Datenschutzreform

Das hier ist ein Weckruf! Es soll nämlich immer noch Unternehmen und Selbstständige geben, die den Schuss nicht gehört haben: Ab 25. Mai 2018 wird die Datenschutz-Grundverordnung der EU (EU-DSGVO) umgesetzt, die bereits 2016 in Kraft getreten ist. Wer die zweijährige Frist zur Umstellung auf die neuen Bestimmungen verschlafen hat, könnte unliebsame Bekanntschaft mit drakonischen Strafen für Verstöße gegen die Verordnung machen. Bis zu 20 Mio. Euro oder 4 % des Umsatzes drohen – je nachdem, was höher ist! Zur Halbzeit der Umsetzungsfrist hatten sich laut einer Bitkom-Studie erstaunliche 44 % der Unternehmen nicht einmal mit der Verordnung irgendwie beschäftigt – geschweige denn die erforderlichen Maßnahmen in Angriff genommen.

EU-weit gleiche Regeln – mehr Sicherheit, aber auch mehr Aufwand

Inwieweit die Datenschutz-Grundverordnung den eigentlichen Datenschutz verbessert bzw. seine Durchsetzung erleichtert, war und ist unter Juristen und Datenschützern umstritten. Ungeachtet dessen ist klar: Die Umsetzung der Verordnung muss bis 25.8.2017 abgeschlossen (!) sein. Das gilt für alle (auch Organisationen mit Sitz außerhalb der EU), die personenbezogene Daten im Gebiet der EU speichern und verarbeiten. Und es gilt unmittelbar, d. h., nationale Bestimmungen dürfen die Vorschriften weder abschwächen noch verschärfen. Von einer Reihe der Bestimmungen sind auch Kleinunternehmen und Freiberufler betroffen.

Eine Vereinfachung und damit auch mehr Rechtssicherheit bringt die DSGVO bei allen grenzüberschreitenden Geschäften innerhalb der EU, denn hier gelten nun in allen Staaten im Wesentlichen die gleichen Bestimmungen. Die Ausnahmen sind überschaubar – aber auch nicht unwichtig. National geregelt bleibt z. B. die Arbeitnehmerdatenverarbeitung.

Datenschutz-Grundverordnung – die wichtigsten Regeln

Das zentrale Prinzip der DSGVO ist, dass für jede Erhebung und Verarbeitung personenbezogener Daten eine rechtliche Grundlage erforderlich ist, dass sich der Umfang und die Dauer dieser Datenverarbeitung/-speicherung auf das erforderliche Maß beschränkt sowie zweckgebunden und vertraulich bleibt. Kurz gesagt gilt: Es ist alles verboten, was die Verordnung nicht ausdrücklich erlaubt.

Die Datenschutz-Grundverordnung ist sehr umfangreich; die eigentlichen Artikel beginnen erst nach 173 Präambel-Abschnitten. Im Folgenden sind daher nur Beispiele für wesentliche bzw. neue Regelungen aufgeführt:

  • Ansprechpartner sind die Datenschutz-Aufsichtsbehörden. Ihnen sind nicht nur Verstöße gegen den Datenschutz zu melden, sie stellen u. a. auch Auslegungshilfen zum neuen Datenschutzrecht zur Verfügung.
  • Vorbeugend sind Voreinstellungen und Techniken bzw. Produktdesigns – Stichwort data protection by design/by default – einzuführen, die die Einhaltung der Bestimmungen (z. B. Datenminimierung) erleichtern oder gewährleisten (Artikel 25).
  • In Unternehmen, die nach Artikel 37 einen Datenschutzbeauftragten bestellen müssen, hat dieser zukünftig die Einhaltung der Vorschriften zu überwachen (nicht mehr nur „darauf hinzuwirken“). Er und der Unternehmer haften somit auch persönlich dafür.
  • Hinzugekommen ist eine verpflichtende Datenschutz-Folgeabschätzung für Techniken oder Systeme der EDV, die neu eingeführt werden. Die Abschätzung soll Risiken für die Rechte betroffener Personen erfassen und muss u. U. mit der Datenschutzbehörde abgestimmt werden (Artikel 35).
  • In einem sogenannten Verfahrensverzeichnis müssen die Prozesse, wie mit Daten im Unternehmen umgegangen wird, dokumentiert sein (Artikel 30).
  • Bei grenzüberschreitendem Datenverkehr haben Unternehmen nur mit der Datenschutz-Aufsichtsbehörde, die sich am Hauptsitz der Firma befindet, zu tun.
  • Betroffene Personen müssen umfassend über ihre gespeicherten Daten informiert werden, und zwar bereits zum Zeitpunkt der Erhebung dieser Daten (Artikel 13).
  • Das Recht von Personen auf digitales „Vergessenwerden“ bedeutet, dass Daten unter bestimmten Voraussetzungen wieder gelöscht werden müssen. Das beinhaltet auch entsprechende Mitteilungen an Stellen, denen solche Daten weitergeleitet worden sind (Artikel 17).
  • Verletzungen des Schutzes personenbezogener Daten müssen an die Datenschutz-Aufsichtsbehörde gemeldet werden (Artikel 33).

Fazit: Packen Sie es an – jetzt!

Datenschutz kann zukünftig nicht mehr mit links erledigt werden. Es ist höchste Zeit für Unternehmen jeder Größenordnung, die erforderlichen Maßnahmen und Verfahren gezielt und zügig zu entwickeln, und die entsprechenden Ressourcen inkl. Budgets einzuplanen, auch wenn Klein- und Mittelunternehmen (ein wichtiger Schwellenwert sind hier 250 Beschäftigte) von einigen Verpflichtungen entlastet sind. Es kann sich durchaus lohnen, im Zweifel professionelle Hilfe in Anspruch zu nehmen.

Newsletter abonnieren

Verpassen Sie keinen Blog-Eintrag mehr!

Abonnieren Sie unseren Blog und halten Sie Ihr Online-Marketing-Wissen aktuell!
Newsletter abonnieren

Mehr zum Thema Rechtsfragen

Erfahren Sie mehr Grundlagen und Wissenswertes zum Thema.

Impressumspflicht_Webseiten

Ein ordentliches Impressum ist für die allermeisten Webseiten Pflicht. Wichtig ist nicht nur, was drinsteht, sondern auch, wo es steht.

Impressumspflicht auf Webseiten
Facebook Buttons einbinden

Facebook-Buttons auf der eigenen Website einzubinden, kann ganz schön teuer werden. Wir zeigen Ihnen, wie Sie rechtlich sicher bleiben.

Facebook-Buttons