Na, hast du den 25. Mai 2018 schon rot im Kalender markiert? Noch nicht? Dann wird es aber Zeit! An diesem Tag steht weder dein Hochzeitstag an, noch feiert Tante Erna ihren Siebzigsten. Vielmehr ist das der Tag, an dem die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft tritt. Mit dieser neuen Verordnung ändert sich einiges für dich als Dienstleister. Wer sich denkt: „Ach, das betrifft ja nur große Unternehmen!“ – weit gefehlt! Hier erfährst du, welche Änderungen auf dich zukommen und warum es so wichtig ist, die neuen Richtlinien einzuhalten. Für alle, die gleich loslegen wollen, haben wir eine Checkliste zusammengestellt. Und los geht’s!

Was sind diese personenbezogenen Daten, von denen alle reden?

Fangen wir mal von vorne an: Die EU Datenschutz-Grundverordnung löst die Verordnung zum Datenschutz von 1995 ab. Sie gilt für alle Unternehmen mit Sitz in der EU sowie für alle Unternehmen, die persönliche Daten von EU-Bürgern verarbeiten. Das Ziel ist es, den Schutz der personenbezogenen Daten zu vereinheitlichen. Doch was steckt eigentlich hinter diesem Begriff? Laut § 3 Abs. 1 des Bundesdatenschutzgesetzes handelt es sich bei personenbezogenen Daten um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Kurz und knapp: Alle Daten, die sich auf eine Person beziehen und Rückschlüsse auf deren Persönlichkeit erlauben. Dazu zählen zum Beispiel allgemeine Personendaten wie Name, Adresse oder Geburtsdatum, aber auch die Steueridentifikationsnummer, Bankdaten, IP-Adresse, Haarfarbe, Kfz-Kennzeichen und vieles mehr. Besondere Kategorien der personenbezogenen Daten sind beispielsweise die ethnische Herkunft, politische Ansichten oder Gesundheitsinformationen.

Die EU Datenschutz-Grundverordnung: Das sind die Änderungen

Die neue Verordnung, die mit der DSGVO in Kraft tritt, ist für Nicht-Juristen – und teilweise sogar für Juristen – schlecht durchschaubar. Doch die Uhr tickt! Der 25. Mai 2018 kommt näher und die Änderungen müssen bis zu diesem Tag umgesetzt sein. Damit du nicht im Dunklen tappst, haben wir die wichtigsten Punkte der EU Datenschutz-Grundverordnung gesammelt. Dazu erklären wir dir, was sie für dich konkret bedeuten. Den genauen Gesetzestext findest du übrigens hier.

Wie gut sind deutsche Unternehmen vorbereitet?

Eine DSGVO-Studie des Eco-Verbands der Internetwirtschaft ergab folgende Ergebnisse:

  • Für 22% der regelmäßig angeschriebenen E-Mails gibt es keine rechtlich ausreichende Einwilligung
  • 6 % der Unternehmen haben die vorgeschriebenen schriftlichen Prozessdokumentationen implementiert
  • 39% der Firmen müssen noch Prozesse zur Auskunftserteilung, Löschung und Berichtigung von Daten einführen
  • 29% müssen noch die Vorgehensweise für die automatisierte Verarbeitung personenbezogener Daten überprüfen
  • 68% der Befragten geben an, die Grundsätze für Datensparsamkeit zu erfüllen

Verbot mit Erlaubnisvorbehalt

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist grundsätzlich verboten, außer man erhält die Erlaubnis durch ein Gesetz oder die Einwilligung der Person.

Das heißt für dich: Möchtest du Daten erheben, die beispielsweise nicht für einen Vertrag notwendig sind, musst du dir eine schriftliche Einwilligung einholen. Außerdem musst du den Kunden über den genauen Zweck der Datenerhebung, -verarbeitung und -nutzung informieren.

Datensparsamkeit

Du darfst nur so wenig Daten wie möglich sammeln und verarbeiten. 

Das heißt für dich: Für die Warenlieferung an einen Kunden benötigst du seine Anschrift aber nicht sein Geburtsdatum oder gar seine Haarfarbe.

Zweckbindung

Die erhobenen Daten dürfen nur für den genannten Zweck und nicht ohne Zweck verwendet werden.

Das heißt für dich: Wenn du beispielsweise eine E-Mail-Adresse erhältst, um einem Kunden einen Vertrag zuzuschicken. Dann darfst du ihm anschließend keine Werbung zusenden.

DSGVO Neuerungen Datenschutz 2018

Datenrichtigkeit

Die gespeicherten Daten müssen inhaltlich sowie sachlich korrekt sein. Außerdem musst du diese immer auf dem aktuellen Stand halten.

Das heißt für dich: Sobald ein Kunde eine neue Adresse hat, musst du sie auch in deinem System ändern und sicherstellen, dass dies in allen Systemen und Unterlagen geschieht.

Datensicherheit

Es müssen alle technischen sowie organisatorischen Maßnahmen getroffen werden, um eine angemessene Datensicherheit zu bieten. Dabei werden der Stand der Technik, Implementierungskosten, Art, Umfang sowie eine Risikoanalyse berücksichtigt. Die Schutzbedürftigkeit orientiert sich auch an der Art der personenbezogenen Daten.

Das heißt für dich: Du musst alles in deiner Macht Stehende tun, um die Daten deiner Kunden ausreichend zu schützen – beispielsweise durch Verschlüsselung, Passwortschutz oder abgestufte Zugriffsberechtigung.

Recht auf Vergessenwerden

Die personenbezogenen Daten müssen gelöscht werden, wenn für die Verwendung kein Zweck und keine Rechtsgrundlage mehr vorliegt.

Das heißt für dich: Sobald der Zweck wegfällt, für den die Daten erhoben wurden, musst du diese löschen. Genauso verhält es sich auch, wenn die Einwilligung widerrufen wird oder die Verarbeitung unrechtmäßig war. Ausnahmen sind zum Beispiel steuerrechtliche Aufbewahrungspflichten.

Rechenschaftspflicht

Auf eine entsprechende Aufforderung hin musst du die Einhaltung aller Richtlinien der EU Datenschutz-Grundverordnung nachweisen können.

Das heißt für dich: Du musst alle Einhaltungen der Anforderungen dokumentieren. Darauf gehen wir später nochmal näher ein. Die Dokumentation ist aber das A und O der DSGVO.

Einwilligung zur Datenverarbeitung einholen

Wenn du personenbezogene Daten sammelst und verarbeitest, musst du dafür eine mündliche, schriftliche oder elektronische Einwilligung einholen. Dabei musst du den Verarbeitungszweck so konkret wie möglich aufführen. Eine Einwilligung für alle Zwecke ist nicht zulässig und der Kunde muss die gegebene Einwilligung jederzeit widerrufen dürfen.

Das heißt für dich: Da die Einwilligung zur Datenverarbeitung nachweisbar sein muss, solltest du diese am besten schriftlich oder elektronisch einholen. Eine mündliche Einwilligung wird schwierig zu belegen sein. Wenn du dir das Einverständnis zur Datenverarbeitung durch ein Double Opt-In holst, darf das Kästchen nicht automatisch angehakt sein. Ein einfaches Opt-In reicht nicht aus, da die Angabe der E-Mail-Adresse durch einen unbefugten Dritten erfolgen kann.

Alte Einwilligungen

Wenn du dich an die Anforderungen des Bundesdatenschutzgesetzes und Telemediengesetzes gehalten hast, bestehen die datenschutzrechtlichen Einwilligungen auch weiter. Außerdem müssen diese dokumentiert sein.

Das heißt für dich: Hol dir sicherheitshalber die erneute Einwilligung deiner Kunden ein.

Datenschutzerklärung anpassen

Alle Websitebetreiber müssen ihre Datenschutzerklärung anpassen. Die neue Version soll präzise, transparent, verständlich sowie leicht zugänglich sein. Des Weiteren muss sie in einer klaren und einfachen Sprache verfasst sein und die Rechtsgrundlagen der Datenverarbeitung benennen.

Das heißt für dich: Du musst für deine Website eine neue Datenschutzerklärung verfassen (lassen). Es gibt verschiedene Generatoren, die dir dabei helfen können – zum Beispiel:

neuer Datenschutz in der EU

Auftragsverarbeitung

Wer personenbezogene Daten von einem externen Auftragnehmer erheben, verarbeiten oder nutzen lässt, muss sicherstellen, dass auch dieser die Richtlinien einhält und dies dokumentieren.

Das heißt für dich: Wenn du personenbezogene Daten beispielsweise an einen Steuerberater, eine Marketingagentur oder einen elektronischen Bezahldienst weitergibst, musst du dafür sorgen, dass auch hier die EU Datenschutz-Grundverordnung eingehalten wird. Du bleibst verantwortlich dafür, dass alles eingehalten wird.

Datenschutzbeauftragter

Alle Unternehmen, die mit besonderen Kategorien von Daten arbeiten, benötigen eine Datenschutzbeauftragten. Das gilt auch für solche deren Kerntätigkeit eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ umfasst. Alle anderen Unternehmen benötigen nur dann einen Datenschutzbeauftragten, wenn mehr als neun Angestellte (Freelancer, Praktikanten etc. zählen auch dazu) mit der ständigen Verarbeitung personenbezogene Daten beschäftigt sind.

Das heißt für dich: Die ersten beiden Punkte treffen vermutlich nicht auf dein Unternehmen zu. Dann ist es entscheidend, wie viele deiner Angestellten Zugriff auf die Kundendaten haben.

Datenschutz-Pflichten für Arbeitgeber

Auch der Beschäftigtendatenschutz spielt bei der neuen Verordnung eine große Rolle. Hier dürfen ebenfalls nur so viele Daten gesammelt werden, wie man benötigt. Anderenfalls ist eine schriftliche Einwilligung erforderlich, die jederzeit widerrufbar ist. Außerdem gilt auch die Dokumentationspflicht.

Das heißt für dich: Die Daten deiner Beschäftigten und Bewerber musst du genauso sorgfältig wie die Daten deiner Kunden behandeln. Auch hier gelten Aufbewahrungspflichten und maximale Aufbewahrungszeiten.

2 Hilfsmittel, um die Europäische Datenschutz-Grundverordnung einzuhalten

Vermutlich sitzt du gerade mit glühendem Kopf vor deinem PC und fragst dich: Wie zum Teufel soll ich das alles einhalten und umsetzen? Die Änderungen, die die EU Datenschutz-Grundverordnung mit sich bringt, haben es in sich. Wichtig ist nun, strukturiert an die Sache heranzugehen.

1. Verzeichnis der Verarbeitungstätigkeiten

Lege dir eine Tabelle an, in der du erfasst, welche personenbezogene Daten wann, wie und warum erhoben wurden. Je nach Art der Verarbeitung – wie Lohnbuchhaltung, Kundenverwaltung, Vertrieb etc. – benötigst du eine Tabelle. So kannst du jederzeit deiner Nachweispflicht nachkommen.

So könnte die Liste aussehen:

  • Name und Kontaktdaten des Verantwortlichen, des Vertreters sowie des etwaigen Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Kategorie der betroffenen Personen
  • Empfänger der Daten
  • Übermittlung an Dritte/Drittstaaten
  • Löschfristen
  • Technische sowie organisatorische Maßnahmen zum Schutz
  • Werden die Daten anonymisiert/pseudonymisiert
  • Wie erfolgte die Einwilligung des Betroffenen?

2. Prozesse festlegen

Halte den Weg der personenbezogenen Daten in deinem Unternehmen schriftlich fest – von der Erhebung über die Speicherung und Nutzung bis zur Löschung. Lege außerdem eine Liste an, in der du alle mit der Datenverarbeitung verbundenen Prozesse dokumentierst und ggf. auch optimierst.

Was passiert, wenn du die Datenschutz-Grundverordnung nicht einhältst?

Mit der DSGVO treten auch neue Strafen für das Nichteinhalten der Richtlinien in Kraft. Im schlimmsten Fall muss das Unternehmen hierfür 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes zahlen – je nachdem, was höher ist. Du siehst: Die Europäische Datenschutz-Grundverordnung solltest du nicht ignorieren!

Datenschutz mit Shore

Wir möchten deine Daten bestmöglich schützen. Daher überarbeiten wir bei Shore gerade alle internen Prozesse und Abläufe. Außerdem arbeiten wir mit Hochdruck daran, dass alle gesetzlichen Anforderungen umgesetzt werden. Wir werden den Kunden beispielsweise einen Auftragsverarbeitungs-Vertrag im Produkt zur Verfügung stellen wie auch die Möglichkeit eines Double Opt-Ins für den Newsletterversand. Dazu kommen höhere Anforderungen an die Passwörter.

Ready for DSGVO? Eine Checkliste für alle Änderungen

Damit du am 25. Mai 2018 startklar bist, haben wir dir eine Checkliste für die EU Datenschutz-Grundverordnung zusammengestellt. So kannst du alle erledigten Punkte abhaken und vergisst keinen wichtigen Punkt.

DSGVO Checkliste downloaden

Solltest du Fragen zur Umsetzung der neuen Verordnung haben oder dir in einigen Punkten nicht sicher sein, lohnt es sich einen Rechtsanwalt hinzuzuziehen.

Bitte beachten: Mit dieser Website möchten wir unseren Kunden nützliche Ratschläge zur DSGVO geben. Es handelt sich hierbei nicht um eine umfassende Anleitung oder eine rechtliche Empfehlung. Jede Organisation sollte für sich die notwendigen Schritte unternehmen, um ihre DSGVO-Compliance zu gewährleisten.