MENU

EU-Datenschutz-Grundverordnung (DSGVO): Das müssen Sie wissen

Jetzt zu den Seminaren und sich weiterbilden!
  1. Bildung
  2. Themenwelten: Weiter denken ‒ Wissen entwickeln
  3. Datenschutz
  4. EU-Datenschutz-Grundverordnung: Das müssen Sie wissen

Die EU-Datenschutz-Grundverordnung (DSGVO) – eine Einführung

25. Mai 2018 – das ist der Stichtag: Zu diesem Zeitpunkt muss die neue EU-Datenschutz-Grundverordnung (DSGVO) in Unternehmen in die Praxis umgesetzt sein. Sie soll nicht allmählich eingeführt, sondern genau zu diesem Stichtag angewandt werden. Bis dahin haben Sie Zeit, sich auf die neue Verordnung und ihre Umsetzung vorzubereiten.

Die DSGVO ist mit knapp hundert Paragrafen ein umfangreiches Gesetz. Sie vereinheitlicht die unterschiedlichen Datenschutzniveaus in den EU-Mitgliedsländern. Das wollen nicht nur internationale Konzerne, sondern auch kleinere Unternehmen und Mittelständler, die mit Geschäftspartnern im Ausland zu tun haben. Das DSGVO widmet sich deshalb ausführlich dem Datenschutz bei der Kommunikation über Landesgrenzen hinweg.

DSGVO: Datenschutz wird immer wichtiger

Wenn Sie dem Thema Datenschutz in Ihrer Firma bislang schon große Bedeutung beimessen, dann ist der Schritt zur Umsetzung der DSGVO nicht mehr so groß. Wenn Datenschutz keine hohe Priorität hatte, dann ist es höchste Zeit, sich intensiv damit auseinanderzusetzen. Wenn Sie zum Beispiel in der Vergangenheit bereits das Standard-Datenschutzmodell eingeführt haben, dann können Sie darauf aufbauen. Andernfalls ist es eine gute Methode, um die Ziele der DSGVO im Datenschutzmanagement zu verankern.

Für die korrekte Einführung der Datenschutz-Grundverordnung haftet der Vorstand beziehungsweise der Geschäftsführer. Die EU-Kommission hat die Bußgelder drastisch hochgesetzt, um die Durchsetzungskraft des Gesetzes zu verstärken. Dabei wurde der Rahmen auf bis zu 10 Millionen Euro erhöht. Das Gesetz sieht sogar Strafzahlungen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Dabei ist die höhere Summe entscheidend. In bestimmten Fällen sind also sogar Milliardenbußgelder möglich.

Bußgelder: Lidl-Millionen waren eine Ausnahme

Das ist eine deutliche Verschärfung der bisherigen Rechtslage. Bislang waren in Deutschland maximal 300.000 Euro möglich. Die Millionenzahlungen, die beispielsweise gegen Lidl in der Vergangenheit verhängt wurden, kamen durch eine Besonderheit zustande. In diesem Fall sprachen die Behörden Strafen gegenüber mehreren Lidl-Vertriebsgesellschaften aus, die sich schließlich auf fast 1,5 Millionen Euro summierten.

DSGVO: Auch Personen können klagen

In Zukunft haben nicht nur die Aufsichtsbehörden, sondern auch Einzelpersonen die Möglichkeit, materielle und immaterielle Schäden durch missbräuchliche oder unerlaubte Verwendung ihrer Daten einzuklagen. Dabei sieht die DSGVO vor, dass die Beweispflicht beim Unternehmen liegt. Außerdem ermöglicht die Verordnung auch die Verbandsklage, das heißt, Verbraucherschutzorganisationen können gegen Datenschutzverstöße gerichtlich vorgehen.

Unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, ist der Dreh- und Angelpunkt der DSGVO. Grundsätzlich ist die Datenverarbeitung nämlich unzulässig – wie in den Vorläufern der DSGVO, der EU-Datenschutzrichtlinie und dem Bundesdatenschutzgesetz (BDSG). Sie ist nur unter bestimmten Umständen erlaubt, die die DSGVO zum Teil neu fasst. Dabei haben es die Unternehmen auf den ersten Blick künftig leichter. Denn die EU-Verordnung enthält im Vergleich zum BDSG wesentlich weniger Regelungen. Diese Bedingungen sind aber allgemeiner gefasst. Das heißt, viele Details werden erst im Laufe der Zeit mit weiteren Kommentierungen wirklich praxistauglich.

Zustimmung zur Datenverarbeitung ist immer erforderlich

Die Einwilligung der betroffenen Person „sollte durch eine eindeutige, bestätigte Handlung erfolgen“, heißt es in der DSGVO. Damit bekundet der Betroffene „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“, dass er mit der Verarbeitung seiner Daten einverstanden ist. Das kann schriftlich, mündlich oder elektronisch erfolgen. „Stillschweigen, bereits angekreuzte Internet-Kästchen oder Untätigkeit“ sind keine Einwilligungen im Sinne der DSGVO. Übrigens sind Jugendliche ab 16 Jahren nun „einwilligungsfähig“.

Wenn die Erlaubnis vorliegt, dann dürfen wie früher die Daten von natürlichen Personen gespeichert werden. Das umfasst neben Namen auch Adresse, Hobbys und Standortdaten. Als personenbezogene Daten werden nun ausdrücklich IP-Adressen und Cookies bezeichnet. Damit trägt die DSGVO zur Klärung einer bisher uneinheitlichen Rechtsprechung bei.

Sonderregelungen für besonders schutzwürdige Daten

Daneben gelten Sondervorschriften für die Verarbeitungen von personenbezogenen Daten, zum Beispiel rund um das Thema Gesundheit, Religion und ethnische Abstammung. Das betrifft auch Daten im Zusammenhang mit Straftaten oder Verurteilungen. Für besonders kritische Bereiche wie das Profiling, die massenhafte Verarbeitung sensitiver Daten und die ausgedehnte Überwachung von öffentlichen Räumen mit Videosystem muss eine Datenschutz-Folgenabschätzung durchgeführt werden, die die Risiken für die Betroffenen detailliert analysiert.

Für die korrekte Umsetzung im Unternehmen ist der Datenschutzbeauftragte zuständig. Ihm kommt im ganzen Procedere eine wichtige Rolle zu. Denn die DSGVO ist „technologieneutral“, das heißt, die Verordnung gilt für das gesamte Unternehmen und nicht nur für seine Internetaktivitäten. Der Datenschutz wird also immer stärker in alle Abläufe integriert. Darüber hinaus sind bei Online-Geschäftsmodellen und bei der Webseiten-Gestaltung einige Besonderheiten zu beachten.

DSGVO: Schulungen und Fachseminare helfen weiter

Unterstützung für Ihre verantwortungsvolle Tätigkeit erhalten Sie in unseren Fachseminaren. Dort vermitteln Ihnen Experten, welche Änderungen im Vergleich zum Bundesdatenschutzgesetz (BDSG) anstehen. Sie erhalten konkrete Vorschläge und Umsetzungstipps, wie Sie die neuen Anforderungen realisieren können. Leitfäden helfen Ihnen, den Änderungsprozess zu begleiten. Checklisten unterstützen Sie, die Ergebnisse zu kontrollieren.

Sie haben direkte Fragen und möchten sich über unser Seminarangebot informieren? Hier finden Sie die richtige Ansprechpartnerin.

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen