Die EU-Datenschutzgrundverordnung (EU-DSGVO): Übersicht & Checkliste

aktualisiert am 19. Februar 2019 18 Minuten zu lesen
Teilen

Im Mai 2018 war es soweit: Die EU-Datenschutzgrundverordnung, im englischsprachigen Raum auch GDPR (General Data Protection Regulation) genannt, ist in Kraft getreten. Die neue Verordnung regelt EU-weit den Umgang mit personenbezogenen Daten und soll das Datenschutzrecht der Länder zusammenführen. Unternehmen, die sich ab dem 25. Mai nicht an die EU-DSGVO halten, müssen mit empfindlichen Strafen rechnen.

 

Was ist das Ziel der Datenschutzgrundverordnung?

Die EU-Datenschutzgrundverordnung hat zum Ziel, das Datenschutzrecht endlich in das digitale Zeitalter zu überführen. Dabei sollen die Grundrechte und Grundfreiheiten aller Nutzer und auch deren personenbezogene Daten geschützt werden. Die EU-DSGVO soll außerdem für eine Vereinheitlichung des Datenschutzrechts aller Mitgliedsländer sorgen, damit EU-weit keine unterschiedlichen Standards mehr herrschen und Nutzer von einheitlichen Schutzbestimmungen profitieren können.

 

Neuerungen durch die EU-DSGVO

Die Datenschutzgrundverordnung wirft die aktuellen Datenschutzregelungen zu großen Teilen über den Haufen. Von den Änderungen der EU-DSGVO betroffen sind nicht nur große Unternehmen oder Online-Shops, die EU-weit agieren, sondern grundsätzlich alle Unternehmen, die in der EU ansässig und im Internet tätig sind. Auch Unternehmen außerhalb der EU sind betroffen, allerdings nur, wenn diese eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Kurz gefasst: Die EU-Datenschutzgrundverordnung betrifft jedes Unternehmen, das im Internet tätig ist und personenbezogene Daten sammelt. Auch private Webseiten wie Blogs, die Cookies verwenden und Daten erheben, müssen sich an die EU-DSGVO halten.

Da in Deutschland generell ein relativ hohes Datenschutzniveau gilt, kommen auf Unternehmer in Deutschland nicht so viele Änderungen zu wie in anderen EU-Ländern. Wenn Sie sich also bisher bereits um den Datenschutz gekümmert haben, sind Sie klar im Vorteil, da Sie auf Ihren bestehenden Datenschutzmaßnahmen aufbauen können.

Zu den Anforderungen, die Unternehmen seit dem 25. Mai 2018 erfüllen müssen, gehören:

  • Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
  • Dokumentationspflichten und Datenschutzfolgenabschätzung
  • Ggf. Beauftragen eines Datenschutzbeauftragten
  • Pflicht zur Datenportabilität
  • Recht auf Vergessenwerden / Recht auf Löschung
  • Privacy by Design und Privacy by Default
  • Meldepflicht von Datenpannen

Was diese Anforderungen im Detail bedeuten und wie Sie die Änderungen umsetzen können, erfahren Sie im kostenlosen PDF der Privacy Officers.

Bei Nichteinhaltung der Forderungen für die nutzerbezogenen Daten droht Unternehmen ein empfindliches Bußgeld von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes, anzuwenden ist der jeweils größere Wert.

 

Unklarheiten der EU-DSGVO

Trotz der ausführlichen Artikel der Datenschutzgrundverordnung gibt es viele Stellen, an denen Unklarheiten aufkommen bzw. Regelungen nicht eindeutig sind. Im Folgenden wird auf die wesentlichen unklaren Themen näher eingegangen.

Wie ist die Datenportabilität laut EU-DSGVO in der Praxis zu handhaben?

Völlig neu im Datenschutz ist das Recht auf Datenportabilität. Dieses besagt, dass der Nutzer das Recht hat, seinen bisherigen Anbieter einer Dienstleistung aufzufordern, seine personenbezogenen Daten in einem gängigen Format bereitzustellen und an den neuen Anbieter zu übertragen. Dies soll den Wettbewerb um die Datenfreundlichkeit anstacheln und den Verbraucherschutz fördern. Die EU-DSGVO richtet dabei das Augenmerk auf Mail-Anbieter, Cloud-Angebote oder soziale Netzwerke. Auch ein Wechsel der Bank oder des Arbeitgebers kann ein Grund für den Wunsch nach Datenportabilität sein. Doch wie funktioniert so ein Umzug genau? Beispielsweise bieten nicht alle sozialen Netzwerke dieselben Funktionen an; die EU-DSGVO fordert nur die Datenübertragbarkeit von personenbezogenen Daten, also Nutzerverhalten, Vertragsdaten oder Informationen zur Lokalisierung, nicht jedoch Daten auf einer Cloud oder auch Playlisten bei Streaming-Anbietern. Was geschieht mit diesen Daten? Vermutlich wird die Richtlinie sich nur auf einen kleinen Satz von Stammdaten beziehen, alles andere würde Dienstanbieter vor nicht unerhebliche Probleme stellen.

Was bedeutet die DSGVO-Regelung “auf Vergessenwerden” in der Praxis?

Mit der EU-DSGVO tritt auch die Regelung auf Vergessenwerden in Kraft. Diese nicht ganz neue Regelung besagt, dass Suchmaschinen, aber auch Dienstanbieter und Webseitenbetreiber auf Anfrage bestimmte Daten löschen müssen. Suchmaschinenbetreiber haben beispielsweise die Pflicht, bestimmte Suchergebnisse auf Wunsch des Betroffenen zu unterdrücken. Mit dieser Regelung rückt der Datenschutz gegen die Meinungs- und Informationsfreiheit, zudem wird die Gegenseite zum Verbraucher vor immensen Aufwand gestellt: so muss beispielsweise von einer Unternehmensseite nicht nur der veröffentlichte Mitarbeitername eines ehemaligen Angestellten und dessen Werdegang gelöscht werden, sondern der Webseitenbetreiber muss auch Suchmaschinenbetreiber und Webarchivanbieter darüber informieren, dass Kopien, Duplikate und Links der Datenquelle gelöscht werden müssen und sie ihren Zwischenspeicher entsprechend zu leeren haben. Die praktischen Aufwände, die durch diese EU-DSGVO-Regelung entstehen, sind wenig zumutbar.

Ihren Ursprung hat die Regelung auf Vergessenwerden in einer Gegebenheit in den späten Neunzigerjahren, bei der der Name eines spanischen Bürgers im Zusammenhang mit der Zwangsversteigerung seines Hauses in einer Anzeige genannt wurde, zunächst nur in der Zeitung. Als diese später digitalisiert wurde, fand man ihn auch online, und schließlich erschien der Name des Betroffenen auch in den Google-Suchergebnissen — in Verbindung mit der Zwangsversteigerung. Er verlangte die Löschung der Daten und bekam Recht. Nun wird diese Regelung mit der EU-DSGVO weitergesponnen. Ist eine Veröffentlichung von personenbezogenen Daten im öffentlichen Interesse zu Archivzwecken jedoch erforderlich, vor allem im Zuge der Ausübung des Rechts auf freie Meinungsäußerung und Information, soll das Recht auf Vergessenwerden nicht gelten.

Die Handhabung personenbezogener Daten von Kindern

Mit der EU-Datenschutzgrundverordnung dürfen Kinder von 13 bis 16 Jahren (individuell nach Mitgliedsland festgelegt) die datenschutzrechtliche Einwilligung ausschließlich mit Zustimmung eines Sorgeberechtigten abgeben. Dienstanbieter müssen nun also angemessene Maßnahmen treffen, um zu überprüfen, ob der Nutzer eine Zustimmung benötigt, ob eine Zustimmung vorliegt und ob diese auch von den tatsächlich sorgeberechtigten Personen erteilt wurde. Wie genau dies überprüft werden soll, ist noch unklar. Möglicherweise wird es einen Klarnamenzwang geben oder die eID-Funktion der neuen Personalausweise kommt zum Einsatz.

Die EU-DSGVO ist Ihnen zu kompliziert und Sie möchten lieber Unterstützung von einem Anwalt? firma.de vermittelt Ihnen den richtigen Experten für die Rechtsberatung. Lassen Sie sich über die Datenschutzgrundverordnung und alle für Sie daraus entstehenden Pflichten aufklären. Jetzt anwaltliche Beratung buchen!

Vorteile der EU-Datenschutzgrundverordnung zusammengefasst

Die Auswirkungen der EU-DSGVO im Überblick:

  • Harmonisierung des Datenschutzniveaus und Vereinheitlichung: Durch die EU-weite Angleichung der Datenschutzrechte haben die Nutzer den Vorteil, einheitlich hohe Sicherheitsstandards erwarten zu dürfen.
  • Verbotsgesetz mit Erlaubnisvorbehalt: Die EU-DSGVO verbietet grundsätzlich jegliche verordnungswidrige Speicherung, Erhebung und Verwendung personenbezogener Daten, allerdings mit dem Vorbehalt, eine Erlaubnis dazu beim Nutzer einzuholen.
  • Informierte eindeutige Einwilligung: Der Nutzer darf nicht vor vollendete Tatsachen gestellt werden und muss der Datennutzung durch konkludentes Verhalten zustimmen. Weiterhin muss der Nutzer vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten informiert werden und seine Einwilligung jederzeit widerrufen können.
    Ein besseres Verständnis für personenbezogene Daten: Durch die neue Verordnung wird allen Unternehmern und Webseitenbetreibern deutlich, wie personenbezogene Daten funktionieren und welche Daten wie gespeichert werden können und dürfen.
  • Höhere Bußgelder: Natürlich sind die höheren Bußgelder für die Unternehmen, die zur Kasse gebeten werden, kein Vorteil, jedoch wird durch die exorbitante Höhe der Strafe der Druck, der EU-DSGVO gerecht zu werden, erhöht.
  • Konzernprivilegien: Unternehmensgruppen profitieren von erleichterten Bedingungen bei der gruppeninternen Datenweitergabe zwischen verbundenen Unternehmen.
  • One-Stop-Shop Prinzip: Bürger können sich bei Verstößen gegen die EU-DSGVO jederzeit an exakt eine Behörde wenden, nämlich die Datenschutzbehörde ihres Mitgliedsstaates.
  • Recht auf Vergessenwerden: Nutzer haben das Recht, die Löschung von personenbezogenen Nutzerdaten vom Anbieter anzufordern und Suchergebnisse unterdrücken zu lassen.
  • EU-weite Pflicht zur Bestellung eines Datenschutzbeauftragten: Unternehmen, deren Kerntätigkeit aus der Datenverarbeitung besteht und die sich mit Daten über die Herkunft, die Religiosität, politische Ausrichtung etc. von Nutzern beschäftigen, sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Dieser kontrolliert die Handhabung und überwacht die Einhaltung der EU-DSGVO im Unternehmen.

 

EU-DSGVO und die e-Privacy Richtlinie

Die e-Privacy Richtlinie, deren Entwurf bereits im Januar 2017 vorgestellt wurde, soll den Regelungsbereich der EU-DSGVO um einige spezifische Richtlinien ergänzen; wann sie allerdings in Kraft tritt, ist noch nicht klar. Die e-Privacy-Richtlinie wird zukünftig die bestehenden Verordnungen und Richtlinien von 2002 verdrängen, ebenso deren Ergänzung aus 2009, die sogenannte Cookie-Richtlinie. Die e-Privacy Richtlinie soll dafür eigene neue Regelungen für Online- sowie Direktmarketing bringen, aber auch für sogenannte Over-the-top-Dienste wie WhatsApp oder Facebook. Betroffen ist davon vor allem das Telemediengesetz TMG, das größtenteils über Bord geworfen wird. Wie auch bei der EU-DSGVO sollen auch hier drakonische Bußgelder von bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes bei Missachtung der Nutzerrechte drohen.

 

Diese Schritte sollten Sie jetzt unternehmen

Sind Sie und Ihr Unternehmen von der EU-DSGVO betroffen? Dann sollten Sie schnellstmöglich handeln, denn seit Mai 2018 sollten bereits alle Änderungen umgesetzt worden sein. Folgende Schritte helfen Ihnen bei der Umstellung:

1. Vorbereitung: Analyse der datenschutzrelevanten Vorgänge

Im ersten Schritt auf dem Weg zur DSGVO-Konformität sollten Sie eine Ist-Analyse Ihres Unternehmens durchführen, um zu bestimmen, welche Aufgaben zu erledigen sind:

  • Welche personenbezogenen Daten verarbeitet Ihr Unternehmen wann, wie und warum?
  • Welche Vorgänge der Verarbeitung sind womöglich nicht DSGVO-konform?
  • Benötigt Ihr Unternehmen einen Datenschutzbeauftragten?

 

2. Umsetzung: Datenschutzkonforme Unternehmensgestaltung

Schritt zwei ist nun die Umstellung bestehender Datenschutzsysteme für die EU-DSGVO, die Erstellung von Prozessen und wenn nötig, die Bestellung eines Datenschutzbeauftragten.

  • Legen Sie ein Verzeichnis der Verarbeitungstätigkeiten an. Hierfür genügt eine einfache Tabelle, in der aufgelistet wird, welche Daten wann, wie und für welchen Zweck von Ihrem Unternehmen erhoben werden. Die internen Daten wie Personal-, Kundenstamm sowie die Daten aus der Lohnbuchhaltung sollten nicht vergessen werden! In das Verzeichnis gehören unter anderem Antworten auf folgende Fragen:
    • Welche Daten werden erhoben, zu welchem Zweck, wie werden die Daten weiterverarbeitet?
    • Wie lange werden die Daten gespeichert?
    • Werden die Daten weitergegeben und wenn ja, an wen?
    • Wo werden die Daten gespeichert?
  • Optimieren, festlegen und dokumentieren von datenschutzkonformen Prozessen in einem Verfahrensverzeichnis. Folgende Prozesse sollten beispielswiese optimiert werden:
    • Wie werden Kunden über die Verarbeitung Ihrer Daten informiert?
    • Wie läuft der Prozess ab, wenn ein Kunde die Löschung seiner Daten verlangt?
    • Wie schulen Sie Ihre Mitarbeiter, damit datenschutzrelevante Prozesse richtig ausgeführt werden?
  • Führen Sie eine Datenschutz-Folgeabschätzung durch, sofern nötig: Arbeiten Sie mit besonders sensiblen Daten, müssen Sie mit diesen besonders umsichtig umgehen. Besonders sensible Daten sind solche, die eine Kategorisierung und Identifizierung von Personen nach ethnischer Herkunft, Sexualität, Finanzen oder politischer Ausrichtung ermöglichen. Mit solchen Daten beschäftigen sich beispielsweise Versicherungsmakler oder auch Ärzte. Sollten Sie mit Daten dieser Art zu tun haben, müssen Sie eine Datenschutz-Folgeabschätzung durchführen. Ziel dieser Abschätzung ist das Erkennen von Risikofaktoren für die Persönlichkeitsrechte, um rechtzeitig geeignete Schutzmaßnahmen treffen zu können. Aus folgenden Punkten besteht eine Datenschutz-Folgeabschätzung:
    • Beschreibung der Datenverarbeitungsvorgänge und ihrem Zweck inklusive einer Begründung, warum Sie ein berechtigtes Interesse daran haben; weiterhin müssen die Risiken beschrieben werden, die für die betroffene Person durch die Erhebung der Daten entstehen
    • Dokumentation der Sicherheitsvorkehrungen (technisch und organisatorisch), die die Daten gegen unberechtigten Zugriff oder Weitergabe schützen sollen, der Prozesse im Falle eines Datenlecks und der Kontrollmechanismen zum Schutz der Daten

 

3. Laufende Aufgaben

Ihre Aufgabe ist es, auch nach Umsetzung der Richtlinien der EU-DSGVO weiterhin den Datenschutz im Blick zu behalten. Sofern Sie einen Datenschutzbeauftragten bestellen müssen, kontrolliert dieser von nun an, ob in Ihrem Unternehmen der Datenschutz richtig gehandhabt wird und auch, ob alle Anforderungen dauerhaft eingehalten werden.

  • Schulungen zum Thema EU-DSGVO informieren Ihre Mitarbeiter und stellen sicher, dass der Datenschutz nicht nach einer Weile außer Acht gelassen wird. Es sollte nicht nur eine Schulung geben, bevor die Maßnahmen für die EU-DSGVO eingeführt werden, sondern weiterhin in regelmäßigen Abständen, um Ihre Mitarbeiter (und sich selbst!) über eventuelle Gesetzesänderungen auf dem Laufenden zu halten und dafür zu sorgen, dass das Wissen über die Datenschutzgrundverordnung frisch bleibt.
  • Weiterhin sollten Sie alle Anstrengungen, die zur Einhaltung der EU-DSGVO unternommen wurden, dokumentieren und auf Nachfrage umgehend vorlegen können.
  • Zudem gilt besonders beim Thema Datenschutz der “tone from the top”: Die Compliance und das Commitment zum Datenschutz muss von Mitarbeitern in Führungspositionen bzw. Ihnen selbst vorgelebt werden.

 

Wie ist die EU-DSGVO für Start-ups umsetzbar?

Die schier endlos erscheinende Liste an Anforderungen der EU-Datenschutzgrundverordnung kann besonders für Jungunternehmer und Start-ups einschüchternd wirken. Doch ist das Ziel der EU-DSGVO keinesfalls, Start-ups das Leben schwer zu machen, Innovation zu erschweren oder gar zu unterdrücken — vielmehr will die EU-DSGVO gleiche Rechte für alle, besonders beim Thema Datenschutz, und ein Gleichgewicht der Mächte einläuten. Unternehmer sollen sich durch die EU-DSGVO nicht in ihren Rechten angegriffen fühlen, sondern vielmehr eine Neubetrachtung des Themas Datenschutz erwägen. Dennoch kann der große Umfang der Verordnung bei Start-ups Unsicherheiten hervorrufen und die eigenen Kapazitäten in Frage stellen — auf der sicheren Seite sind Sie mit einem Anwalt, der Sie rund um die Datenschutzgrundverordnung informiert und Ihnen hilft, notwendige Maßnahmen zu erfassen und zu ergreifen, damit Sie ab dem 25. Mai abmahn- und rechtssicher unterwegs sind.

Ausführliche FAQ zum Thema EU-DSGVO vom Bitkom — dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. — finden Sie in diesem PDF-Pamphlet: Was muss ich wissen zur EU-Datenschutzgrundverordnung?

Noch Fragen? firma.de vermittelt Ihnen den richtigen Experten für die Rechtsberatung. Lassen Sie sich über die Datenschutzgrundverordnung und allen für Sie daraus entstehenden Pflichten aufklären. Jetzt anwaltliche Beratung buchen!

Die auf unserer Seite veröffentlichten Informationen werden allesamt von Experten mit größter Sorgfalt verfasst und überprüft. Dennoch können wir nicht für die Richtigkeit garantieren, da Gesetze und Regelungen einem stetigen Wandel unterworfen sind. Ziehen Sie deshalb bei einem konkreten Fall immer einen Fachexperten hinzu – wir stellen gerne den Kontakt her.

firma.de übernimmt keinerlei Haftung für durch Fehler in den Texten entstandene Schäden.

Jetzt weiterstöbern im Ratgeber!