EU-Datenschutz
Die Europäische Datenschutz-Grundverordnung (DSGVO)
Was ist die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU) und hat
- die Schaffung eines gleich hohen Datenschutzniveaus innerhalb der EU-Staaten (bisher konnten Unternehmen Standorte mit weniger strengen Datenschutzvorgaben wählen) und
- eine stärkere Kontrolle und Transparenz der Verarbeitung personenbezogener Daten zum Ziel.
Die DSGVO gilt seit dem 25. Mai 2018 europaweit und löste in Deutschland das bisher geltende Bundesdatenschutzgesetz (BDSG) ab. Gleichzeitig mit der DSGVO trat das BDSG-neu in Kraft. Dieses Gesetz regelt den Datenschutz allerdings nur soweit wie die DSGVO vorsieht, dass bestimmte Datenschutzbereiche auf nationaler Ebene geregelt werden dürfen oder müssen (sog. „Öffnungsklauseln“). Die Vorschriften des BDSG-neu finden keine Anwendung, soweit die DSGVO unmittelbar gilt (§ 1 Abs. 5 BDSG-neu). Denn eine EU-Verordnung hat Vorrang gegenüber nationalem Recht.
Den vollständigen Text der DSVO finden Sie auf der Internetseite der EU.
Was regelt die DSGVO?
Die DSGVO regelt den Schutz personenbezogener Daten. Davon sind alle Informationen umfasst, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
Beispiele: Name, Geburtsdatum, Geschlecht, Telefonnummer, Kreditkarten- oder Personalnummer, Kontodaten, Kfz-Kennzeichen, das Aussehen, die Kundennummer oder die Anschrift zu den personenbezogenen Daten, Standortdaten oder IP-Adresse. Es fallen beispielsweise auch weniger eindeutige Informationen wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Beschäftigter seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, in die Kategorie personenbezogene Daten. Ebenso sind die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten „personenbezogene Daten“, wenn der Prüfling theoretisch identifiziert werden kann. Nicht nur objektive Informationen können personenbezogen sein. Subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen können personenbezogene Daten sein, etwa die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Beschäftigten. Für natürliche Personen beginnt und erlischt der Schutz mit ihrer Rechtsfähigkeit. Grundsätzlich erlangt ein Mensch diese Fähigkeit mit seiner Geburt und verliert sie mit seinem Tod. Für einen Personenbezug müssen Daten daher bestimmten oder bestimmbaren lebenden Personen zuzuordnen sein. Neben den allgemeinen personenbezogenen Daten sind die besonderen Kategorien personenbezogener Daten von hoher Relevanz, da sie ein höheres Schutzniveau genießen. Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.
Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es ist jedes Unternehmen betroffen, dass personenbezogene Daten ganz oder teilweise automatisiert oder nicht-automatisiert verarbeitet,
- soweit die Verarbeitung durch eine Niederlassung in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (beispielsweise Outsourcing des Rechenzentrums);
- soweit außereuropäische Unternehmen (auch ohne Sitz in der EU) Waren oder Dienstleistungen anbieten oder deren Verhaltensweisen zum Beispiel mittels „Profiling“ überwachen.
Was sind die Grundsätze der DSGVO?
Rechtmäßigkeit
Die DSGVO ist ein Verbot mit Erlaubnisvorbehalt. Eine Datenverarbeitung ist grundsätzlich verboten. Nur, wenn sie gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt. Weitere Zulässigkeitsgründe für eine Verarbeitung sind in der DSGVO aufgelistet (vgl. Artikel 6):
- Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden.
- Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten (Beispiel: Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer).
- Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen der betroffenen Person überwiegen diese Interessen nicht. Hierunter kann zum Beispiel die Verarbeitung personenbezogener Daten für die Direktwerbung fallen.
Direkterhebung
Personenbezogene Daten sind grundsätzlich unmittelbar beim Betroffenen selbst zu erheben. Falls die Daten nicht vom Betroffenen stammen, ist dieser über die Quelle seiner Daten zu informieren.
Transparenz
Die betroffene Person muss wissen, welche Daten die Stelle für welchen Zweck verarbeitet und an welche Stellen innerhalb der EU oder im nichteuropäischen Ausland die Daten weitergegeben werden, oder eine Weitergabe beabsichtigt ist. Daher gibt es umfangreiche Betroffenenrechte (wie Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht). Die Betroffenenrechte sollen sicherstellen, dass die Personen ihre Rechte wahrnehmen und somit auch ihr Recht auf informationelle Selbstbestimmung ausüben können.
Zweckbindung
Die Daten dürfen nur für festgelegte, eindeutige Zwecke erhoben werden und dürfen nicht für andere Zwecke weiterverarbeitet werden. Ausnahmen sind vorgesehen für Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen müssen.
Datenminimierung
Es sollen so wenig personenbezogene Daten wie möglich verarbeitet werden und Daten sollen möglichst pseudonymisiert und anonymisiert werden. Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind. Dabei ist zu beachten, wann Daten nicht mehr benötigt und daher gelöscht werden müssen.
Richtigkeit
Die Daten müssen sachlich richtig und auf dem neuesten Stand sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
Technischer Datenschutz
Die DSGVO verknüpft sehr stark den Datenschutz mit der Technik. IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (“Privacy by Design”/”Privacy by Default”).
Rechenschaftspflicht
Die verarbeitende Stelle ist verantwortlich für den Datenschutz und muss die Einhaltung aller zuvor genannten Datenschutzprinzipien nachweisen können. Dazu ist eine umfassende Dokumentation notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes können von den Aufsichtsbehörden verhängt werden. Für leichtere Verstöße gegen Pflichten aus der DSGVO ist ein Bußgeld von maximal zehn Millionen Euro oder von zwei Prozent des weltweiten Jahresumsatzes vorgesehen.
Welche Maßnahmen sind nach der DSGVO umzusetzen?
Die DSGVO verlangt von der verantwortlichen Stelle, also dem Unternehmen oder der Institution, die Erfüllung der sogenannten Rechenschaftspflicht. Damit ist die verantwortliche Stelle für die Einhaltung des Datenschutzes nach den Regeln der DSGVO verantwortlich. Eine erste Orientierung über mögliche Schritte im Unternehmen gibt der 10-Punkte-Plan des Landesbeauftragten für den Datenschutz Baden-Württemberg.
Dazu ist ein Datenschutzmanagement notwendig. Dessen Ausgestaltung ist abhängig von der Größe des Unternehmens, den personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Auch in kleinen und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Risikoanalyse und -bewertung
Die Risiken für die persönlichen Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, müssen analysiert werden hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden. Hierzu gehört auch die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen (sogenannte technisch-organisatorische Maßnahmen), die stetig auf ihre Wirksamkeit hin kontrolliert werden müssen, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen. Die Risikobewertung und die darauf passend ergriffenen Maßnahmen müssen dokumentiert werden.
Datenschutzmanagement
Um ihrer Rechenschafts- und Dokumentationspflicht nachzukommen, sollten Unternehmen ein Datenschutzmanagement entwickeln. Folgendes wird von einem Datenschutzmanagement verlangt:
- die Festlegung der Zuständigkeiten für den Datenschutz im Unternehmen (hierzu gehört auch die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten)
- die Sensibilisierung und Schulung der Mitarbeiter
- die Verpflichtung auf das Datengeheimnis (das ist zwar gesetzlich nicht mehr vorgeschrieben, aber anzuraten; alternativ muss sichergestellt werden, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung tun. Für Auftragsverarbeiter ist vorgeschrieben, dass sie ihre Mitarbeiter auf die Vertraulichkeit verpflichten müssen.)
- die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden
- den Einsatz datenschutzfreundlicher Technologien
- die Beschreibung der technisch-organisatorischen Maßnahmen und den Stand der Technik als Anforderung an die IT-Sicherheit
- die Führung des Verzeichnisses von Verarbeitungstätigkeiten
- den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
- den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
- den Prozess zur Durchführung einer Risikobewertung
- den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
- den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)
Es sollte geprüft werden, ob es im Unternehmen Anknüpfungspunkte für ein Datenschutzmanagement gibt. Hierfür bieten sich zum Beispiele bereits bestehende Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.
Die Umsetzung der obigen Maßnahmen muss stetig auf ihre Wirksamkeit hin kontrolliert werden. Wird festgestellt, dass Anpassungen notwendig sind, müssen sie vorgenommen werden. Das Ergebnis muss jedenfalls sein, dass die Einhaltung der Datenschutzpflichten in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.
Unternehmen können mit Hilfe eines interaktiven Online-Tests des Bayerischen Landesamtes für Datenschutzaufsicht ermitteln, wie weit sie mit der internen Umsetzung der DS-GVO gekommen sind und an welchen Stellen nachgebessert werden sollte.
Stand: Dezember 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.