DSGVO Überblick über das neue Datenschutzrecht

Die Datenschutz-Grundverordnung (DSGVO) ist bereits vor zwei Jahren in Kraft getreten. Am 25. Mai 2018 endet jedoch die Schonfrist für betroffene Unternehmen und Institutionen. Die Verordnung soll der Vereinheitlichung des europäischen Datenschutzrechts und der Sicherung des freien Datenverkehrs in der EU dienen. Sie gilt ab Ende Mai in allen EU-Mitgliedstaaten. Eine vorherige Umsetzung in nationales Recht ist nicht erforderlich.

Im Mittelpunkt steht die Information und der Schutz natürlicher Personen (Privatpersonen, Verbraucher, Mitarbeiter) bei der Erhebung, Verwendung, Verarbeitung und Weitergabe personenbezogener Daten. Die DSGVO-Vorschriften gelten sowohl für Behörden als auch für Unternehmen, Vereine und andere Institutionen, die personenbezogene Daten erheben.

Wichtig: Natürliche Personen, die Daten zu ausschließlich persönlichen oder familiären Zwecken erheben und verarbeiten, müssen die DSGVO ausdrücklich nicht beachten. Für Vereine und andere organisierte Freizeitaktivitäten gelten die Datenschutzvorschriften hingegen sehr wohl! Insbesondere regelt die DSGVO ...

 

  • die Art und den Umfang „personenbezogener Daten“ (Grundsätze der Datenminimierung, Zweckbindung und zeitlich begrenzten Speicherung)
  • die Rechtmäßigkeit der Erhebung und Verarbeitung personenbezogener Daten
  • die Transparenz- und Informationspflichten gegenüber Betroffenen sowie
  • Maßnahmen zur Sicherung personenbezogener Daten und ihrer Richtigkeit, Integrität und Vertraulichkeit sowie die dazugehörige Verfahrensdokumentation.

 

Wichtig: Die DSGVO ein sogenanntes „Verbotsgesetz mit Erlaubnisvorbehalt“: Die Verarbeitung von personenbezogenen Daten ist somit grundsätzlich verboten. Zulässig ist sie nur dann, wenn die betroffene Person es ausdrücklich erlaubt oder ein Gesetz die Datenerhebung vorsieht.

Die gute Nachricht vorweg: Die meisten DSGVO-Schutzvorschriften sind längst im deutschen Datenschutzgesetz enthalten. Insofern wird sich für viele Selbstständige und Unternehmer wenig ändern. Anlass zur Panik besteht also nicht. Andererseits: Mit einem pauschalen dreizeiligen Datenschutz-„Disclaimer“ auf der Unternehmens-Website ist es künftig nicht mehr getan.

 

DSGVO-Überblick

Die wichtigsten DSGVO-Bestimmungen im Überblick:

 

  • Als personenbezogene Daten gelten alle Informationen, die Ausdruck der „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ einer natürlichen Person sind.
  • Kunden, Mitarbeiter und Kooperationspartner, über die Informationen gesammelt werden, haben Anspruch auf eindeutige und leicht verständliche Informationen über die Behandlung ihrer personenbezogenen Daten. Mehr noch: Wer solche Daten erhebt, muss die Betroffenen zuvor über die dazugehörige Rechtsgrundlage informieren.
  • Die betroffenen Personen müssen der Erhebung, Speicherung und Verarbeitung personenbezogener Daten ausdrücklich zustimmen: Eine nur stillschweigende Zustimmung genügt in Zukunft nicht mehr!
  • Betroffene können jederzeit Auskünfte zu den über sie gespeicherten Daten verlangen – außerdem über die Erhebungsquelle, den Zweck der Speicherung und bei Weitergabe über den Empfänger ihrer Daten. Solche Anfragen müssen innerhalb eines Monats beantwortet werden.
  • Entfällt der ursprüngliche Zweck der Datenspeicherung, sind die personenbezogenen Daten zu löschen. Wurden die Daten an Dritte weitergegeben, müssen diese ebenfalls über die Pflicht zur Löschung informiert werden.
  • Natürliche Personen haben ein Recht auf Vergessenwerden: Sie können nachträglich das Löschen ihrer Daten verlangen. 
  • Wichtig: Sofern die Daten rechtmäßig erhoben wurden, gilt der Löschanspruch erst für die Zukunft. Transaktionsdaten aus der Vergangenheit müssen nicht gelöscht werden – schon gar nicht, wenn dadurch gesetzliche Aufbewahrungsvorschriften verletzt würden!
  • Das Verfahren des innerbetrieblichen Zugriffs auf personenbezogene Daten und deren Verarbeitung muss dokumentiert sein (Beschreibung der „Verarbeitungstätigkeiten“).
  • Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht in der Regel erst in Betrieben ab zehn Mitarbeitern aufwärts (mehr dazu weiter unten).
  • Unternehmen, Vereine, Behörden und andere datensammelnde Institutionen sind verpflichtet, Datenpannen unaufgefordert an die Betroffenen und die Aufsichtsbehörde zu melden. In der Regel ist das der Datenschutzbeauftragte des Bundeslandes.
  • Bei grenzüberschreitenden Geschäften können sich Betroffene an die Datenschutzbehörde ihres Mitgliedsstaates wenden.
  • Verstöße gegen die europäischen Datenschutzvorschriften werden künftig deutlich höhere Bußgelder nach sich ziehen. Geldbußen sollen „wirksam, verhältnismäßig und abschreckend“ sein. Deren Obergrenze kann im Extremfall bei besonders schwerwiegenden Verstößen bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes erreichen!

 

Wichtig: Nicht zuletzt aufgrund gravierender Datenmissbrauchs-Skandale in jüngster Zeit sind Betroffene und Behörden wesentlich sensibler geworden. Offensichtliche Verstöße gegen Datenschutzvorschriften werden daher in Zukunft voraussichtlich konsequenter verfolgt als bisher.

 

Brauche ich einen Datenschutzbeauftragten?

Die meisten kleinen Unternehmen kommen weiterhin ohne Datenschutzbeauftragten aus. Nur wenn das Kerngeschäft eines Unternehmens in der massenhaften Verarbeitung sensibler Daten besteht, müssen bereits Selbstständige und Kleingewerbetreibende einen qualifizierten Datenschutzbeauftragten benennen. Anderenfalls ist die Besetzung dieser Position erst in Betrieben erforderlich, in denen zehn und mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nur dann kann das Fehlen eines Datenschutzbeauftragten mit Geldbußen geahndet werden.

Wichtig: Die niedrigere bürokratische Hürde für Kleinbetriebe bedeutet keineswegs, dass die Datenschutzvorschriften dort außer Kraft gesetzt sind! Auch dort müssen die Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz und alle anderen Datenschutzvorschriften beachtet werden. Für deren Einhaltung ist bei Fehlen eines Datenschutzbeauftragten der Unternehmer selbst verantwortlich.

 

Was tun?

Wenn Sie bisher noch gar keine Datenschutz-Überlegungen angestellt haben, sollten Sie das möglichst bald nachholen. Am besten machen Sie zunächst einmal eine grobe Bestandsaufnahme. Fragen Sie sich zum Beispiel:

 

In welchen Situationen werden in Ihrem Unternehmen personenbezogene Daten natürlicher Personen (Privatpersonen, Verbraucher, Mitarbeiter) überhaupt erhoben, gespeichert, verarbeitet und / oder weitergegeben? Denken Sie dabei nicht nur an originär elektronische Daten, sondern auch an Briefpost, Telefonate, Papier-Fragebögen, Flipcharts, Auswertungen etc.

Wichtig: Die Firmenangaben, Bankverbindungen, Adress-, Kommunikations- und ähnliche Daten juristischer Personen (z. B. AGs oder GmbHs) wie auch die Namen der dortigen Ansprechpartner (z. B. Geschäftsführer) fallen grundsätzlich nicht unter die Datenschutzbestimmungen. Spätestens jedoch, wenn Sie persönliche Informationen über Ihre B2B-Ansprechpartner sammeln (z. B. Hobbys oder Geburtstag), sind auch die geschützt!

 

  • Welche Informationen stellen Sie den Betroffenen zur Verfügung, wie erheben und dokumentieren Sie deren Zustimmung zur Datenverarbeitung?
  • In welchen Gebäuden und Räumen werden die Daten erhoben, gespeichert und verarbeitet?
  • Mithilfe welcher Computer, Tablets, Smartphones, Telefonanlagen, Server, Software, Apps etc. werden die Daten erhoben, gespeichert und verarbeitet?
  • Wie ist der Zugang zu Ihren Gebäuden, Räumen, Schränken und technischen Anlagen gesichert (z. B. Schlüssel, Passwortvergabe)?
  • Welche Personen haben Zugang? Denken Sie dabei nicht nur an Ihre Mitarbeiter, sondern auch an externe Dienstleister (z. B. Reinigungskräfte).
  • Wie ist sichergestellt, dass die gesammelten Daten nicht manipuliert und / oder unbefugt für betriebsfremde Zwecke missbraucht werden können?
  • Welche Vereinbarungen gibt es zwischen Ihnen, Ihren Kooperationspartnern und anderen Dienstleistern über personenbezogene Daten, die im Rahmen Ihrer Geschäftsbeziehungen ausgetauscht werden („Auftragsverarbeitung“)?

 

Wenn Sie sich Klarheit über diese Fragen verschafft, die Antworten dokumentiert und plausible Schutzmaßnahmen getroffen haben, ist das Thema DSGVO zwar noch nicht vom Tisch: Sie haben damit aber bereits eine gute Basis für einen soliden betrieblichen Datenschutz gelegt – und sind damit besser auf die DSGVO vorbereitet als die meisten anderen kleinen Unternehmen. Die meisten stecken bislang noch den Kopf in den Sand.

 

orgaMAX und die DSGVO

orgaMAX unterstützt Sie bei der Umsetzung Ihrer betrieblichen Datenschutz-Maßnahmen und anderer DSGVO-Auflagen mit zahlreichen nützlichen Funktionen:

 

  • Die Software erleichtert das Erfassen, Speichern, Verarbeiten und Auswerten von Daten ebenso wie den gezielten Im- und Export und das spätere Löschen.
  • Komfortable Such- und Filterfunktionen sorgen dafür, dass Sie jederzeit blitzschnell auf benötigte Datensätze zugreifen und sie bei Bedarf auch löschen können.
  • Der Zugang zur Software ist passwortgeschützt.
  • Eine differenzierte Benutzer- und Rechteverwaltung sorgt dafür, dass Sie den Zugang zu sensiblen Daten gezielt auf ausgewählte Mitarbeiter beschränken können.
  • Wichtig: Ausdrücklich nicht durch die Rechteverwaltung des Programms geschützt sind die externen „Dokumente“, die Sie Ihren Stammdaten und Vorgängen zuordnen können. Diese Dokumente werden im Dateisystem Ihres Computers gespeichert und können daher auch nur über dessen Rechteverwaltung geschützt werden. Am besten sprechen Sie mit Ihrem Systemadministrator über geeignete Maßnahmen der Daten- und Zugangssicherung.

 

Ausblick: Die vielseitige Benutzer- und Rechteverwaltung von orgaMAX werden wir in einer der nächsten Newsletter-Ausgaben etwas ausführlicher vorstellen. 

 

Weitere Praxis- und Lektüretipps:

 

  • Wenn Sie in Ihrem Unternehmen keinen Datenschutzexperten haben, wenden Sie sich am besten an Ihren Berufs- oder Branchenverband. Dort bekommen Sie Informationen und Handreichungen über sinnvolle und passende Datenschutzmaßnahmen.
  • Informative „Kurzpapiere“ zum neuen Datenschutzrecht (darunter Infos zur Datenverarbeitung für Werbezwecke, Benennung von Datenschutzbeauftragten, Auskunftsrechte Betroffener sowie ein Maßnahmenplan für Unternehmen) finden Sie auf der Website des Bundesdatenschutz-Beauftragten.
  • Eine gut lesbare Gegenüberstellung zwischen DSGVO und neuem Bundesdatenschutzgesetz (inklusive wechselseitiger Verweise) gibt es auf der Seite dsgvo-gesetz.de.
  • Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) hat die FAQ-Sammlung „Was muss ich wissen zur EU-Datenschutz Grundverordnung?“ veröffentlicht.
  • Nach Einschätzung von Experten stehen bereits jetzt Abzocker in den Startlöchern, die Selbstständige und Unternehmer nach Ende der DSGVO-Schonfrist mit kostspieligen Abmahnungen überziehen werden. Um den lukrativen Geschäftsmodellen unseriöser Abmahnvereinen die Grundlage zu entziehen, wurde Anfang März die Bundestags-PetitionUnlauterer Wettbewerb – Reform des wettbewerbsrechtlichen Abmahnwesens“ gestartet. Ausführlichere Informationen dazu gibt es auf der Website des „Verbands der Gründer und Selbstständigen Deutschland e.V.“ (VGSD).