Neue Datenschutzgrundverordnung: Was sich für Unternehmen ändert
Seit dem 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) für alle EU-Mitgliedsländer verbindlich. Sie verpflichtet Unternehmen, die Generierung und Verarbeitung personenbezogener Daten nur noch entsprechend dem neuen verschärften Datenschutz vorzunehmen. Die neue DSGVO ersetzt die Datenschutzgesetze der einzelnen EU-Mitgliedsstaaten fast vollständig.
Neue DSGVO – eine Bestandsaufnahme
Die europaweit geltende neue Datenschutzgrundverordnung wurde am 14. April 2016 verabschiedet. Auch wenn sie bereits am 25. Mai 2016 in Kraft trat, hatten die europäischen Unternehmen bis zum 25. Mai dieses Jahres Zeit, die vom EU-Parlament geforderten Änderungen und Ergänzungen vorzunehmen. Aktuelle Statistiken belegen, dass wohl bisher nur etwa jedes zehnte Unternehmen in Deutschland die geforderten Neuregelungen umgesetzt hat. Circa 25 % aller Firmen haben diesbezüglich noch überhaupt keine Anstrengungen unternommen. Mehr als 50 Prozent von ihnen sind gerade damit beschäftigt, ihre betrieblichen Abläufe und Webseiten datenschutzkonform zu machen. Am besten vorbereitet sind die deutschen IT- und Softwarehäuser. Sieben von zehn der umsatzstärksten Onlineshops hatten einige Monate vor dem Verbindlichwerden der neuen Datenschutzgrundverordnung noch nicht einmal damit angefangen, ihre Datenschutzerklärung den neuen Regelungen anzupassen. Auch wenn die neu geschaffenen Aufsichtsbehörden derzeit noch nicht über ausreichend Mitarbeiter verfügen, um derartige Versäumnisse umgehend aufzudecken, laufen die Firmen langfristig gesehen Gefahr, mit drastischen Bußgeldern bestraft zu werden.
Die neue EU-DSGVO und ihr Geltungsbereich
Die neue Datenschutzgrundverordnung soll den Datenschutz in Unternehmen der EU-Mitgliedsländer vereinheitlichen und verbessern. Denn der Umgang mit Daten ist durch die schnell voranschreitende Digitalisierung aller Unternehmensbereiche unsicherer geworden. Auch wenn sich nunmehr alle europäischen Firmen grundsätzlich an die DSGVO halten müssen, haben sämtliche EU-Staaten durch sogenannte Öffnungsklauseln in der DSGVO die Möglichkeit, der Datenschutzgrundverordnung noch zusätzliche Regelungen für ihr eigenes Land hinzuzufügen bzw. ergänzende Regelungen zu schaffen. Mit dem Inkrafttreten der neuen Datenschutzverordnung sind viele Bestimmungen des Bundesdatenschutzgesetzes (BDSG) nicht mehr gültig. Die übrigen gesetzlichen Regelungen werden derzeit angepasst. Da die neue Datenschutzverordnung einige Bestimmungen des Telemediengesetzes (TMG) außer Kraft setzt, soll sie demnächst durch eine e-Privacy Verordnung ergänzt werden.
Von der neuen DSGVO sind nicht nur Onlineshops betroffen, sondern auch Firmen jeglicher Größe, die ihre Ware über Ladengeschäfte verkaufen und über eine Webseite verfügen. Sogar Konzerne, die ihren Hauptsitz in einem Land außerhalb der Europäischen Union haben, aber die persönlichen Daten von EU-Bürgern nutzen, haben sich an ihre Bestimmungen zu halten. Dies gilt beispielsweise für soziale Netzwerke wie Facebook und Cloud Computing Anbieter.
Nutzung persönlicher Daten und Informationspflichten
Personenbezogene Daten dürfen seit Kurzem nur zu dem Zweck erhoben und verarbeitet werden, der zuvor verbindlich festgelegt wurde. Zu diesen Informationen mit Personenbezug gehören außer dem Personennamen und der Adresse noch Telefonnummern, E-Mail-Adresse, Geburtsdatum, Konto- und Standortdaten, IP-Adressen und Cookies. Firmen dürfen diesen Zweck nur dann erweitern, wenn der Betroffene dies zulässt. Die Weitergabe persönlicher Daten an weltweit agierende Unternehmen ist nur dann erlaubt, wenn diese einen entsprechenden Datenschutz gewährleisten können. Die EU-Kommission führt Listen darüber, welche dies sind. Bei einem abweichenden Datenschutzniveau müssen noch zusätzliche Sicherungsmaßnahmen erfolgen. Diese sind in der neuen DSGVO ebenfalls aufgeführt.
Das in Art. 17 der Datenschutzgrundverordnung festgehaltene neue Recht auf Vergessenwerden bedeutet, dass Webseitenbesucher, deren persönliche Informationen zur Verarbeitung an Dritte weitergegeben werden, diese später auf eigenen Wunsch löschen lassen dürfen. Hat das datenerhebende Unternehmen diese Informationen für sich genutzt, muss es die Löschung selbst vornehmen. Trifft dies nicht zu, ist es verpflichtet, den Wunsch nach Löschung an das andere Unternehmen weiterzuleiten, das diese dann durchführen muss. Gründe für eine derartige Löschung sind der spätere Widerruf der Einwilligung und die unrechtmäßige Verarbeitung der Daten. Werden die gespeicherten Daten nicht mehr verwendet, müssen die Unternehmen sie ebenfalls löschen.
Neu sind außerdem die umfassenden Informationspflichten des Daten sammelnden Unternehmens gegenüber betroffenen Personen. Werden die Daten an Dritte übermittelt, müssen diese als Empfänger genannt werden. Dasselbe gilt für die Weiterleitung der Daten an weltweit tätige Organisationen. Der Betroffene muss darüber informiert werden, wie lange seine Daten gespeichert werden, auf welche Weise der Empfänger ihren Schutz garantiert und dass er als Betroffener die Möglichkeit hat, sich selbst von diesen technischen Sicherungsmaßnahmen zu überzeugen. Darüber hinaus muss er darüber in Kenntnis gesetzt werden, dass er das Recht hat, seine eigenen persönlichen Daten auf Dritte zu übertragen. Dies ist beispielsweise bei einem Anbieterwechsel möglich. Außerdem muss der Betroffene erfahren, welche Aufsichtsbehörde der zuständige Ansprechpartner für die Bearbeitung von Beschwerden ist.
Werden die persönlichen Daten von Dritten erhoben, gelten noch umfassendere Informationspflichten wie beispielsweise die Nennung des Grundes für die Datenverarbeitung und der Kategorie, zu der die angefragten Informationen gehören. Im Unterschied zu den Bestimmungen des Bundesdatenschutzgesetzes, die eine ganze Reihe von Ausnahmen von der Informationspflicht beinhalten, können sich Firmen, die personenbezogene Informationen erheben, nach der neuen DSGVO nur noch auf einen von drei Ausnahmefällen berufen. Die erforderlichen Informationen müssen den Betroffenen in Schriftform zur Verfügung stehen und sind beispielsweise auf der Unternehmenswebseite einsehbar.
Entsprechend der neuen Datenschutzgrundverordnung sind Organisationen und Unternehmen verpflichtet, sämtliche von ihnen gespeicherten persönlichen Daten auf Wunsch des Betroffenen herauszugeben oder an einen vom Betroffenen selbst bestimmten Empfänger weiterzuleiten (Recht auf Datenübertragbarkeit, Art. 20 DSGVO). Die erhebenden Firmen müssen natürlich die erforderlichen IT-Voraussetzungen haben, um die angeforderten Informationen aufzurufen und sie dem gewünschten Empfänger in einem passenden Datenformat zuzusenden. Diese Datenportabilität kann bei einem Banken- oder Arbeitgeberwechsel von Vorteil sein.
Zertifizierung datenschutzkonformer Betriebe
Damit (mögliche) Geschäftspartner und Kunden genau wissen, dass das Unternehmen die neuen Datenschutzbestimmungen einhält, soll es in Zukunft entsprechende Zertifizierungen geben. Diese speziellen Datenschutzsiegel belegen, dass in dem jeweiligen Betrieb die Bestimmungen der Datenschutzgrundverordnung und zusätzliche nationale Datenschutzregelungen umgesetzt werden. Als Basis für eine spätere Zertifizierung kommen beispielsweise lückenlose, detaillierte Verarbeitungsverzeichnisse und spezielle Prüfungen infrage.
Haftung bei Zuwiderhandlung
Unternehmen, die sich nicht datenschutzkonform verhalten, haften für folgenschwere Fehler, die im Umgang mit den persönlichen Daten ihrer Kunden, eigenen Mitarbeiter und Kooperationspartner entstehen. Außerdem können sie zur Verantwortung gezogen werden, wenn die Nutzung dieser speziellen Informationen unrechtmäßig geschieht und der Betroffene dadurch materiell geschädigt wird. Gemäß der neuen EU-DSGVO können Geschädigte sogar dann Haftungsansprüche geltend machen, wenn sie einen moralischen Schaden erleiden. Um zu verhindern, dass es weiterhin Firmen gibt, die absichtlich gegen Datenschutzbestimmungen verstoßen, wurden die in derartigen Fällen verhängten Bußgelder drastisch erhöht: Statt der bisher üblichen, je nach Art des Verstoßes geforderten maximal 50.000 bis 300.000 Euro sind nunmehr Bußgelder in Höhe von 10 oder 20 Millionen Euro möglich. Im Fall von Organisationen und Konzernen können die Verstöße sogar mit Geldstrafen von bis zu 2 oder sogar 4 % des Vorjahresumsatzes geahndet werden. Als Organisationen gelten laut neuer EU-DSGVO auch Tochterfirmen von Global Playern. Die Bußgelder würden dann auf der Basis des weltweit erzielten Konzernumsatzes berechnet werden.
Die zu zahlenden Geldstrafen sind natürlich mit der Verpflichtung verbunden, das eigene Unternehmen in Zukunft entsprechend den neuen Datenschutzregelungen zu führen. Geschieht dies nicht, kann die zuständige Aufsichtsbehörde dem Konzern die Nutzung persönlicher Daten komplett verbieten. Unternehmen, die ihren Geschäftssitz in einem Nicht-EU-Land haben und in einer EU-Amtssprache kommunizieren und deren Datenschutzniveau nicht dem der EU-DSGVO entspricht, haften ebenfalls, wenn sie Daten mit Personenbezug fehlerhaft oder ohne Einwilligung des Betroffenen erfassen und weitergeben.
Auswirkungen der DSGVO auf das Direktmarketing
Laut neuer DSGVO müssen sämtliche Werbemaßnahmen detailliert schriftlich festgehalten werden. Für jeden genutzten Werbekanal gelten spezielle datenschutzrechtliche Anforderungen. Für den Erhalt der Werbung ist eine Einwilligung des Empfängers erforderlich. Diese kann entweder schriftlich, mündlich oder elektronisch gegeben werden. Bei Jugendlichen unter 16 Jahren ist dafür auch noch die Zustimmung der Erziehungsberechtigten notwendig. Die Beweislast, dass eine derartige Zustimmung erteilt wurde, liegt beim werbenden Unternehmen. Daher sind die Firmen neuerdings verpflichtet, sogar die Einwilligung des Betroffenen zu dokumentieren. Vor dem 25. Mai 2018 übermittelte Einwilligungen müssen jedoch nicht erneut eingeholt werden, es sei denn, dass das Unternehmen bisher nicht entsprechend den Bestimmungen des Bundesdatenschutz- und Telemediengesetzes arbeitete.
Beim E-Mail-Marketing ist das werbetreibende Unternehmen auf der rechtlich sicheren Seite, wenn es dabei das Double-Opt-in-Verfahren nutzt. Für die Zusendung von Werbung per Post gilt, dass der Empfänger darüber informiert werden muss, wer für die Zusendung verantwortlich ist oder welche dritte Quelle über die persönlichen Daten verfügt. Beim Telefonmarketing im B2B-Bereich ist zuvor eine Abwägung der Interessen erforderlich. Gemäß Art. 21 der neuen DSGVO hat der Empfänger der Werbung das Recht, dem Erhalt jederzeit zu widersprechen. Dabei muss die Form des Widerspruchs nicht unbedingt mit der der erhaltenen Werbung identisch sein. Ist der Widerspruch eingegangen, darf der Werbetreibende die Daten mit Personenbezug nicht länger nutzen.
Webseite den neuen Datenschutzregelungen anpassen
Unternehmen sind weiterhin verpflichtet, die Leser ihrer Webseite darüber in Kenntnis zu setzen, dass sie dabei personenbezogene Daten abfragen und weiterverarbeiten. Zu diesen gehören außer den direkt erhobenen Daten wie Namen und E-Mail-Adresse sogar Informationen, die aus dem Besuchertracking via Google Analytics und anderen Webanalysetools gewonnen werden. Das häufig verwendete Content Management System WordPress wurde inzwischen ebenfalls an die neuen Datenschutzbestimmungen angepasst und bietet seinen Nutzern einige Zusatzfunktionen wie das integrierte Lösch- und Einwilligungsfeature. Außerdem erhält der User auf Anfrage eine Übersicht über alle seine bei WordPress gespeicherten persönlichen Daten.
Optimierung der Datenschutzerklärung
Von der Überarbeitung der Datenschutzerklärung entsprechend der neuen EU-DSGVO sind auch die auf der Unternehmensseite eingesetzten Cookies, Kontaktformulare, Social Media Buttons und Analysetools betroffen. Der Nutzer muss während seines Besuches auf der Unternehmenswebseite darüber informiert werden, dass zeitgleich persönliche Daten über ihn erfasst werden, zu welchem Zweck und auf welcher rechtlichen Grundlage dies geschieht und dass er die Möglichkeit hat, dieser Erhebung zu widersprechen oder diese zu begrenzen. Die Datenschutzerklärung sollte gut zugänglich sein und präzise und leicht verständlich formuliert werden. Außerdem muss sie die Angabe enthalten, auf welcher Rechtsgrundlage sie erstellt wurde. Da die Neuformulierung der Datenschutzerklärung ohne entsprechende fachliche Vorkenntnisse für viele Webseitenbetreiber schwierig sein dürfte, ist es sinnvoll, sich schnellstmöglich um eine Beratung im Datenschutz zu bemühen. Eine solche fundierte Beratung im Datenschutz erfolgt beispielsweise durch langjährig erfahrene Fachanwälte.
Verarbeitungsverzeichnis erstellen
Die im Unternehmen für die Datenverarbeitung verantwortliche Person ist verpflichtet, zu überprüfen, mit welchen Risiken die einzelnen Datenverarbeitungsprozesse verbunden sind und bei welchen es möglicherweise zu Verstößen gegen die neue Datenschutzgrundverordnung kommen könnte. Ein Risiko besteht, wenn die erhobenen persönlichen Daten beispielsweise
- weitreichend verarbeitet werden,
- einen besonderen Schutz des Betroffenen notwendig machen (Daten behinderter Menschen, biometrische Daten),
- mit gravierenden juristischen Folgen für den Betroffenen verbunden sein können und/oder
- unzulässigerweise genutzt werden.
Anschließend muss der für die Datenverarbeitung Verantwortliche sämtliche Risikobewertungen schriftlich in einem Verarbeitungsverzeichnis dokumentieren. Diese sogenannte Datenschutzfolgenabschätzung (DSFA) ist die Arbeitsgrundlage für die Schaffung der geeigneten organisatorischen und technischen Voraussetzungen. Die neue DSGVO schlägt beispielsweise bestimmte Verschlüsselungstechniken und eine Pseudonymisierung als technische Datenschutzlösungen vor. Außerdem sollte das Verarbeitungsverzeichnis, das der zuständigen Aufsichtsbehörde auf Verlangen vorgelegt werden muss, die im jeweiligen Betrieb geplanten Datenschutzmaßnahmen ausführlich beschreiben. Ist ein hohes Datensicherheitsrisiko vorhanden und sind trotzdem keine Schutzmaßnahmen vorgesehen, ist der DV-Verantwortliche verpflichtet, sich von der betreffenden Aufsichtsbehörde diesbezüglich beraten zu lassen.
Grundlage der Datensammlung und Verarbeitung ist ein schriftlicher oder elektronischer Vertrag. Nur die zur Auftragsverarbeitung / Auftragsdatenverarbeitung berechtigten Firmen (Cloud Computing Unternehmen, externe Rechenzentren) dürfen Zugang zu den Daten mit Personenbezug haben. Außerdem müssen sie sie den neuen Datenschutzbestimmungen gemäß in einem Verzeichnis aufführen. Treten bei der Verarbeitung der Datensätze technische Fehler auf, sind sie verpflichtet, diese umgehend dem Datenschutzbeauftragten des Unternehmens mitzuteilen. Werden durch diese Panne Personen geschädigt, haftet der für die Datenverarbeitung Verantwortliche oder aber derjenige, der den Auftrag verarbeitet. Für die Einhaltung des Datenschutzes haftet natürlich das beauftragende Unternehmen.
Treten Datenpannen auf oder greifen Hacker auf Daten mit Personenbezug zu, müssen der davon Betroffene unverzüglich und die jeweilige Aufsichtsbehörde innerhalb von drei Tagen nach dem Vorfall darüber informiert werden. Der potenziell Geschädigte hat das Recht darauf zu erfahren, in welcher Form der Schutz seiner persönlichen Daten verletzt wurde und wer ihm nähere Einzelheiten zu dem unliebsamen Vorfall mitteilen kann. Dies ist im Normalfall der Datenschutzbeauftragte. Außerdem muss die in leicht verständlichen Worten zu verfassende Mitteilung Angaben darüber enthalten, welche möglichen Folgen daraus für ihn entstehen können und welche Maßnahmen zur Behebung des Schadens durchgeführt werden sollen. Um personenbezogene Daten vor dem Zugriff durch Unbefugte zu schützen, sieht die neue DSGVO außerdem regelmäßige Tests vor. In diesen sollen die dafür Verantwortlichen herausfinden, ob die gewählten IT-Schutzmaßnahmen umgangen oder gar ausgeschaltet werden können.
Treten Verletzungen des Datenschutzes auf, ist die Aufsichtsbehörde des EU-Landes zuständig, in dem das betroffene Unternehmen seinen Hauptsitz hat. Dies gilt selbst dann, wenn der Verstoß in einem Land außerhalb der Europäischen Union erfolgt. Da das Verarbeitungsverzeichnis nicht nur den Umgang mit Kundendaten, sondern auch den mit persönlichen Informationen über die eigenen Mitarbeiter dokumentiert, empfehlen Experten, eine umfassende Beratung im Datenschutz in Anspruch zu nehmen.
Bestellung eines Datenschutzbeauftragten
Unternehmen müssen laut Art. 35 ff. der neuen EU-DSGVO einen Datenschutzbeauftragten bestellen, wenn der überwiegende Teil ihrer Geschäftstätigkeit aus der Weiterverarbeitung personenbezogener Daten besteht. Außerdem ist ein solcher erforderlich, wenn mindestens neun Mitarbeiter des Betriebes personenbezogene Daten automatisiert verarbeiten. Dazu zählen auch externe Arbeitskräfte von Zeitarbeitsfirmen und freie Mitarbeiter. Eine Datenschutzfachkraft muss auch dann im Unternehmen vorhanden sein, wenn dieses sich schwerpunktmäßig mit der regelmäßigen Überwachung bestimmter Personen beschäftigt. Außerdem haben Betriebe, die juristisch nicht dazu verpflichtet sind, die Möglichkeit, von sich aus eine Datenschutzfachkraft zu benennen. In vielen Fällen wird eine derartige Vorgehensweise aus Gründen der besseren Außenwirkung sogar ausdrücklich empfohlen.
Die Bestellung des Mitarbeiters erfolgt in Deutschland entsprechend § 38 Abs. 1 des Bundesdatenschutzgesetzes. Die neue DSGVO erweitert sein Tätigkeitsgebiet um diverse zusätzliche Aufgaben. Er hat das Verarbeitungsverzeichnis zu führen und ist außerdem für die datenschutzkonforme Auftragsverarbeitung / Auftragsdatenverarbeitung verantwortlich. Außerdem ist er Ansprechpartner für die Geschäftsleitung, IT-Abteilung und Aufsichtsbehörde sowie für Kollegen und Kunden. Als Datenschutzbeauftragter kommt ein betriebseigener Mitarbeiter infrage, der über eine entsprechende Zusatzqualifikation verfügt. Außerdem ist es möglich, eine nicht zum Unternehmen gehörende Person zu benennen. Die Fachkraft für den Datenschutz im Betrieb benötigt für ihre Tätigkeit keinen unterschriebenen Vertrag. Obwohl die neue DSGVO keine spezielle Ausbildung voraussetzt, ist es ratsam, sie von einer Organisation wie der IHK oder dem TÜV schulen und zertifizieren zu lassen. Denn kommt es wider Erwarten zu einer Datenschutzverletzung, muss der Betrieb der Aufsichtsbehörde gegenüber nachweisen, dass ihr Datenschutzbeauftragter über die notwendige Fachkenntnis verfügt. Ein Jurastudium oder ein Informatikstudium mit zusätzlicher juristischer Qualifizierung kann zum Nachweis der fachlichen Eignung ebenfalls hilfreich sein.
Für die spezielle Tätigkeit kommen IT-Abteilungsleiter und Geschäftsführer allerdings nicht infrage, weil es bei ihnen möglicherweise zu einem Interessenkonflikt kommen könnte. Eine externe Datenschutzfachkraft bietet den Vorteil, dass sie nicht betriebsblind ist und Schwachstellen im Unternehmen schneller erkennt. Darüber hinaus kann sie sich ihrer Aufgabe zu 100 Prozent widmen und haftet vollumfänglich bei auftretenden Sicherheitspannen. Ist ein eigener Mitarbeiter mit dieser Aufgabe betraut, könnte es im Fall von Sicherheitspannen zu Haftungsproblemen und Schwierigkeiten mit dem Kündigungsschutz kommen. Unternehmen, die sich nicht sicher sind, welche Lösung die für sie Geeignete ist, können dies in einer Beratung im Datenschutz erfahren.
Näheres zum Datenschutzbeauftragten finden Sie ebenfalls im Beitrag „EU-DSGVO & externer Datenschutzbeauftragter„.
Stichwörter:
Datenschutzgrundverordnung, EU-DSGVO, DSGVO, Datenschutz, Datenschutzbeauftragter