Durch die Neufassung der Datenschutzgrundverordnung sind Schritte erforderlich, um die EU-Datenschutzvorschriften einzuhalten. Befolgen Sie die Bestimmungen der EU-Datenschutzvorschriften und vermeiden Sie hohe Strafen für die Nichteinhaltung. Wir wissen welche Schritte für Sie wichtig sind und unterstützen Sie gerne. Kontakt
Änderungsbereiche der Datenschutzgrundverordnung
Im Folgenden klären wir Sie über die Änderungen der Datenschutzgrundverordnung (EU DSGVO) auf und identifizieren wichtige Handlungsschritte für Ihr Unternehmen.
1. Weiterverarbeitung
Da bei der Erhebung und Verwendung von personenbezogenen Daten der Grundsatz der Zweckbindung gilt, dürfen diese Daten nur für einen vorher definierten Zweck erhoben werden. Sollten Sie dennoch die Absicht haben, diese Daten weiterzuverarbeiten, besteht die Möglichkeit der Erweiterung des Zwecks.
Was für Sie als Unternehmen wichtig ist:
Sie müssen sicherstellen, dass eine geplante Weiterverarbeitung mit dem ursprünglichen Zweck vereinbar ist. Deshalb müssen Sie jede Weiterverarbeitung dahingehend prüfen, ob sie möglich und zulässig ist.
2. Bestellung eines Datenschutzbeauftragten
Mit Inkrafttreten der neuen Datenschutzgrundverordnung sind Unternehmen europaweit in der Pflicht, einen Datenschutzbeauftragten zu bestellen. Für diese Verpflichtung gelten zwei Voraussetzungen:
- Die Verarbeitung von personenbezogenen Daten kann als Kerntätigkeit eingestuft werden und der Umfang bzw. Zweck der Verarbeitung erfordert eine regelmäßige und systematische Überwachung.
- Es werden besondere Kategorien von Daten verarbeitet und auch hier liegt eine Kerntätigkeit vor.
Was für Sie als Unternehmen wichtig ist:
Sie müssen prüfen, dokumentieren und nachweisen, ob Ihr Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen.
3. Vorgaben zur Website-Compliance
Die neue Datenschutzgrundverordnung ergänzt die bestehenden Gesetze, die einen Seitenbetreiber dazu verpflichten, die Besucher der Website über die Erhebung und Verarbeitung personenbezogener Daten zu informieren.
Datenschutzerklärung
Die Pflicht einer datenschutzkonformen Erklärung bleibt bestehen, um die Nutzer einer Website ausreichend über Aktivitäten zu informieren, die den Datenschutz betreffen. Typische Beispiele hierfür sind Kontaktformulare, Social Media, Cookies, Web-Analysen und der Einsatz von Werbemitteln.
Was für Sie als Unternehmen wichtig ist:
Die neue Datenschutzgrundverordnung sieht darüber hinaus folgende Ergänzungen vor: Bei der Erfassung von personenbezogenen Daten muss die betroffene Person sofort davon in Kenntnis gesetzt und über den Zweck der Erfassung und die geltende Rechtsgrundlage aufgeklärt werden. Außerdem muss der Betroffene unter anderem auch über die Möglichkeit zur Einschränkung, zum Widerspruch und über das Beschwerderecht informiert werden.
Insgesamt müssen Sie Ihre eigene Datenschutzerklärung präzise, transparent und in leicht zugänglicher Form und Sprache gestalten.
Recht auf Vergessenwerden
Das Recht auf Vergessenwerden ist ein wichtiger Bestandteil der neuen Datenschutzgrundverordnung und sämtliche Vorschriften, die für eine Website gelten, müssen beachtet werden.
Was für Sie als Unternehmen wichtig ist:
Ein Beispiel für eine Vorschrift, die auch Ihr Unternehmen betreffen könnte, ist die Verpflichtung auf Unterstützung des Betroffenen. Sollte der Betroffene im Falle einer Weiterleitung seiner Daten an Dritte eine Löschung anfordern, müssen Sie diese Löschanweisung weiterleiten.
4. Internationale Datenübermittlung
Die neue Datenschutzgrundverordnung ändert an dem bestehenden Prinzip der internationalen Datenübermittlung nichts: Personenbezogene Daten dürfen nur an Unternehmen in Drittländern oder internationale Organisationen weitergeleitet werden, sofern die Rechtslage des Landes ein angemessenes Datenschutzniveau gewährleistet. Auch die Festlegung, welche Drittländer die Voraussetzungen erfüllen, obliegt weiterhin der EU-Kommission.
Zudem gilt weiterhin, dass die Nutzung von etablierten Instrumenten gestattet ist, sollte das Datenschutzniveau nicht angemessen sein. So kann die Datenübermittlung beispielsweise auf Grundlage von Binding Corporate Rules oder Standardvertragsklauseln erfolgen.
Was für Sie als Unternehmen wichtig ist:
Mithilfe der neuen Datenschutzgrundverordnung können Sie konkrete Instrumente identifizieren, die Sie als Grundlage für eine sichere internationale Datenübermittlung verwenden können. So umgehen Sie das bisherige Restrisiko der etablierten Instrumente, dass diese von den Gerichten als unzureichend bewertet werden, da sie ursprünglich nur als Notlösungen konzipiert wurden.
5. Zertifizierungen
Mit der neuen Datenschutzgrundverordnung sollen auch Zertifizierungen etabliert werden, die den Unternehmen bestätigt, dass sie ein angemessenes Datenschutzniveau geschaffen haben. Dieses Vorhaben orientiert sich am Qualitätsmanagement, wo ISO-Zertifizierungen bereits üblich sind und gegenüber Kunden und Geschäftspartnern belegen, dass bestimmte Qualitätsstandards eingehalten werden.
Im Bereich des Datenschutzes sollen die Zertifizierungen die eigentlichen Prozesse der Verarbeitung mit Hinblick auf den Schutz der Daten nachweisen. Für Unternehmen gibt es nach einer erfolgreichen Zertifizierung die Möglichkeit auf ein Datenschutzsiegel. Dieses belegt, dass die datenschutzrechtrelevanten Prozesse den Anforderungen der EU DSGVO und zusätzlich in bestimmten Zertifizierungen auch den nationalen Anforderungen entspricht.
Was für Sie als Unternehmen wichtig ist:
Beginnen Sie schon jetzt mit dem Aufbau einer umfangreichen und lückenlosen Dokumentation Ihrer Unternehmensstruktur, beispielsweise in Bezug auf Risikoprüfungen, Prozessbeschreibungen und ähnliches. Damit schaffen Sie eine solide Grundlage für spätere Datenschutzzertifizierungen.
6. Haftung und Recht auf Schadensersatz
Bislang hatten die Betroffenen einer Datenverarbeitung das Recht auf Haftungsanspruch und konnten diesen auch erfolgreich durchsetzen, falls Fehler in der Datenverarbeitung auftraten oder die Verarbeitung gänzlich unzulässig war und dem Betroffenen so ein materieller Schaden entstand.
Mit der neuen Datenschutzgrundverordnung haben die Betroffenen mehr Handlungsspielraum, um einem Haftungsanspruch gegenüber einem Unternehmen geltend zu machen: So besteht beispielsweise Haftungsanspruch bei entstandenen moralischen Schäden. Des Weiteren bezieht sich der Haftungsanspruch nicht mehr nur auf etwaige Fehler bei der Datenverarbeitung, sondern hinterfragt auch, ob die Datenverarbeitung so erfolgt ist, wie für den Betroffenen im Voraus zu erwarten.
Was für Sie als Unternehmen wichtig ist
Für Sie als Unternehmen bedeutet die EU DSGVO, dass Sie einem höheren Haftungsrisiko ausgesetzt sind. Aus diesem Grund sollten Sie sämtliche Unternehmensprozesse, die den Datenschutz berühren, kritischer betrachten.
7. Haftungserstreckung auf ausländische Unternehmen
Mit der neuen Datenschutzgrundverordnung wird die Haftungserstreckung von ausländischen Unternehmen erweitert, wodurch bei einem unzureichenden Datenschutzniveau auch gegen diese ein Haftungsanspruch geltend gemacht werden kann. Die Voraussetzung dafür ist die Erhebung und Verarbeitung von personenbezogenen Daten und die Übereinstimmung der Kommunikationssprache mit einer Amtssprache der EU-Mitgliedsstaaten.
Diese Änderung ist in erster Linie für jemanden wichtig, der in einem solchen Unternehmen tätig und dort für den Datenschutz zuständig ist. In diesem Fall sollten die Anforderungen der EU DSGVO vollständig berücksichtigt werden.
8. Bußgelder und Sanktionen
Mit der neuen Datenschutzgrundverordnung wird der bisherige Sanktionsprozess umgestaltet. Zur Abschreckung und damit Organisationen den Datenschutz ernst nehmen, wurden beispielsweise die Bußgelder für einen Datenschutzverstoß deutlich angehoben und belaufen sich je nach Art auf bis zu 10 Mio. bzw. 20. Mio. Euro.
Bei Organisationen kann sich das Bußgeld an den Jahresumsatz koppeln und so auf bis zu 2 oder 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres belaufen. In dem Fall einer Kopplung ist es außerdem gestattet, die Organisation als wirtschaftliche Einheit zu betrachten. Das bedeutet, dass für einen Datenschutzverstoß, der von einem Tochterunternehmen begangen worden ist, dennoch der gesamte weltweite Konzernumsatz herangezogen werden darf.
Was für Sie als Unternehmen wichtig ist
Sie sollten beachten, dass die Angelegenheit um einen Datenschutzverstoß mit Zahlung eines Bußgeldes nicht automatisch als erledigt angesehen wird. Sie als Unternehmen stehen in der Pflicht, die von dem Verstoß betroffenen Prozesse anzupassen. Ansonsten kann die Aufsichtsbehörde eine Untersagung der Verarbeitung von personenbezogenen Daten erteilen.
9. Transparenz- und Informationspflichten
Mit der EU DSGVO wird die Informationspflicht über die Erhebung und Verarbeitung personenbezogener Daten gegenüber dem Betroffenen ausgeweitet. So soll mehr Transparenz entstehen und dem Betroffenen soll deutlich vermittelt werden, welche Daten bei welcher Gelegenheit erhoben und verarbeitet werden.
Was für Sie als Unternehmen wichtig ist:
Im Folgenden stellen wir heraus, welche Änderungen Sie bei den verschiedenen Arten der Datenerhebung berücksichtigen sollten.
Informationspflichten bei Direkterhebung:
- Preisgabe der verantwortlichen Stelle genügt nicht mehr; es müssen Kontaktdaten der für die Verarbeitung verantwortlichen Person angegeben werden, inklusive Stellvertreter und Datenschutzbeauftragter
- Angabe des berechtigten Interesses zur Erhebung und die Rechtsgrundlage sowie Verarbeitungszwecke, die zur Erhebung berechtigen
- Angabe des Empfängers bei Übermittlung von personenbezogenen Daten an den Betroffenen
- Mitteilung bei Übermittlung der Daten an Organisationen in Drittländern oder internationale Organisationen, auch die Speicherung muss angegeben werden
- Mitteilung der besonderen Bedingungen, die nach Art. 44 ff. die Grundlage der Übermittlung bilden. Hieraus muss hervorgehen, welche Maßnahmen ein angemessenes Datenschutzniveau beim Empfänger gewährleisten und der Betroffene muss die Möglichkeit zur Einsicht in diese Maßnahmen erhalten.
Mitteilung der folgenden Punkte zur Gewährleistung der Transparenz:
- Dauer der Speicherung, ansonsten Nennung der Kriterien, die über die Dauer entscheiden
- Informierung des Betroffenen über dessen Rechte: Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Übertragbarkeit der Daten
- Nennung der zuständigen Aufsichtsbehörde im Falle einer Beschwerde
- Angabe der vertraglichen Verpflichtungen zur Bereitstellung der Daten für die betroffene Person; mögliche Folgen im Falle einer Verweigerung
Informationspflichten bei Dritterhebung:
- Nennung der einzelnen Kategorien der personenbezogenen Daten
- Darlegung des berechtigten Interesses zur Verarbeitung der Daten
- Angabe der Quellen, aus denen die personenbezogenen Daten stammen; bei mehreren Quellen kann eine allgemeine Unterrichtung erfolgen
Einschränkung der Informationspflicht:
- Keine Möglichkeit zur Auskunft oder der Aufwand wäre unverhältnismäßig groß
- Rechtsvorschriften durch EU oder Mitgliedsstaaten zur Regelung der Erlangung und Weitergabe der Daten
- Verpflichtung zur Geheimhaltung
Bereitstellung der Information:
- Schriftliche Bereitstellung der Informationen, z.B. im öffentlichen Bereich einer Website
- Direkte Erhebung = die Informationspflicht gilt unmittelbar
- Dritterhebung = Frist von maximal einem Monat
10. Recht auf Datenübertragbarkeit
Mit der neuen Datenschutzgrundverordnung erhält der Betroffene das Recht, dass ihm sämtliche erfassten personenbezogenen Daten übermittelt werden. Dadurch ergibt sich eine Übergabeverpflichtung für Organisationen, die einer Aufforderung nach Herausgabe oder Weiterleitung der Daten nachkommen müssen.
Was für Sie als Unternehmen wichtig ist:
Da es keinen Standard für ein Datenformat gibt, müssen Sie einen IT-Prozess entwickeln, mit dem Sie die gewünschten Daten abrufen, in ein geeignetes Datenformat exportieren und dem Empfänger übermitteln können.
11. Auftragsverarbeitung
Mit der EU DSGVO wird die Auftragsverarbeitung eingeführt, deren Grundlage ein Vertrag darstellt. Dieser muss allerdings nicht schriftlich festgehalten werden, sondern gilt auch in elektronischer Art. Gleichzeitig gelten bei der Auftragsverarbeitung besonders für den Auftragsverarbeiter strenge Dokumentationspflichten. Er muss ein Verzeichnis der Verarbeitungstätigkeiten führen und Datenpannen melden.
Was für Sie als Unternehmen wichtig ist:
Die Auftragsverarbeitung kann in Form eines „Joint Control“ ein Instrument zur Rechtfertigung des Datenaustausch zwischen zwei Konzernen darstellen, da es sich um eine gleichberechtigte Zusammenarbeit handelt. Dafür muss jedoch die Voraussetzung einer Vereinbarung erfüllt werden, in der gemeinsame Zwecke und Mittel definiert sind. Außerdem muss die Aufgabenverteilung zwischen den beiden Stellen, die Bewahrung der Rechte der Betroffenen, die Erfüllung der Informationspflichten und der Kontakt bzw. die Beziehungen zum Betroffenen festgelegt werden. Diese Vereinbarung muss im Wesentlichen auch dem Betroffenen zugänglich gemacht werden. Sind diese Schritte erfüllt, sind die beiden Stellen zum Austausch und zur Verarbeitung der Daten berechtigt.
12. Benachrichtigungspflichten bei Datenschutzverletzungen
Die neue Datenschutzgrundverordnung fordert eine Benachrichtigungspflicht bei Datenschutzverletzungen sowohl an den Betroffenen selbst als auch an die zuständige Aufsichtsbehörde. Dabei muss der Betroffene unmittelbar, die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden.
Die Benachrichtigung über eine Datenschutzverletzung muss folgendes beinhalten:
- Welche Art der Verletzung vorliegt und eine Kontaktperson, um weitere Informationen zu erhalten (der Datenschutzbeauftragte)
- Folgen der Datenschutzverletzung und Maßnahmen zur Behebung bzw. Eingrenzung des Schadens
- Die Mitteilung muss in verständlicher Sprache formuliert werden
Was für Sie als Unternehmen wichtig ist:
Sie müssen mehrere Prozesse installieren und miteinander verknüpfen, um eine Datenschutzverletzung frühzeitig erkennen und um Maßnahmen dagegen planen und einleiten zu können.
13. Sicherung der Verarbeitung
Mit der neuen Datenschutzgrundverordnung sind Unternehmen dazu verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die zu dem Zweck der Verarbeitung passen und auf dem neuesten Stand der Technik sind, um einen Schutz der Daten zu gewährleisten.
Was für Sie als Unternehmen wichtig ist:
Nach der neuen Regelung müssen Sie schon bei der Planung und Umsetzung der Prozesse für die Datenverarbeitung eine Risikoprüfung vornehmen. Dabei müssen sämtliche Risiken genau ermittelt und die Schwere im Einzelnen bewertet werden. Mithilfe der Datenschutz-Folgenabschätzung (entspricht der Vorabkontrolle des BDSG) kann festgelegt werden, welche technischen und organisatorischen Maßnahmen für den Schutz der Datensysteme geeignet sind. Die EU DSGVO schlägt einige konkrete Maßnahmen vor, wie das Arbeiten mit Pseudonymisierung oder Verschlüsselung.
Des Weiteren werden in der EU DSGVO Sicherheitsziele definiert, wie die Belastbarkeit von Systemen und Diensten, Integrität, Verfügbarkeit sowie Vertraulichkeit. Dies unterscheidet sich vom BDSG, welches die Ableitung von Schutzmaßnahmen anhand von Risiken vorschrieb.
Falls Sie in Ihrem Unternehmen technische Systeme eingesetzt werden, müssen diese regelmäßig geprüft werden. Dafür schlägt die DSGVO Penetrationstests vor, mit denen ermittelt werden kann, ob sich die Schutzmaßnahmen außer Kraft setzen oder umgehen lassen.
Außerdem sollten Sie die beiden folgenden Grundsätze für ein angemessenes Schutzniveau berücksichtigen:
- „Data Protection by Design“ = Nutzung von technischen Maßnahmen (wie Pseudonymisierung), um eine Datenvermeidung anzustreben.
- „Data Protection by Default“ = Voreinstellungen bei IT-Systemen, die nur solche Daten zur Verarbeitung zulassen, die für den Zweck nötig sind.