Die Europäische Datenschutz-Grundverordnung (DSGVO)

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU) und hat
  • die Schaffung eines gleich hohen Datenschutzniveaus innerhalb der EU-Staaten (bisher konnten Unternehmen Standorte mit weniger strengen Datenschutzvorgaben wählen) und
  • eine stärkere Kontrolle und Transparenz der Verarbeitung personenbezogener Daten
zum Ziel.
Die DSGVO gilt seit 25. Mai 2018 europaweit und löste in Deutschland das biis dahin geltende Bundesdatenschutzgesetz (BDSG) ab. Gleichzeitig mit der DSGVO trat das BDSG-neu in Kraft. Dieses Gesetz regelt den Datenschutz allerdings nur soweit wie die DSGVO vorsieht, dass bestimmte Datenschutzbereiche auf nationaler Ebene geregelt werden dürfen oder müssen (sogenannte „Öffnungsklauseln“). Die Vorschriften des BDSG-neu finden keine Anwendung, soweit die DSGVO unmittelbar gilt (§ 1 Absatz 5 BDSG-neu), da eine EU-Verordnung Vorrang gegenüber nationalem Recht hat.
Den vollständigen Text der DSGVO finden Sie auf der Internetseite der EU.

Was regelt die DSGVO?

Die DSGVO regelt den Schutz personenbezogener Daten. Davon sind alle Informationen umfasst, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse. Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es ist jedes Unternehmen betroffen, das personenbezogene Daten ganz oder teilweise automatisiert oder nicht-automatisiert verarbeitet,
  • soweit die Verarbeitung durch eine Niederlassung in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (beispielsweise Outsourcing des Rechenzentrums);
  • soweit außereuropäische Unternehmen (auch ohne Sitz in der EU) Waren oder Dienstleistungen anbieten oder deren Verhaltensweisen zum Beispiel mittels „Profiling“ überwachen.

Was sind die Grundsätze der DSGVO?

Rechtmäßigkeit

Die DSGVO ist ein Verbot mit Erlaubnisvorbehalt, das heißt, eine Datenverarbeitung ist grundsätzlich verboten. Nur, wenn sie gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt. Weitere Zulässigkeitsgründe für eine Verarbeitung sind in der DSGVO aufgelistet (Artikel 6 DS-GVO):
  • Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden.
  • Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten (zum Beispiel Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer).
  • Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen der betroffenen Person überwiegen diese Interessen nicht. Hierunter kann zum Beispiel die Verarbeitung personenbezogener Daten für die Direktwerbung fallen.

Direkterhebung

Personenbezogene Daten sind grundsätzlich unmittelbar beim Betroffenen selbst zu erheben. Falls die Daten nicht vom Betroffenen stammen, ist dieser über die Quelle seiner Daten zu informieren.

Transparenz

Die betroffene Person muss wissen, welche Daten die Stelle für welchen Zweck verarbeitet und an welche Stellen innerhalb der EU oder im nichteuropäischen Ausland die Daten weitergegeben werden, oder eine Weitergabe beabsichtigt ist. Daher gibt es umfangreiche Betroffenenrechte (wie Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht).

Zweckbindung

Die Daten dürfen nur für festgelegte, eindeutige Zwecke erhoben werden und dürfen nicht für andere Zwecke weiterverarbeitet werden. Ausnahmen sind vorgesehen für Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen müssen.

Datenminimierung

Es sollen so wenig personenbezogene Daten wie möglich verarbeitet werden und Daten sollen möglichst pseudonymisiert und anonymisiert werden. Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind. Dabei ist zu beachten, wann Daten nicht mehr benötigt und daher gelöscht werden müssen.

Richtigkeit

Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.

Technischer Datenschutz

Die DSGVO verknüpft sehr stark den Datenschutz mit der Technik. IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (Privacy by Design/Privacy by Default).

Rechenschaftspflicht

Die verarbeitende Stelle ist verantwortlich für den Datenschutz und muss die Einhaltung aller zuvor genannten Datenschutzprinzipien nachweisen können. Dazu ist eine umfassende Dokumentation notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich:
Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes können von den Aufsichtsbehörden verhängt werden. Für leichtere Verstöße gegen Pflichten aus der DSGVO ist ein Bußgeld von maximal zehn Millionen Euro oder von zwei Prozent des weltweiten Jahresumsatzes vorgesehen.

Welche Maßnahmen sind nach der DSGVO umzusetzen?

Die DSGVO verlangt von der verantwortlichen Stelle, also dem Unternehmen oder der Institution, die Erfüllung der sogenannten Rechenschaftspflicht. Damit ist die verantwortliche Stelle für die Einhaltung des Datenschutzes nach den Regeln der DSGVO verantwortlich. Einen erste Orientierung über mögliche Schritte im Unternehmen gibt der 10-Punkte-Plan des Landesbeauftragten für den Datenschutz Baden-Württemberg.
Dazu ist ein Datenschutzmanagement notwendig. Dessen Ausgestaltung ist abhängig von der Größe des Unternehmens, den personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Auch in kleinen und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.

Risikoanalyse und -bewertung

Die Risiken für die persönlichen Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, müssen analysiert werden hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden. Hierzu gehört auch die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen (sogenannte technisch-organisatorische Maßnahmen), die stetig auf ihre Wirksamkeit hin kontrolliert werden müssen, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen. Die Risikobewertung und die darauf passend ergriffenen Maßnahmen müssen dokumentiert werden.

Datenschutzmanagement

Um ihrer Rechenschafts- und Dokumentationspflicht nachzukommen, sollten Unternehmen ein Datenschutzmanagement entwickeln. Folgendes wird von einem Datenschutzmanagement verlangt:
  • die Zuständigkeiten für den Datenschutz im Unternehmen (hierzu gehört auch die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten)
  • die Sensibilisierung und Schulung der Mitarbeiter
  • Verpflichtung auf das Datengeheimnis (das ist zwar gesetzlich nicht mehr vorgeschrieben, aber anzuraten; alternativ muss sichergestellt werden, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung tun. Für Auftragsverarbeiter ist vorgeschrieben, dass sie ihre Mitarbeiter auf die Vertraulichkeit verpflichten müssen.)
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden
  • den Einsatz datenschutzfreundlicher Technologien
  • die Beschreibung der technisch-organisatorischen Maßnahmen und den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
  • den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • den Prozess zur Durchführung einer Risikobewertung
  • den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)
Es sollte geprüft werden, ob es im Unternehmen Anknüpfungspunkte für ein Datenschutzmanagement gibt. Hierfür bieten sich zum Beispiele bereits bestehende Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.
Die Umsetzung der obigen Maßnahmen muss stetig auf ihre Wirksamkeit hin kontrolliert werden. Wird festgestellt, dass Anpassungen notwendig sind, müssen sie vorgenommen werden. Das Ergebnis muss jedenfalls sein, dass die Einhaltung der Datenschutzpflichten in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.
Unternehmen können mithilfe eines interaktiven Online-Tests des Bayerischen Landesamtes für Datenschutzaufsicht ermitteln, wie weit sie mit der internen Umsetzung der DSGVO gekommen sind und an welchen Stellen nachgebessert werden sollte.

Angebote der IHK Bodensee-Oberschwaben für ihre Mitgliedsunternehmen

Mit Informationsveranstaltungen informiert die IHK Bodensee-Oberschwaben ihre Mitgliedsunternehmen über die Neuerungen und konkrete Maßnahmen, die getroffen werden müssen. Bei Fragen hierzu oder allgemein zum Veranstaltungsangebot wenden Sie sich gerne an Elke Gögele (goegele@weingarten.ihk.de, 0751 409-194).
Detaillierte Informationen zu einzelnen Aspekten der DSGVO bietet Ihnen die Artikel-Sammlung unter “Weitere Informationen”.

Quelle: IHK Stuttgart