Datenschutz
EU-Datenschutz-Grundverordnung (DSGVO): Was müssen Unternehmen beachten?
Seit 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen alle relevanten Unternehmensprozesse an die DSGVO-Vorgaben anpassen. Hier finden Sie fünf wichtige Schritte zur Umsetzung der DSGVO in Ihrem Unternehmen. Gerne beraten wir Sie auch zu Ihren individuellen Fragen rund um das Thema Datenschutz.
Die DSGVO vereinheitlicht das Datenschutzrecht in Europa
Personenbezogene Daten, wie zum Beispiel Name, Alter, Anschrift, E-Mail-Adresse oder die Kontonummer, dürfen nur verarbeitet und gespeichert werden, wenn die betroffene Person ihre Einwilligung gegeben hat oder ein anderer Erlaubnistatbestand für die Verarbeitung personenbezogener Daten vorliegt (Artikel 6 DSGVO).
Bereits vor Geltung der DSGVO erteilte Einwilligungen der Betroffenen bleiben nur wirksam, wenn sie den Bedingungen der DSGVO entsprechen. Die DSGVO ermöglicht, dass diese Einwilligung beispielsweise auch durch das Anklicken eines Kästchens auf der Internetseite erteilt werden kann und nicht mehr schriftlich erfolgen muss.
Die bekannten datenschutzrechtlichen Grundprinzipien Datensparsamkeit, Zweckbindung und Datensicherheit wurden fortentwickelt.
So besteht etwa eine engere Zweckbindung, weshalb Daten grundsätzlich nur zu dem ursprünglichen Erhebungszweck verwendet werden dürfen. Dieser Erhebungszweck muss eindeutig, festgelegt und legitim sein.
Es gilt das Prinzip der Datenminimierung: Daten dürfen nur dem Zweck angemessen sowie auf das notwendige Maß beschränkt gesammelt werden. An dieser Stelle sollte auch die Speicherbegrenzung beachtet werden: Daten dürfen nur so lange gespeichert werden, wie es erforderlich ist; ein betriebliches Löschkonzept ist empfehlenswert. Schließlich muss eine angemessene Datensicherheit von Seiten des Unternehmens gewährleistet werden, damit die Daten nicht in falsche Hände geraten können.
Wie sollten Unternehmen vorgehen? Fünf wichtige Schritte zur Umsetzung der DSGVO
1. Strukturen und Verantwortlichkeiten schaffen
Informieren Sie in Ihrem Unternehmen zum Thema Datenschutz und benennen Sie einen Datenschutzbeauftragen. Dazu ist jedes Unternehmen verpflichtet, wenn es in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Vergessen Sie hier nicht die freien Mitarbeiter und Teilzeitkräfte.
Darüber hinaus ist die Benennung eines Datenschutzbeauftragten erforderlich, wenn das Unternehmen Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder wenn es personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen.
Der oder die Datenschutzbeauftragte sollte regelmäßig geschult werden.
Weitere Informationen zum betrieblichen Datenschutzbeauftragten finden Sie im Artikel Betriebliche Datenschutzbeauftragte.
2. Verschaffen Sie sich einen Überblick, welche Daten in Ihrem Unternehmen wie, wo und zu welchem Zweck verarbeitet und gespeichert werden
Dies betrifft zum Beispiel die Bereiche Personalverwaltung und Lohnbuchhaltung, Kundendaten (die etwa über die Website, Mailinglisten oder eine Telefon-Hotline erhoben werden), Bewerbungen – eben jeder Umgang mit personenbezogenen Daten. Dieser Überblick kann zum Beispiel eine Tabelle sein, in der dargestellt wird, welche Daten erhoben werden. Sie sollte immer aktuell gehalten werden: Dieses Verarbeitungsverzeichnis ist die Basis für eine strukturierte DSGVO-Compliance (vgl. Artikel 30 DSGVO). Die Datenschutzkonferenz stellt Muster für Verarbeitungsverzeichnisse zur Verfügung. Muster für verschiedene Branchen (z.B. Beherbergungsbetrieb, Einzelhandel, Online-Shop, WEG-Verwaltung) hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht.
Wichtig: Soweit Verarbeitungsvorgänge besonders sensible Daten (wie zum Beispiel Gesundheitsdaten oder beim Einsatz von Videoüberwachung) betreffen, muss der Verantwortliche eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) durchführen. Weitere Informationen zur Datenschutz-Folgeabschätzung finden Sie auf der Internetseite der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit stellt ein Muster zur Verfügung.
Schließlich darf auch die IT-Sicherheit im Unternehmen nicht vergessen werden. Technische und organisatorische Maßnahmen (TOM) sorgen für die sichere Verarbeitung personenbezogener Daten (vgl. Artikel 32 DSGVO). Es geht um Schutzvorkehrungen wie z.B. Zutrittskontrollen zu IT-Abteilungen und Servern, die Sicherung von PCs und Laptops, Backups oder den Einsatz von Firewalls.
Die IHK-Organisation bietet hierzu passgenaue Vorschläge zur Verbesserung der Cybersicherheit im Unternehmen an.
3. Auftragsverarbeiter prüfen
Wenn Sie personenbezogene Daten außer Haus geben (zum Beispiel durch Nutzung von Cloud-Services, Internet-Providern oder Zeiterfassungssystemen externer Dienstleister), müssen Sie sich von der Eignung des Dienstleisters überzeugen und die Details der Datenverarbeitung vertraglich festlegen (vgl. Artikel 28 DSGVO). Auch hier ist eine aktuelle Übersicht sämtlicher Auftragsverarbeitungen im Unternehmen wichtig.
Muster für einen Vertrag zur Auftragsdatenverarbeitung stellen u.a. das Bayerische Landesamt für Datenschutzaufsicht und der Branchenverband Bitkom e.V. zur Verfügung.
4. Transparenz herstellen
Betroffene, deren personenbezogene Daten verarbeitet werden, müssen schon bei der Datenerhebung verständlich darüber informiert werden, was mit ihren Daten passiert (Artikel 13, 14 DSGVO). So muss auch auf der Homepage eines Unternehmens in einer Datenschutzerklärung u. a. über Art, Umfang und Zweck der Erhebung und Verwendung der Daten informiert werden.
Die Datenschutzinformationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln (Artikel 12 DSGVO) und müssen unter anderem auf die bestehenden Rechte des Betroffenen hinweisen.
So haben Betroffene ein Widerspruchsrecht bezüglich der weiteren Datenverarbeitung. Ebenfalls gibt es ein Recht auf Auskunft, Berichtigung und Löschung der Daten sowie auf Einschränkung der Verarbeitung (Artikel 15 - 18 DSGVO).
Eine besondere Ausformung des Löschungsanspruchs stellt das „Recht auf Vergessenwerden“ dar – das bedeutet, dass ein Unternehmen die Kundendaten zeitnah und umfassend löschen muss, wenn dies verlangt wird und gesetzliche Aufbewahrungsfristen nicht entgegenstehen.
Eine besondere Ausformung des Löschungsanspruchs stellt das „Recht auf Vergessenwerden“ dar – das bedeutet, dass ein Unternehmen die Kundendaten zeitnah und umfassend löschen muss, wenn dies verlangt wird und gesetzliche Aufbewahrungsfristen nicht entgegenstehen.
Und: Soweit die zu löschenden Daten an Dritte weitergegeben wurden, müssen Sie die datenverarbeitende Stelle darüber informieren, dass die betroffene Person die Löschung aller Links zu diesen Daten und von Kopien oder Replikationen verlangt.
Auf Basis des geänderten Rechts auf Datenübertragbarkeit haben betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Unternehmen sollten insofern überprüfen, ob vorhandene Systeme die Datenübertragbarkeit unterstützen.
Das LDI NRW und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg haben Hilfestellungen bei der Erstellung von Datenschutzinformationen für kleine Unternehmen veröffentlicht. Die Universität Münster hat eine Musterdatenschutzerklärung für Website-Betreiber veröffentlicht.
5. Was tun im Fall von Datenschutzverletzungen?
Trotz umfassender Vorsorge und Absicherung kann es zu Datenpannen kommen. Der interne Melde- und Entscheidungsweg sollte bereits vorweg festgelegt und im Unternehmen bekannt sein: Das Unternehmen muss Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde nämlich grundsätzlich binnen 72 Stunden melden, wenn von der Datenpanne mehr als nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht (vgl. Artikel 33 f. DSGVO).
Die Meldung erfolgt bei der zuständigen Aufsichtsbehörde, in NRW über ein Online-Formular bei der LDI (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen).
Daneben sind in bestimmten Fällen auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat (vgl. Artikel 34 DSGVO).
Anwendungsbereich der DSGVO und Sanktionsmöglichkeiten
Nach dem Marktortprinzip gelten die Vorgaben der DSGVO für alle Unternehmen unabhängig von ihrer Niederlassung, soweit sie ein Angebot an einen bestimmten nationalen Markt in der EU richten. Im Falle von grenzüberschreitenden Datenverarbeitungen sind dem One-Stop-Shop-Mechanismus entsprechend die Aufsichtsbehörden an der Hauptniederlassung zuständig, so dass es einen zentralen Ansprechpartner gibt.
Durch die DSGVO wurde der Sanktionsrahmen bei Pflichtverletzungen drastisch erhöht. So drohen bei schwerwiegenden Verstößen Geldbußen bis zu 20 Millionen Euro und für Unternehmen Bußgelder von bis zu 4 % des gesamten weltweiten Umsatzes.
Beratungstermin vereinbaren
Gerne beraten wir Sie zu Ihren individuellen Fragen rund um das Thema Datenschutz. Rufen Sie uns einfach an oder buchen Sie einen digitalen Beratungstermin.