Die Datenschutz-Grundverordnung (DSGVO) der EU kann ab 25. Mai 2018 bei allen angewendet werden, die mit personenbezogenen Daten von EU-Bürgern arbeiten. Das betrifft Vereine, kleine Unternehmen und Einzelhändler ebenso wie große Firmen. Ab diesem Datum gelten strengere Regeln für den Umgang mit personenbezogenen Daten – sowohl innerhalb des Workflows einer Firma, als auch auf der Website. Und die Strafen bei Verstößen sind leider hoch!

Die neue Datenschutz-Grundverordnung (DSGVO) ab 25. Mai 2018! Informationen, Hinweise, Pflichten und Gefahren bei Nichteinhaltung!

Die Datenschutz-Grundverordnung (DSGVO) der EU kann ab 25. Mai 2018 bei allen angewendet werden, die mit personenbezogenen Daten von EU-Bürgern arbeiten. Das betrifft Vereine, kleine Unternehmen und Einzelhändler ebenso wie große Firmen, denn hier findet der Datenaustausch mit Menschen statt, wie z. B. die Speicherung der Kontoverbindung eines Mitarbeiters, die Anschrift des Kunden oder auch die E-Mail-Adresse eines Zulieferers.
Ab diesem Datum gelten strengere Regeln für den Umgang mit personenbezogenen Daten – sowohl innerhalb des Workflows einer Firma, als auch auf der Website. Und die Strafen bei Verstößen sind leider hoch!

Hier nun das Wichtigste zur DSGVO im Überblick – zur Anzeige der jeweiligen Informationen bitte einfach den jeweiligen Block aufklappen. Hinweis: Die folgenden Inhalte habe wir recherchiert und nach unserem Verständnis zusammengefasst. Der Artikel stellt keine Rechtsberatung dar und erhebt keinen Anspruch darauf, vollständig und in jedem Detail richtig zu sein. Wir übernehmen grundsätzlich keinerlei Haftung für die Inhalte der Datenschutzerklärung und des Impressums.

Die EU-Datenschutzgrundverordnung regelt EU-weit den Umgang mit personenbezogenen Daten, und führt auch zu entsprechenden Anpassungen im deutschen Datenschutzrecht – genauer im BDSG (neu), dem neuen Bundesdatenschutzgesetz, welches ebenfalls ab dem 25.05.2018 angewendet wird. In der DSGVO finden sich auch Datenschutz-Regelungen für den Umgang mit personenbezogenen Daten im Geschäftsverkehr mit sogenannten sicheren und unsicheren Drittländern (Drittländer sind Länder außerhalb der EU- bzw. des EWR).

Im Datenschutzrecht geht es um personenbezogene Daten von Nutzern, wie z.B.:

  • Name, Anschrift
  • Geburtsdatum
  • Religionszugehörigkeit
  • Steuernummer
  • Einkommen, Ausbildung
  • E-Mail-Adresse
  • IP-Adresse
  • Kauf-, Surf- und Klick-Historie einzelner Nutzer

Immer dann, wenn personenbezogene Daten nicht vollständig anonym erhoben sondern einer bestimmten Person zugeordnet werden können, bewegen Sie sich im Bereich des Datenschutzrechts.

Daneben gelten auch weitere bestehende Gesetze mit Regelungen zum Datenschutz unverändert weiter:

  • Das Wettbewerbsrecht (UWG)
  • Das Telemediengesetz (TMG)

Auf dsgvo-gesetz.de finden Sie eine übersichtliche Online-Version der offiziellen PDF der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung). Alle Artikel sind mit den passenden Erwägungsgründen und dem BDSG (neu) 2017 verknüpft. Den Text der EU-Datenschutz-Grundverordnung gibt es dort auf Deutsch sowie auf Englisch.

Die Neuregelungen der DSGVO umfassen primär folgende Themen:

  • Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
  • Dokumentationspflichten und Datenschutzfolgenabschätzung
  • Neue Vorgaben für Einwilligungserklärungen online und offline
  • Erweitere Vorgaben für Datenschutzerklärungen auf Webseiten
  • Pflicht zur Datenportabilität
  • “Recht auf Vergessenwerden” von Nutzerdaten
  • Neuregelungen bei der Auftragsverarbeitung bzw. Auftragsdatenverarbeitung
  • Neuregelungen bei Mitarbeiterdaten
  • “privacy by design” und “privacy by default”
  • Personenbezogene Daten von Kindern
  • Prinzip des “One-Stop-Shop”
  • Stellung des Datenschutzbeauftragten (DSB)
  • Meldepflicht von “Datenpannen”
  • Neue Haftungsregeln und höhere Bußgelder

Verstöße gegen den Datenschutz können nun ernsthafte rechtliche Folgen nach sich ziehen. Die bisher vorgesehenen Bußgelder bei Datenschutzverstößen waren für große Unternehmen meistens nicht der Rede Wert. Die DSGVO hat die bisher geltenden Regelungen jedoch deutlich verschärft – und dies gilt sowohl im Hinblick auf mögliche Geldbußen als auch im Hinblick auf Schadenersatz (einschließlich Schmerzensgeld).

Die DSGVO enthält nun Bestimmungen für Geldbußen (Artikel 83 der DSGVO) sowie Bestimmungen für das Recht auf Schadenersatz (Artikel 82 der DSGVO). Sie werden zusätzlich ergänzt durch Regelungen des BDSG (neu).

Für bestimmte Rechtsverstöße drohen nun Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (siehe Art. 83 Abs. 6 der DSGVO). Solche Summen kommen natürlich eher gegenüber großen Unternehmen und Konzernen in Betracht.

Aber auch kleinere und mittelgroße Unternehmen (KMU) oder Vereine müssen nun bei ernsthaften Verstößen mit Geldbußen in vier- oder gar fünfstelliger Höhe rechnen.

Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Sofern Sie also eine elektronische Datenverarbeitung (auch wenn diese nur aus einem einzigen Computer besteht) oder ein nach bestimmten Kriterien geordnetes Karteisystem (das können auch Karteikarten aus Papier sein) im Einsatz haben, ist der sogenannte “sachliche Anwendungsbereich” der DSGVO gegeben.

Verarbeitung ist hierbei ein umfassender Begriff für den Umgang mit den personenbezogenen Daten – denn dazu zählen das Erheben, Ändern, Nutzen, Übermitteln, Verknüpfen oder Löschen solcher Daten. Mit anderen Worten: egal was Sie mit den Daten machen, es handelt sich immer um ein Verarbeiten im Sinne der DSGVO (Ausnahme: die Verarbeitung für ausschließlich persönliche und familiäre Zwecke).

Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Er ist Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden, also per EDV. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten.

Ausnahme: Für kleine Betriebe macht die Verordnung eine Ausnahme: sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen KEINEN Datenschutzbeauftragten. Dann kann der Geschäftsführer selbst den Datenschutz übernehmen. Achtung: Es sind auch jene Mitarbeiter zu berücksichtigen, die nur ab und an Daten verarbeiten, etwa Zugriff auf die Kundendatenbank haben. Es spielt keine Rolle, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter ist, Praktikant oder Auszubildender. Entscheidend ist die Anzahl der Köpfe.

Wann die Ausnahme nicht gilt: Das Unternehmen verarbeitet Daten, für die eine Datenschutz-Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten.

Was muss der Datenschutzbeauftrage können?
Die Fachkunde des Datenschutzbeauftragten muss sichergestellt sein, etwa durch Fortbildungen bei der Industrie- und Handelskammer.

Sie können auch einen externen Datenschutzbeauftragen bestellen, der Ihre Prozesse prüft und auch die Datenschutztexte und das Impressum auf Ihrer Website genau kontrolliert. Nutzen Sie hierzu das Formular am Ende dieser Seite.

Jedes Unternehmen muss ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen (dies ergibt sich aus Art. 30 der DSGVO). „Das klingt hochtrabend, ist aber nur eine simple Tabelle“, entwarnt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW). In der Tabelle listet man auf, welche Daten wann, wie und warum im Unternehmen erhoben werden. Etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

Achtung: Hier nicht die internen Daten vergessen, die verarbeitet werden, etwa Personaldaten, Daten aus der Lohnbuchhaltung und so weiter.

„So eine Tabelle reicht den Datenschutzbehörden meistens schon“, sagt Neuber. „Die haben gar keine Zeit und keine Ressourcen, jeden Handwerksbetrieb zu prüfen. Die haben zehn Leute für 60.000 Unternehmen.“

Bei größeren Unternehmen sollte ein Projektverantwortlicher ernannt werden, der alle Mitarbeiter, die Datenverarbeitung verantworten (und eventuell auch Lieferanten und Partner) befragt.

Abgefragt werden sollte:

  • Welche Informationen erhalten Betroffene (zum Beispiel die Kunden) über die Erhebung und Speicherung personenbezogener Daten?
  • Wie werden diese Informationen erteilt: Stehen Sie zum Beispiel in den AGB, in einem Text neben einer Checkbox auf der Website oder teil man sie mündlich mit?
  • Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet? Daraus leitet sich ab, ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten – etwa bei einer Vertragsbeziehung – oder ob der Betroffene der Datenverarbeitung erst zustimmen muss.
  • Werden Daten anonymisiert oder pseudonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen? Ist dieser ebenfalls für den Datenschutz verantwortlich?
  • Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
  • Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt?

Daraus erstellt man dann ein Verarbeitungsverzeichnis.

Die Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen, von der Erhebung (etwa bei einer Online-Terminvergabe beim Frisör) über die Speicherung (etwa bei einem externen Anbieter für Terminmanagement) bis hin zur Nutzung (zum Beispiel durch die Mitarbeiter).

Ein solches Verzeichnis ist übrigens schon nach dem alten Bundesdatenschutzgesetz verpflichtend, die wenigsten haben es aber bis jetzt geführt.

Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und – wenn nötig – optimieren. Zum Beispiel:

  • Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
  • Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
  • Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? Denn Achtung: Kommen die Daten abhanden, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
  • Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (Bei einem Gewinnspiel etwa nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
  • Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?

Wer mit besonders sensiblen Daten arbeitet – etwa Arztpraxen oder Versicherungsmakler – muss damit besonders umsichtig umgehen und unter Umständen eine so genannte Datenschutz-Folgeabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie zum Beispiel  Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden. Eigentlich sollen die Datenschutzbehörden eine Liste herausgeben, die besagt, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung voraussetzen. Diese Liste gibt es aber bisher nicht, sodass im Einzelfall entschieden werden muss. Ein hohes Risiko kann sich aus der Art der Daten, ihrem Umfang oder dem Zweck der Datenverarbeitung ergeben.

Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete Schutzmaßnahmen treffen zu können.

Worin besteht eine Datenschutz-Folgeabschätzung?

  • Beschreibung der Datenverarbeitungsvorgänge.
  • Beschreibung des Zwecks der Datenverarbeitung und Begründung, warum das Unternehmen ein berechtigtes Interesse daran hat. Die Datenverarbeitung muss im Hinblick auf den Zweck verhältnismäßig sein.
  • Beschreibung der Risiken, die für betroffene Personen bestehen.
  • Dokumentation: Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
  • Dokumentation: Wie wird im Falle eines Leaks verfahren?
  • Dokumentation: Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?

Wichtig: Die Landesdatenschutzbehörden haben hier übrigens eine beratende Funktion.

Unternehmer sollten alle ihre Anstrengungen dokumentieren: Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Firewall wurde wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutz-Erklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen. Dafür muss man aber die Unterlagen auf Anfrage umgehend vorlegen können.

Leider bietet diese Verordnung auch wieder vielen Anwaltskanzleien ein lukratives Geschäft, indem sie Websites abmahnen, deren Datenschutzerklärung und/oder Impressum nicht oder mangelhaft auf Basis der DSVGO umgesetzt wurde. Daher sollte Ihre Website zuerst auf Basis der neuen Verordnung angepasst werden.

Um auf Nummer sicher zu gehen, empfehlen wir Ihnen das Hinzuziehen eines Datenschutzbeauftragten, der Ihre internen Abläufe und Datenschutztexte auf der Website prüft. Wir arbeiten mit einem Experten zusammen, deren Kontakt wir gerne auf Wunsch an Sie weiterleiten. Alternativ können Sie sich auch komplett selbst dem Thema annehmen. Hierfür gibt es ausreichend Informationen im Internet.

Nutzen Sie nun bitte folgendes Formular. Damit können wir Ihnen schnell und unkompliziert alle wichtigen Informationen für den weiteren Weg zur Umsetzung der DSVGO zukommen lassen. Sie können wählen, ob wir für Sie nur die Website im Bereich “Datenschutz” und “Impressum” anpassen oder Sie zusätzlich einen Datenschutzbeauftragten hinzuziehen möchten, der Sie im kompletten Prozess unterstützt.

Hinweis: Kunstwerk übernimmt grundsätzlich keinerlei Haftung für die Inhalte der Datenschutzerklärung und des Impressums. Wir erstellen diese nach bestem Wissen.

 

1. Ihre Kontaktdaten

Ihr Name:

Firmenname:

Straße, Hausnr.:

PLZ, Ort:

Ihre Telefonnummer:

Ihre E-Mail-Adresse:



2. Daten zu Ihrem Unternehmen

Unternehmensform:

Anzahl der beschäftigten Mitarbeiter:

Web-Adresse:



3. Umfang der gewünschten Unterstützung

Textliche Anpassung der Webtexte 'Impressum' und 'Datenschutz' (ohne Gewähr)
Hinzunahme des Datenschutzbeauftragten für Web
Hinzunahme des Datenschutzbeauftragten für interne Prozesse



4. Ihre persönliche Mitteilung an uns

Sicherheitsabfrage – bitte Code eingeben:
captcha



Ihre Angaben aus dem Kontaktformular inklusive der von Ihnen dort angegebenen Kontaktdaten werden zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Sie bekommen im Anschluss automatisiert eine Kopie Ihrer Nachricht per E-Mail.



__

Haben Sie weitere Fragen zum Thema “DSGVO” oder wünschen Sie ein Beratungsgespräch?
Sie können sich auch direkt an unseren Datenschutz-Experten Herrn Skodras wenden.
Rufen Sie an unter 0171 5113081.