Was du über die EU Datenschutz-Grundverordnung wissen solltest – Das sind die Änderungen
Vermutlich kannst du dich noch an den 25. Mai 2018 erinnern. An diesem Tag stand weder dein Hochzeitstag an, noch feierte Tante Erna ihren Siebzigsten. Vielmehr war das der Tag, an dem die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft trat. Mit dieser neuen Verordnung änderte sich einiges für alle Dienstleister. Wer sich dachte: „Ach, das betrifft ja nur große Unternehmen!“ – weit gefehlt! Hier erfährst du, welche Änderungen die DSGVO mit sich brachte und warum es so wichtig ist, die neuen Richtlinien einzuhalten.
Was sind diese personenbezogenen Daten, von denen alle reden?
Fangen wir mal von vorne an: Die EU Datenschutz-Grundverordnung löste die Verordnung zum Datenschutz von 1995 ab. Sie gilt für alle Unternehmen mit Sitz in der EU sowie für alle Unternehmen, die persönliche Daten von EU-Bürgern verarbeiten. Das Ziel ist es, den Schutz der personenbezogenen Daten zu vereinheitlichen. Doch was steckt eigentlich hinter diesem Begriff? Laut § 3 Abs. 1 des Bundesdatenschutzgesetzes handelt es sich bei personenbezogenen Daten um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Kurz und knapp: Alle Daten, die sich auf eine Person beziehen und Rückschlüsse auf deren Persönlichkeit erlauben. Dazu zählen zum Beispiel allgemeine Personendaten wie Name, Adresse oder Geburtsdatum, aber auch die Steueridentifikationsnummer, Bankdaten, IP-Adresse, Haarfarbe, Kfz-Kennzeichen und vieles mehr. Besondere Kategorien der personenbezogenen Daten sind beispielsweise die ethnische Herkunft, politische Ansichten oder Gesundheitsinformationen.
Die EU Datenschutz-Grundverordnung: Das sind die Änderungen
Die neue Verordnung, die mit der DSGVO in Kraft trat, ist für Nicht-Juristen – und teilweise sogar für Juristen – schlecht durchschaubar. Damit du nicht im Dunklen tappst, haben wir die wichtigsten Punkte der EU Datenschutz-Grundverordnung gesammelt. Dazu erklären wir dir, was sie für dich konkret bedeuten. Den genauen Gesetzestext findest du übrigens hier.Wie gut sind deutsche Unternehmen vorbereitet?
Eine DSGVO-Studie des Eco-Verbands der Internetwirtschaft ergab folgende Ergebnisse:
- Für 22% der regelmäßig angeschriebenen E-Mails gibt es keine rechtlich ausreichende Einwilligung
- 6 % der Unternehmen haben die vorgeschriebenen schriftlichen Prozessdokumentationen implementiert
- 39% der Firmen müssen noch Prozesse zur Auskunftserteilung, Löschung und Berichtigung von Daten einführen
- 29% müssen noch die Vorgehensweise für die automatisierte Verarbeitung personenbezogener Daten überprüfen
- 68% der Befragten geben an, die Grundsätze für Datensparsamkeit zu erfüllen
Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist grundsätzlich verboten, außer man erhält die Erlaubnis durch ein Gesetz oder die Einwilligung der Person.
Das heißt für dich:
Möchtest du Daten erheben, die beispielsweise nicht für einen Vertrag notwendig sind, musst du dir eine schriftliche Einwilligung einholen. Außerdem musst du den Kunden über den genauen Zweck der Datenerhebung, -verarbeitung und -nutzung informieren.
Datensparsamkeit
Du darfst nur so wenig Daten wie möglich sammeln und verarbeiten.
Das heißt für dich: Für die Warenlieferung an einen Kunden benötigst du seine Anschrift, aber nicht sein Geburtsdatum oder gar seine Haarfarbe.
Zweckbindung
Die erhobenen Daten dürfen nur für den genannten Zweck und nicht ohne Zweck verwendet werden.
Das heißt für dich: Wenn du beispielsweise eine E-Mail-Adresse erhältst, um einem Kunden einen Vertrag zuzuschicken, dann darfst du ihm anschließend keine Werbung zusenden.
Datenrichtigkeit
Die gespeicherten Daten müssen inhaltlich sowie sachlich korrekt sein. Außerdem musst du diese immer auf dem aktuellen Stand halten.
Das heißt für dich: Sobald ein Kunde eine neue Adresse hat, musst du sie auch in deinem System ändern und sicherstellen, dass dies in allen Systemen und Unterlagen geschieht.
Datensicherheit
Es müssen alle technischen sowie organisatorischen Maßnahmen getroffen werden, um eine angemessene Datensicherheit zu bieten. Dabei werden der Stand der Technik, Implementierungskosten, Art, Umfang sowie eine Risikoanalyse berücksichtigt. Die Schutzbedürftigkeit orientiert sich auch an der Art der personenbezogenen Daten.
Das heißt für dich: Du musst alles in deiner Macht Stehende tun, um die Daten deiner Kunden ausreichend zu schützen – beispielsweise durch Verschlüsselung, Passwortschutz oder abgestufte Zugriffsberechtigung.
Recht auf Vergessenwerden
Die personenbezogenen Daten müssen gelöscht werden, wenn für die Verwendung kein Zweck und keine Rechtsgrundlage mehr vorliegt.
Das heißt für dich: Sobald der Zweck wegfällt, für den die Daten erhoben wurden, musst du diese löschen. Genauso verhält es sich auch, wenn die Einwilligung widerrufen wird oder die Verarbeitung unrechtmäßig war. Ausnahmen sind zum Beispiel steuerrechtliche Aufbewahrungspflichten.
Rechenschaftspflicht
Auf eine entsprechende Aufforderung hin musst du die Einhaltung aller Richtlinien der EU Datenschutz-Grundverordnung nachweisen können.
Das heißt für dich: Du musst alle Einhaltungen der Anforderungen dokumentieren. Darauf gehen wir später nochmal näher ein. Die Dokumentation ist aber das A und O der DSGVO.
Einwilligung zur Datenverarbeitung einholen
Wenn du personenbezogene Daten sammelst und verarbeitest, musst du dafür eine mündliche, schriftliche oder elektronische Einwilligung einholen. Dabei musst du den Verarbeitungszweck so konkret wie möglich aufführen. Eine Einwilligung für alle Zwecke ist nicht zulässig und der Kunde muss die gegebene Einwilligung jederzeit widerrufen dürfen.
Das heißt für dich: Da die Einwilligung zur Datenverarbeitung nachweisbar sein muss, solltest du diese am besten schriftlich oder elektronisch einholen. Eine mündliche Einwilligung wird schwierig zu belegen sein. Wenn du dir das Einverständnis zur Datenverarbeitung durch ein Double Opt-In holst, darf das Kästchen nicht automatisch angehakt sein. Ein einfaches Opt-In reicht nicht aus, da die Angabe der E-Mail-Adresse durch einen unbefugten Dritten erfolgen kann.
Alte Einwilligungen
Wenn du dich an die Anforderungen des Bundesdatenschutzgesetzes und Telemediengesetzes gehalten hast, bestehen die datenschutzrechtlichen Einwilligungen auch weiter. Außerdem müssen diese dokumentiert sein.
Das heißt für dich: Hol dir sicherheitshalber die erneute Einwilligung deiner Kunden ein.
Datenschutzerklärung anpassen
Alle Websitebetreiber müssen ihre Datenschutzerklärung anpassen. Die neue Version soll präzise, transparent, verständlich sowie leicht zugänglich sein. Des Weiteren muss sie in einer klaren und einfachen Sprache verfasst sein und die Rechtsgrundlagen der Datenverarbeitung benennen.
Das heißt für dich: Du musst für deine Website eine neue Datenschutzerklärung verfassen (lassen). Es gibt verschiedene Generatoren, die dir dabei helfen können – zum Beispiel:
- https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
- https://www.activemind.de/datenschutz/datenschutzhinweis-generator/
Auftragsverarbeitung
Wer personenbezogene Daten von einem externen Auftragnehmer erheben, verarbeiten oder nutzen lässt, muss sicherstellen, dass auch dieser die Richtlinien einhält und dies dokumentieren.
Das heißt für dich: Wenn du personenbezogene Daten beispielsweise an einen Steuerberater, eine Marketingagentur oder einen elektronischen Bezahldienst weitergibst, musst du dafür sorgen, dass auch hier die EU Datenschutz-Grundverordnung eingehalten wird. Du bleibst verantwortlich dafür, dass alles eingehalten wird.
Datenschutzbeauftragter
Alle Unternehmen, die mit besonderen Kategorien von Daten arbeiten, benötigen eine Datenschutzbeauftragten. Das gilt auch für solche, deren Kerntätigkeit eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ umfasst. Alle anderen Unternehmen benötigen nur dann einen Datenschutzbeauftragten, wenn mehr als neun Angestellte (Freelancer, Praktikanten etc. zählen auch dazu) mit der ständigen Verarbeitung personenbezogene Daten beschäftigt sind.
Das heißt für dich: Die ersten beiden Punkte treffen vermutlich nicht auf dein Unternehmen zu. Dann ist es entscheidend, wie viele deiner Angestellten Zugriff auf die Kundendaten haben.
Datenschutz-Pflichten für Arbeitgeber
Auch der Beschäftigtendatenschutz spielt bei der neuen Verordnung eine große Rolle. Hier dürfen ebenfalls nur so viele Daten gesammelt werden, wie man benötigt. Anderenfalls ist eine schriftliche Einwilligung erforderlich, die jederzeit widerrufbar ist. Außerdem gilt auch die Dokumentationspflicht.
Das heißt für dich: Die Daten deiner Beschäftigten und Bewerber musst du genauso sorgfältig wie die Daten deiner Kunden behandeln. Auch hier gelten Aufbewahrungspflichten und maximale Aufbewahrungszeiten.
2 Hilfsmittel, um die Europäische Datenschutz-Grundverordnung einzuhalten
Vermutlich sitzt du gerade mit glühendem Kopf vor deinem PC und fragst dich: Wie zum Teufel soll ich das alles einhalten und umsetzen? Die Änderungen, die die EU Datenschutz-Grundverordnung mit sich bringt, haben es in sich. Wichtig ist nun, strukturiert an die Sache heranzugehen.
1. Verzeichnis der Verarbeitungstätigkeiten
Lege dir eine Tabelle an, in der du erfasst, welche personenbezogene Daten wann, wie und warum erhoben wurden. Je nach Art der Verarbeitung – wie Lohnbuchhaltung, Kundenverwaltung, Vertrieb etc. – benötigst du eine Tabelle. So kannst du jederzeit deiner Nachweispflicht nachkommen.
So könnte die Liste aussehen:
Name und Kontaktdaten des Verantwortlichen, des Vertreters sowie des etwaigen Datenschutzbeauftragten
Zweck der Verarbeitung
Rechtsgrundlage
Kategorie der betroffenen Personen
Empfänger der Daten
Übermittlung an Dritte/Drittstaaten
Löschfristen
Technische sowie organisatorische Maßnahmen zum Schutz
Werden die Daten anonymisiert/pseudonymisiert
Wie erfolgte die Einwilligung des Betroffenen?
2. Prozesse festlegen
Halte den Weg der personenbezogenen Daten in deinem Unternehmen schriftlich fest – von der Erhebung über die Speicherung und Nutzung bis zur Löschung. Lege außerdem eine Liste an, in der du alle mit der Datenverarbeitung verbundenen Prozesse dokumentierst und ggf. auch optimierst.
Was passiert, wenn du die Datenschutz-Grundverordnung nicht einhältst?
Mit der DSGVO treten auch neue Strafen für das Nichteinhalten der Richtlinien in Kraft. Im schlimmsten Fall muss das Unternehmen hierfür 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes zahlen – je nachdem, was höher ist. Du siehst: Die Europäische Datenschutz-Grundverordnung solltest du nicht ignorieren!
Datenschutz mit Shore
Privatsphäre steht bei Shore an oberster Stelle. Unsere Vision ist es, deinen Geschäftsalltag zu vereinfachen, wozu selbstverständlich auch ein DSGVO-konformes Arbeiten zählt. Deshalb haben wir die Anforderungen der DSGVO intensiv analysiert und all unsere Prozesse und Abläufe auf den Prüfstand gestellt. Unsere Software, Verträge und Dokumentationen wurden entsprechend ergänzt, um den bestmöglichen Schutz deiner Daten und der deiner Kunden zu gewährleisten.
Bitte beachten: Mit dieser Website möchten wir unseren Kunden nützliche Ratschläge zur DSGVO geben. Es handelt sich hierbei nicht um eine umfassende Anleitung oder eine rechtliche Empfehlung. Jede Organisation sollte für sich die notwendigen Schritte unternehmen, um ihre DSGVO-Compliance zu gewährleisten.