Seit dem 25.05.2018 gilt nun die neue Europäische Datenschutz-Grundverordnung (DSGVO), die bei vielen Unternehmen, Selbstständigen, Freiberuflern und auch Vereinen für Verwirrung und eine gewisse Unsicherheit sorgt. Wir haben alle nötigen Informationen zusammengefasst, um Ihnen einen Überblick über das doch recht komplexe Thema zu geben.
Definition: Was ist die DSGVO?
DSGVO steht als Abkürzung für „Datenschutz-Grundverordnung“ (Englisch: GDPR, General Data Protection Regulation), die seit dem 25. Mai 2018 europaweit gilt. Mit dieser EU-DSGVO beabsichtigt die Europäische Union, einheitliche Regelungen zu schaffen, die sich auf die Verarbeitung und Speicherung personenbezogener Daten beziehen.
Gerade Unternehmen und Selbstständige müssen sich verstärkt mit dieser neuen Verordnung vertraut machen, um alle Anforderungen zu erfüllen und jederzeit Auskunft über die jeweiligen Datenverarbeitungsaktivitäten geben zu können. Mit der Datenschutz-Grundverordnung gilt zudem auch eine erweiterte Dokumentationspflicht, die Aufschluss über die gespeicherten Daten geben kann.
Die DSGVO in ihrer aktuellen Form existiert eigentlich schon seit Mai 2016. Allerdings galt für die letzten zwei Jahre eine Übergangsfrist, um die neuen Vorgaben entsprechend umzusetzen und sich damit vertraut zu machen.
Der Sinn und Zweck der DSGVO
Der Sinn und Zweck dieser neuen Rechtslage ist es, den Interessen von Verbrauchern und Unternehmen in Zeiten von Digitalisierung und sozialen Medien gleichermaßen gerecht zu werden. Der Schutz der persönlichen Daten steht hierbei ganz klar im Vordergrund, da jeder EU-Bürger selbst bestimmen soll, ob er bestimmte Daten von sich preisgeben möchte oder nicht und wenn ja, in welchem Umfang. Zusätzlich wird durch diese Datenschutz-Grundverordnung sichergestellt, dass für alle Unternehmen, die Daten verarbeiten, ein einheitlicher Rechtsrahmen geschaffen wird.
Wen die EU Datenschutz-Grundverordnung betrifft
Im Grunde betrifft die Europäische Datenschutzverordnung alle Unternehmen, die personenbezogene Daten erfassen und speichern. Das gilt sowohl für die Daten von Mitarbeitern als auch für die Daten von Kunden, Vertragspartnern etc. Zu diesen Unternehmen zählen auch Selbstständige, Freiberufler, Inhaber von Online-Shops, Web-Hoster sowie Vereine. Die DSGVO gilt für alle gleichermaßen, unabhängig von Branche, Umsatz, Mitarbeiteranzahl oder Organisationsform.
Die Anwendungsbereiche der DSGVO
Im Hinblick auf die Regelungen der DSGVO müssen zunächst zwei Aspekte geklärt werden:
- der sachliche Anwendungsbereich und
- der räumliche Anwendungsbereich
Diese beiden Faktoren bilden die Grundlage dafür, ob für Sie die DSGVO gilt oder nicht.
Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung
Bezüglich des sachlichen Anwendungsbereichs gilt die Datenschutz-Grundverordnung dann, wenn es sich um personenbezogene Daten handelt, die verarbeitet werden. Alle anderen, wie zum Beispiel technische Daten, werden von der DSGVO nicht abgedeckt. Wer Daten von Personen auf seinem Handy oder Computer speichert, ist ebenfalls von der DSGVO ausgeschlossen, sofern es sich dabei ausschließlich um die Speicherung für private Zwecke handelt.
Für den sachlichen Anwendungsbereich ist es außerdem unerheblich, ob Daten komplett oder nur teilweise automatisiert verarbeitet werden. Selbst diejenigen, die Daten vorerst nur per Hand notieren und später in digitaler Form aufbereiten und speichern, müssen die Richtlinien der DSGVO berücksichtigen und entsprechend umsetzen. Auch Daten auf Papier unterliegen den DSGVO-Regelungen, sofern die Papiere in irgendeinem Ordnungssystem abgelegt werden, also beispielsweise chronologisch sortierte Rechnungen im Leitz-Ordner.
Was genau sind personenbezogene Daten?
„Personenbezogene Daten“ ist ein sehr weitläufiger Begriff, der im Rahmen der Datenschutz-Grundverordnung 2018 unter anderem folgende Informationen beinhaltet:
- Name und Adresse
- Telefonnummer
- E-Mail-Adresse
- IP-Adresse
- KFZ-Kennzeichen
Personenbezogene Daten sind somit solche, die dazu verwendet werden können, um einen Bezug zu der entsprechenden Person herzustellen.
Was bedeutet „automatisierte Verarbeitung“?
Mit der automatisierten Verarbeitung von personenbezogenen Daten ist die Verwendung von digitalen Geräten wie Laptop, Computer, Smartphone, Kopierer, Scanner und anderen gemeint, die in der Lage sind, Daten in einem entsprechenden Dateisystem zu speichern. Sofern die Daten mit solchen Geräten „verarbeitet“ werden, findet die DSGVO Anwendung, und zwar schon beim Umgang mit Internet und E-Mails. Die nicht-automatisierte Verarbeitung hingegen bezieht sich auf manuelle Aufzeichnungen, die also handschriftlich vorgenommen werden.
Auch diese Form der Verarbeitung unterliegt seit dem 25.05.2018 grundsätzlich dem Datenschutz. Hiervon ausgenommen Behörden und öffentliche Einrichtungen, die Daten z. B. zur Ermittlung oder zur Verfolgung von Straftaten erheben müssen oder wenn ganz offensichtlich Gefahr für die öffentliche Sicherheit besteht. In diesem Fall findet stattdessen die Richtlinie 2016/680/EU Anwendung.
Ausgenommen sind auch Tätigkeiten, die in den privaten Bereich fallen, wie das Anlegen eines Adressbuchs, privater Schriftverkehr, das Surfen im Internet und der Umgang mit Social Media Kanälen.
Der räumliche Anwendungsbereich der DSGVO
Dieser bezieht sich im Rahmen der DSGVO auf jegliche Verarbeitung personenbezogener Daten, die durch ein Unternehmen oder einen sogenannten Auftragsverarbeiter mit Sitz in der EU erfolgt und hängt nicht davon ab, ob diese Verarbeitung auch in der EU stattfindet. Demnach gilt bei dem räumlichen Anwendungsbereich das Sitzland- oder Niederlassungsprinzip. Das Europäische Datenschutzgesetz kann also auch gelten, wenn ein Unternehmen Daten „nur“ außerhalb der Europäischen Union verarbeitet. Sobald von einem Unternehmen, das seinen Sitz nicht in der EU hat, Produkte und/oder Dienstleistungen in der EU angeboten werden, findet die DSGVO auch für dieses Anwendung. Selbst spezielle Verträge können den räumlichen Anwendungsbereich der Europäischen Datenschutzverordnung nicht abändern, auch nicht durch eine bestimmte Rechtswahlklausel. Sobald sich der Sitz bzw. die Niederlassung eines Unternehmens in der EU befindet, ist es eher nebensächlich, wo genau bzw. in welchem Land die Daten verarbeitet werden. Zusätzlich ist es auch unerheblich über welche Rechtsform das Unternehmen oder die Einrichtung verfügt. Die DSGVO bezieht sich auch nur auf die Verarbeitung personenbezogener Daten von Personen, die sich innerhalb der EU aufhalten, wenn auch nur kurzfristig. Die genaue Staatsangehörigkeit dieser Personen spielt dabei jedoch keine Rolle.
DSGVO: das Angebot von Waren und Dienstleistungen
Damit die Datenschutz-Grundverordnung gilt, bedarf es keinem konkreten Angebot. Jedoch reicht die reine Absicht aus, den betreffenden Personen innerhalb der EU Waren und/oder Dienstleistungen anbieten zu wollen. Hierzu ist der Nachweis einer bestimmten Eindeutigkeit für das Anbieten von Waren und/oder Dienstleistungen zu erbringen. Bereits ein Hinweis genügt, aus dem hervorgeht, dass sich das Waren- und Dienstleistungsangebot nicht an die EU richtet. Alleine der mögliche Zugang auf den jeweiligen Internetauftritt des Anbieters von der EU aus ist nicht aussagekräftig genug, um diese Absicht nachzuweisen. Gleiches gilt für die dort verwendete Sprache. Vielmehr ist in einem solchen Fall der Blick auf den Gesamteindruck der möglichen Absicht zu richten, um festzustellen, ob die DSGVO hier Anwendung findet.
Welche DSGVO Neuerungen gibt es?
Bereits 2016 haben sich das Europäische Parlament, der Europäische Rat und die Europäische Kommission abschließend über die mittlerweile rechtsgültigen Inhalte der EU Datenschutz-Grundverordnung 2018 geeinigt. Mit dem Beschluss und den DSGVO Neuerungen wird auch die bislang gültige EU-Datenschutzrichtlinie (95/46/EG) ersetzt.
Die neuen und abgeänderten Inhalte der DSGVO sollen dazu dienen, einen einheitlichen Datenschutz in ganz Europa sicherzustellen. Der eindeutige Vorteil der DSGVO ist nicht nur eine stärkere Kontrolle über die eigenen Daten von Personen, auch gilt von nun an ein vereinheitlichter Datenschutz-Standard in sämtlichen EU-Mitgliedsstaaten.
Europäisches Datenschutzgesetz: die Stärkung der Nutzerrechte
Mit der neuen Verordnung zum Datenschutz steht in erster Linie der Nutzer im Vordergrund. Ihm soll es künftig leichter möglich sein, Einsicht in die von ihm gespeicherten Daten zu bekommen und zu erfahren, welche persönlichen Daten in welchem Umfang und zu welchem Zweck gespeichert wurden. Hier ist also die Transparenz der datenverarbeitenden Unternehmen gefragt sowie deren ordnungsgemäße Durchführung der Dokumentationspflicht. Auf Nachfrage hat von nun an jeder Nutzer innerhalb der EU das Recht, Zugang zu seinen Daten zu erhalten und leicht verständlich über deren Verwendung informiert zu werden. Selbst im Falle von Hacker-Angriffen oder sonstigen Datenpannen sollen die Nutzer in Zukunft schneller und einfacher darüber informiert werden, sofern deren Daten betroffen sind. Auf diese Weise soll gewährleistet werden, dass Nutzer sich relativ frühzeitig um den Schutz ihrer Daten kümmern können.
Ein weiterer Punkt ist die Datenübertragung zwischen Unternehmen, z. B. Betreibern von Internetportalen. Bisher war es eher schwierig seine Daten von einem Portal an ein anderes zu übertragen. Das soll nun anders werden. Mit den DSGVO Neuerungen wird noch einmal verdeutlicht, dass personenbezogene Daten nur dem Nutzer bzw. der betreffenden Person selbst gehören und nicht den Unternehmen. Dadurch wird auch das Nutzerrecht bestärkt, selbst zu bestimmen, ob personenbezogene Daten von einem Internetanbieter zum anderen übertragen werden. Das Internet vergisst nie, sagt man immer. Das sieht die neue Datenschutz-Grundverordnung anders und sorgt zudem für ein stärkeres Recht auf Vergessenwerden. Dadurch soll es Nutzern leichter gemacht werden, Informationen und Daten, die im Internet veröffentlicht wurden, löschen zu lassen.
DSGVO: Mindestalter für Einwilligung zur Datenverarbeitung
Nicht nur wir Erwachsene nutzen das Internet gerne und viel. Auch Jugendliche und Kinder beschäftigen sich immer häufiger online und sind in den unterschiedlichsten sozialen Netzwerken unterwegs. Bisher war das alles auch kein großes Problem, denn Kinder ab 13 Jahren waren bis zur neuen DSGVO „befugt“, ihr Einverständnis zur Verarbeitung ihrer persönlichen Daten zu geben. Mit Wirksamwerden der neuen Datenschutz-Grundverordnung im Mai 2018 wurde diese Altersgrenze jetzt jedoch auf 16 Jahre angehoben. Das bedeutet für alle Kinder, die jünger sind, dass es zukünftig nicht mehr so einfach sein wird, sich ohne die Zustimmung der Eltern bei Plattformen wie Twitter, Facebook & Co. anzumelden. Tun sie das trotzdem und ohne, dass die Erziehungsberechtigten davon wissen, wäre dies rechtswidrig.
Was passiert bei Verstößen gegen die DSGVO?
Bei Nichteinhaltung der neuen DSGVO drohen massive Bußgelder und Sanktionen, die vor allem für Unruhe in den Reihen der Unternehmer und Selbstständigen sorgen. Die Höhe der Geldbußen im Falle eines Verstoßes gegen die DSGVO beläuft sich aktuell auf zwei bis vier Prozent des Gesamtumsatzes, den das Unternehmen weltweit erzielt, oder auf bis zu 20 Millionen Euro – je nachdem, welcher Betrag höher ist. Doch auch hier muss bei einem Verstoß ganz klar differenziert werden: Wie viele Daten sind betroffen? Um welche Daten geht es genau? Handelt es sich um einen erneuten oder erstmaligen Verstoß? Hier gilt es zu unterscheiden und nicht in Panik zu geraten. Datenschutzbehörden konnten auch schon nach dem alten Bundesdatenschutzgesetz hohe Geldstrafen von bis zu 300.000 Euro verhängen, die jetzt möglicherweise noch höher ausfallen könnten. Dennoch handelt es sich bei diesen Angaben um Höchstwerte. Strafen in Millionenhöhe sind wohl eher nur dann zu erwarten, wenn sich der Verstoß gegen die DSGVO auch auf Millionen von Daten bezieht.
Wer geht gegen Datenschutzverstöße vor?
Die Aufgabe, Verstößen gegen die DSGVO nachzugehen, liegt unter anderem bei den jeweiligen Landesdatenschutzbehörden. Doch nicht nur sie: Deutschland ist das einzige Land innerhalb der EU, das ein sogenanntes Verbandsklagerecht verabschiedet hat, das es unterschiedlichen Verbänden ermöglicht, Abmahnungen zu verschicken und Klagen einzureichen. Außerdem hat jede Person das Recht zu klagen, wenn sie ihr Selbstbestimmungsrecht in Bezug auf die personenbezogenen Daten verletzt sieht. Das ist jedoch nichts Neues, denn nach dem alten Bundesdatenschutzgesetz war dies ebenfalls möglich.
Wie wahrscheinlich sind Abmahnungen wegen DSGVO-Verstößen?
Sanktionen durch die zuständigen Datenschutzbehörden sind nicht so wahrscheinlich wie Abmahnungen durch Verbände. Verbraucherverbände verfügen über die geeigneten Mittel, um Verstöße rechtlich zu verfolgen und haben meist auch starkes Interesse daran. Die Datenschutzbehörden dagegen legen ihren Schwerpunkt eher auf eine beratende Funktion, haben aber dennoch mehr Rechte als Verbände. Eine Datenschutzbehörde darf zum Beispiel entsprechende Audits durchführen, um die Einhaltung der Datenschutz-Grundverordnung in den Unternehmen zu überprüfen. Verbände haben dieses Begehungsrecht nicht und können sich somit keinen Zutritt vor Ort verschaffen. Sie können sich lediglich auf die offensichtlichen Verstöße gegen die DSGVO konzentrieren, die nach außen hin für alle sichtbar sind, wie das Fehlen einer angemessenen Datenschutzerklärung auf der Website. Gerade Selbstständige oder kleine und mittelständische Unternehmen werden wohl eher nicht im Fokus der Aufsichtsbehörden stehen. Trotzdem sollten Sie darauf achten, alle DSGVO Neuerungen möglichst genau zu erfüllen.
DSGVO 2018: welche Maßnahmen müssen eingeleitet werden?
Ab zehn Mitarbeitern müssen Unternehmen einen Datenschutzbeauftragten benennen, der sich um alle Aspekte der Verarbeitung personenbezogener Daten kümmert, genau protokolliert und Mitarbeiter dahingehend schult. Bei wesentlich kleineren Unternehmen muss die Geschäftsleitung oder der Selbstständige sich selbst um diese Aufgaben kümmern; für die Position des Datenschutzbeauftragten kommen sie jedoch wegen bestehender Interessenkonflikte nicht in Betracht. Außerdem sollte Ihre To-do-Liste folgende Punkte beinhalten, die schnellstmöglich abgearbeitet werden sollten:
- Verarbeitungsverzeichnis anlegen
- Definition der internen Prozesse
- Erstellung eines Prozesshandbuchs
- Durchführung einer Datenschutz-Folgeabschätzung
- Dokumentation aller Datenschutz-relevanten Tätigkeiten und unternommenen Anstrengungen
- rechtskräftige und aktuelle Datenschutzerklärung in die Website integrieren
- Double-Opt-in-Funktion für Newsletter-Anmeldungen (war bereits im alten BDSG verankert)
- Einführung eines Widerrufsmanagements für Datenprozesse
Sind all diese Voraussetzungen erfüllt und umgesetzt, so sind zumindest schonmal die wichtigsten Aspekte berücksichtigt. Darüber hinaus muss aber z. B. auch noch ein System zur regelmäßigen Überprüfung des eigenen status quo in Sachen Datenschutz eingerichtet werden. Immerhin dient die DSGVO nicht nur dem Schutz der Daten Ihrer Kunden, sondern auch Ihrer eigenen.