Die DSGVO im Überblick

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung verbindlich. Doch noch kurz vor dem Ablauf dieser viel diskutierten Frist ergab eine Umfrage des Internetverbandes eco: Gerade einmal 13% der Unternehmen hatten sich bereits so intensiv mit der DSGVO beschäftigt, dass sie sich rechtlich auf der sicheren Seite sahen.

Auch ein Jahr später zeigen aktuelle Befragungen zur Umsetzung DSGVO kaum Verbesserungen: 80% der deutschen Unternehmen haben die Richtlinien bisher nur mangelhaft umgesetzt (TeamDrive, 2019).

Wer nach einem Einstieg in dieses komplexe Thema sucht und sich fragt, wie Privatsphäre und Prozessmanagement miteinander in Verbindung stehen, wird in diesem Beitrag fündig: Wir beantworten die wichtigsten Fragen zur DSGVO.

1. Warum wurde die Datenschutz-Grundverordnung verabschiedet?

Die DSGVO hat zum Ziel, die Verarbeitung personenbezogener Daten in Europa einheitlich zu regeln und den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu ermöglichen. Als Verordnung der Europäischen Union stärkt sie die Rechte von EU-Bürgern und reguliert die Erhebung, Speicherung und Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen.

Die DSGVO ist 2016 in Kraft getreten und ist seit dem 25. Mai 2018 in allen EU-Mitgliedsstaaten verbindlich gültig. Sie löste in Deutschland die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab, deren Richtlinien mit dem Bundesdatenschutzgesetz (BDSG) in Deutschland umgesetzt wurden.

2. Gilt die Datenschutz-Grundverordnung ausschließlich für europäische Unternehmen?

Nein. Das neue Marktortprinzip sieht vor, dass nicht nur Unternehmen und öffentliche Stellen, die in EU-Mitgliedsstaaten ansässig sind, den Regeln der DSGVO unterliegen, sondern alle Unternehmen und öffentlichen Stellen, die Produkte oder Dienstleistungen auf dem europäischen Markt anbieten.

Dies betrifft beispielsweise Unternehmen mit Niederlassungen in unterschiedlichen EU-Ländern oder Unternehmen aus Nicht-EU-Mitgliedsstaaten, die personenbezogene Daten von Privatpersonen aus der EU erheben. Neu ist außerdem, dass die Richtlinien zum Transfer personenbezogener Daten außerhalb der EU streng reglementiert sind.

3. Wie stärkt die DSGVO die Persönlichkeitsrechte von natürlichen Personen?

Bereits in der Datenschutzrichtlinie, einer wichtigen Grundlage der DSGVO, sind Grundsätze wie die Datenminimierung, Zweckbindung und Transparenz verankert. Auch der Umgang mit sensiblen Daten ist an bestimmte Voraussetzungen gebunden. Die DSGVO reguliert den Umgang mit diesen Daten stärker.

Zudem erweitert die DSGVO die Rechte von natürlichen Personen, indem sie die Anforderungen an die freiwillige Einwilligung, das Widerrufs-, Widerspruchsrecht und das Recht auf die Löschung von personenbezogenen Daten festlegt (siehe Frage 4).

Die DSGVO enthält darüber hinaus zahlreiche weitere Richtlinien, darunter etwa:

  • Verschärftes Kopplungsverbot zwischen Vertragsabschluss und Einwilligung
  • Erweiterte Informations- und Auskunftspflichten über die Rechtsgrundlage und Dauer der Datenverarbeitung
  • Dokumentationspflichten und Haftung bei Datenpannen
  • Unter bestimmten Voraussetzungen Einsatz betrieblicher Datenschutzbeauftragter
  • Risikobasierte technisch-organisatorische Maßnahmen für Unternehmen
  • Datenschutz-Folgenabschätzung für risikobehaftete Arten der Datenverarbeitung
  • Erweiterte Meldepflicht bei Datenpannen an die zuständigen Aufsichtsbehörden
  • Geldbußen bei Verstößen

4. Welche Rechte besitzen EU-Bürger hinsichtlich ihrer personenbezogenen Daten?

Einwilligung: Die Erhebung und Verarbeitung von personenbezogenen Daten erfordert eine explizite Einwilligung durch die betroffenen Datensubjekte. Diese Einwilligung muss aufgrund der Beweislastumkehr im Zweifelsfalle durch die Organisation nachgewiesen werden.

Auskunftsrecht: Hierbei handelt es sich um ein zweistufiges Auskunftsrecht. Auf der ersten Stufe haben EU-Bürger*innen das Recht zu erfahren, ob personenbezogene Daten von ihnen verarbeitet werden. Liegt eine Verarbeitung vor, besitzen sie auf zweiter Stufe ein Recht auf Auskunft der personenbezogenen Daten sowie weiterer Informationen.

Recht auf Vergessenwerden: EU-Bürger haben das Recht, auf Anfrage alle personenbezogene Daten, die einem Unternehmen vorliegen, löschen zu lassen.

Widerruf der Einwilligung: Die Einwilligung zur Erhebung und Verarbeitung personenbezogener Daten kann jederzeit zurückgezogen werden.

Datenportabilität: EU-Bürger können darauf bestehen, dass ihre personenbezogenen Daten zwischen verschiedenen Dienstleistern übertragen werden.

Privacy by Design: Unternehmen sind verpflichtet, ihre Prozesse so zu gestalten, dass sie von Anfang an den größtmöglichen Datenschutz hinsichtlich personenbezogener Daten bieten.

5. Welche Konsequenzen hat die Beweislastumkehr für Unternehmen?

Bisher mussten Verstöße gegen das Datenschutzrecht durch die zuständigen Behörden nachgewiesen werden. Sobald die DSGVO rechtsgültig ist, sind Unternehmen in der Pflicht, die Einhaltung dieser Gesetze nachzuweisen. Dies erfordert eine vollständige Datenschutzdokumentation, die auf dem aktuellen Stand ist und alle relevanten Prozesse berücksichtigt.

6. Wie wirken sich DSGVO-Verstöße aus?

Verstöße gegen die DSGVO werden mit Geldbußen belegt. Diese Strafzahlungen können eine Höhe von bis zu 4% des weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres oder 20 Millionen Euro erreichen.

7. Welche Pflichten haben Unternehmen im Falle von Datenpannen?

Datenpannen (engl. Data Breaches) werden als Verstöße gegen die Datensicherheit und den Datenschutz definiert, bei denen personenbezogene Daten in die Hände Unberechtigter geraten, etwa durch Hacking, Gerätediebstahl oder Kreditkartenmissbrauch. Nach dem bisherigen Datenschutzgesetz unterliegen Datenpannen unter bestimmten Voraussetzungen einer Meldepflicht, die durch die DSGVO verschärft wird.

Seit dem 25. Mai 2018 ist jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, insofern sie ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Die Abwägung dieses Risikos zählt zu den Pflichten der Unternehmen. Wie im Worst-Case-Szenario eine Datenpanne (Data Breach Notification) an die zuständigen Aufsichtsbehörden zu melden ist, wird in der DSGVO genau geregelt.

8. Welche Unternehmensprozesse sollten kritisch geprüft werden?

Organisationen haben heute Zugriff auf ein großes Spektrum an personenbezogenen Daten: Dies reicht von Kontaktinformationen über IP-Adressen und Kontodaten bis hin zu anderen sensiblen Daten. Da diese Informationen in ganz unterschiedlichen Organisationsbereichen angesiedelt sind, sollten sie mit Blick auf die DSGVO gebündelt und über Abteilungsgrenzen hinweg kritisch geprüft werden.

Wichtige Prozesse der DSGVO-Compliance sind etwa:

  • Datenschutz- und Einwilligungserklärungen
  • Unternehmensweite Prozesse zur Datenverarbeitung
  • Prozesse für etwaige Datenpannen (siehe Frage 7)
  • Prozesse für unterschiedliche Kundenanfragen (Widerruf, Widerspruch und Antrag auf Herausgabe oder Löschung personenbezogener Daten)
  • Vereinbarungen zur Auftragsverarbeitung
  • Risikoabschätzung, um die nötigen technisch-organisatorischen Maßnahmen festzulegen
  • Online-Marketing-Prozesse, etwa Website, E-Mail-Marketing usw.

Diese Liste enthält ausgewählte Beispiele und erhebt keinen Anspruch auf Vollständigkeit. Weitere relevante Prozesse hat der Internetverband Bitkom in einem Leitfaden zusammengetragen.

9. Was bedeutet die erweiterte Rechenschaftspflicht für Unternehmen?

Die Rechenschaftspflicht ist eine weitere DSGVO-Neuerung, die vorsieht, dass die Verantwortung für die Einhaltung der Richtlinien klar verteilt wird: So ist im zweiten Absatz des Art. 5 DSGVO geregelt, dass der/die Verantwortliche in der Pflicht steht, die Einhaltung dieser Richtlinien nachzuweisen.

Dieser Nachweis erfordert ein Datenschutz-Management-System, das alle relevanten Prozesse abbildet und die einzelnen Schritte zur Einhaltung der Richtlinien dokumentiert. Hier kommt es darauf an, DSGVO-relevante Prozesse kritisch zu prüfen, um alle auftretenden Prozessabweichungen zu evaluieren und mit Blick auf die aktuelle Rechtslage zu optimieren. So lässt sich gegenüber den Datenschutzbehörden nachweisen, dass alle geeigneten Maßnahmen ergriffen werden.

10. Wie lassen sich die DSGVO-Anforderungen praktisch umsetzen?

Diese Frage beantworten wir im zweiten Teil unserer Blogreihe zur DSGVO-Compliance. Dann geht es um die Arbeit mit einem Datenschutz-Management-System, mit dem sich relevante Prozesse kritisch prüfen und mit Blick auf die Anforderungen der DSGVO optimieren lassen.

Um die Zeit bis dahin zu nutzen, werfen Sie gern einen Blick in unseren DSGVO-Leitfaden oder sehen Sie sich unsere Infografik an:

GDPR Infographic CTA

Hinweis: Dieser Inhalt stellt eine unverbindliche Information dar und ersetzt keinesfalls eine Rechtsberatung.

Veröffentlicht am: 21. Mai 2019 - Letzte Änderung am: 24. Mai 2019
Themen: ComplianceDSGVO