Pfadnavigation

EU-Datenschutz-Grundverordnung

DSGVO-Illu

Die DSGVO hat auch viele neue Verpflichtungen für Unternehmer im Gepäck

© Tanaonte Creative /iStock / Getty Images Plus

Beim Datenschutz geht es um den Schutz personenbezogener Daten, also aller Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, etwa Name, Geburtsdatum oder IP-Adresse. Grundlage ist das verfassungsrechtlich geschützte Persönlichkeitsrecht eines jeden Menschen.

Datenschutz ist nichts Neues. In Deutschland gibt es ihn schon seit Jahrzehnten, und auch auf EU-Ebene wurde er bereits im Jahr 1995 geregelt. Mit der EU-Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 ein neues und weit umfangreicheres Rechtsregime in Kraft getreten, an das sich alle Unternehmen halten müssen.

Ein Jahr später bemängelten viele Unternehmen in einer DIHK-Umfrage zu viel Bürokratie und hohen Aufwand bei der Umsetzung: Vor dem Hintergrund, dass für 2020 eine Evaluierung der DSGVO vorgesehen ist, hatte der DIHK im April 2019 bei rund 4.500 Unternehmen aller Branchen und Größenordnungen eine Einschätzung der Neuregelungen eingeholt. Die Antworten sind in ein im Juli 2019 veröffentlichtes Positionspapier eingeflossen, das hier in einer deutschen und einer englischen Fassung zum Download bereitsteht:

DIHK-Positionspapier DSGVO (PDF, 171 KB)

DIHK-Position Paper GDPR (PDF, 456 KB)

Bislang leider
mehr Nachteile
als Vorteile

sieht DIHK-Präsident Eric Schweitzer in dem neuen Regelwerk. Die DSGVO müsse dringend überarbeitet werden, mahnte er auf Grundlage der Umfrage.

Was beinhaltet die EU-Datenschutz-Grundverordnung?

Antworten auf die wichtigsten Fragen rund um die DSGVO haben wir hier für Sie zusammengestellt:

Die DSGVO gilt seit dem 25. Mai 2018 direkt. Sie lässt aber Spielräume für nationale Regelungen. Hiervon hat der deutsche Gesetzgeber mit einer Änderung des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht. Unternehmen müssen also neben der DSGVO auch das BDSG beachten, zum Beispiel bezüglich der Berufung eines betrieblichen Datenschutzbeauftragten, beim Beschäftigtendatenschutz oder der Videoüberwachung, insbesondere bei Einkaufszentren, Parkplätzen oder im öffentlichen Personenverkehr.

Neben der DSGVO und dem BDSG sind noch folgende Gesetze mit datenschutzrechtlichen Regelungen zu beachten:

  • Telekommunikationsgesetz: Beim Nutzen von Telefon und Internet fallen ebenfalls personenbezogene Daten an. Welche Daten wie verarbeitet werden dürfen, ist Gegenstand des TKG.
  • Telemediengesetz: Für Telemedien wie etwa Online-Angebote gelten ebenfalls spezifische Datenschutzregelungen, die im TMG niedergelegt sind.

Art. 5 der Verordnung beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu beachten sind:

  • Verbot mit Erlaubnisvorbehalt

    Da die Verarbeitung personenbezogener Daten in das Persönlichkeitsrecht eingreift, ist sie grundsätzlich verboten. Nur, wenn sie zum Beispiel gesetzlich erlaubt ist oder wenn die betroffene Person einwilligt, dürfen personenbezogene Daten verarbeitet werden.
  • Rechtmäßigkeit

    Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung et cetera) und diese Grundlage auch den Zweck der Verarbeitung umfasst.
  • Transparenz

    Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (etwa Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht).
  • Zweckbindung

    Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sogenannte kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
  • Datenminimierung

    Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
  • Richtigkeit

    Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
  • Speicherbegrenzung 

    Bei der Frage, wann Daten nicht mehr benötigt werden und daher gelöscht werden können, ist der Grundsatz der Datensparsamkeit zu beachten. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
  • Integrität und Vertraulichkeit 

    Die DSGVO verknüpft den Datenschutz sehr stark mit der Technik: IT-Verfahren müssen deshalb schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
  • Rechenschaftspflicht 

    Das ist der wichtigste Aspekt der Grundsätze: Der Verantwortliche, also das Unternehmen oder die Institution, ist verantwortlich für den Datenschutz und seine Beachtung. Hierfür bedarf es eines Datenschutzmanagements, dessen Ausgestaltung natürlich von der Betriebsgröße, den personenbezogenen Daten, die verarbeitet werden, sowie der Menge und der Qualität der Daten abhängt. 
    Dabei ist auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation erforderlich. Denn eine Verletzung zieht empfindliche Strafen nach sich: Die Aufsichtsbehörden können Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes des Unternehmens verhängen.

Die Risiken, die sich aus der Datenverarbeitung in dem Unternehmen ergeben, müssen hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden beachtet werden. Insbesondere geht es um die Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen.

Unternehmen, die noch kein Datenschutzmanagement unterhalten, sollten vier Schritte beachten. Dabei lohnt es sich, zu prüfen, ob es im Betrieb bereits Anknüpfungspunkte für ein Datenschutzmanagement gibt. Hierfür bieten sich etwa Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.

Ergebnis muss jedenfalls sein, dass die Rechtskonformität der Verarbeitung personenbezogener Daten in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.

Die vier Schritte zum Datenschutzmanagement:


1. Planung und Konzeption

Das Unternehmen muss zunächst seine "Datenschutzpolitik" beschreiben, also folgende Punkte festlegen:

  • die Zuständigkeiten für den Datenschutz im Unternehmen
    (hierzu gehört auch die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten)
  • die Sensibilisierung und Schulung der Mitarbeiter
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden
  • den Einsatz datenschutzfreundlicher Technologien
  • den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
  • den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • den Prozess zur Durchführung einer Risikobewertung
  • den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)

2. Umsetzung

Die Konkretisierung der unter 1. genannten Maßnahmen in der Praxis. Dazu gehören auch eine ausreichende Dokumentation sowie geeignete technisch-organisatorische Maßnahmen.

3. Erfolgskontrolle und Überwachung

Die Planung und Konzeption sowie ihre Umsetzung müssen stetig auf ihre Wirksamkeit hin kontrolliert werden.

4. Optimierung und Verbesserung

Hierbei geht es nicht nur darum, den eventuell unter 3. festgestellten Verbesserungsbedarf umzusetzen. Darüber hinaus muss auch ein angemessener Stand der Technik bei den technischen IT-Sicherheitsmaßnahmen sichergestellt werden, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen.

Kontakt

Avatar weiblich
Annette Karstedt-Meierrieks Referatsleiterin Wirtschaftsverwaltungsrecht, Vergaberecht, Datenschutzrecht