DSGVO: EU-Datenschutz­grundverordnung

1. Gelten nun überall in der EU gleiche Datenschutzstandards?

Ja, ...

Die europäische Datenschutzgrundverordnung ist unmittelbar geltendes Recht. Das heißt: Die Datenschutzgrundverordnung muss nicht in eigenständiges nationales Recht umgesetzt werden. Sie gilt in allen EU-Staaten gleichermaßen. Für die Einhaltung der EU-DSGVO und die Einheitlichkeit der Anwendung sorgt der Europäische Datenschutzausschuss.

... aber:

Allerdings finden sich in der EU-DSGVO einige offene Regelungen, die nationale europäische Gesetzgeber ergänzen oder ausfüllen dürfen. Man spricht hierbei von sogenannten Öffnungsklauseln. Ein Beispiel für eine nationale Ergänzungsregelung ist das BDSG-neu in Deutschland.

2. Für wen gilt die europäische Datenschutzgrundverordnung (Das "EU-Datenschutzgesetz")?

Wer die Europäische Union als Markt benutzt, ist an die europaweit geltenden Datenschutzregelungen gebunden. Das heißt:

• Die europäische Datenschutzgrundverordnung, umgangssprachlich auch "Datenschutzgesetz EU" oder "EU Datenschutzgesetz" genannt, gilt für alle Unternehmen, die ihren Sitz in der EU haben.
• Sie gilt auch für alle Unternehmen, die ihren Hauptsitz außerhalb der EU, aber eine oder mehrere Niederlassungen in der Europäischen Union haben.
• Die Datenschutzgrundverordnung gilt ebenfalls für Unternehmen, deren Sitz außerhalb der EU liegt, die aber personenbezogene Daten von EU-Bürgern verarbeiten.

3. Die wichtigsten Inhalte der Datenschutzgrundverordnung auf einen Blick

4. Europäische Datenschutzgrundverordnung: 6 Punkte, auf die Unternehmen besonders achten müssen

Unternehmen, die personenbezogene Daten verarbeiten, müssen diese nach der Datenschutzgrundverordnung besonders schützen. Personenbezogene Daten sind Angaben, die sich einer natürlichen Person zuordnen lassen. Dazu zählen beispielsweise Name, Adresse, IP-Adresse, Geburtsdatum etc.

Dazu müssen Firmen unter anderem die folgenden Punkte beachten:

1. Verbraucherfreundliche Voreinstellungen

Die Daten von Verbrauchern sollen ohne besondere Anpassungen möglichst umfassend geschützt sein (vgl. Art. 25 DSGVO). Das bedeutet für Unternehmen: Bereits bei der Entwicklung digitaler Vorgänge sollte darauf geachtet werden, dass das Datenschutzniveau hoch ist (Privacy by Design). Außerdem sind Unternehmen zu verbraucherfreundlichen Voreinstellungen verpflichtet (Privacy by Default).

2. Verzeichnis über Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO hat der Unternehmer ein (schriftliches oder elektronisches) Verzeichnis über seine Verarbeitungstätigkeiten zu führen. Darin muss unter anderem Folgendes enthalten sein:

• Firmenname und - adresse
• Kategorien betroffener Personen
• Zwecke der Datenverarbeitung
• Kategorien personenbezogener Daten
• Kategorien der Datenempfänger
• ggf. Übermittlungen personenbezogener Daten in einen Nicht-EU-Staat
• Löschfristen der verschiedenen Datenkategorien

Dieses Verzeichnis ist laut EU-DSGVO für den unternehmensinternen Gebrauch gedacht. Auf Verlangen muss es aber der Datenschutzbehörde vorgelegt werden.

3. Datenschutz-Folgeabschätzung

Firmen sind bei neuen Formen der Datenverarbeitung zu einer Folgenabschätzung verpflichtet, sofern ein hohes Risiko der Verletzung des Datenschutzes besteht (Art. 35 DSGVO). Das bedeutet: Unternehmen müssen proaktiv die Aufsichtsbehörde kontaktieren und die möglichen datenschutzrechtlichen Auswirkungen einer vorgesehenen Maßnahme darlegen.

Die Voraussetzungen für die Folgenabschätzung sind allerdings rechtlich umstritten. Eine individuelle juristische Beratung ist daher dringend zu empfehlen.

4. Ernennung eines Datenschutzbeauftragen

Nach Art. 35 ff. DSGVO müssen Unternehmen einen Datenschutzbeauftragten (DSB) bestellen, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

1. Das Unternehmen verarbeitet besondere Kategorien von Daten (gem. Art. 9 DSGVO).
2. Eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen zählt zur Kerntätigkeit des Unternehmens.
3. Mehr als 20 Personen im Unternehmen befassen sich mit der Verarbeitung personenbezogener Daten.

5. Rechenschaftspflicht

Die Datenverantwortlichen müssen nach Art. 5 DSGVO auf Aufforderung nachweisen können, dass alle Datenschutzprinzipien im Unternehmen eingehalten werden.

6. Meldepflicht

Kommt es beispielsweise durch eine Datenpanne zu einer Verletzung der Datenschutzvorgaben, muss das jeweilige Unternehmen laut Datenschutzgrundverordnung

• dies innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden und
• den oder die Betroffenen informieren.

Ausnahme: Wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“, muss der Vorfall nicht gemeldet werden (Art. 33 DSGVO). Um abschätzen zu können, wann diese Ausnahmeregelung greift, sollten Sie sich datenschutzrechtlich beraten lassen.

5. EU-DSGVO für Verbraucher: 3 Neuerungen, die Sie kennen sollten

Die europäische Datenschutzgrundverordnung stärkt EU-weit die Rechte der betroffenen Personen.

1. Einwilligung in die Datenverarbeitung

   Personenbezogene Daten dürfen nur nach Einwilligung der Betroffenen verarbeitet werden. Kinder und Jugendliche unter 16 Jahren benötigen eine Einwilligung der Eltern. Betroffene können ihre Einwilligung außerdem zu jedem Zeitpunkt widerrufen.
2. Recht auf Löschung

   Wenn eine betroffene Person ihre Einwilligung widerruft oder falls der Zweck der Datenverarbeitung wegfällt, müssen datenverarbeitende Stellen die entsprechenden Daten löschen (Art. 17 DSGVO).
3. Auskunftsrecht

   Im Zuge der EU-DSGVO wurden die Auskunftsrechte der Verbraucher erweitert. Betroffene müssen auf Anfrage nicht nur über den Zweck der Datenverarbeitung informiert werden, sondern auch über die Dauer der Verarbeitung und ihre damit verbundenen Rechte (Art 15 DSGVO).

Die Position von Verbrauchern wird nicht zuletzt durch die Androhung hoher Geldbußen bei Verstößen gestärkt.

6. Ein heikler Punkt: Recht auf Datenübertragbarkeit mit der europäischen Datenschutzgrundverordnung

Nach Art. 20 DSGVO hat der Betroffene ein normiertes Recht auf Datenübertragbarkeit. Das heißt: Er darf verlangen, dass seine Daten von einer verantwortlichen Stelle auf eine andere übertragen werden. Ohne seine Einwilligung darf dies nicht geschehen.

Wie diese Vorschrift der Datenschutzgrundverordnung in der Praxis umgesetzt werden kann, ist angesichts verschiedener Daten- und Verarbeitungsformate noch sehr umstritten. Um Fallstricke zu vermeiden, sollten Sie sich hierzu individuell beraten lassen!

7. Ein Jahr europäische Datenschutzgrundverordnung – das hat sich seit der Einführung verändert

Seit der Einführung der Datenschutzgrundverordnung hat sich viel in diesem Bereich getan. So wurde die EU-DSGVO auch bereits angepasst, zum Beispiel im sogenannten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG). Dieses legt u.a. fest, dass ab dem 26.11.2019 ein Datenschutzbeauftragter erst ab 20 Mitarbeitern, und nicht wie vorher ab 10 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten betraut sind, bestellt werden muss.

Abmahnwelle durch die Datenschutzgrundverordnung

Noch vor einem Jahr herrschte in vielen Unternehmen regelrechte Angst, dass mit Inkrafttreten der EU-Datenschutzgrundverordnung eine große Abmahnwelle durch die Aufsichtsbehörden drohen würde. Eine solche ist bislang ausgeblieben, doch die Behörden greifen europaweit konsequent durch. Alleine 2019 wurden sieben Bußgelder in Millionenhöhe gegen Unternehmen aufgrund von Verstößen gegen die DSGVO verhängt.

Stärkeres Datenschutz-Bewusstsein

Das Thema Datenschutz und der korrekte Umgang mit Daten ist seither intensiv in den Medien behandelt worden. Die Verbraucher wissen deshalb heute mehr über ihre eigenen Rechte in puncto Datenschutz & DSGVO und nehmen die Verordnung oftmals ernster als Unternehmen.

In der unten abgebildeten Übersicht sehen Sie anhand weniger Zahlen, wie sich die Lage innerhalb eines Jahres geändert hat. Sie werden feststellen: Die EU-DSGVO ist angekommen.

8. So hilft datenschutzexperte.de bei der Umsetzung der DSGVO

Für Unternehmen bedeutete die Datenschutzgrundverordnung, dass einiges an den internen Prozessen angepasst werden musste. Zudem müssen Verantwortliche und Mitarbeiter beim Datenschutz nach wie vor stets auf dem Laufenden gehalten werden, um evtl. beschlossene Neuerungen schnell umsetzen zu können. datenschutzexperte.de hilft Unternehmen dabei, alle datenschutzrechtlichen Vorgaben der DSGVO umzusetzen. Dabei können Unternehmen auf unsere innovative Datenschutzsoftware Proliance 360 zurückgreifen, die Unternehmen Step-by-Step durch die Aufgaben des internen Datenschutzes führt sowie Muster, Vorlagen und Mitarbeiterschulungen und vieles mehr zur Verfügung stellt. Wollen Unternehmen aufgrund der Zeitintensität keine interne Person mit dem Thema Datenschutz betrauen, können sie auf die Lösung mit einem externen Datenschutzbeauftragten von datenschutzexperte.de vertrauen, der Unternehmen bei allen danteschutzrechtlichen Fragen zur Seite steht.

9. Ist Ihre Website wirklich fit für die DSGVO?

Jeder, der eine Internetpräsenz unterhält, ist laut DSGVO dazu verpflichtet, eine Datenschutzerklärung und ein Impressum anzugeben. Doch es gibt viel mehr, was es laut der Datenschutzgrundverordnung auf Websites zu beachten gibt. Von der richtigen Verschlüsselung bis hin zum Tracking und der korrekten Formulareinbindung gibt es vieles, was Websitebetreiber wissen und beachten müssen. Hinter all dem steht ein Ziel: die Daten der Websitebesucher zu schützen. datenschutzexperte.de hat einen automatisierten Website-Check entwickelt, der es Websitebetreibern und Verantwortlichen ermöglicht, automatisch eine Analyse ihrer Website durchzuführen. Im anschließenden Ergebnisreport erhalten sie eine Analyse zur Umsetzung der DSGVO auf der geprüften Website. So können Schwachstellen auf Websites erkannt und ausgebessert werden.

10. FAQ zur DSGVO

Was ist die DSGVO?

Die Datenschutzgrundverordnung, kurz DSGVO oder EU-DSGVO, ist eine Verordnung der Europäischen Union. Durch diese Verordnung sollen die Datenschutzstandards in der ganzen EU vereinheitlicht werden. Konkret betrifft die DSGVO personenbezogene Daten, die Unternehmen, Konzerne, Behörden, Praxen und Vereine erheben, verarbeiten und speichern. Die DSGVO gibt den Verantwortlichen Verhaltensregeln für die korrekte Datenverarbeitung personenbezogener Daten vor.

DSGVO: Seit wann ist sie in Kraft?

Die Datenschutzgrundverordnung gilt seit dem 25. Mai 2018 auch in Deutschland verbindlich. Die DSGVO hat damit Vorrang vor dem BDSG-neu. Beide Gesetze ersetzen sich jedoch nicht, sondern ergänzen sich vielmehr.

Für wen gilt die DSGVO und was regelt die DSGVO?

Die Datenschutzgrundverordnung der europäischen Union regelt, wie Unternehmen, Konzerne, Behörden, Praxen oder Vereine mit den personenbezogenen Daten ihrer Kunden und Mitarbeiter bzw. Mitglieder umgehen müssen. Die DSGVO gilt für alle EU-Mitgliedstaaten und vereinheitlicht dadurch den europäischen Datenschutz.

Was darf ich als Verbraucher durch die DSGVO von Unternehmen fordern?

Die DSGVO stärkt Verbrauchern den Rücken: Neu ist vor allem, dass Verbraucher von Unternehmen die vollständige Löschung ihrer Daten fordern können (sog. „Recht auf Vergessenwerden“ nach Art. 17 DSGVO). Dieser Aufforderung müssen Unternehmen schnellstmöglich nachkommen, wenn die erhobenen Daten nicht nach gesetzlichen Aufbewahrungsfristen gespeichert werden müssen.

Was sind personenbezogene Daten nach DSGVO?

Die DSGVO fordert den Schutz von personenbezogenen Daten. Personenbezogene Daten sind Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Ausgenommen sind neben juristischen Personen Personenmehrheiten und -gruppen sowie Verstorbene. Konkret handelt es sich bei personenbezogenen Daten z.B. um Namen, Telefonnummern, E-Mail-Adressen, IP-Adressen oder Postanschriften.

Wie können Unternehmen einen Datenschutzverstoß melden?

Unternehmen, die gegen den Datenschutz verstoßen und eine Datenschutzverletzung im Unternehmen vorliegen haben, müssen diese nach den Melde- und Anzeigepflichten (nach Art. 33 DSGVO) den zuständigen Aufsichtsbehörden melden, wenn dieser Verstoß voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Einen Leitfaden für Datenschutzverletzungen gibt es hier zum Download.