Ab dem 25. Mai 2018 gelten verschärfte Regeln im Datenschutz. Die neue Datenschutzgrundverordnung (DSGVO) soll vor allem die Rechte im Datenschutz für Privatverbraucher stärken und Unternehmen im Fall eines Verstoßes stärker bestrafen. Wir zeigen, welche Änderungen ab Mai gültig werden und wie sich ein neuer Datenschutz ab Mai 2018 auf Unternehmen auswirkt.
Was genau regelt das Datenschutzgesetz?
Das Thema Datenschutz sorgt immer wieder für Verwirrung bei Unternehmen, wenn sich bisher noch niemand eingehend damit beschäftigt hat. Deswegen an dieser Stelle noch einmal eine kurze Erklärung zum Thema Datenschutz.
Das Datenschutzrecht dient in erster Linie dem Schutz personenbezogener Daten.
Personenbezogene Daten sind nach § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Der Schutz ist damit auf natürliche Personen begrenzt.
Ausgeschlossen vom Datenschutz sind demnach Unternehmensdaten.
Das Datenschutzrecht betrifft die Erhebung (Beschaffen von Daten über Betroffene), Verarbeitung (Speicherung, Veränderung, Übermittlung, Sperrung, Löschung) und Nutzung von Daten. Dabei gilt das sogenannte Verbot mit Erlaubnisvorbehalt. D.h. es ist zunächst von einem grundsätzlichen Verbot der Datenerhebung, -verarbeitung und -nutzung auszugehen.
Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist danach nur zulässig, wenn entweder der Betroffene eingewilligt hat oder die Erhebung, Verarbeitung oder Nutzung gesetzlich erlaubt ist. Diese Einwilligung muss auf der freien Entscheidung des Betroffenen beruhen und ist in der Regel schriftlich zu erteilen und jederzeit frei widerruflich.
Schon ohne die neue Datenschutzgrundverordnung ist der Nutzer auf den vorgesehenen Zweck der Datenerhebung sowie Erhebung, Verarbeitung oder Nutzung hinzuweisen. Ihm sind sämtliche Informationen zum Datenschutz im Rahmen einer gesonderten Datenschutzerklärung mitzuteilen.
Verstöße gegen das Datenschutzrecht stellen Ordnungswidrigkeiten dar, wegen derer ein Bußgeld verhängt werden kann.
Welche Neuerungen werden am 25. Mai wirksam?
Einheitlichkeit und Transparenz
Ab Mai 2018 gelten EU-weit die gleichen Datenschutzregeln. Außerdem werden Firmen zu höherer Transparenz zum Umgang mit Daten verpflichtet. Bisher existierten in der EU viele verschiedene Datenschutzregelungen. Dies wird nun (mit länderspezifischen Anpassungen) vereinheitlicht, was zu einer steigenden Verantwortung und Haftung für alle, die persönliche Daten verarbeiten, führt. Dies betrifft natürlich vor allem Unternehmen, die viel im Umgang mit Kunden stehen. Kunden und Nutzer haben also ab Mai mehr Rechte und dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Rechenschafts- und Dokumentationspflicht
Darüber, was mit diesen gesammelten Daten geschieht und wie diese in den betriebsinternen Systemen verarbeitet werden, müssen Unternehmen und Dienstleister künftig Rechenschaft ablegen. Schon dies führt bei vielen Unternehmen zu Problemen, da nur wenige Unternehmen dazu in der Lage sind, zu erkennen, wie Daten in ihrem Unternehmen hin- und herfließen.
„Recht auf Vergessen“ und aktive Zustimmung durch Nutzer
Wenn sich Nutzer im Laufe der Beziehung zum Unternehmen oder Dienstleister nicht weiter verarbeitet sehen möchten, dann haben sie nun das „Recht auf Vergessen“, also das Recht auf das Löschen der zuvor erhobenen Daten. Dies gilt nur, wenn aus juristischer Sicht nichts dagegen spricht.
War eine Verarbeitung persönlicher Daten vom Nutzer nicht erwünscht, musste dieser bisher aktiv widersprechen. Auch dies ändert sich nun: Nutzer müssen nun dieser Erhebung und Nutzung ihrer Daten aktiv zustimmen.
Erweiterter Geltungsbereich und höhere Bußgelder
Die neue EU-Richtlinie gilt natürlich erst einmal für die EU. Doch sie trifft nun auch für Unternehmen zu, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten.
Unternehmen und Dienstleister müssen ab Mai nun auch schneller ihrer behördlichen Meldepflicht nachkommen. Tritt ein Datenverlust ein, muss dies im Regelfall innerhalb von 24 Stunden, mindestens aber so schnell wie möglich gemeldet werden.
Verstößt ein Unternehmen gegen diese Datenschutzbestimmungen, drohen ab Mai auch höhere Bußgelder. Bisher konnten Bußgelder von maximal 300 000 Euro verhängt werden. Nun belaufen sich Bußgelder im Falle eines Verstoßes auf bis zu vier Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro, je nachdem, welcher Betrag höher ausfällt – eine drastische Steigerung.
Was bedeutet das für Unternehmen?
Schon diese Neuerungen – vor allem die der höheren Bußgelder – machen deutlich, wie bedeutsam das Thema Datenschutz im Unternehmen ist. Viele Unternehmen haben sich bisher um die genaueste Dokumentation und Verarbeitung herumgedrückt. Dies ist ab jetzt vorbei. Denn möchte man ab Mai keine Strafen befürchten, muss man bereits jetzt anfangen, das Thema Datenschutz in Angriff zu nehmen.
Daher ist es für Unternehmen mit mehr als zehn Mitarbeitern mittlerweile unverzichtbar, einen Datenschutzkundigen bzw. einen Datenschutzbeauftragten an Land zu holen. Denn ein erster Schritt besteht nun darin, Risikomanagement-Übungen durchzuspielen, die wichtigsten Prozesse zu identifizieren und Schwachstellen und potenzielle Bedrohungen zu bewerten, wodurch Prozesse zur Einhaltung der neuen Verordnung abgeleitet werden können.
Wenn man nicht extra einen eigenen Mitarbeiter anstellen will bzw. weiterbilden lassen möchte, gibt es viele externe Datenschutzberater, die das Unternehmen bei der Umsetzung dieser vielen neuen Verordnungsregeln unterstützen können (z.B.
www.datenschutzbeauftragter-extern.info)
Denn so oder so steht eines fest: die zusätzliche finanzielle Belastung ist zwar nicht unerheblich für Unternehmen, allerdings wären die finanziellen Konsequenzen bei einem Verstoß gegen die Verordnung wesentlich höher.
Den kompletten Verordnungstext hat die EU auch online veröffentlicht und ist nachzulesen unter:
Zusammenfassungen über die neue Datenschutz-Grundverordnung finden Sie unter: