MENU

DSGVO – die EU-Datenschutz-Grundverordnung

  1. Bildung
  2. Wissen kompakt
  3. Datenschutz
  4. EU-Datenschutz-Grundverordnung (DSGVO)

Die EU-Datenschutz-Grundverordnung (DSGVO) – eine Einführung

Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO) und muss in allen Unternehmen in die Praxis umgesetzt sein. Eine allmähliche Einführung der DSGVO findet nicht statt. Stattdessen muss die europäische Datenschutzgrundverordnung genau zu diesem Stichtag angewandt werden. Umso wichtiger ist es, sich mit den Anforderungen der Datenschutz-Grundverordnung vertraut zu machen, um sie dem Datenschutzgesetz 2018 entsprechend anwenden zu können.

Die DSGVO ist mit knapp hundert Paragrafen ein umfangreiches Gesetz. Sie vereinheitlicht die unterschiedlichen Datenschutzniveaus in den EU-Mitgliedsländern. Das wollen nicht nur internationale Konzerne, sondern auch kleinere Unternehmen und Mittelständler, die mit Geschäftspartnern im Ausland zu tun haben. Das neue EU-Datenschutzgesetz 2018 widmet sich deshalb ausführlich dem Datenschutz bei der Kommunikation über Landesgrenzen hinweg.

DSGVO: Datenschutz wird immer wichtiger

Wenn Sie dem Thema Datenschutz in Ihrer Firma bislang schon große Bedeutung beimessen, dann ist der Schritt zur Umsetzung der Datenschutz-Grundverordnung nicht mehr so groß. Wenn Datenschutz für Sie bislang keine hohe Priorität hatte, dann ist es höchste Zeit, sich intensiv mit der neuen Datenschutzverordnung auseinanderzusetzen. Wenn Sie zum Beispiel in der Vergangenheit bereits das Standard-Datenschutzmodell eingeführt haben, dann können Sie darauf aufbauen. Andernfalls ist es eine gute Methode, um die Ziele der DSGVO im Datenschutzmanagement zu verankern.

Für die korrekte Einführung der EU-Datenschutz-Grundverordnung haftet der Vorstand beziehungsweise der Geschäftsführer. Die EU-Kommission hat die Bußgelder drastisch hochgesetzt, um die Durchsetzungskraft des europäischen Datenschutzgesetzes zu verstärken. Dabei wurde der Rahmen auf bis zu zehn Millionen Euro erhöht. Das Datenschutzgesetz 2018 sieht sogar Strafzahlungen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Dabei ist die höhere Summe entscheidend. In bestimmten Fällen sind bei Verstößen gegen die die DSGVO also sogar Milliardenbußgelder möglich.

Datenschutz-Grundverordnung: die Haftung des Geschäftsführers

Die juristische Verantwortung für die ordnungsgemäße Umsetzung der DSGVO trägt der Vorstand beziehungsweise der Geschäftsführer eines Unternehmens. Bei Verstößen können die Aufsichtsbehörden nicht nur die hohen Bußgeldzahlungen verhängen. Unter Umständen haften die Verantwortlichen auch persönlich: Das heißt, sie müssen mit ihrem Privatvermögen einstehen.

EU-DSGVO: auch Personen können klagen

In Zukunft haben nicht nur die Aufsichtsbehörden, sondern auch Einzelpersonen die Möglichkeit, materielle und immaterielle Schäden durch missbräuchliche oder unerlaubte Verwendung ihrer Daten einzuklagen. Dabei sieht die DSGVO vor, dass die Beweispflicht beim Unternehmen liegt. Außerdem ermöglicht die EU-Datenschutz-Grundverordnung 2018 auch die Verbandsklage. Das heißt, Verbraucherschutzorganisationen können gegen Datenschutzverstöße gerichtlich vorgehen.

Unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, ist der Dreh- und Angelpunkt der DSGVO. Grundsätzlich ist die Datenverarbeitung nämlich unzulässig – wie in den Vorläufern der DSGVO, der EU-Datenschutzrichtlinie und dem Bundesdatenschutzgesetz (BDSG). Sie ist nur unter bestimmten Umständen erlaubt, welche die DSGVO zum Teil neu fasst. Dabei haben es die Unternehmen auf den ersten Blick künftig leichter. Denn die EU-Datenschutzgrundverordnung enthält im Vergleich zum BDSG wesentlich weniger Regelungen. Diese Bedingungen sind aber allgemeiner gefasst. Das heißt, viele Details werden erst im Laufe der Zeit mit weiteren Kommentierungen wirklich praxistauglich.

Zustimmung zur Datenverarbeitung ist nach der DSGVO immer erforderlich

Die Einwilligung der betroffenen Person „sollte durch eine eindeutige, bestätigte Handlung erfolgen“, besagt die neue Datenschutzverordnung. Damit bekundet der Betroffene „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“, dass er mit der Verarbeitung seiner Daten einverstanden ist. Das kann schriftlich, mündlich oder elektronisch erfolgen. „Stillschweigen, bereits angekreuzte Internet-Kästchen oder Untätigkeit“ sind keine Einwilligungen im Sinne der DSGVO. Übrigens sind Jugendliche ab 16 Jahren nun „einwilligungsfähig“.

Wenn die Erlaubnis vorliegt, dann dürfen wie früher die Daten von natürlichen Personen gespeichert werden. Das umfasst neben Namen auch Adresse, Hobbys und Standortdaten. Als personenbezogene Daten gelten im EU-Datenschutz nun ausdrücklich IP-Adressen und Cookies. Damit trägt die EU-Datenschutzverordnung zur Klärung einer bisher uneinheitlichen Rechtsprechung bei.

DSGVO-Sonderregelungen für besonders schutzwürdige Daten

Daneben gelten Sondervorschriften für die Verarbeitungen von personenbezogenen Daten, zum Beispiel rund um das Thema Gesundheit, Religion und ethnische Abstammung. Das betrifft auch Daten im Zusammenhang mit Straftaten oder Verurteilungen. Für besonders kritische Bereiche wie das Profiling, die massenhafte Verarbeitung sensitiver Daten und die ausgedehnte Überwachung von öffentlichen Räumen mit Videosystemen muss laut Datenschutz-Grundverordnung eine Datenschutz-Folgenabschätzung durchgeführt werden, welche die Risiken für die Betroffenen detailliert analysiert.

Für die korrekte Umsetzung der DSGVO im Unternehmen ist der Datenschutzbeauftragte zuständig. Ihm kommt im ganzen Prozedere eine wichtige Rolle zu. Denn das DSGVO-Gesetz ist „technologieneutral“, das heißt, die Datenschutzverordnung gilt für das gesamte Unternehmen und nicht nur für seine Internetaktivitäten. Der europäische Datenschutz wird 2018 also immer stärker in alle Abläufe integriert. Darüber hinaus sind bei Online-Geschäftsmodellen und bei der Webseiten-Gestaltung einige Besonderheiten zu beachten.

DSGVO: Der Datenschutzbeauftragte bleibt in Deutschland Pflicht

Die DGSVO kennt übrigens keine Pflicht zur Benennung eines Datenschutzbeauftragten. Nach dem EU-Recht ist nur dann ein Datenschutzbeauftragter notwendig, wenn die Kerntätigkeit des Unternehmens die personenbezogene Datenverarbeitung ist. Das heißt also, die Firma erstellt Profile, erhebt Gesundheitsdaten oder hat mit Daten im Zusammenhang mit strafrechtlichen Verfahren zu tun. Dagegen sieht das deutsche Anpassungsgesetz wie bisher einen Datenschutzbeauftragten zwingend vor. In Deutschland müssen also Verantwortliche in Unternehmen ab zehn Mitarbeitern weiterhin diese Position schaffen.

Bei den Planungen für die Umsetzung der DSGVO bieten Checklisten Hilfe, mit denen Datenschutzbeauftragte die Thematik konsequent abarbeiten können. Solche Übersichten finden Sie in diversen Foren, Fachaufsätzen oder Blogs.

 

Die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) in der Praxis

Die Umsetzung der neuen EU-Datenschutz-Grundverordnung (DSGVO) ist eine enorme Herausforderung für Verantwortliche und Datenschutzbeauftragte. Nicht nur, dass die Thematik komplex ist, und sich vieles gegenüber der bisherigen Rechtsprechung ändert – auch die Vorgehensweise hat es in sich: Die Unternehmen müssen die neuen Regelungen quasi per Schalterumlegen zum Stichtag am 25. Mai 2018 einführen. Sie müssen sich also parallel zu den bestehenden Prozessen auf die neue Situation vorbereiten.

Wie Sie die Umsetzung der Datenschutz-Grundverordnung richtig planen

Um die DSGVO in Ihrem Unternehmen richtig einzuplanen, sollten Sie sechs verschiedene Schritte durchführen, die Sie der nachfolgenden Grafik entnehmen können. Im Anschluss möchten wir Ihnen die einzelnen Schritte gerne näher erläutern.



Machen Sie sich die Umsetzung der neuen DSGVO leichter: bilden Sie Teams

Stellen Sie als Erstes Projektteams zusammen. Neben den Mitarbeitern, die mit Datenschutz im Unternehmen zu tun haben, sollten auch Vertreter von IT, Recht, Revision und Compliance beteiligt sein – so lautet der Rat von Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells. Je nach Größe der Firma sollten Sie das Thema auf Konzernebene bearbeiten, sodass einheitliche Standards im ganzen Unternehmen sichergestellt sind. Nächster Schritt für die Planung der DSGVO ist die Definition der Projektziele, die vom Management abgesegnet werden müssen.

Zur Ressourcenplanung gehört auch ein angemessenes Budget. Da die Einführung der Datenschutz-Grundverordnung ein Projekt von erheblicher Tragweite ist, sollten Sie es auch mit entsprechenden finanziellen Mitteln ausstatten. Bei der Festlegung sollten die Verantwortlichen auch die drohenden Bußgelder bedenken, die bei Verstößen gegen die EU-DSGVO drohen.

Grundlage für das weitere Handeln ist eine gründliche Risikoanalyse der Datenverarbeitung. Die Risiken müssen nach ihrer Eintrittswahrscheinlichkeit und dem Ausmaß der negativen Folgen bewertet werden. Es folgt eine Prüfung der Möglichkeiten zur Risikovermeidung oder -verringerung.

Ist-Zustand mit Soll-Zustand abgleichen: Die Gap-Analyse

Nach der Bestandsaufnahme folgen Überlegungen zur Umsetzung. Dabei muss das Rad nicht komplett neu erfunden werden. In vielen Bereichen können Sie auf bestehende Strukturen aufbauen. Deshalb ist ein strukturierter Abgleich des derzeitigen Ist-Zustands mit dem künftigen Soll-Zustand wichtig. Die Gap-Analyse ist ein wichtiger Baustein für die weitere Projektplanung.

Aufgrund der DSGVO müssen viele Firmen dem Datenschutz einen höheren Stellenwert einräumen. Im Zusammenhang damit ist es wichtig, dass das Management intern klar kommuniziert. Größere Unternehmen sollten eventuell entsprechende firmeninterne Datenschutzrichtlinien einführen, rät Wybitul.

Interne Schulung: Bereiten Sie Ihre Mitarbeiter auf die DSGVO vor

Auch die Belegschaft sollte auf die neue EU-Datenschutz-Grundverordnung vorbereitet werden. Die DSGVO sieht ausdrücklich die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ durch den Datenschutzbeauftragten vor.

Passende Seminare zu diesem Thema

Haben Sie Fragen?

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen