Die Europäische Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union (EU) in Kraft. Die DSGVO ersetzt die Datenschutzrichtlinie 95/46/EG und soll dazu beitragen, die Datenschutzgesetze in Europa zu harmonisieren. Sie wird die bestehende Rechtslage rund um Datenschutz und -sicherheit verschärfen und stellt Unternehmen vor große strukturelle und organisatorische Herausforderungen.
Das Ziel der DSGVO ist es, den Datenschutz von EU-Bürgern zu gewährleisten und die Art und Weise zu verbessern, wie Unternehmen in der EU den Datenschutz handhaben und persönliche Nutzerdaten schützen. Das Gesetz betrifft alle Unternehmen, die die personenbezogenen Daten von Nutzern in der EU verarbeiten oder speichern, und ist insofern unabhängig vom Standort eines Unternehmens. Das heißt, dass die DSGVO nicht nur für Unternehmen gilt, die innerhalb der EU ansässig sind, sondern auch für Firmen außerhalb der EU, wenn sie Nutzern in der EU Waren oder Dienstleistungen anbieten.
Um die hohen Datenschutzziele ab Mai 2018 durchzusetzen, droht die Verordnung den Unternehmen bei der Nichteinhaltung mit hohen Geldstrafen. Für die Verletzung einer Anforderung aus der DSGVO können Unternehmen mit Strafen bis zu 4% des Jahresumsatzes oder 20 Mio. € verurteilt werden.
Grundsätzlich kann man aber sagen, dass die deutschen Datenschutzgesetze (insb. BDSG) bereits heute zu einem großen Teil die hohen Anforderungen der neuen DSGVO erfüllen. Dennoch gibt es auch für die in Deutschland ansässigen Unternehmen einige Änderungen durch die DSGVO. Die gravierendsten Änderungen sollen im Folgenden einmal dargestellt werden:
Recht auf Information – Teile dieses Rechts finden sich bereits im BDSG. Die neue Regelung geht jedoch darüber hinaus und stellt hohe Anforderungen an datenverarbeitende Unternehmen. Dieser Teil der Verordnung regelt das Recht der Betroffenen von einem Unternehmen Informationen zu erhalten, ob personenbezogene Daten verarbeitet werden, wo diese gespeichert werden und zu welchem Zweck dies passiert. Darüber hinaus kann der Betroffene eine Kopie der personenbezogenen Daten in elektronischer Form vom Unternehmen erhalten können.
Recht auf Vergessenwerden – Ein Betroffener kann von einem Unternehmen verlangen, dass seine personenbezogenen Daten gelöscht werden, seine Daten nicht weiterverbreitet werden und die Verarbeitung von Daten durch Dritte, mit denen das Unternehmen zusammenarbeitet, beendet wird. Sofern andere gesetzliche Regelungen gegen die vollständige Löschung sprechen (z.B. steuerrechtliche Aufbewahrungsfristen, statistische Erhebungen), sind die Daten zu sperren oder zu anonymisieren.
Datenportabilität oder -übertragbarkeit – Diese Regelung garantiert einem Betroffenen, dass er seine Daten von einem Unternehmen zu einem anderen übertragen kann. Der Betroffene kann von einem Unternehmen alle personenbezogenen Daten in einem üblichen, maschinenlesbaren Format anfordern.
Zustimmung – Ein Unternehmen braucht eine eindeutige und ausreichend bestimmte Zustimmung, um personenbezogener Daten vom Betroffenen verarbeiten zu dürfen. Unternehmen müssen in der Lage sein, einen Nachweis über die Zustimmung zu erbringen und die Zustimmung kann vom Benutzer jederzeit zurückgezogen werden.
Datenschutz by Design und durch datenschutzfreundliche Voreinstellungen – Grundsätzlich verlangt die DSGVO die Berücksichtigung von datenschutzrechtlichen Anforderungen an ein System ab Beginn der Gestaltung und Entwicklung. Das Unternehmen ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Datenübertragung – Die DSGVO schränkt die Übertragung personenbezogener Daten außerhalb der EU, auf Drittländer oder internationale Unternehmen stark ein. Hierdurch soll sicherstellt werden, dass das Datenschutzniveau des DSGVO für Nutzer in der EU nicht im Ausland untergraben wird.
Datenschutzbeauftragter – Die Ernennung eines Datenschutzbeauftragten ist auch nach der DSGVO weiterhin erforderlich. Im Gegensatz zu der bisherigen Regelung muss der Datenschutzbeauftragte nicht mehr schriftlich bestellt werden, sondern es genügt eine Benennung. Für interne Datenschutzbeauftragte gilt auch zukünftig der erweiterte Kündigungsschutz. Die Kontaktdaten des Datenschutzbeauftragten sind z.B. auf einer Webseite zu veröffentlichen und an die Aufsichtsbehörde zu melden.
Data Breach – Wenn ein Unternehmen von einer Datenverletzung Kenntnis erlangt und davon ein Risiko für die Rechte und Freiheiten von Betroffenen ausgehen kann, müssen Unternehmen ihre Nutzer unverzüglich informieren. Dies wird mit der DSGVO in allen Mitgliedsstaaten zwingend vorgeschrieben und muss von Unternehmen innerhalb von 72 Stunden nach der ersten Kenntnis einer Datenverletzung durchgeführt werden.
Insgesamt hält die DSGVO für Unternehmen einige Herausforderungen bereit. Wer sich bisher ausgiebig mit dem Datenschutz beschäftigt hat und die bestehenden Regelungen einhält, ist mit relativ geringem Aufwand in der Lage, sich an die neuen Vorgaben anzupassen. Für Unternehmen, denen bereits die Umsetzung der aktuellen Rechtslage Probleme bereitet, wird es höchste Zeit das Thema ganzheitlich anzugehen. Für Verstöße gegen die neuen Regelungen drohen empfindliche Strafen und die Datenschutzbehörden haben bereits angekündigt, dass es keine Schonfrist geben wird.
– Felix Prömel (Berater)
junokai