Europaweit haben Verbraucher seit dem 25. Mai 2018 mehr Rechte, wenn es um ihre eigenen Daten geht. Die Datenschutzgrundverordnung (DSGVO) ist nun verbindlich in Kraft getreten. Die umfangreichen Vorschriften zu befolgen, ist gerade für mittelständische Unternehmen schwierig. Zumal selbst die Experten sich nicht sicher sind, wie manche Regelungen auszulegen sind. Sie gehören auch dazu? Der BDKH stellt Ihnen die wichtigsten Informationen zur DSGVO vor und erklärt Ihnen die ersten Schritte, um sich vor Verwarnungen oder Abmahnungen zu schützen.

Was steht in der DSGVO?

Neben bisher bereits gültigen Prinzipien wie etwa Zweckbindung und Datensparsamkeit stärken die 99 Artikel der DSGVO die Auskunfts-, Lösch- und Widerspruchsrechte von EU-Bürgern. Personen werden nicht nur bei der Ersterhebung ihrer Daten, sondern zukünftig auch bei jeder beabsichtigten Weiterverarbeitung informiert. Sie können die Berichtigung, Löschung oder Einschränkung ihrer Daten verlangen. Dazu zählt das Recht auf Vergessenwerden, dass Unternehmen verpflichtet, auch Dritte, denen sie Daten einer Person zur Verfügung gestellt haben, aufzufordern, entsprechende Maßnahmen zur Löschung zu treffen. Das ebenfalls neue Recht auf Datenübertragung verpflichtet Unternehmen diese Informationen bei Aufforderung unentgeltlich in einem maschinenlesbaren Format zu übermitteln. Das soll Verbrauchern den Wechsel von einem zum nächsten Dienstleister erleichtern. Auf das Widerspruchsrecht bei der Verarbeitung von Daten für die Direktwerbung muss bereits bei der ersten Kommunikation hingewiesen werden. Verschärft wurde zudem die Auskunftspflicht von Unternehmen, z. B. nach einer Datenpanne. Generell gilt, dass Bürger bei Unternehmen nun mit einer Standard-Antwortfrist von einem Monat nicht nur anfragen dürfen, ob und, wenn ja, welche Informationen über sie gespeichert sind, sondern auch, für welchen Zweck und wie lange solche Daten noch gespeichert werden. Bekommen sie keine Auskunft, können sie sich bei der örtlichen Datenschutzbehörde über das Unternehmen beschweren.

Um welche Daten geht es?

Die DSGVO bezieht sich auf personenbezogene Daten, mit denen ein Mensch identifizierbar wird: (Kunden-)Daten wie zum Beispiel Name, Adresse, E-Mail-Adresse, Geschlecht, Kleidergröße, Ausweisnummer oder IP-Adresse. Also Informationen jedweder Art, digital oder auf Papier, ob Schrift, Bild, Video oder Tonaufnahme, die bei Unternehmen, Vereinen, Behörden vorliegen. Besonders strenge Vorgaben gelten für die Verarbeitung von Daten, aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen sowie für Gesundheitsdaten.

Wer ist von der DSGVO betroffen?

Jeder, der personenbezogene Daten verarbeitet – also Unternehmen, Online-Shops, Vereine, Behörden, aber auch niedergelassene Ärzte, selbstständige Handwerker oder freie Fotografen. Bei Letzteren ist die Verunsicherung groß, denn es ist unklar, ob sie nun die Einwilligung jeder Person benötigen, die sie auf ihren Fotos abbilden. Webseiten-Betreiber müssen ab sofort jeden Besucher darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben, sofern sie die Seiten nicht nur zu rein privaten Zwecken nutzen. Das ist bereits der Fall, wenn sie dort Werbung oder Affiliate-Links schalten oder User in Kommentaren ihren Namen hinterlassen.

Firmen, die sich überwiegend an Minderjährige richten, müssen in Deutschland bei Nutzern unter 16 Jahren (in Österreich unter 14 Jahren) außerdem die Einwilligung der Eltern einholen, wenn sie Daten speichern wollen.

Was sollten Sie als Verantwortlicher in einem Unternehmen tun?

Sie müssen für die technische und organisatorische Sicherstellung des Datenschutzes sorgen – so etwa für die Pseudonymisierung, Anonymisierung sowie die IT-Sicherheit.

Machen Sie auch Ihre Webseite fit! Dort sollten neben dem Impressum die überarbeiteten DSGVO-konformen Datenschutzerklärungen und u. U. die Allgemeinen Geschäftsbedingungen (AGB) für den Verbraucher einsehbar sein. Klären Sie, welche Plug-ins, Social Media Buttons oder Tracking Codes (z. B. für Google Analytics) Nutzerdaten sammeln und entfernen sie jene, auf die Sie verzichten können. Läuft die Homepage über einen Provider, muss eine sogenannte Auftragsverarbeitungs-Vereinbarung mit dem Host-Provider abgeschlossen werden. Vorlagen dazu finden sich online und müssen auch vom Anbieter auf Anforderung geschickt werden. US-amerikanische Hoster sollten möglichst am Datenschutzabkommen EU-US Privacy Shield teilnehmen.

Klären Sie, ob Sie einen externen oder betrieblichen Datenschutzbeauftragten (mit entsprechender Qualifikation) benötigen. Das ist meist dann der Fall, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind.

In Unternehmen mit mehr als 250 Mitarbeitern oder auch solchen, die besondere Daten verarbeiten, muss ein Verzeichnis aller Verarbeitungstätigkeiten geführt werden. Das Verzeichnis ist etwa Beleg für die Rechtmäßigkeit der Verarbeitung oder die Datenminimierung.

Wer kontrolliert, ob die DSGVO eingehalten wird?

In Deutschland sind damit die Datenschutzbehörden der 16 Bundesländer und die Bundesdatenschutzbeauftragte befasst. Sie dürfen Informationen von Unternehmen, Vereinen und Selbstständigen einfordern und die Geschäftsräume besuchen. Außerdem führen die Behörden Datenschutzüberprüfungen durch und erteilen Zertifizierungen. Bei internationalen Unternehmen ist nach dem Prinzip des One Stop Shop die Aufsichtsbehörde nahe der Hauptniederlassung zuständig.

Was passiert bei einem Verstoß gegen die DSGVO?

Theoretisch sind Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens möglich – und damit erheblich empfindlichere Strafen als beim bisherigen Bundesdatenschutzgesetz. Laut der Bundesdatenbeauftragten seien zunächst aber nur Verwarnungen zu erwarten. Dennoch könne die DSGVO auch professionelle Abmahner auf den Plan rufen.

Weiterführende Informationen zur DSGVO finden Sie auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Die DSGVO kommt nicht allein

Neben der DSGVO wird es die sogenannte ePrivacy-Verordnung geben, die den Datenschutz für Endgeräte sichern soll, etwa was das Nutzer-Tracking angeht. Die ePrivacy-Verordnung wird derzeit noch verhandelt. Zudem spielt auch das 2016 eingeführte Privacy Shield als ein weiteres wichtiges internationales Regelwerk in Sachen Datenschutz eine Rolle. Es regelt den transatlantischen Datenaustausch zwischen der EU und den USA. Die DSGVO wird zudem vom Bundesdatenschutzgesetz (BDSG 2018) in den Bereichen ergänzt, in denen noch Gestaltungsspielraum verbleibt. Für die Praxis bedeutet das, dass DSGVO und BDSG zusammen zu lesen sind.