Bist du ein Mensch? 6   +   1   =  

Das Thema Datenschutz bekommt ab dem 25. Mai 2018 ein ganz neue Bedeutung. An diesem Tag tritt nämlich die neue Datenschutz-Grundverordnung der EU in Kraft. Wer gegen sie verstößt, muss schlimmstenfalls mit Geldstrafen in Millionenhöhe rechnen. Höchste Zeit also, sich auf neuen Regelungen vorzubereiten. Wir fassen zusammen, was besonders zu beachten ist.

Die Datenschutz-Grundverordnung (DSGVO) „enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ So steht es wörtlich in Artikel 1 des aus insgesamt 99 Artikeln bestehenden Textes. Die DSVGO „gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“  In der heutigen Zeit gibt es da wohl kaum ein Unternehmen, das sich nicht intensiv mit dem Regelwerk auseinandersetzen muss. Das trifft auch auf Startups zu und ist unabhängig von der Unternehmensgröße. Bei Verstößen droht eine Strafzahlung in Höhe von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes.

Die Datenschutz-Grundverordnung setzt klare Richtlinien

Die Verordnung gilt für alle Tätigkeiten innerhalb der EU, sie lässt sich auch nicht umgehen, indem man die Datenverarbeitung außerhalb der Union durchführt. Oberstes Ziel ist es, die Rechte einzelner Personen zu stärken. Deshalb legt die DSGVO besonderen Wert auf Transparenz, klar definierte Zweckbindung und eine auf notwendige Maß beschränkte Erfassung und Verwendung von Daten. Es muss ein offensichtlicher Grund und ein unstrittiger Nutzen für die betroffene Person vorliegen, nur dann gilt die Verarbeitung als rechtmäßig.

Ansonsten bedarf es unbedingt einer Einwilligung der betroffenen Person. Sich diese zu holen, empfiehlt sich aber in jedem Fall. Irgendwo versteckt im Kleingedruckten hat eine solche Einwilligungserklärung nichts zu suchen. Sie muss „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass sie von den anderen Sachverhalten klar zu unterscheiden ist.“ Noch schärfere Bestimmungen gelten beispielsweise für Daten von Kindern und Angaben zu ethnischer Herkunft, politischer oder religiöser Überzeugung, sexueller Orientierung oder dem Gesundheitszustand, die nur Ausnahmefällen überhaupt erhoben werden dürfen.

Kunden bekommen weitgehende Rechte

Für Unternehmen besteht eine weitreichende Informationspflicht gegenüber ihren Kunden. Sie müssen darüber informieren, zu welchen Zweck bestimmte Daten erhoben werden, wer sie nutzt, wer die verantwortliche Ansprechperson ist und vieles mehr. Hand in Hand damit geht das Auskunftsrecht der betroffenen Personen bezüglich solcher Fragen. Zudem besteht ein Recht auf Berichtigung falscher oder unvollständiger Informationen, und unter bestimmten Voraussetzung auf Einschränkung der Verarbeitung oder sogar auf Löschung von Daten. Außerdem bietet die DSVGO Kunden die Möglichkeit, ihren Daten von einem Anbieter auf einen anderen zu übertragen. Das unterstreicht, dass Daten letztlich einer bestimmten Person gehören und nicht einem einzelnen Unternehmen.

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“ So heißt es in Artikel 25 der Datenschutz-Grundverordnung. Wie das genau umzusetzen ist, wird allerdings nicht gesagt. Im Zweifelsfall empfiehlt es sich, externe Experten damit zu beauftragen. Kommt es dennoch zu Verstößen, haften sowohl der Auftraggeber als auch der Dienstleister. Das gilt auch bei vermeintlich harmlosen Aufgaben wie dem Versand von Newslettern.

Jedes Unternehmen braucht einen Datenschutzbeauftragten

Unbedingt empfiehlt sich die Ernennung eines Datenschutzbeauftragten. Der ist nach deutschem Recht sowieso Pflicht, wenn in einer Firma mindestens zehn Personen reglmäßig an einem PC arbeiten. Der Datenschutzbeauftragte ist die Schnittstelle zwischen einem Unternehmen und Aufsichtsbehörde und muss daher seiner Aufgabe frei und weisungsungebunden nachgehen können. Ab einer Mitarbeiterzahl von 250 tritt zudem die Pflicht zu einem Verzeichnis von Verarbeitungstätigkeiten ein. Bei besonders sensiblen Daten gilt diese Pflicht sogar grundsätzlich.

Wichtiger Hinweis!

Die hier aufgeführten Punkte aus der Datenschutz-Grundverordnung stellen nur einen kleinen Ausschnitt aus dem Regelwerk dar. Wer den gesamten Text lesen möchte, kann das hier tun. Auch können unsere Ausführungen keinesfalls eine juristische Beratung ersetzen. Holt Euch also auf jeden Fall Rat von Rechtsexperten und lasst beispielsweise Eure Webseite und Eure Vertragstexte genau überprüfen. Zum Thema DSGVO werden zudem immer wieder Workshops und Informationsveranstaltungen organisiert, zum Beispiel ein Social Media OWL-Talk am 20. Februar 2018 in Herford.