Zum Inhalt springen

Datenschutz

Die EU-Datenschutz-Grundverordnung (DSGVO) – aktueller Überblick und Tipps

Die EU-Datenschutz-Grundverordnung (DSGVO) 2022: Erfahren Sie mehr über aktuelle Probleme und Lösungsstrategien im Datenschutz.

Zum Blog Wissen kompakt
Techniker arbeitet mit Laptop an Servern in einem Rechenzentrum.
09. August 2022

Die EU-Datenschutz-Grundverordnung (DSGVO)

Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO) in deutschen Unternehmen. Rechtsanwalt und Datenschutzbeauftragter Tim Günther zieht für diese Zeit ein positives Fazit, allerdings mit Einschränkungen: „In mittelständischen und großen Unternehmen ist die Umsetzung nahezu abgeschlossen. Beim kleineren Mittelstand ist immer noch sehr viel Luft nach oben.“

Hier gehen wir auf zentrale Inhalte der DSGVO und ihre Ausgestaltung durch Gerichtsurteile in der jüngsten Vergangenheit ein. Außerdem beschäftigen wir uns mit den Bereichen, in denen noch oft „Luft nach oben“ ist, und geben Tipps für das Schließen von Datenschutzlücken.

Infografik DSGVO richtig planen

Routine ist entscheidend bei der Umsetzung der DSGVO

Ein Ziel hat die DSGVO laut Tim Günther in jedem Fall erreicht: „Unternehmen sind sensibilisiert für die Themen Datenschutz, Datensicherheit und speziell die Verarbeitung personenbezogener Daten.“

Allerdings gibt es in dieser Beziehung starke Unterschiede. Banken, Krankenkassen oder Versicherungen haben eigene Datenschutzabteilungen, die täglich mit Auskunftsanfragen konfrontiert sind. In vielen mittelständischen Unternehmen ist die Routine im Umgang mit Datenschutzthemen weniger ausgeprägt. Damit steigt das Risiko von Fehlern.

Wichtig: Für die Einhaltung der EU-Datenschutz-Grundverordnung haftet der Vorstand beziehungsweise die Geschäftsführung. Eine Ausnahme besteht, wenn die Geschäftsführung nachweisen kann, dass Beschäftigte grob fahrlässig oder mit Vorsatz gehandelt haben.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Zentrale Bestandteile der DSGVO und ihre Bedeutung für Unternehmen

Folgende Inhalte der DSGVO sind zentral für Unternehmen:

  • Strenge Voraussetzungen für die Bearbeitung personenbezogener Daten: Um rechtmäßig personenbezogene Daten zu bearbeiten, müssen Unternehmen und Behörden eine Reihe an Anforderungen erfüllen. Dazu gehört, dass sie nur die Daten erheben, die für einen klar definierten Zweck benötigt werden. Sie dürfen diese Daten auch nur für festgelegte, eindeutige und legitime Zwecke verarbeiten.
  • Recht auf Vergessenwerden: Unternehmen müssen personenbezogene Daten löschen, wenn diese beispielsweise nicht mehr für den ursprünglichen Zweck notwendig sind oder die betroffene Person ihre Einwilligung widerruft.
  • Auskunftsrecht von Betroffenen: Betroffene können von Unternehmen verlangen, ihnen über personenbezogene Daten Auskunft zu geben. Dieses Auskunftsrecht wurde durch Gerichtsentscheidungen in der jüngsten Vergangenheit präzisiert. Das Resultat fällt, so Tim Günther, sehr betroffenenfreundlich aus. So erstreckt sich das Auskunftsrecht sogar auf interne Aufzeichnungen und auf Unterlagen, welche die/der Betroffene schon hat.
  • Datenschutzbeauftragte: Unter bestimmten Voraussetzungen müssen Unternehmen eine Datenschutzbeauftragte beziehungsweise einen Datenschutzbeauftragten bestellen. Maßgeblich dafür ist laut DSGVO die Kerntätigkeit des Unternehmens. Das Bundesdatenschutzgesetz (BDSG-neu) verlangt außerdem eine solche Position, wenn mindestens 20 Mitarbeitende ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Häufige Stolperstellen im Datenschutz

Während sich vieles über die letzten Jahre und Monate eingespielt hat, einschließlich des datenschutzkonformen Umgangs mit Cookies, sind die folgenden Fehler laut Tim Günther noch verbreitet:

„Ein Löschkonzept existiert zwar, wird aber nicht gelebt.“ Um das festzustellen, reiche meist ein Blick ins eigene E-Mail-Postfach. Dort fänden sich oft Hunderte von Mails, die schon gelöscht sein müssten, weil die darin enthaltenen Daten nicht mehr gebraucht werden.

Dasselbe gelte für Bilder. Viele Verantwortliche in Unternehmen wissen nicht: Wer Fotos von Mitarbeitenden, die das Unternehmen verlassen haben, auf der Unternehmenshomepage oder in unternehmenseigenen Social-Media-Kanälen belässt, riskiert Schadensersatzansprüche.

Apropos Schadensersatzansprüche: Oft entstehen diese aus Fehlern bei der Bearbeitung von Auskunftsansprüchen. Besonders groß ist die Gefahr, wenn die Routine fehlt.

Wichtig in diesem Zusammenhang ist: Arbeitnehmerinnen und Arbeitnehmer stellen in Arbeitsgerichtsprozessen gerne Auskunftsansprüche, zum einen, um sich an ihrem (früheren) Arbeitgeber zu „rächen“, und zum anderen, weil sich damit Geld erstreiten lässt.

Unternehmen müssen Google Webfonts auf lokalen Servern einbinden, um sie datenschutzkonform zu verwenden.

Schließlich gibt es ein spezielles Problem: den Datenverkehr mit Ländern außerhalb der Europäischen Union.

Exkurs: Sonderfall Drittstaatentransfer

An den Transfer personenbezogener Daten in Länder außerhalb der EU (Drittländer bzw. Drittstaaten) stellt die DSGVO besondere Herausforderungen. Vor allem gilt das für sogenannte „unsichere Drittländer“, zu denen die USA gehören. Den EU-US Privacy Shield, der eine Zeit lang als Absicherung für Datentransfers in die USA galt, erklärte der Europäische Gerichtshof (EuGH) 2020 für nicht ausreichend (Schrems II).

Seitdem, stellt Tim Günther fest, sei es „für kaum jemanden greifbar, wie er Daten in die USA transferieren könne“. Das gelte umso mehr, als auch der Abschluss der sogenannten „Standardvertragsklauseln“ aller Voraussicht nach alleine nicht ausreiche.

Die Hoffnung ruht nun darauf, dass die EU und die USA, wie im April 2022 angekündigt, bald mit einem neuen Abkommen für ein sicheres Fundament sorgen. Darin vermutet Tim Günther auch den Grund dafür, dass die Datenschutzbehörden bisher nicht umfassend aktiv werden. Anlass dazu gäbe es genug. Schließlich gibt es allein aufgrund einschlägiger Software kaum Unternehmen, in denen kein Datentransfer in die USA stattfindet.

Internationaler Datenschutz – Tipps

Umsetzen, dokumentieren, auf dem Laufenden bleiben – Tipps für rechtskonformen Datenschutz in Unternehmen

Lässt man das Thema Drittstaatentransfer beiseite, hat Tim Günther eine gute Nachricht für mittelständische Unternehmen: „Im normalen Mittelstand sind Verantwortliche nicht mit Tausenden von Vorgaben konfrontiert. Wenn sie 15 bis 20 zentrale Punkte umsetzen, erfüllen sie etwa 95 Prozent der Datenschutzanforderungen. Absolute Sicherheit gibt es nie.“

Dabei sei neben einer systematischen Umsetzung im Rahmen eines Datenschutzmanagementsystems die Dokumentation der eigenen Maßnahmen entscheidend. Denn mit ihrer Hilfe könnten Verantwortliche in Streitfällen nachweisen, dass sie ihr Möglichstes getan haben.

Außerdem sei es unerlässlich für Datenschutzbeauftragte und andere Verantwortliche, sich regelmäßig über Neuerungen im Datenschutz zu informieren. Für diesen Zweck empfiehlt Tim Günther vier Quellen:

  • Pressemitteilungen von Behörden,
  • Newsletter zum Thema Datenschutz,
  • Update-Fortbildungen nach Art. 37 Abs. 5 DSGVO und
  • LinkedIn-Beiträge von Experten, zum Beispiel Anwälten, die sich auf Datenschutz spezialisiert haben.

Die Schonfrist könnte bald vorbei sein

Seit Inkrafttreten der DSGVO gab es allenfalls kurze Phasen, in denen Datenschutzbehörden auf breiter Front gegen Datenschutzverstöße vorgingen. Der mutmaßliche Personalmangel in Behörden ist ein Grund dafür, die Corona-Pandemie ein anderer.

Doch das könnte sich bald ändern. Wahrscheinlich ist die Schonfrist in naher Zukunft vorbei. Dann könnten die mittelständischen und kleinen Unternehmen ins Visier der Behörden geraten, die Löschkonzepte oder das Auskunftsrecht auf die leichte Schulter nehmen. Damit ist es höchste Zeit, sich über den aktuellen Rechtsstand zu informieren und Schwächen im eigenen Datenschutzmanagementsystem zu beheben.

Unsere Empfehlungen für Sie

Seminar & Webinar

Datenschutzbeauftragter (TÜV)

Unsere erfahrenen Referenten vermitteln Ihnen in unserem Datenschutzbeauftragter-Seminar die Theorie anhand vieler Beispiele aus der Praxis. Am Ende des vierten Tages der Ausbildung haben Sie die Möglichkeit, an einer Prüfung mit dem Zertifikatsabschluss Datenschutzbeauftragter (TÜV®) teilzunehmen.
Zum Seminar & Webinar
Webinar

Datenschutz-Grundlagen

Erfahren Sie alles Wissenswerte zur Umsetzung der Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG).
Zum Webinar
Seminar

Datenschutz, Cookies und Tracking

Mit welchen Rechtsgrundlagen können welche Zwecke legitimiert sein? Wie sehen gängige Lösungen zu deren Umsetzung aus?
Zu der Veranstaltung

Weitere Artikel lesen

Techniker arbeitet mit Laptop an Servern in einem Rechenzentrum.
EU-Datenschutz-Grundverordnung
Laptop mit Datenschutzsymbolen auf dem Bildschirm und Person mit Dokument am Schreibtisch.
DSGVO-Strafe
Zwei IT-Fachkräfte arbeiten gemeinsam an Code auf mehreren Monitoren in einem modernen Büro
Datenschutzfolgenabschätzung
Person programmiert auf einem Laptop, bunte Codezeilen sind auf dem Bildschirm sichtbar.
Datenschutz und Websites
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Porträt von Anna-Lena Bartsch, Produktmanagerin Datenschutz und Informationsmanagement der TÜV NORD Akademie.

Anna-Lena Bartsch

Produktmanagerin Datenschutz und Informationsmanagement, TÜV NORD Akademie GmbH & Co. KG
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-41 / abartsch@tuev-nord.de