zurück zur Übersicht

DSGVO / GDPR aus juristischer Sicht

Was Unternehmen bei der neuen Datenschutzgrundverordnung beachten müssen

GDPR bzw. DSGVO ist der neue europäische Datenschutz. Das hat rechtliche Folgen für jedes Unternehmen in Europa.Die Uhr tickt: Ab dem 25. Mai 2018 wird in allen Mitgliedstaaten der Europäischen Union (EU) die General Data Protection Regulation (GDPR), zu Deutsch EU-Datenschutzgrundverordnung (DSGVO), angewandt. Deutsche Firmen müssen dabei einige Änderungen der vorherigen Bestimmungen beachten. Diese werden im folgenden Artikel erläutert. – Laura Gosemann

Die DSGVO behandelt, wie der Name bereits sagt, das Datenschutzrecht, das heißt den Umgang von Unternehmen mit personenbezogenen Daten. Ziel dabei ist vor allem die einheitliche Regelung innerhalb Europas. Aber auch für Unternehmen, die außerhalb der EU ihren Sitz haben, gelten die neuen Richtlinien, sofern sie von Personen aus der EU Daten verarbeiten oder dort eine Niederlassung besitzen. Damit wird sichergestellt, dass sich beispielsweise soziale Netzwerke aus den USA ebenfalls an die Regeln halten müssen.

Zu den personenbezogenen Daten gehören selbstverständlich Name, Adresse, Telefonnummer, Geburtsdatum sowie die E-Mail-Adresse. Aber auch die Kontodaten, das Kfz-Kennzeichen, IP-Adressen, Cookies oder Standortdaten werden von einigen Firmen personenspezifisch verarbeitet.

Wenngleich die GDPR nun das Datenschutzrecht in sehr großem Umfang festschreibt, kommen auf deutsche Unternehmen nicht ganz so viele Änderungen zu wie auf andere EU-Mitgliedstaaten. Denn hierzulande war bereits zuvor ein relativ hohes datenschutzrechtliches Niveau standardisiert.

Welche Regelungen sollten den Unternehmen bereits bekannt sein?

Zunächst gilt noch immer das Verbot mit Erlaubnisvorbehalt, nach welchem die Erhebung, Verarbeitung sowie die Nutzung personenbezogener Daten grundsätzlich verboten ist, solange keine Einwilligung vonseiten des Betroffenen vorliegt.

Ein weiterer wichtiger Aspekt ist die Datensparsamkeit, das heißt, Firmen dürfen nur diejenigen Daten erheben und verarbeiten, die sie tatsächlich benötigen. Zudem dürfen diese ausschließlich zu dem Zweck verwendet werden, für den sie erhoben worden sind. Dabei müssen die Daten zu jedem Zeitpunkt inhaltlich wie sachlich korrekt und aktuell sein.

Was ist neu?

Das Schutzniveau, welches Unternehmen gewährleisten müssen, orientiert sich stets an der Schutzbedürftigkeit der personenbezogenen Daten. Dabei müssen nun laut DSGVO angemessene Maßnahmen ergriffen werden, die unter anderem vom Stand der Technik und den notwendigen Implementierungskosten abhängig sind.

Mit Artikel 17 ist zudem im Gesetz künftig das Recht auf Vergessenwerden – auch Recht auf Löschung – festgeschrieben. Dieses beruht auf einem Urteil des Europäischen Gerichtshofs (EuGH), der vor einigen Jahren beschloss, dass EU-Bürger von Suchmaschinenbetreibern unter gewissen Voraussetzungen verlangen können, spezifische Suchergebnisse ihre Person betreffend nicht mehr anzuzeigen. Somit bildet das Recht auf Vergessenwerden den Anspruch auf die Löschung oder Sperrung personenbezogener Daten auch im Internet, wenn für deren Verwendung keine Berechtigung mehr vorliegt.

Ebenfalls neu ist das in Artikel 20 geregelte Recht auf Datenübertragbarkeit, nach dem Verbraucher künftig die Möglichkeit besitzen, ihre Daten zu einem anderen Anbieter „mitzunehmen“. Das bedeutet für Unternehmen, dass sie auf Wunsch die personenbezogenen Daten des Nutzers in einem gängigen Format an einen anderen Verantwortlichen weiterzugeben haben. Aufgrund dessen sollten die Betriebe die Daten der Betroffenen jederzeit eindeutig von ihren eigenen getrennt sowie leicht zugänglich aufbewahren. Bezüglich bestimmter Technologien, die eine vereinfachte Handhabung ermöglichen, ist eine professionelle Beratung empfehlenswert.

Des Weiteren sieht die DSGVO eine Rechenschaftspflicht vor, das heißt, auf Aufforderung müssen Datenverantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen. Daher sollte im Betrieb ein effektives und damit jederzeit übersichtliches Datenschutzmanagement eingerichtet werden. Kann die Einhaltung der Richtlinien nicht nachgewiesen werden, können Bußgelder von bis zu 20 Millionen Euro drohen. Bei großen Konzernen sind sogar Geldstrafen in Höhe von 4 Prozent des weltweiten Vorjahresumsatzes des Betroffenen vorgesehen.

Wie bisher auch haben Verbraucher ein Widerrufsrecht, mit dem sie eine bereits erteilte Einwilligung in die Datenverarbeitung zurückziehen können. Neu dabei ist allerdings, dass solch ein Widerruf genauso einfach wie die Erteilung der Zustimmung sein muss.

Was passiert mit den bisherigen Einwilligungen?

Unter der GDPR bestehen die bereits eingeholten datenschutzrechtlichen Einwilligungen weiterhin fort, sofern sich die Unternehmen auch zuvor an die Anforderungen des Bundesdatenschutzgesetzes (BDSG) gehalten haben.  Die Kunden müssen diesbezüglich also nicht erneut angesprochen werden.

In diesem Zusammenhang ist jedoch zu beachten, dass die GDPR in Artikel 7 nun ein einheitliches Mindestalter für die Erlaubnis zur Datenverarbeitung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren sind demnach nur dann wirksam, wenn die Erziehungsberechtigten ebenso ihr Einverständnis erklären.

Muss eine Änderung der Datenschutzerklärung erfolgen?

Durch die DSGVO steigen die Anforderungen bezüglich des Umfangs der Informationsbereitstellung sowie der Belehrung betroffener Personen. Künftig müssen die Datenschutzbestimmungen präzise, transparent, verständlich, leicht zugänglich sowie in klarer und einfacher Sprache verfasst sein. Auch hierbei sollten sich Unternehmen daher zur Erstellung einer regelkonformen Datenschutzerklärung professionell beraten lassen.

Nähere Informationen zur GDPR finden Sie auf www.datenschutz.org/eu-datenschutzgrundverordnung/. Zudem bietet das kostenlose Ratgeberportal www.datenschutz.org viele weitere wissenswerte Inhalte zu Themen bezüglich des Datenschutzes.

 


Links:

Ein Überblick über die Regelungen der DSGVO/GDPR aus Sicht der IT-Sicherheit
Strategischer Leitfaden zu den Anforderungen der DSGVO/GDPR und deren Umsetzung

Schreibe einen Kommentar