Controlling Steuern und Recht

Was ist neu an der Datenschutz-Grundverordnung (DSGVO)?

Die neue Datenschutz-Grundverordnung (DSGVO) wird im Mai 2018 wirksam. Der Verbraucherschutz wird darin gestärkt und für Verstöße drohen hohe Bußgelder. Viele Unternehmen sind unzureichend auf die neue Rechtslage vorbereitet. Wir erklären, was sich in Zukunft für den Datenschutz ändert.

18. Oktober 2017 750 Aufrufe

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung EU-weit in Kraft. Höchste Zeit für IT-Unternehmen und ihre Kunden, sich auf die neue Rechtslage einzustellen.

Dennoch wird Ende 2018 mindestens die Hälfte der Unternehmen, für die die DSVGO gilt, die Anforderungen nicht vollständig erfüllen können. Diese Bilanz zieht die Gartner-Studie „Focus on Five High-Priority Changes to Tackle the EU GDPR“.

DSGVO: Worum geht es?

Datenschutz ist in Deutschland und der EU – zum Glück – nichts Neues. Hierzulande wurde der Datenschutz bisher vor allem vom Bundesdatenschutzgesetz (BDSG) geregelt. Übrigens wird dieses ebenfalls novelliert und als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Die neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen

Eines sei vorweg gesagt: Wer das BDSG ernst genommen und seine Compliance-Hausaufgaben gemacht hat, hat mit den Regelungen der DSGVO wenig Probleme. Nur leider haben viele KMU in Deutschland diese Hausaufgaben bisher nur oberflächlich erledigt.

Denn die bisherigen Sanktionsmöglichkeiten waren nicht hoch: Die Maximalstrafe für Verstöße lag bei 300.000 Euro. Manche Unternehmen kamen nach kurzem Nachrechnen zu dem Schluss, dass die Strafe weniger kostet als eine IT-Umstellung – und ließen es darauf ankommen.

Das ändert sich jetzt. Nach der neuen DSGVO können Strafen bis zu vier Prozent des globalen Konzernumsatzes oder bis zu 20 Millionen Euro erhoben werden.

DSGVO: Was ist neu?

Die möglichen, empfindlichen Bußgelder wurden bereits weiter oben erwähnt. Doch welche Neuerungen hält die DSGVO sonst noch bereit?

Einwilligung nachweisen

Wenn Unternehmen personenbezogene Daten speichern, müssen sie dazu die Einwilligung der Betroffenen einholen. Sie müssen den Zweck der Verarbeitung angeben und dürfen später nicht davon abweichen.

Datenminimierung

Personenbezogene Daten dürfen nur soweit gespeichert werden, wie es dem Zweck angemessen ist. Die Menge der Daten muss auf das für die Verarbeitung notwendige Maß beschränkt sein.

Speicherbegrenzung

Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Verarbeitungszweck erforderlich ist.

Übertragbarkeit der Daten

Ein Kunde kann verlangen, dass ein Unternehmen alle Daten, die es von ihm gespeichert hat, an Dritte übergibt. Das soll z. B. den Anbieterwechsel für Verbraucher vereinfachen.

Vertraulichkeit

Bei der Verarbeitung muss die Sicherheit personenbezogener Daten gewährleistet sein. Das bedeutet: Es darf kein unbefugter Zugriff stattfinden und auch kein Verlust und keine Beschädigung oder Zerstörung der Daten.

Recht auf Korrektur

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten müssen unverzüglich korrigiert oder gelöscht werden.

Recht auf Vergessenwerden

Jeder kann verlangen, dass die über ihn gespeicherten Daten gelöscht werden. Das gilt auch dann, wenn der Betreffende vorher der Speicherung seiner Daten zugestimmt hatte. Dabei dürfen keine Spuren der Daten im System zurückbleiben (Backups, Links oder dergleichen). Es genügt also in der Regel nicht, einfach den Datensatz zu löschen.

Keine Koppelung

Das bereits im BDSG bestehende Koppelungsverbot wurde verschärft. So darf z. B. eine Teilnahme an einer Umfrage nicht mehr an ein Newsletter-Abo gekoppelt sein. Abstrakter ausgedrückt: Zusatzleistungen dürfen nicht mehr daran geknüpft sein, dass jemand in die Verarbeitung seiner Daten einwilligt.

Datenschutz-Folgenabschätzung

Im alten BDSG hieß diese noch „Vorabkontrolle“. Gemeint ist, dass der Datenschutzbeauftragte die Risiken der Datenspeicherung für die Persönlichkeitsrechte der Betroffenen einschätzen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgeben soll. Besondere Brisanz hat dies, wenn die Daten dazu dienen, Personen zu bewerten und zu beurteilen, und wenn dafür besonders sensible Daten erhoben werden, wie etwa Religion, ethnische Herkunft, politische Einstellung, Gesundheitsdaten, Bonität usw.

One-Stop-Shop

Beschwerden können an die Datenschutzbehörde des jeweiligen EU-Staates gerichtet werden – unabhängig davon, in welchem Land sich der Verstoß ereignete. Auch Unternehmen wenden sich an die Datenschutzbehörde des Landes, in denen sie ihren Hauptsitz haben.

Transparenz und Auskunftsrecht

Jedes Unternehmen muss dokumentieren, wie es personenbezogene Daten erhebt, verwendet und verarbeitet. Es muss Verbraucher „leicht zugänglich und in einfacher Sprache“ über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung ihrer Daten informieren. Eventuell könnte eine Zertifizierung oder ein Datenschutzsiegel das Publikum über den Datenschutzstandard aufklären.

Rechenschaftspflicht

Unternehmen sind verpflichtet, nicht nur neue Prozesse und Richtlinien für personenbezogene Daten einzuführen, sondern auch deren Einhaltung zu überwachen. Regelmäßige, dokumentierte Kontrollen weisen nach, dass die Einhaltung der Datenschutzgrundsätze jetzt und in Zukunft gewährleistet ist.

Meldepflicht innerhalb von 72 Stunden

Datenschutzverletzungen müssen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Wenn der Vorfall schwerwiegende Folgen für Persönlichkeitsrechte haben kann, müssen auch alle betroffenen Personen informiert werden.

Starker Datenschutzbeauftragter

Jedes Unternehmen, bei dem mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt sind, muss einen Datenschutzbeauftragten benennen. Dessen Position und Zuständigkeiten werden deutlich gestärkt. Er ist verantwortlich für die Einhaltung der DSGVO, die Entwicklung von Datenschutzstrategien, die Unterweisung und Schulung von Mitarbeitern und die Kommunikation mit der Datenschutzbehörde. Ein Novum: Der Datenschutzbeauftragte haftet persönlich!

Einstellung des Geschäftsbetriebs

In besonders schweren Fällen kann ein Verbot der Datenverarbeitung ausgesprochen werden. Für IT-Unternehmen wäre das faktisch das Aus. Ein solcher Extremfall wäre z. B. gegeben, wenn sich große Sicherheitslücken auftun oder das Unternehmen die Zusammenarbeit mit der Aufsichtsbehörde verweigert.

Immaterielle Schäden

In den Gesetzestext wurden jetzt auch immaterielle Schäden aufgenommen. Dazu gehören z. B. Rufschädigung oder Identitätsdiebstahl. Auch in diesen Fällen können also künftig hohe Geldbußen verhängt werden.

Beweislast-Umkehr

Das Unternehmen muss nachweisen können, dass es geeignete technische und organisatorische Maßnahmen (TOM) für den Datenschutz getroffen hat. Anders als früher liegt die Beweislast beim Unternehmen und nicht beim Kunden.

Technischer Datenschutz

Die IT-Systeme müssen so ausgelegt sein, dass die Einhaltung der DSVGO möglich ist. Die Verordnung fordert daher „Privacy by Design“ und „Privacy by Default“. Das bedeutet, dass der Datenschutz bereits bei der Softwareentwicklung berücksichtigt werden muss – vom ersten Entwurf bis hin zur Implementierung. Software muss mit datenschützenden Default-Einstellungen ausgeliefert werden. Dazu gehören z. B. Speicherfristen und Zugriffssteuerung.

Fazit

Wer sich noch nicht mit der DSGVO befasst hat, muss jetzt Gas geben: Ab Mai 2018 müssen alle Unternehmen, die personenbezogene Daten erfassen und verarbeiten, verschärfte Anforderungen erfüllen: Die Verbraucherrechte werden gestärkt, unter anderem durch ein „Recht auf Vergessenwerden“. Technische und organisatorische Maßnahmen müssen die DSGVO-Compliance sicherstellen – Stichwort „Security by Design“. Die Beweislast dafür trägt fortan das Unternehmen. Und die Rolle des Datenschutzbeauftragten wird massiv ausgebaut.

Wir zeigen Ihnen, wie Sie von der Digitalisierung profitieren.

Kostenlose Beratungsanfrage

Das könnte Sie auch interessieren: