Was ist die EU-DSGVO und inwiefern sind Unternehmen hiervon betroffen?
Bei der EU-DSGVO handelt es sich um eine neue Verordnung im Bereich des Datenschutzes, welche für die gesamten EU-Mitgliedsstaaten Gültigkeit besitzt. Konkret regelt die Vorschrift das Datenschutzrecht und somit den Umgang personenbezogener Daten seitens der Unternehmen. Zahlreiche aktuelle Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) verlieren hierdurch ihre Bedeutung. Zeitgleich wird das BDSG neu gefasst. Mit dem EU-DSGVO verfolgt der Gesetzgeber das Ziel, die größtenteils unterschiedlichen Datenschutzgesetze in der EU zu vereinheitlichen. Die neuen Vorschriften gelten nicht nur für Unternehmen mit großen Datenbeständen oder Shopbetreiber, sondern für jeden Betrieb, der in der EU eine Niederlassung unterhält oder personenbezogene Daten von EU-Bürgern verarbeitet.
Ab wann sind die Vorgaben umzusetzen?
Die EU-DSGVO trat bereits am 25. Mai 2016 in Kraft. Anwenden müssen die EU-Mitgliedsstaaten die Vorgaben jedoch erst nach Ablauf einer zweijährigen Übergangsfrist, demnach ab dem 25. Mai 2018. Entgegen der Ansicht mancher Unternehmer muss Deutschland die neue Verordnung nicht erst in nationales Recht umwandeln. Denn Verordnungen sind vonseiten der Mitgliedssaaten nicht gesondert umzusetzen - sie gelten unmittelbar. Ab dem genannten Zeitpunkt wird die DSGVO das BDSG in vielen Teilen ersetzen. Auch deshalb wird das BDSG zurzeit noch diversen Anpassungen unterworfen.
Welche Daten sind von der DSGVO umfasst?
Beim Anwendungsbereich der DSGVO sind die personenbezogenen Daten der wichtigste Anknüpfungspunkt.
Hierunter fallen sämtliche Informationen, welche sich auf identifizierbare oder identifizierte Person beziehen. Zu den personenbezogenen Daten zählen beispielsweise:
- Name
- Anschrift
- E-Mail-Adresse
- Geburtsdatum
- Telefonnummer
- IP-Adresse
- Standortdaten
- Kontodaten
- Kfz-Kennzeichen
- eingereichte Dateien
- Cookies
Was sind die wichtigsten Kernpunkte der EU-DSGVO?
Die wesentlichen Neuerungen der neuen Datenschutzverordnung sind:
- Der Verbraucher besitzt einen Anspruch darauf, in leicht verständlicher Sprache zu erfahren, welche Daten über ihn gesammelt werden und wer seine Daten zu welchem Zweck, wo und wie verarbeitet.
- In Zukunft müssen Unternehmen die Nutzer noch genauer darüber informieren, wenn dessen Daten Opfer eines Hackerangriffs/Missbrauchs geworden sind.
- Personenbezogene Daten gehören dem Kunden, nicht dem Internetdienst, der mit der Datenverarbeitung befasst ist. Deshalb soll die Datennutzung in Zukunft nur nach ausdrücklicher Zustimmung des Nutzers möglich sein. Für diesen wird es zudem einfacher, seine Einwilligung widerrufen zu können.
- Gestärkt wird das Recht auf Vergessen. Unternehmen sind dann zur Löschung der Kundendaten verpflichtet, wenn dies der Betroffene wünscht und kein legitimer Grund für eine Fortsetzung der Datenspeicherung vorliegt.
- Die Abgabe rechtswirksamer Einwilligungen in die Verarbeitung personenbezogener Daten wird an ein Mindestalter von 16 Jahren geknüpft. Dies hat zur Folge, dass sich Jugendliche bei Internetdiensten wie Instagram oder Facebook künftig noch schwerer werden anmelden können.
- Eine Webseite, welche personenbezogenen Daten erfasst, muss diese über eine sichere, SSL-Verschlüsselte Verbindung übertragen und dies durch die Verwendung des HTTPs-Protokolls sicherstellen. Das gilt auch für alle externen Ressourcen, welche auf der Webseite eingebunden sind.
- Auf der Website muss eine Datenschutzerklärung hinterlegt sein, welche den Benutzer über die Verwendung der personalisierten Daten und der dazu eingesetzten Cookies informiert.
- Verbraucher werden sich in Zukunft bei einem Datenverstoß stets bei der landeseigenen Datenschutzbehörde beschweren können, auch wenn das Unternehmen in einem anderen Staat ansässig ist. Nationale Datenschutzstellen sollen dabei besser kooperieren.
- Selbst US-Firmen müssen sich fortan an europäische Vorgaben zum Datenschutz halten.
Welche Vor- und Nachteile sind mit der DSGVO verbunden?
Bald wird in jedem der 28 Mitgliedsstaaten ein und dasselbe Datenschutzrecht gelten. Obwohl die Reform einige Veränderungen mit sich bringt, bietet sie viele Vorteile und vergleichsweise wenige Nachteile.
Vorteile:
- Geschäftskosten reduzieren: Die neue DSGVO geht für viele Unternehmen mit nennenswerten Kostensenkungen einher. Experten gehen davon aus, dass die Etablierung eines vereinheitlichten, pan-europäischen Gesetzes Gesamteinsparungen von rund 2,3 Mrd. Euro zur Folge haben wird. Zurzeit müssen sich Unternehmer mit vielen länderspezifischen Datenschutzgesetzen auseinandersetzen. In vielen Fällen bedeutet dies, mit bis zu 28 unterschiedlichen Rechtsexperten und örtlichen Behörden zusammenarbeiten zu müssen.Künftig entfallen diese Kosten weitestgehend, da es keine abweichenden Bestimmungen und Vorschriften geben wird.
- Stärkung des Wettbewerbs: Der Vorwurf deutscher Unternehmen, wonach ausländische Betriebe anlässlich laxer Datenschutzvorschriften Wettbewerbsvorteile - auch hierzulande - genießen würden, wird ausgeräumt. Ab dem 25. Mai 2018 werden sich selbst Betriebe mit Sitz in der Schweiz oder in den USA an die dann neuen Regeln halten, wenn sie in der EU Dienstleistungen anbieten möchten. Hinzu kommt das Recht auf Datenportabilität, die es potenziellen Kunden gestattet, personenbezogene Daten zwischen Serviceprovidern zu übertragen.
- KMU von Datenschutzbeauftragten befreit: Kleine und mittlere Unternehmen werden keinen Datenschutzbeauftragten mehr bestellen müssen. Dies gilt nur dann nicht, wenn der Umgang mit sensiblen oder personenbezogenen Daten im Mittelpunkt der eigenen Geschäftsaktivität steht. Erforderlich ist dies nur für große Unternehmen, die das Verhalten von Verbrauchern überwachen oder sensible Daten in großem Ausmaß verarbeiten.
- Konzernprivileg: Mit der neuen DSGVO kann zwischen verbundenen Unternehmen die gruppeninterne Weitergabe von Daten unter erleichterten Voraussetzungen erfolgen. Lediglich ein angemessenes Datenschutzniveau ist zu gewährleisten, dem in Form von Code of Conduct bzw. gruppeninterner Vertragsregelungen Genüge getan werden kann.
- Kundenvertrauen stärken: Es ist anzunehmen, dass das Vertrauen der Kunden in die Fähigkeit von Unternehmen, ihre personenbezogenen Daten besser schützen zu können, zunehmen wird. Laut einer Eurobarometer-Umfrage aus dem Jahr 2015 haben vier von fünf Befragten den Eindruck, keine Kontrolle mehr über die eigenen Daten zu haben. Die neue DSGVO wird nun den Schutz personenbezogener Daten viel stärker in den Mittelpunkt der Geschäftstätigkeit stellen.
Nachteile:
- Rechenschaftspflicht: Die DSGVO wird künftig eine Rechenschaftspflicht vorsehen. Demnach sind Datenverantwortliche gehalten, bei entsprechender Aufforderung einen Nachweis über die Einhaltung sämtlicher Datenschutzprinzipien erbringen zu müssen.
- Höhere Bußgelder: Deutlich höher fallen fortan Strafen und Bußgelder bei Verstößen aus. Bislang sah das BDSG Geldstrafen zwischen 50.000 Euro und 300.000 Euro vor. Die DSGVO regelt hingegen Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Vorjahresumsatzes. Abmahnungen kann es auch nach der DSGVO geben.
Was ist zu tun?
Unternehmen sind verpflichtet, die Vorgaben zur DSGVO rechtzeitig umzusetzen. Doch Datenschutzrecht ist eine sehr spezielle sowie heikle Materie. Um den neuen Anforderungen gerecht zu werden, sollten Sie sich mit dem neuen Datenschutzrecht vertraut machen. Fragen Sie sich, welche personenbezogenen Daten zu welchen Zwecken gespeichert werden und welche Datenverarbeitungsvorgänge bei Ihnen im Haus stattfinden.
Prüfen Sie anschließend, ob diese Vorgänge mit dem neuen Datenschutzgesetz in Einklang stehen. Passen Sie hierzu alle nach außen sichtbaren Rechtstexte an. Dies gilt vor allem für die Datenschutzerklärung auf der Website, aber auch im Hinblick auf Einwilligungserklärungen von Angestellten, Newsletter-Empfängern sowie Kunden. Falls erforderlich, sind die Verträge mit Dienstleistern anzupassen. Tragen Sie schließlich Sorge dafür, dass die Minimalanforderungen an
die Datenschutz-Compliance sichergestellt werden. Betrauen Sie Softwareanbieter oder Dienstleister mit der Datenverarbeitung, sollten Sie sich davon überzeugen, dass diese den Anforderungen genügen.