8 Wochen DSGVO: Die wichtigsten Fragen & Antworten

Veröffentlicht am Veröffentlicht in Consulting, Datenschutz, Dienstleistungen, Digitalisierung

Seit zwei Monaten gilt nun die EU-Datenschutz-Grundverordnung (kurz: EU-DSGVO) verbindlich für alle Unternehmen. Das umfangreiche Regelwerk bestimmt den Umgang mit personenbezogenen Daten in der Europäischen Union. Zwar findet auch weiterhin das Bundesdatenschutzgesetz Anwendung. Als Europäische Verordnung steht jedoch die DSGVO über nationalem Recht. Nach wie vor herrscht Unsicherheit und die ersten Wochen haben auch zahlreiche skurrile Folgen aufgezeigt.

Die wichtigsten Anforderungen an die DSGVO

  • Mehr Rechte für betroffene Personen, deren Daten gesammelt und gespeichert werden hinsichtlich der Nutzung ihrer Daten
  • Dokumentationspflichten für datenerhebende und -verarbeitende Unternehmen
  • Marktortprinzip: die DSGVO gilt für alle Unternehmen, die in der EU Daten erheben und verarbeiten, auch wenn sie außerhalb der EU ansässig sind
  • Hohe Strafen bei Verstößen von bis zu 20 Millionen Euro bis 4 % des Jahresumsetzes des Unternehmens, je nachdem, welcher Betrag höher ist.

Unternehmen werden für das Sammeln und Nutzen von personenbezogenen Daten zwar stärker in die Verantwortung genommen als zuvor – andererseits bietet sich ihnen aber mit dem neuenDatenschutz zugleich die Chance, bedingt durch die neuen Auflagen die eigene Datenlandschaft besser zu verstehen und zum eigenen Vorteil zu nutzen.

Vorteile für Unternehmen

So ergeben sich für Unternehmen durch die DSGVO einige Vereinfachungen: Zum Beispiel reicht nun ein einfaches Popup-Fenster zur Abfrage beim Nutzer, ob er dem Einsatz von Cookies zustimmt, anstelle des bislang vorgeschriebenen Sammelns von Daten nach dem Listenprivileg. Im Bereich Kundenmanagement (CRM) lassen sich neue, schlankere Prozesse einführen – alles Faktoren, die eine höhere Wettbewerbsfähigkeit befähigen.

Leitfaden DSGVO

Unternehmen müssen sich nicht nur mit den Änderungen vertraut machen, sondern diese auch tatsächlich umsetzen. So können ein späteres Nacharbeiten oder sogar wirtschaftliche Einbußen durch hohe Strafgelder vermieden werden.

Zudem müssen Unternehmen nicht nur den eigenen Umgang mit personenbezogenen Daten prüfen, sondern auch von allen Dienstleistern und Partnern, die solche Informationen bearbeiten oder speichern. Dies gilt unabhängig davon, wo sich diese befinden, da nicht der Ort entscheidend ist, sondern die Tatsache, dass es sich um Daten von EU-Bürgern handelt (das sogenannte Marktortprinzip).

Geltungsbereich der EU-Datenschutzgrundverordnung

1. Wann tritt die EU- Datenschutzgrundverordnung in Kraft?

Die EU-Datenschutz-Grundverordnung ist bereitsam 25. Mai 2016 in Kraft getreten – 20 Tage nach ihrer Veröffentlichung im EU-Amtsblatt. Nach der darin geregelten Übergangsfrist wird sie allerdingserst zwei Jahre nach Inkrafttreten angewandt.Das bedeutet, dass sie nun ab 25. Mai 2018 für alle gilt. Ihre Einhaltung ist ab diesem Zeitpunkt durch die EU-Datenschutzaufsichtsbehörde und die zuständigen Gerichte überprüfbar.

Die zweijährige Übergangsfrist wurde angesetzt, um Unternehmen zu ermöglichen, ihreProzesse und Workflows anzupassen, da EU-Datenschutzbehörden mit dem Eintritt der Geltung im Mai 2018 Sanktionen verhängen können, wenn die Vorgaben der EU-DSGVOnicht oder nicht ausreichend umgesetzt wurden.Die EU-DSGVO konkretisiert viele schon bishergeltenden Normen, harmonisiert die nationalen Datenschutzgesetze und verschärft einige Tatbestände, die die Erhebung, Verarbeitung und Nutzung personenbezogener Daten betreffen.

Wenn Sie als Geschäftsführer/-in, CIO, HR- Manager/-in oder Leiter/-in des Finanz- und Rechnungswesens bisher noch keine Maßnahmen zur Umsetzung der EU-DSGVO eingeleitet haben, sollten Sie jetzt damit starten. Denn eine Umfrage des Branchenverbands Bitkom vom September 2017 ergab, dass bis dahin erst 13 Prozent der Unternehmen entsprechende Maßnahmen eingeleitet hatten. Von diesen 13 Prozent waren sogar nur 19 Prozent der Meinung, mit der Umsetzung der neuen Bestimmungen in ihrem Betrieb bis zum Stichtag fertig zu werden.

2. Was passiert zum Stichtag der EU-DSGVO mit bereits erhobenen Altdaten?

Gemäß Erwägungsgrund 171 (Aufhebung der RL 95/46/EG und Übergangsbestimmungen) gelten alte Einwilligungen zur Datenverarbeitung über den 25. Mai 2018 hinaus, wenn sie bereits den Bedingungen der EU-DSGVO entsprechen. In diesem Fall kann die Verarbeitung fortgesetzt werden.

Folglich sollten sämtliche Onlineformulare, über die die Einwilligungen der Betroffenen zurVerarbeitung ihrer personenbezogenen Datengeneriert werden (z. B. für das Versenden von Newslettern und Werbe-E-Mails sowie das Anlegen eines Benutzerkontos), entsprechend angepasst und eine Zustimmung zur Datenverarbeitung ausschließlich mit einem Double-Opt-in eingeholt werden.

3. Für welche Unternehmen gilt die EU-DSGVO?

Die neue Datenschutzgrundverordnung (EU-DSGVO) der EU gilt ab dem 25. Mai 2018 für alle Unternehmen, die innerhalb der EuropäischenUnion personenbezogene Daten erheben oderverarbeiten. Dabei ist irrelevant, aus welcher Branche das Unternehmen stammt und ob esseinen Sitz innerhalb der Europäischen Union hatoder nicht.

Nach dem sogenannten Marktort-Prinzip werden damit die Daten aller sich in der EU aufhaltenden Personen geschützt, unabhängig davon, ob es sich bei den Betroffenen um EU-Staatsbürger handelt und ob die Unternehmen in der EU ansässig sind oder nicht.

Wichtigste Neuerungen und Anpassungen der EU-Datenschutzgrund-verordnung

1. Was sind die wesentlichen Änderungen, die sich durch die EU-DSGVO ergeben?

  • Einheitlicher europäischer Datenschutz:Ein Kontinent, ein Recht. Nach diesemGrundsatz ersetzt ein einheitliches europäisches Datenschutzrecht
    die verschiedenen Gesetze derMitgliedstaaten. Unternehmen müssen sich nur noch mit einem einzigen und nicht mit 28 unterschiedlichen Gesetzen auseinandersetzen.
  • Geltungsbereich außerhalb der EU:Die Regelungen der EU-DSGVO gelten auchfür Unternehmen, die keine Niederlassung
    in der EU haben, aber EU-Bürgern Waren und Dienstleistungen (einschließlich kostenfreier Waren- und Dienstleistungen wie beispielsweise Social-Media-Angebote) anbieten oder das Verhalten von EU-Bürgern überwachen.
  • Datenschutzgarantien:Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
    sind nunmehr wesentliche Elemente
    der EU-Datenschutzvorschriften.Datenschutzgarantien werden bereitsfrühzeitig in die Entwicklung von Erzeugnissenund Dienstleistungen integriert, unddatenschutzfreundliche Voreinstellungenwerden beispielsweise in sozialen Netzwerkenoder mobilen Apps zur Norm.
  • Personenbezogene Daten:Mit dem gestärkten Datenschutz werden Unternehmen in die Pflicht genommen, personenbezogene Daten angemessen zu schützen. Diese werden definiert als: „alle Informationen über eine bestimmte oder bestimmbare natürliche Person (nachstehend ‚betroffene Person‘ genannt); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“. Diese weite Definition personenbezogener Daten deckt auchInformationen ab, die lediglich indirekt auf Kunden, Konsumenten, Mitarbeiter, Studenten oder Schüler verweisen, sowie jegliche andere Daten über Individuen.
  • Meldungen bei Datenschutzverstößen:Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstöße melden, durch die ein Risiko für den betroffenen Bürger entstanden ist. Zudem muss die betroffene Person so rasch wie möglich über alle mit hohem Risiko behafteten Verstöße informiert werden, damit entsprechend reagiert werden kann. Organisationen müssen die nationalen Behörden bei schweren Datenschutzverletzungen unverzüglich, nämlich innerhalb von 72 Stunden, informieren.
  • Stärkere Durchsetzung der Vorschriften:Datenschutzbehörden können Geldstrafen gegen Unternehmen verhängen, die gegen EU-Vorschriften verstoßen. Diese Geldstrafen können bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens ausmachen. Bußgelder sind allerdings nicht zwingend und müssen dem jeweiligen Einzelfall angemessen verhängt werden sowie verhältnismäßig sein. Allerdings wollen sie ausdrücklich auch abschreckend wirken.

2. Welche Prozesse und Dokumente müssen in Unternehmen jetzt überprüft werden?

Die EU-DSGVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf. Sie sollten ein effektives Datenschutzmanagement-System in Ihrem Unternehmen aufbauen und vor allem die einzelnen Schritte dokumentieren, sodass Sie – speziell gegenüber einer Aufsichtsbehörde– nachweisen können, dass geeignete Strategienund Maßnahmen zur Umsetzung der EU- DSGVO ergriffen wurden. Eine unzureichende Dokumentation der datenschutzrechtlichen Umsetzung der EU-DSGVO kann sich nämlich maßgeblich auf die Höhe eines womöglich im Raum stehenden Bußgeldes auswirken.

Die hier aufgeführten Dokumente müssen seit dem Stichtag 25. Mai 2018 den neuen Bestimmungender EU-DSGVO entsprechen:

  • Datenschutzerklärung, anzupassen an die EU-DSGVO durch eine Erweiterung derInformationspflicht
  • Bestehende Betriebsvereinbarungen,anzupassen an die EU-DSGVO
  • Einwilligungserklärungen (besonders wichtig:die Verschärfungen der formalen Angaben),anzupassen an die EU-DSGVO
  • Widerrufserklärung, anzupassen an die EU-DSGVO
  • Vereinbarungen zur Auftragsdatenerfassung – speziell die Haftungsregelung –, anzupassenan die EU-SDGVO

Folgende Verfahren innerhalb Ihres Unternehmens müssen ebenfalls bis zum Stichtag 25. Mail 2017 an die DSGVO angepasst und ggf. neu aufgesetztwerden:

• Prozess für den Widerruf einerEinwilligungserklärung

• Prozess zur Umsetzung von Widersprüchen

• Prozess bzw. Vorgehen bei Datenpannen

• Prozess der Datenübertragung in ein gängiges elektronisches Format

• Dokumentation der Datenverarbeitungsprozesse im Unternehmen

• Schulungen für die Mitarbeiter zu den Neuerungen im Datenschutz durch dieDSGVO

• Schulungen für die Mitarbeiter zu neuen, an die DSGVO angepassten Prozessen im Unternehmen

3. Mit welchen Bußgeldern ist bei Verstößen gegen die EU-DSGVO zu rechnen?

Im Vergleich zum Bundesdatenschutzgesetzenthält die EU-DSGVO einen deutlichumfangreicheren Bußgeldkatalog. Dieser siehtvor, dass grundsätzlich jede Pflichtverletzung, also jede unzureichende organisatorische und technische Maßnahme zum Schutz von personenbezogenen Daten, seitens derVerantwortlichen oder der Auftragsverarbeiter bußgeldbewehrt ist.

Artikel 83 Abs. 1 verdeutlicht, dass Bußgelder nicht mehr aus der Portokasse bezahlt werden können und „abschreckend“ sein sollen. Die Bußgeldhöherichtet sich gemäß EU-DSGVO nach einem zweistufigen System:

• „Einfachere“ Verstöße können zu einem Bußgeld von bis zu 10 Mio. Euro bzw. in Höhe von bis zu zwei Prozent des gesamten und weltweit erwirtschafteten Jahresumsatzesdes vorangegangenen Geschäftsjahres führen – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4).

• Bei schwerwiegenderen Verstößen und bei Nichtbefolgung einer Anweisung der nationalen Aufsichtsbehörde ist ein Bußgeldvon bis zu 20 Mio. Euro oder in Höhe von bis zu vier Prozent des weltweit erzieltenJahresumsatzes möglich (Art. 83 Abs. 5 und 6). Dies geschieht hier ebenfalls je nach der jeweiligen Höhe des Betrags.

Dabei ist der gesamte Umsatz eines Konzerns bzw. einer Unternehmensgruppe maßgeblich.

Außerdem ist gemäß § 17 Abs. 4 des Gesetzes über Ordnungswidrigkeiten (OWiG) eine Gewinnabschöpfung möglich, wobei die Geldbuße den wirtschaftlichen Vorteil, der aus dem

Verstoß gezogen wurde, übersteigt. So kann das gesetzliche Höchstmaß, sofern es nicht ausreicht, überschritten werden.

Diese Regelungen gelten jedoch nichtabschließend. Gemäß Artikel 84 obliegt es den Mitgliedsstaaten, weitere strafrechtliche Sanktionen und Vorschriften einzuführen, die „wirksam, verhältnismäßig [und ebenfalls] abschreckend“ sein müssen.

4. Was gilt in Zukunft bei der Auftragsdatenverarbeitung?

In der EU-Datenschutz-Grundverordnung wird die Auftragsdatenverarbeitung europaweit einheitlich geregelt. Obwohl sich die neuen Regelungeninhaltlich an der bisherigen Gesetzgebung desBundesdatenschutzgesetzes (BDSG) orientieren,gibt es doch einige Unterschiede, die zu beachtensind.

Was ändert sich mit der EU-DSGVO?

Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Nach Art. 3 EU-DSGVO findet sie „Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

Was muss in einem Vertrag zur Auftragsdatenverarbeitung beachtet werden?

Nach Art. 28 Abs. 3 EU-DSGVO sind folgendePunkte zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten undKategorien der betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugtenPersonen zur Vertraulichkeit
  • Sicherstellung von technischen undorganisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht beiDatenschutzverletzungen
  • Rückgabe oder Löschung personenbezogenerDaten nach Abschluss derAuftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Welche neuen Pflichten hat der Auftragsverarbeiter?

Gemäß Art. 30 Abs. 2 EU-DSGVO müssen Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, musste bislang nur von Auftraggebern geführt werden. Die bekannten Meldepflichten aus dem BDSG bestehen darüber hinaus grundsätzlich fort.

Achtung: Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam!

5. Welche Auswirkungen hat die EU-DSGVO auf die Auftragsdatenverarbeitung in der Cloud?

Auch für die cloudbasierte Auftragsdatenverarbeitung gelten innerhalb der EU die Regelungen der EU-DSGVO. Sowohl der Cloud-Nutzer als verantwortliche Stelle als auch der Cloud-Anbieter bzw. Cloud-Provider müssen geeignete Maßnahmen zum EU-DSGVO- konformen Datenschutz nachweisen. Durch die EU-DSGVO kann allerdings in Zukunft auch der Cloud-Anbieter als Auftrags-Datenverarbeiter
für Datenschutzverletzungen haftbar gemacht werden.

Datenübermittlung via Cloud

Personenbezogene Daten dürfen grundsätzlich in ein Drittland außerhalb der EU übermittelt werden. Dies ist aber nur dann legal, wenn der Cloud-Provider ein EU-DSGVO-konformes Datenschutzniveau nachweisen kann. Er muss somit garantieren, dass die technischen und organisatorischen Maßnahmen auf eine Art und Weise umgesetzt werden, die eine den Anforderungen der Verordnung gemäßeVerarbeitung und den Schutz der Rechte derbetroffenen Person sicherstellt. Dies lässt sichdurch eine der EU-DSGVO entsprechendenZertifizierung, die von der EU-Kommission anerkannt sein muss, nachweisen.

Welche Zertifizierung gilt?

Cloud-Anbieter können sich gemäß dem sogenannten „EU-US Privacy Shield“ zertifizieren lassen. Dieses stellt eine datenschutzrechtlicheAbsprache zwischen der Europäischen Union und den Vereinigten Staaten dar. Sie regelt den Schutz personenbezogener Daten, die von einem Mitgliedsstaat der EU in die USA übermittelt werden. Nach dem sogenannten „Safe-Harbor- Urteil“ besteht derzeit jedoch nicht volle Klarheit darüber, ob Privacy Shield weiterhin Bestand haben wird.
Daher sollte auch die Möglichkeit in Betracht gezogen werden, Cloud-Provider zu wählen, deren Rechenzentren sich auf dem Gebiet der Europäischen Union bzw. des Europäischen Wirtschaftsraumes befinden.

Neue Pflichten für Unternehmen und Nach-kommen bei Bürgerrechten

1. Was kommt bei der Dokumentationspflicht auf Unternemen zu?

Bislang gab es auch im BDSG schon die (öffentlichen) Verfahrensverzeichnisse, für die der Datenschutzbeauftragte zuständig
war. Die EU-DSGVO verlangt jetzt neu ein (nicht mehr öffentliches) „Verzeichnis von Verarbeitungstätigkeiten“, für das der Verantwortliche, also die Unternehmensführung, zuständig ist. Eine Einschränkung besteht für Unternehmen mit weniger als 250 Mitarbeitern, die in bestimmten Fällen kein Verzeichnis führen müssen:

  • Die vorgenommene Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen.
  • Die Datenverarbeitung erfolgt nur gelegentlich.
  • Es werden keine sensiblen Daten verarbeitet.Trifft keiner dieser Fälle zu, wird auch von Unternehmen mit weniger als 250 Mitarbeitern ein entsprechendes Verfahrensverzeichnis verlangt.

Welche Punkte muss ein korrektes Verfahrensverzeichnis enthalten?

• Zweck der Datenverarbeitung

• Fristen für die Löschung der Daten

• Beschreibung der Kategorien der betroffenenPersonen und der personenbezogenen Daten

• Angabe der Kategorien der Empfänger, gegenüber denen die Daten offengelegt werden oder wurden – auch im Ausland

• Beschreibung der technischen und organisatorischen Maßnahmen, die dieDatensicherheit gewährleisten sollen

Es ist weiterhin zulässig, die Erstellung derVerfahrensverzeichnisse an den betrieblichen Datenschutzbeauftragten auszulagern – die Haftung für die korrekte Erstellung liegt aberweiterhin bei den Verantwortlichen, in der Regel also der Unternehmensführung.

2. Welchen Informationspflichten müssen Unternehmen künftig nachkommen?

Für Unternehmen ergibt sich mit der DSGVO ein erheblicher Anpassungsbedarf, um die neuen Informationspflichten zu erfüllen: Sämtliche Rechtstexte wie Einwilligungstexte,Datenschutzinformationen, allgemeine Geschäftsbedingungen oder sonstige Informationstexte (sowohl online als auch offline) sind gemäß den neuen Bestimmungen zu aktualisieren.

Folgende Angaben müssen die Rechtstexte künftigbeinhalten:

  • Namen und Kontaktdaten der verantwortlichen Stellen, gegebenenfalls auch eines nicht in der EU niedergelassenen Vertreters oder desAuftragsverarbeiters
  • Gegebenenfalls Kontaktdaten des Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage derDatenverarbeitung
  • Die Empfänger oder die Kategorien von Empfängern der personenbezogenen Daten, d. h. entweder die Daten eines konkreten Empfängers oder die genaue Angabe einer Kategorie wie z. B. der Werbepartner oder Versandunternehmen
  • Informationen zum Datentransfer in Drittstaaten inklusive der Rechtsgrundlage eines solchen Transfers
  • Angaben zur Dauer der Speicherung personenbezogener Daten sowie zu denKriterien, nach denen sich die Speicherdauer bestimmt
  • Information über das Bestehen des Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde
  • Angaben zur Herkunft der Daten: Werden die Daten nicht direkt bei dem Betroffenen erhoben, muss die Quelle angegeben werden, aus der die Daten stammen
  • Hinweise und Informationen zum Profiling oder gegebenenfalls zu einer anderen Art von automatisierter Einzelfallentscheidung
  • Hinweis, ob der Betroffene gesetzlich oder vertraglich zur Bereitstellung personenbezogener Daten verpflichtet ist oder ob die Bereitstellung der personenbezogenen Daten für einen Vertragsschluss erforderlich ist; zudem Belehrung über die möglichen Folgen einer verweigerten Bereitstellung

3. Wie lange dürfen Daten im Rahmen der EU-DSGVO gespeichert werden?

Jede datenverarbeitende Stelle wird mit der neuen EU-DGSVO verpflichtet zu dokumentieren,welche Daten wie lange gespeichert werden undwarum. Demnach ist keine pauschale Dauer für die Speicherung angegeben.

Grundsätzlich bedeutet das, dass Daten dann zulöschen sind, wenn sie ihren Dienst für die Zwecke getan haben, für die sie ursprünglich erhoben wurden. Sobald die Daten nicht mehr notwendig sind, ist eine Speicherung deshalb nicht mehr gerechtfertigt.

Werden jedoch Daten erhoben und gespeichert,die nicht zu den standardmäßigen Daten gehören (Privacy Default), dann muss in einer entsprechenden Dokumentation ersichtlich werden, aus welchem Grund die Daten gespeichert wurden und in welcher Form die betreffende Person zugestimmt hat.

4. Welche Informationen müssen bei einem Antrag auf Datenauskunft übermittelt werden?

Die Datenschutzgrundverordnung gibt betroffenen Personen das Recht, eine Auskunft über die geplante Speicherdauer der Daten oder Kriterien zur Festlegung der Speicherdauer gespeicherten Daten über sich selbst bei Unternehmen und anderen Stellen einzuholen. Folgende Informationen müssen dann dem Auskunftssuchenden mitgeteilt werden:

  • Gründe für die Datenverarbeitung
  • Kategorien der personenbezogenen Daten
  • Wer hat diese Daten erhalten oder wird sieerhalten?
  • Aufklärung zu Rechten auf Berichtigung, Löschung oder Einschränkung sowie zumWiderspruch gegen die Verarbeitung
  • Aufklärung zur Möglichkeit, sich bei der Aufsichtsbehörde zu beschweren
  • Herkunft der Daten

5. In welchen Fällen gilt das Recht auf „Vergessenwerden“?

Die EU-DSGVO definiert sechs Fälle, in denen Personen das Recht haben, die unmittelbare Löschung ihrer Daten zu verlangen (das sogenannte „Recht auf Vergessenwerden“). Diese treten in den folgenden Fällen ein:

  • Wenn der Grund für die ursprüngliche Erhebung der Daten nicht mehr besteht und die Datenspeicherung damit nicht mehrnotwendig ist
  • Wenn die betroffene Person ihre Einwilligung zur Verarbeitung der Daten widerrufen möchte oder die Rechtsgrundlage für die Verarbeitung der Daten nicht mehr besteht
  • Wenn der Grund für die Verarbeitung der Daten nicht ersichtlich ist und/oder die betroffene Person deshalb Widerspruch gegendie Datenspeicherung einlegt
  • Wenn die personenbezogenen Datenunrechtmäßig erhoben wurden, also ohne entsprechende Einwilligung der betroffenenPerson
  • Wenn die Löschung personenbezogener Daten notwendig ist, um eine rechtliche Verpflichtung nach dem Unionsrecht oder dem Recht des betroffenen EU-Mitgliedsstaates zu erfüllen
  • Wenn es sich bei den erhobenen Daten um die Daten eines Kindes handelt

6. Was ist unter „Betroffenenrechte“ im Rahmen der EU-DSGVO zu verstehen?

Schon zuvor räumte beispielsweise das Bundesdatenschutzgesetz den Dateninhabern umfassende Rechte an ihren Daten ein: Unternehmen waren beispielsweise dazu verpflichtet, die Betroffenen darüber zu unterrichten, welche Daten erhoben und verarbeitet wurden.

Durch die neue EU-DSGVO werden dieseAuskunftspflichten der Unternehmen maßgeblich erweitert und den Dateninhabern bzw. den Betroffenen zusätzliche Rechte zugesprochen, über die sie unaufgefordert zu informieren sind.

Betroffene haben unter anderem das Recht:

  • Sich bei Aufsichtsbehörden (bspw. dem Bundes- oder Landesdatenschutzbeauftragten)zu beschweren
  • Jederzeit ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten zu widerrufen
  • Auf ihre personenbezogenen Daten zuzugreifen
  • Auf Korrektur und Löschung („Recht auf Vergessenwerden“) zu bestehen, wenn Daten an Drittparteien weitergeleitet werden oder wenn Daten automatisiert verarbeitet werden und eine Profilierung vorgenommen wird
  • Bestimmten Arten der Verarbeitung einzeln zu widersprechen, beispielsweise bei Direktmarketing oder ebenfalls bei automatisierter Verarbeitung bzw. Profilierung

Außerdem sind die Dateninhaber von dem jeweiligen Datenverarbeiter darüber zu unterrichten,wie lange die persönlichen Daten gespeichertwerden. Des Weiteren muss ihnen der jeweils bestellte Datenschutzbeauftragte genannt werden.

All diese Informationen müssen Unternehmen den Betroffenen schriftlich mitteilen und sich die Kenntnisnahme bescheinigen lassen. Online kann dies beispielsweise durch eine Checkbox erfolgen, die angeklickt werden muss.

Auswirkungen auf einzelne Prozesse und Geschäftsbereiche IhresUnternehmens

1. Wie wirkt sich die EU-DSGVO auf Onlineshops aus?

Die EU-DSGVO gilt grundsätzlich nach dem Marktortprinzip für alle Unternehmen in den Mitgliedstaaten der EU sowie darüber hinaus für alle Unternehmen weltweit, die innerhalb der EU Waren oder Dienstleistungen anbieten und vermarkten. Damit weitet die EU-DSGVO den Anwendungsbereich der europäischenDatenschutzregeln auf alle Aktivitäten aus, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten.

Ein Beispiel:Ein türkisches Unternehmen bietet EU-Bürgern Waren im Onlineshop an undverarbeitet dabei die personenbezogenen Datendieser Kunden. Das Unternehmen fällt also unter die Richtlinien der EU-DSGVO und muss sich an deren Bestimmungen halten. Auch auf geldfreie Internetangebote wie Suchdienste und soziale Netzwerke wird die EU-DSGVO angewandt.

Das Thema Onlineshop bedarf deshalb unter dem Gesichtspunkt der EU-DSGVO einer besonderen Betrachtung. Wenn Unternehmen beispielsweise einen Onlineshop über einen Drittanbieter betreiben, muss zwingend überprüft werden, ob dieser mit den Datenschutzregeln der EU konform ist. Die Anbieter müssenbeispielsweise bei der Einwilligung in die Verarbeitung personenbezogener Daten und dem Widerruf derselben die Checkboxen und ihre Datenschutzerklärung angepasst haben. Darüber hinaus sollten in einem betroffenen Unternehmen alle Prozesse rund um die Datenverarbeitung überprüft und angepasst worden sein. Neu ist außerdem, dass die EU-DSGVO verlangt, alle Maßnahmen zum Datenschutz zu dokumentieren, damit diese auf Verlangen der zuständigen

Behörden vorgelegt werden können. Wenn Sie als Handelsunternehmen ergänzend zu ihrem Ladengeschäft eine Onlineshop-Lösungdurch einen externen Dienstleister betreiben,sollten Sie überprüfen, ob dieser die EU-DSGVO umsetzt. Andernfalls drohen Ihrem Unternehmen empfindliche Sanktionen. Notfalls muss ein Wechsel des Shopsystems zu einem anderen Anbieter vollzogen werden.

2. Welche Änderungen ergeben sich mit der EU-DSGVO für Werbemaßnahmen?

Viele Änderungen, die mit der EU-DSGVO
in Kraft treten, betreffen insbesondere auch Werbemaßnahmen, etwa die Einwilligung in
die Marketingkommunikation. Hier definiert
die neue Regelung, dass eine eindeutige
und bestätigende Handlung nachgewiesen werden muss. Stillschweigen oder bereits angekreuzte Einwilligungen zur Kommunikation in Kontaktformularen sind damit keine ausreichende Grundlage mehr.

Einwilligungen dürfen außerdem nicht mitDienstleistungen gekoppelt sein, beispielsweiseindem die Einwilligung zur Voraussetzung gemacht wird, um einen Dienst nutzen zu können (sogenanntes Kopplungsverbot).

Ebenso wichtig ist, dass Nutzerinnen und
Nutzer jederzeit die Möglichkeit haben müssen,der Nutzung ihrer Daten zu Werbezwecken zuwidersprechen. Auch dies darf die Zugänglichkeit eines Service dann nicht beschränken.

3. Was ändert sich mit der EU-DSGVO für die Verwendung von Cookies?

Die EU-DSGVO bezieht sich auch auf Cookies, da diese personenbezogene Daten sammeln und speichern. Der genauere Umgang soll im Laufe des Jahres durch die E-Privacy-Verordnung spezifisch geregelt werden. Solange diese noch nicht gilt, ist die EU-DGSVO dennoch in Kraft und schreibt auch den Umgang mit Cookies vor.

Dazu gehört, dass bei der Verwendung von Cookies ein prominent platzierter Hinweis auf der Webseite sichtbar sein muss. Die Datenerhebung und -speicherung durch Cookies müssen den neuen Richtlinien entsprechen, das heißt, sie müssen zweckgebunden sein und dürfen nicht über den notwendigen Zeitraum hinaus stattfinden.

4. Wie wirkt sich die EU-DSGVO auf den Beschäftigtendatenschutz aus?

Die EU-DSGVO regelt auch denBeschäftigtendatenschutz eindringlicher als zuvor. Wie bereits zuvor müssen Beschäftigte ihre Zustimmung zur Datenverarbeitung erteilen, dies muss aber auf freiwilliger Basis und in Schriftform geschehen. Außerdem müssen Beschäftigte über den Zweck der Datenverarbeitung aufgeklärt und auf das Widerrufsrecht hingewiesen werden. Dafür kommen dem Arbeitgeber außerdem besondere Dokumentationspflichten zu, diese Vorgänge entsprechend aufzuzeichnen.

Neu ist außerdem, dass von denDatenschutzregeln nun in gleicher Weise auchLeiharbeiter, Bewerber und ehemalige Mitarbeiter betroffen sind.

Datenschutzkonformitätsicherstellen

1. Wie lässt sich die Sicherheit der Datenverarbeitung gemäß der EU-DSGVO gewährleisten?

Auf das Thema Sicherheit in der Datenverarbeitung verweist die EU-DSGVO in Artikel 32 (Sicherheit der Verarbeitung). Dabei unterscheiden sich grundsätzlich technische Maßnahmen von organisatorischen Maßnahmen zur Datensicherheit.

Die EU-DSGVO nennt insbesonderefolgende Maßnahmen, um die Sicherheitpersonenbezogener Daten zu gewährleisten:

  • Daten pseudonymisieren und verschlüsseln
  • Systeme prüfen sowie deren Verfügbarkeit und Belastbarkeit sicherstellen
  • Vertraulichkeit und Integrität sicherstellen
  • Wiederherstellung von Daten nachphysischem oder technischem Zwischenfallsicherstellen
  • Regelmäßige Evaluierungsverfahren zu den umgesetzten und geplanten technischen und organisatorischen Maßnahmen (TOM) durchführen

2. Welche Bedeutung haben „Do- not-track-Mechanismen“ und „Ende-zu-Ende-Verschlüsselungen“ im Rahmen der EU-DSGVO?

Insbesondere im Rahmen der neuen E-Privacy- Verordnung, die voraussichtlich im Laufe desJahres beschlossen wird, sollen Do-not-track-Mechanismen gestärkt und Ende-zu-Ende- Verschlüsselungen verbindlich zum Standard werden.

Grundsätzlich gibt es aber auch zum jetzigen Zeitpunkt schon eindeutige Regelungen hierzu. Beispielsweise muss auf die Verwendung von

Cookies deutlich und prominent hingewiesen werden. Dass Cookies genutzt werden, muss außerdem in der Datenschutzerklärung erwähnt werden.

Die Ende-zu-Ende-Verschlüsselung ist derzeitnoch nicht vorgeschrieben, eine entsprechendeRegelung wird aber im Laufe des Jahres erwartet. Wir empfehlen daher, bereits jetzt entsprechende Vorbereitungen abzustimmen.

3. Was bedeutet DPIA – Data Protection Impact Assessment?

DPIA, das sogenannte „Data Protection Impact Assessment“, lässt sich mit einer sogenannten „Datenschutz-Folgenabschätzung“ gleichsetzen. Dabei wird abgewogen, inwiefern eine Form

der Datenverarbeitung ein hohes Risiko für die Freiheiten und Rechte natürlicher Personen nachsich zieht, sodass der Datenschutz beeinträchtigtwerden könnte.

Gemäß Artikel 35, Absatz 3 der DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich,sobald:

  • Persönliche Aspekte natürlicher Personen automatisiert verarbeitet sowie umfassend und systematisch bewertet werden, damit Entscheidungen getroffen werden können, die gegenüber diesen Personen eine rechtliche Wirkung entfalten bzw. diese in ähnlichgravierender Weise beeinträchtigen
  • Von personenbezogenen Daten besondereKategorien (beispielsweise ethnische Herkunft, politische Meinungen, weltanschauliche
    oder religiöse Überzeugungen sowiegenetische oder biometrische Daten) oder personenbezogene Daten über Straftaten und Verurteilungen verarbeitet werden (darf nur unter behördlicher Aufsicht passieren oder wenn es nach Unionsrecht bzw. nach dem Recht der Mitgliedsstaaten zulässig ist)
  • Öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden

Welche Richtlinien müssen Unternehmen beachten, um DPIA korrekt umzusetzen?

Eine korrekte Datenschutz-Folgenabschätzungin Unternehmen muss mindestens die hier aufgeführten Kriterien enthalten:

1. Eine exakte Beschreibung sowohl dergeplanten Verarbeitungsvorgänge, der Verarbeitungszwecke als auch der berechtigten Interessen des Verantwortlichen

2. Die Dokumentation von Notwendigkeit und Verhältnismäßigkeit der jeweiligen Erhebungpersonenbezogener Daten

3. Eine Evaluierung der Risiken, die für die Freiheiten und Rechte der Betroffenenentstanden sind

4. Die geplanten Abhilfemaßnahmen zur Bewältigung und Minderung dieser Risiken,beispielsweise Sicherheitsvorkehrungen und Garantien

4. Was bedeutet PIA – Privacy Impact Assessment?

PIA, das sogenannte „Privacy Impact Assessment“, analysiert die Datenverarbeitung systematischdahingehend, inwieweit sie die Privatsphäre und den Datenschutz gewährleistet. Es handelt sich um eine Risikoabschätzung bzw. eine sogenannte „Datenschutz-Folgenabschätzung“. Dies bedeutet, dass in bestimmten Fällen bei Datenverarbeitungen aus Sicht der Betroffenen evaluiert werden soll, inwiefern ein Risiko für die Rechte und Freiheiten für jede einzelne Person durch die Datenverarbeitung besteht.

Für die Durchführung impliziert Artikel 35 der DSGVO eine zweistufige Prüfung. Zum einenhaben die verarbeitenden Stellen einzuschätzen,ob durch die Datenverarbeitung für die Betroffenen voraussichtlich ein hohes Risiko entsteht. Zum anderen müssen sowohl die genauen Prozesse

der Datenerhebung und -verarbeitung als auchdie geplanten Maßnahmen zur Risikominderung beschrieben werden. Verantwortliche sollen daher für jeden Erhebungsprozess eruieren, was getan werden kann, um das jeweilige Risiko der Datenverarbeitung zu vermindern.

Die EU-DSGVO schreibt eine Datenschutz- Folgenabschätzung in diesen Fällen vor:

• Wenn persönliche Aspekte natürlicher Personen automatisiert und systematisiertverarbeitet und bewertet werden und esdeshalb zu Entscheidungen kommen kann, die gegenüber diesen Personen eine rechtliche Wirkung entfalten bzw. diese auf vergleichbareWeise einschränken

• Wenn zu natürlichen Personen besondere Kategorien, z. B. politische Meinungen,religiöse und weltanschaulicheÜberzeugungen, ethnische Herkunft sowie genetische und biometrische Daten oder Informationen über Straftaten undVerurteilungen verarbeitet werden

• Wenn öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden

5. Was bedeuten „Privacy by Design“ und „Privacy by Default“?

„Privacy by Design“ heißt übersetzt „Datenschutz durch Technikgestaltung“. Um gemäß den Artikeln 5 und 32 der EU-DSGVO eine konforme Organisation des Datenschutzes über den gesamten Lebenszyklus der personenbezogenen Daten etablieren zu können, müssen von der Konzeption bis zur Überwachung bzw. Verarbeitung technische und organisatorische Lösungen umgesetzt werden, die dem aktuellen „State of the Art“ entsprechen. Auf diese Weise sollDatenschutzverletzungen durch entsprechendeMaßnahmen vorgebeugt werden. Dieses Prinzip bezeichnen Experten als „Privacy by Design“ oder eben „Datenschutz durch Technikgestaltung“.

Damit eng verbunden ist das sogenannte „Privacy by Default“, womit der Grundsatz der Datensparsamkeit gemeint ist. Alle Datenerhebungen sollen demnach individuell auf das jeweils notwendige Minimum reduziert werden. Zudem sollen möglichst der zugriffsberechtigte Personenkreis beschränkt und sämtliche Daten pseudonymisiert und verschlüsselt werden. Letzteres ist insbesondere dann wichtig, wennDaten durch datenverarbeitende Dienstanbieteroder in einer Cloud ausgewertet werden.

6. Was beinhaltet die „E-Privacy- Verordnung“, und wann tritt sie in Kraft?

Bei der E-Privacy-Verordnung handelt es sich umeine europaweite Regelung zur elektronischenKommunikation, die in nationales Recht umgesetzt wird. Sie ergänzt außerdem die EU- Datenschutzgrundverordnung (EU-DGSVO) vom Mai 2018. Die E-Privacy-Verordnung wird jedoch derzeit noch in der Europäischen Union verhandelt. Hierfür müssen sich die EU-Kommission, das EU-Parlament und der EU-Rat einigen. DieVerhandlungen dazu werden voraussichtlich in derzweiten Jahreshälfte stattfinden.

Seit dem Stichtag 25. Mai 2018, an dem die neue EU-DGSVO in Kraft getreten ist, gilt deshalb zunächst die bisherige E-Privacy-Verordnung. Diese regelt unter anderem, wie Tracking im Internet stattfinden darf.

Fazit

Mit der Europäischen Datenschutzgrundverordnung wurden die gesetzlichen Datenschutzregelungen EU-weit auf einen einheitlichen Stand gebracht. Dies soll den Bürgern mehr Kontrolle über Ihre Daten und allen Unternehmen gleiche Wettbewerbsbedingungen ermöglichen. Dies bedeutet für Unternehmen insgesamt aber stark verschärfte Dokumentations- und Rechenschaftspflichten.

Da die Einhaltung des Datenschutzes als kontinuierliche Aufgabe zu sehen ist, ist für die europäischen Firmen unabdingbar, sich langfristig mit den neuen Prozessen auseinanderzusetzen.
Die korrekte Einhaltung der DSGVO wird ein fortlaufender Prozess sein, der kontinuierlich umgesetzt werden muss.

 

Quelle: https://www.sage.com/de