Nach der bisherigen Datenschutzrichtlinie (95/46/EC) mussten die EU-Mitgliedstaaten bereits den „Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ gewährleisten. Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gibt es klare Regeln, welche Daten gesammelt werden dürfen und in welcher Weise die gesammelten Daten verarbeitet werden dürfen. Damit du im Paragraphen-Dschungel nicht den Überblick verlierst, fassen wir für dich das Wichtigste zur DSGVO zusammen.
Die Datenschutz-Grundverordnung gilt für alle EU-Unternehmen, die personenbezogene Daten sammeln und verarbeiten. Der Standort des Unternehmens gibt also den Ton an, egal ob die Daten eventuell auf Servern außerhalb der EU verarbeitet werden. Hinzu kommt, dass mit der DSGVO das sogenannte Marktortprinzip zum Tragen kommt. Das bedeutet, dass auch Unternehmen außerhalb der EU sich an die Regelungen halten müssen, sobald sie Daten von Personen in der EU verarbeiten, sprich: auf dem europäischen Markt aktiv sind.
“Es geht um die einheitliche Anwendung eines Datenschutzrechtes, sodass nicht mehr jeder Mitgliedsstaat sein eigenes Brötchen backt.“
Dr. Dirk Koehler, advanced audience.
Für datenverarbeitende Unternehmen geht es jetzt darum, sich „DSGVO-sicher“ zu machen und sich zu vergewissern, dass alle Regelungen der Verordnung eingehalten werden. Denn Schlag Mitternacht am 25. Mai 2018 ist die DSGVO rechtsgültig.
Bei der Umsetzung der DSGVO legt man ein besonderes Augenmerk auf das Recht nach Information für die sogenannten “betroffenen Personen”, deren Daten verarbeitet werden. Sie sollen zukünftig genauer darüber aufgeklärt werden, zu welchem Zweck und von wem ihre Daten verarbeitet werden. Deswegen wird die Informationspflicht der Verarbeiter stärker in den Fokus gerückt. In Kapitel 3 der DSVGO ist detailliert festgehalten, was Datenverarbeiter beachten müssen.
Dass du die persönlichen Daten deiner User nicht ohne deren Einwilligung verarbeiten darfst, ist selbstverständlich. Doch auch, wenn du deren Einverständnis einholen willst, musst du laut DSGVO Einiges beachten.
Der Zweck, zu dem du die personenbezogenen Daten einholst, muss ganz klar und unmissverständlich in deiner Datenschutzerklärung genannt werden. Zudem muss die betroffene Person die Einwilligung freiwillig abgeben und sowohl über die Reichweite der Einwilligung als auch die Möglichkeit des Widerrufs informiert werden. Auch die Verweigerung bzw. das Zurückziehen der Einwilligung muss möglich sein.
Alle diese Informationen musst du in deiner Datenschutzerklärung in klarer, leicht verständlicher Sprache zur Verfügung stellen. Du darfst zur Erläuterung auch Grafiken benutzen. Diese müssen aber maschinenlesbar sein. Am besten sammelst du alle Hinweise zur Datenverarbeitung übersichtlich auf einer eigenen Webseite.
Diese Änderung ist besonders wichtig: Bei Datenschutzverstößen haften nun sowohl derjenige, der für die Datenerhebung verantwortlich ist, als auch der Datenverarbeiter gesamtschuldnerisch (Art. 82). Gibst du die von dir erhobenen Daten also an einen Dritten zur Verarbeitung weiter, solltest du gewährleisten, dass auch dieser sich an die Vorschriften der DSGVO hält. Die sogenannte solidarische Haftung ist nur dann ausgeschlossen, wenn du nachweisen kannst, dass du für den entstandenen Schaden nicht verantwortlich bist.
Zu den neuen Pflichten des Auftragsverarbeiters gehört laut DSGVO auch, dass er einen Vertreter innerhalb der EU nennen muss. Außerdem muss er sicherstellen, dass alle Mitarbeiter zur Vertraulichkeit verpflichtet sind. Er muss des Weiteren ein Verfahrensverzeichnis führen (Art. 30), mit der Datenschutzaufsicht zusammenarbeiten und gegebenenfalls einen Datenschutzbeauftragten stellen.
Kommt es zu einem Verstoß gegen das Datenschutzgesetz, muss dieser möglichst innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden (Art. 33). Das Bußgeld richtet sich mit Inkrafttreten der DSGVO zum 25. Mai 2018 nach der Höhe des Konzernumsatzes: Bis zu 4 % des Jahresumsatzes können als Bußgeld verhängt werden (Art.83).
Damit du für die DSGVO gerüstet bist, haben wir für dich eine Checkliste zusammengestellt, die dir dabei hilft, die neuen Regelungen umzusetzen: DSGVO-Checkliste.
Wer es ganz genau wissen möchte und keine Angst vor dem Paragraphen-Dschungel hat, findet hier die komplette DSGVO. Elf Kapitel und 99 Artikel geben dir Aufschluss über das neue Datenschutzgesetz. Bis zum 25. Mai 2018 hast du noch Zeit, um dich damit zu befassen und die nötigen Schritte einzuleiten, um die Verordnung korrekt umzusetzen!
Was denkst du?