Fragen und Antworten zur EU-DSGVO

Im Mai 2018 trat sie endgültig in Kraft: Die EU-Datenschutzgrundverordnung. Bei Verstößen drohen Unternehmen Bußgelder von bis zu 20 Millionen Euro oder sogar 4% des weltweit erzielten Jahresumsatzes! Doch worum geht es überhaupt, wer ist betroffen und was ist zu tun?

Weitere Informationen auch unter www.sihk.de/datenschutz

Im Dezember 2015 einigten sich Europäisches Parlament, EU-Kommision und EU-Ministerrat auf ein neues Regelwerk zum Datenschutz, damit Bürger und Unternehmen zukünftig darauf vertrauen können, dass EU-weit einheitlich mit ihren Daten umgegangen wird. Am 25. Mai 2016 trat die sogenannte EU-Datenschutzgrundverordnung (kurz EU-DSGVO) europaweit bereits in Kraft.

Nein, da die EU-DSGVO eine Verordnung ist, musste sie nicht erst in nationales Recht umgesetzt werden sondern war sofort gültig! Allerdings mussten die EU-Mitgliedstaaten, sowie die Behörden und Unternehmen die  Verordnung samt neuer Datenschutzbestimmungen erst nach zweijähriger Übergangsphase ab dem 25. Mai 2018 final umsetzen. Nach diesem Stichtag gilt die Verordnung (und mit ihr das neue nationale Bundesdatenschutzgesetz) aber quasi für jedes Unternehmen und bei Verstößen drohen Bußgelder!

Viele Grundsätze des deutschen Bundesdatenschutzgesetzes bleiben erhalten. Vor allem werden die Nutzerrechte gestärkt: Der Zugang zu den eigenen Daten und zu Informationen über deren Nutzung soll erleichtert werden. Außerdem gibt es jetzt im Gestzt das „Recht auf Vergessenwerden“, also den Anspruch auf Löschung personenbezogener Daten. In Unternehmen müssen Anwendung datenschutzfreundlich eingesetzt werden und es gilt eine Risikoabschätzung aller datenschutzrelevanten Prozesse vorzunehmen. Die EU-DSGVO gilt jetzt auch für Unternehmen, die Ihren Sitz außerhalb der EU haben, sich aber mit ihrem Angebot an EU-Bürger wenden wie etwa Google oder Facebook. Nicht zuletzt wird der Bußgeldrahmen erheblich verschärft: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes!

Unternehmen müssen sich um das Thema Datenschutz kümmern, sobald personenbezogene Daten im Spiel sind. Das gilt nicht nur, wenn man Privatkunden zu tun hat. Es können sich beispielsweise auch um Mitarbeiterdaten (ob Personalakte oder Buchhaltungsdaten), Kontaktinformationen zu persönlichen Ansprechpartnern in anderen Unternehmen, die Verbindungsnachweise bei Firmentelefonen oder die Videoüberwachung des Firmengeländes handeln. Die Größe des Unternehmens spielt dabei keine Rolle!

Zunächst sollte geklärt werden, wo welche personenbezogenen Daten verarbeitet werden. Zulässig ist dies beispielsweise wenn eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung aus vertraglichen oder rechtlichen Gründen nötig ist. Diese Zulässigkeit muss dann ebenso wie die genauen Abläufe der Datenverarbeitung in einem sogenannten Verfahrensverzeichnis dokumentiert werden. Dazu gehören auch weitere Informationen wie etwa Löschfristen oder Kontaktdaten des ggf. bestellen Datenschutzbeauftragen Gänzlich neu ist die Datenschutzfolgenabschätzung, die dann gemacht werden muss, wenn bei der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.

Zwar muss sich jedes Unternehmen um den Datenschutz kümmern, aber man braucht nicht unbedingt einen Datenschutzbeauftragten dafür. Unbedingt nötig ist er z.B. bei der Verarbeitung besonders sensibler Daten oder wenn mehr als 20 Mitarbeiter ständig mit der Datenverarbeitung beschäftigt sind. Der Datenschutzbeauftragte muss besonders qualifiziert werden und darf nicht im Interessenkonflikt stehen, also z.B. nicht zur Geschäftsleitung gehören. 

Im Falle einer Datenpanne muss diese binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden. Außerdem muss der Vorfall an die Betroffenen gemeldet werden, außer die Daten wurden z.B. durch Verschlüsselung unzugänglich gemacht. Falls die Benachrichtigung jedes Einzelnen einen zu großen Aufwand darstellt, kann stattdessen auch eine öffentliche Bekannmachung erfolgen.