und Weihnachtskarten und eine hierauf basierende Datenverarbeitung auf die Rechtsgrundlage "berechtigtes Interesse" in Art. 6 Abs. 1 f) DSGVO stützen. Folgende Voraussetzungen müssen hierfür erfüllt sein:
- Die Betroffenen müssen vor der Verarbeitung (z. B. bei Vertragsabschluss) darüber informiert werden (d. h. nur Information, keine Einwilligung!) , dass ihre Daten zum Versand von Glückwunsch- und Weihnachtskarten verwendet werden und auf welchen Weg der Versand (z. B. via E-Mail, SMS) erfolgt.
- Eine Interessenabwägung zwischen den Interessen des Betroffenen und des Unternehmens muss durchgeführt werden. Sofern die Glückwunsch- und Weihnachtskarten keine Werbung enthalten, wird die Interessenabwägung in der Regel zu Gunsten der Interessen des Unternehmens ausfallen. Eine Interessenabwägung erübrigt sich, wenn Kunden vorab bekunden, dass sie dies nicht wünschen. Ein Widerspruch des Kunden ist in jenem Fall zu berücksichtigen.
Ist die Karte zum Zeitpunkt des Widerspruchs bereits verschickt, entsteht für das versendende Unternehmen kein Handlungsbedarf. Der Widerspruch wirkt jedoch für die Zukunft.
Wo finde ich Checklisten, Muster und Tools zur DSGVO?
Im Internet gibt es nicht nur unzählige Mustervorlagen für eine DSGVO-konforme Datenschutzerklärung. Mit vielen nützlichen Tools lässt sich z. B. auch prüfen, ob die aktuelle Webseite eines Unternehmens den Datenschutzbestimmungen der DSGVO standhält.
Praktische Hilfsmittel gibt es hier:
BayLDA
Das Bayerische Landesamt für Datenschutzaufsicht stellt nicht nur einen kostenlosen HTTPS-Check zur Verfügung. Beim Test zur Sicherung des Datenschutzes wird geprüft, ob es eine ausreichende HTTPS-Verschlüsselung gibt, um den Datentransfer zwischen dem Browser des Nutzers und dem Internet-Server des Anbieters abzusichern. Dies ist besonders für Onlineshops wichtig und für Webseiten, die Kontaktdaten und Zahlungsdaten erheben.
Sie wollen sich auf die Anforderungen der Datenschutzgrundverordnung (DSGVO) vorbereiten? Arbeiten Sie den Fragenbogen zum Datenschutz in Ihrem Betrieb ab!
Auf einer Themenseite zum EU-Datenschutz gibt es hier außerdem Checklisten, Mustervorlagen und Tools, die speziell auf kleine Unternehmen und Vereine ausgerichtet sind.
IHK-Fachforum
Das IHK-Fachforum zur Datenschutzgrundverordnung informiert über alle relevanten Vorgaben der DSGVO und gibt hilfreiche Tipps für die Umsetzung. Die Vorträge können Sie hier downloaden.
FAQs zur Datenschutz Grundverordnung DSGVO
Alle Arten von personenbezogenen Daten (pbD) werden durch die DS-GVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um
- Mitarbeiter-,
- Kunden- oder z. B.
- Lieferantendaten handelt.
Für die DS-GVO gilt wie für alle weiteren Datenschutzgesetze: Sie sind immer dann zu beachten, wenn Unternehmen mit sog. „personenbezogenen Daten“ umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „Betroffener“) beziehen lassen.
Beispiele sind: Name, Anschrift sowie Kontaktdaten von Kunden, Vertragspartnern oder Mitarbeitern, Prüfungsnoten, Kontodaten, Daten über das Kaufverhalten eines Kunden, Standortdaten, das Geburtsdatum, Bonitätsdaten.
Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze wie die DS-GVO nicht zu beachten.
Als zentrale Pflicht wird über die DSGVO die sog. Rechenschaftspflicht eingeführt. Dies bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:
- Rechtmäßigkeit
Erarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung)
- Verarbeitung nach Treu und Glauben
Zweckgebundene und verhältnismäßige Datenverarbeitung, keine Verwendung verborgener Techniken
- Transparenz
Keine „heimliche“ Verarbeitung, Gewährleistung der Wahrnehmung der Betroffenenrechte
- Zweckbindung
Zweckfestlegung, d. h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke
Zweckbindung ieS: Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck nicht mehr zu vereinbaren ist.
- Datenminimierung
Beschränkung auf das für den Zweck der Verarbeitung angemessene, sachlich relevante und notwendige Maß
- Richtigkeit der Daten
Verbot der Erhebung oder Speicherung von falschen Daten
Gebot der Aktualisierung unrichtig gewordener Daten und
Gebot der Löschung oder Berichtigung solcher Daten
- Speicherbegrenzung
Konkretisiert Datensparsamkeit in zeitlicher Hinsicht, d. h. eine Speicherdauer ist auf das „unbedingt erforderliche Mindestmaß“ zu beschränken.
- Regelmäßige Prüfung der Zweckerreichung!
- Integrität und Vertraulichkeit
Schutz der Unversehrtheit der Daten
Schutz der Daten vor unbefugter Kenntnisnahme/Verarbeitung
→ Gewährleistung durch technische und organisatorische Maßnahmen zum Schutz der Daten nach Vorgaben der DS-GVO
Startups sollten sich von Beginn an überlegen,
- wie sie ihre Geschäftsprozesse datenschutzkonform gestalten und
- wie sie dies effizient dokumentieren.
Die Rechenschaftspflicht setzt auch bei kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation voraus, um so die Einhaltung des Datenschutzes nachweisen zu können. Damit werden Unternehmen über ein Datenschutz-Managementsystem sicherstellen müssen, dass ihre Geschäftsprozesse datenschutzkonform sind.
Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.
Eine Stolperfalle besteht, sobald sich ein Startup nicht um den Datenschutz kümmert. Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.
Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Dies gilt vor allem bei Verträgen über eine Auftragsverarbeitung. Beauftragende Unternehmen trifft hier eine Prüfpflicht. Sie dürfen nur solche Auftragsverarbeiter einsetzen, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.
Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Die DS-GVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Sie werden nicht nur wie bisher zur Verantwortung für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens gezogen. Sie werden nach DS-GVO zusätzlich für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.
Auch bei Auftragsverarbeitungsverhältnissen wird es neue Haftungsszenarien geben. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DS-GVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.
Zusammenfassung
Seit Inkrafttreten der Datenschutzgrundverordnung haben Verbraucher zweifellos mehr Rechte. Dazu gehören u. a. mehr Transparenz, ein gestärktes Selbstbestimmungsrecht im Umgang mit personenbezogenen Daten und bessere Möglichkeiten, einem Datenschutzverstoß entgegen zu wirken. Unternehmen sehen sich durch die DSGVO jedoch auch neuen Herausforderungen gegenüber, denn ein rechtskonformer Umgang mit Kundendaten ist seit dem 25. Mai 2018 unabdinglich. Dabei alle rechtlichen Aspekte zu berücksichtigen, bedarf einer guten Planung. Schließlich hat es die Europäische Kommission mit dem Gesetzestext sehr genau genommen – das Dokument umfasst mehr als 250 Seiten. Zudem ist das Strafmaß für Unternehmen drastisch erhöht worden. Wer also auf Nummer sicher gehen möchte, muss das eigene Unternehmen in puncto Datenschutz neu aufstellen und sich der Datenschutzrevolution stellen. Dieser Aufwand ist aber auf jeden Fall lohnenswert: Die akkurate Verarbeitung von Kundendaten sorgt nicht nur für ein gutes Vertrauensverhältnis gegenüber Geschäftspartnern, sondern vermeidet auch rechtliche Fallstricke und eventuelle Geldbußen. Schlussendlich wächst Europa mit der DSGVO ein Stück weiter zusammen – von der internationalen und einheitlichen Rechtssicherheit profitieren Verbraucher und Unternehmen gleichermaßen.
IHK-Webinare zum Datenschutz
- IHK-Webinar auf YouTube: Datenschutzgrundverordnung (DS-GVO) in der Unternehmerpraxis
- IHK-Webinar auf YouTube: Datenschutz – Home Office und virtuelle Konferenztools
- IHK-Webinar auf YouTube: Löschen, Anonymisieren und Pseudonymisieren von Daten
- IHK-Webinar auf YouTube: Der richtige Umgang mit Auskunfts- und Schadenersatzansprüchen
- Präsentation - IHK-Webinar: Der richtige Umgang mit Auskunfts- und Schadenersatzansprüchen (15.10.2024)
Dokumente & Downloads
- Checkliste Datenschutzerklärung nach DSGVO
- IHK Leitfaden Datenschutzerklärung
- IHK Vortrag: DSGVO und ihre praktische Umsetzung
- IHK-Vortrag: Home Office
- IT-Sicherheit: sichere Verarbeitung personenbezogener Daten
- Musterformular Löschungsanspruch
- IHK-Merkblatt "Aufbewahrungspflichten für Steuerunterlagen"
- Muster Verzeichnis von Verarbeitungstätigkeiten_BayLDA
- IHK Muster-Informationspflicht nach Art. 13 und 14 DSGVO
- Fragebogen zum Datenschutz
Weitere externe Informationen
- BayLDA: Handreichungen für kleine Unternehmen
- BayLDA: FAQ
- BayLDA: Informationen von A bis Z
- Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
- Muster Datenschutzerklärung nach DSGVO_Prof_Hoeren
- Bitkom e.V.
- Stiftung Datenschutz
- Kleinunternehmen - Stiftung Datenschutz
- Europäischer Datenschutzausschuss (EDPB): Leitfaden für kleine Unternehmen
- BIHK - Webinarreihe Daten in der Praxis
- Bericht der EU-Kommission über die Datenschutz-Grundverordnung (25.07.2024)