Direkt zum Inhalt | Direkt zur Navigation

  • Schrift:
  • A
  • A
  • A
Sektionen
  • THEMENFELDER
  • BRANCHEN
  • PRESSE
  • WIR ÜBER UNS
  • DIHK IN BRÜSSEL
  • PUBLIKATIONEN
  • IHKTRANSPARENT
  • ENGLISH
  • IHK-FINDER
Hauptrubriklogo

Artikelaktionen

EU-Datenschutz-Grundverordnung

Am 25. Mai 2018 wird es ernst

Datenschutz ist nichts Neues. In Deutschland gibt es ihn schon seit Jahrzehnten, und auch auf EU-Ebene wurde er bereits im Jahr 1995 geregelt. Die EU-Datenschutz-Grundverordnung (DSGVO) schafft jetzt jedoch ein neues und weit umfangreicheres Rechtsregime, an das sich alle Unternehmen halten müssen.

Beim Datenschutz geht es um den Schutz personenbezogener Daten, also aller Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, etwa Name, Geburtsdatum oder IP-Adresse. Grundlage ist das verfassungsrechtlich geschützte Persönlichkeitsrecht eines jeden Menschen.

Was ändert sich im Datenschutz?

Die DSGVO ist am 25. Mai 2016 in Kraft getreten, wird aber erst zum 25. Mai 2018 gültig. Unternehmen waren und sind angehalten, die zweijährige Übergangszeit zu nutzen, um die internen Datenverarbeitungsprozesse auf Anpassungsbedarf hin zu überprüfen. Außerdem sollte bei Neuanschaffungen von IT-Anwendungen darauf geachtet werden, dass diese die Regelungen der DSGVO bereits berücksichtigen.

Ebenfalls am 25. Mai 2018 tritt das neue Bundesdatenschutzgesetz (BDSG) in Kraft, mit dem der deutsche Gesetzgeber die DSGVO um einige Regelungen ergänzt. Dazu zählt beispielsweise der § 4 zur Videoüberwachung, der insbesondere Einkaufszentren, Parkplätze und den öffentlichen Personenverkehr betrifft. Zudem enthält das BDSG in § 26 eine Regelung zum Beschäftigtendatenschutz.

Neben der DSGVO und dem BDSG sind noch folgende Gesetze mit datenschutzrechtlichen Regelungen zu beachten:

  • Telekommunikationsgesetz: Beim Nutzen von Telefon und Internet fallen ebenfalls personenbezogene Daten an. Welche Daten wie verarbeitet werden dürfen, ist Gegenstand des TKG.
  • Telemediengesetz: Für Telemedien wie etwa Online-Angebote gelten ebenfalls spezifische Datenschutzregelungen, die im TMG niedergelegt sind.

Was regelt die DSGVO?

Die DSGVO gilt direkt, das heißt, Unternehmen müssen sowohl den Text der Verordnung als auch das BDSG als Rechtsgrundlagen für den Datenschutz verwenden.

Art. 5 der Verordnung beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu beachten sind:

  • Verbot mit Erlaubnisvorbehalt

    Da die Verarbeitung personenbezogener Daten in das Persönlichkeitsrecht eingreift, ist sie grundsätzlich verboten. Nur, wenn sie zum Beispiel gesetzlich erlaubt ist oder wenn die betroffene Person einwilligt, dürfen solche Daten verarbeitet werden.
  • Rechtmäßigkeit

    Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung et cetera) und diese Grundlage auch den Zweck der Verarbeitung umfasst.
  • Transparenz

    Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (etwa Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht).
  • Zweckbindung

    Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sogenannte kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
  • Datenminimierung

    Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
  • Richtigkeit

    Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
  • Speicherbegrenzung

    Bei der Frage, wann Daten nicht mehr benötigt werden und daher gelöscht werden können, ist der Grundsatz der Datensparsamkeit zu beachten. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
  • Integrität und Vertraulichkeit

    Die DSGVO verknüpft den Datenschutz sehr stark mit der Technik: IT-Verfahren müssen deshalb schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
  • Rechenschaftspflicht

    Das ist der wichtigste Aspekt der Grundsätze: Die verantwortliche Stelle, also das Unternehmen oder die Institution, ist verantwortlich für den Datenschutz und seine Beachtung. Hierfür bedarf es eines Datenschutzmanagements, dessen Ausgestaltung natürlich von der Betriebsgröße, den personenbezogenen Daten, die verarbeitet werden, sowie der Menge und der Qualität der Daten abhängt.
    Dabei ist auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation erforderlich. Denn eine Verletzung zieht empfindliche Strafen nach sich: Die Aufsichtsbehörden können Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes des Unternehmens verhängen.

Was erfordert ein Datenschutzmanagement?

Die Risiken, die sich aus der Datenverarbeitung in dem Unternehmen ergeben, müssen hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden beachtet werden. Insbesondere geht es um die Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen.

Unternehmen, die noch kein Datenschutzmanagement unterhalten, sollten vier Schritte beachten. Dabei lohnt es sich, zu prüfen, ob es im Betrieb bereits Anknüpfungspunkte für ein Datenschutzmanagement gibt. Hierfür bieten sich etwa Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.

Ergebnis muss jedenfalls sein, dass die Rechtskonformität der Verarbeitung personenbezogener Daten in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.

Die vier Schritte zum Datenschutzmanagement:


1. Planung und Konzeption

Das Unternehmen muss zunächst seine "Datenschutzpolitik" beschreiben, also folgende Punkte festlegen:

  • die Zuständigkeiten für den Datenschutz im Unternehmen
    (hierzu gehört auch die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten)
  • die Sensibilisierung und Schulung der Mitarbeiter
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden
  • den Einsatz datenschutzfreundlicher Technologien
  • den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
  • den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • den Prozess zur Durchführung einer Risikobewertung
  • den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)

2. Umsetzung

Die Konkretisierung der unter 1. genannten Maßnahmen in der Praxis. Dazu gehören auch eine ausreichende Dokumentation sowie geeignete technisch-organisatorische Maßnahmen.

3. Erfolgskontrolle und Überwachung

Die Planung und Konzeption sowie ihre Umsetzung müssen stetig auf ihre Wirksamkeit hin kontrolliert werden.

4. Optimierung und Verbesserung

Hierbei geht es nicht nur darum, den eventuell unter 3. festgestellten Verbesserungsbedarf umzusetzen. Darüber hinaus muss auch ein angemessener Stand der Technik bei den technischen IT-Sicherheitsmaßnahmen sichergestellt werden, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen.

Mehr Informationen

  • Über einzelne Aspekte der Umsetzung der DSGVO informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, die 2018 den Vorsitz der Datenschutzkonferenz innehat, unter www.ldi.nrw.de
  • Das "Virtuelle Datenschutzbüro" der öffentlichen Datenschutzinstanzen erreichen Sie unter www.datenschutz.de
  • Die Gesellschaft für Datenschutz und Datensicherheit bietet Wissenswertes unter www.gdd.de

Ansprechpartnerin

Annette Karstedt-Meierrieks
Annette Karstedt-Meierrieks
T +49 30 20308 - 2706
F +49 30 20308 - 2777
 

Der Weg zu Ihrer IHK

IHK-LogoBei konkreten Einzelfragen hilft Ihnen gerne Ihre Industrie- und Handelskammer weiter. Die für Sie zuständige IHK finden Sie unter www.ihk.de/ihk-finder.

"Wem gehören die Daten?"

Cover Einladung "Datenökonomie – Wem gehören die Daten?"Ein Expertenpanel zum Thema Datenökonomie richtete der DIHK am 1. Februar 2018 in Berlin aus.

Einen Rückblick auf die Veranstaltung finden Sie hier.