Die wichtigsten DSGVO-Neuerungen im Überblick

Ab dem 25. Mai gilt die Datenschutz-Grundverordnung verbindlich. Doch noch vor ein paar Tagen ergab eine Umfrage des Internetverbandes eco: Gerade einmal 13% der Unternehmen haben sich bereits so intensiv mit der DSGVO beschäftigt, dass sie sich rechtlich auf der sicheren Seite sehen.

Wer sich bisher noch nicht zu diesen 13% zählt und für die letzten Meter weitere Informationen benötigt, wird in unserer Blogreihe fündig: Heute beantworten wir die wichtigsten zehn Fragen zu den DSGVO-Neuerungen, bevor wir im nächsten Beitrag konkrete Schritte zur Umsetzung der DSGVO-Anforderungen vorstellen.

1. Warum wurde die Datenschutz-Grundverordnung verabschiedet?

Die DSGVO hat zum Ziel, die Verarbeitung personenbezogener Daten in Europa einheitlich zu regeln und den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu ermöglichen. Als Verordnung der Europäischen Union stärkt sie die Rechte von EU-Bürgern und reguliert die Erhebung, Speicherung und Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen.

Die DSGVO ist 2016 in Kraft getreten und wird nach einer zweijährigen Übergangsfrist ab dem 25. Mai in allen EU-Mitgliedsstaaten verbindlich gültig sein. Sie löst in Deutschland die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab, deren Richtlinien mit dem Bundesdatenschutzgesetz (BDSG) in Deutschland umgesetzt wurden.

2. Gilt die Datenschutz-Grundverordnung ausschließlich für europäische Unternehmen?

Nein. Das neue Marktortprinzip sieht vor, dass nicht nur Unternehmen und öffentliche Stellen, die in EU-Mitgliedsstaaten ansässig sind, den Regeln der DSGVO unterliegen, sondern alle Unternehmen und öffentlichen Stellen, die Produkte oder Dienstleistungen auf dem europäischen Markt anbieten.

Dies betrifft beispielsweise Unternehmen mit Niederlassungen in unterschiedlichen EU-Ländern oder Unternehmen aus Nicht-EU-Mitgliedsstaaten, die personenbezogene Daten von Privatpersonen aus der EU erheben. Neu ist außerdem, dass die Richtlinien zum Transfer personenbezogener Daten außerhalb der EU streng reglementiert sind.

3. Wie stärkt die DSGVO die Persönlichkeitsrechte von natürlichen Personen?

Bereits in der Datenschutzrichtlinie, einer wichtigen Grundlage der DSGVO, sind Grundsätze wie Datenminimierung, Zweckbindung und Transparenz verankert. Auch der Umgang mit sensiblen Daten ist an bestimmte Voraussetzungen gebunden. Die DSGVO reguliert den Umgang mit diesen Daten stärker.

Zudem erweitert die DSGVO die Rechte von natürlichen Personen, indem sie die Anforderungen an die freiwillige Einwilligung, das Widerrufs-, Widerspruchsrecht und das Recht auf die Löschung von personenbezogenen Daten festlegt (siehe Frage 4).

Die DSGVO enthält darüber hinaus zahlreiche weitere neue Richtlinien, darunter etwa:

  • Verschärftes Kopplungsverbot zwischen Vertragsabschluss und Einwilligung
  • Erweiterte Informations- und Auskunftspflichten über die Rechtsgrundlage und Dauer der Datenverarbeitung
  • Dokumentationspflichten und Haftung bei Datenpannen
  • Unter bestimmten Voraussetzungen Einsatz eines/einer betrieblichen Datenschutzbeauftragten
  • Risikobasierte technisch-organisatorische Maßnahmen für Unternehmen
  • Datenschutz-Folgenabschätzung für risikobehaftete Arten der Datenverarbeitung
  • Erweiterte Meldepflicht bei Datenpannen an die zuständigen Aufsichtsbehörden
  • Geldbußen bei Verstößen

4. Welche Rechte besitzen EU-Bürger hinsichtlich ihrer personenbezogenen Daten?

Einwilligung: Die Erhebung und Verarbeitung von personenbezogenen Daten erfordert eine explizite Einwilligung durch die betroffenen Datensubjekte. Diese Einwilligung muss aufgrund der Beweislastumkehr im Zweifelsfalle durch die Organisation nachgewiesen werden.

Auskunftsrecht: Hierbei handelt es sich um ein zweistufiges Auskunftsrecht. Auf der ersten Stufe hat ein/e EU-Bürger/in das Recht zu erfahren, ob personenbezogene Daten von ihr oder ihm verarbeitet werden. Liegt eine Verarbeitung vor, hat sie oder er auf zweiter Stufe ein Recht auf Auskunft der personenbezogenen Daten sowie weiterer Informationen.

Recht auf Vergessenwerden: EU-Bürger haben das Recht, auf Anfrage alle personenbezogene Daten, die einem Unternehmen vorliegen, löschen zu lassen.

Widerruf der Einwilligung: Die Einwilligung zur Erhebung und Verarbeitung personenbezogener Daten kann jederzeit zurückgezogen werden.

Datenportabilität: EU-Bürger können darauf bestehen, dass ihre personenbezogenen Daten zwischen verschiedenen Dienstleistern übertragen werden.

Privacy by Design: Unternehmen sind verpflichtet, ihre Prozesse so zu gestalten, dass sie von Anfang an den größtmöglichen Datenschutz hinsichtlich personenbezogener Daten bieten.

5. Welche Konsequenzen hat die Beweislastumkehr für Unternehmen?

Bisher mussten Verstöße gegen das Datenschutzrecht durch die zuständigen Behörden nachgewiesen werden. Sobald die DSGVO rechtsgültig ist, sind Unternehmen in der Pflicht, die Einhaltung dieser Gesetze nachzuweisen. Dies erfordert eine vollständige Datenschutzdokumentation, die auf dem aktuellen Stand ist und die alle relevanten Prozesse berücksichtigt.

6. Wie wirken sich DSGVO-Verstöße aus?

Verstöße gegen die DSGVO werden mit Geldbußen belegt. Diese Strafzahlungen können eine Höhe von bis zu 4% des weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres oder 20 Millionen Euro erreichen.

7. Welche Pflichten haben Unternehmen im Falle von Datenpannen?

Datenpannen (engl. Data Breaches) werden als Verstöße gegen die Datensicherheit und den Datenschutz definiert, bei denen personenbezogene Daten in die Hände Unberechtigter geraten, etwa durch Hacking, Gerätediebstahl oder Kreditkartenmissbrauch. Nach dem bisherigen Datenschutzgesetz unterliegen Datenpannen unter bestimmten Voraussetzungen einer Meldepflicht, die durch die DSGVO verschärft wird.

Ab dem 25. Mai ist jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, insofern sie ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Die Abwägung dieses Risikos zählt zu den Pflichten der Unternehmen. Wie im Worst-Case-Szenario eine Datenpanne (Data Breach Notification) an die zuständigen Aufsichtsbehörden zu melden ist, wird in der DSGVO genau geregelt.

8. Welche Unternehmensprozesse sollten kritisch geprüft werden?

Organisationen haben heute Zugriff auf ein großes Spektrum an personenbezogenen Daten: Dies reicht von Kontaktinformationen über IP-Adressen und Kontodaten bis hin zu anderen sensiblen Daten. Da diese Informationen in ganz unterschiedlichen Organisationsbereichen angesiedelt sind, sollten sie mit Blick auf die DSGVO gebündelt und über Abteilungsgrenzen hinweg kritisch geprüft werden.

Wichtige Prozesse der DSGVO-Compliance sind etwa:

  • Datenschutz- und Einwilligungserklärungen
  • Unternehmensweite Prozesse zur Datenverarbeitung
  • Prozesse für etwaige Datenpannen (siehe Frage 7)
  • Prozesse für unterschiedliche Kundenanfragen (Widerruf, Widerspruch und Antrag auf Herausgabe oder Löschung personenbezogener Daten)
  • Vereinbarungen zur Auftragsverarbeitung
  • Risikoabschätzung, um die nötigen technisch-organisatorischen Maßnahmen festzulegen
  • Online-Marketing-Prozesse, etwa Website, E-Mail-Marketing et cetera

Diese Liste enthält ausgewählte Beispiele und erhebt keinen Anspruch auf Vollständigkeit. Weitere relevante Prozesse hat der Internetverband Bitkom in einem Leitfaden zusammengetragen.

9. Was bedeutet die erweiterte Rechenschaftspflicht für Unternehmen?

Die Rechenschaftspflicht ist eine weitere DSGVO-Neuerung, laut der die Verantwortung für die Einhaltung der Richtlinien klar verteilt wird: So ist im zweiten Absatz des Art. 5 DSGVO geregelt, dass der/die Verantwortliche in der Pflicht steht, die Einhaltung dieser Richtlinien nachzuweisen.

Dieser Nachweis erfordert ein Datenschutz-Management-System, das alle relevanten Prozesse abbildet und die einzelnen Schritte zur Einhaltung der Richtlinien dokumentiert. Hier kommt es darauf an, DSGVO-relevante Prozesse kritisch zu prüfen, um alle auftretenden Prozessabweichungen zu evaluieren und mit Blick auf die aktuelle Rechtslage zu optimieren. So lässt sich gegenüber den Datenschutzbehörden nachweisen, dass alle geeigneten Maßnahmen ergriffen werden.

10. Wie lassen sich die DSGVO-Anforderungen praktisch umsetzen?

Diese Frage beantworten wir im zweiten Teil unserer Blogreihe zur DSGVO-Compliance. Dann geht es um die Arbeit mit einem Datenschutz-Management-System, mit dem sich relevante Prozesse kritisch prüfen und mit Blick auf die Anforderungen der DSGVO optimieren lassen.

Um die Zeit bis dahin zu nutzen, werfen Sie gern einen Blick in unseren DSGVO-Leitfaden oder sehen Sie sich unsere Infografik an:

GDPR Infographic CTA

Hinweis: Dieser Inhalt stellt eine unverbindliche Information dar und ersetzt keinesfalls eine Rechtsberatung.

Veröffentlicht am: 19. April 2018 - Letzte Änderung am: 30. Mai 2018
Themen: ComplianceDSGVO