Was ändert sich mit der DSGVO für Unternehmen?

EU-Datenschutzgrundverordnung (DSGVO): Verbindliches Datenschutzrecht für alle! + Die EU-DSGVO bringt einige Neuerungen mit, welche die Unternehmen in Sachen Datenschutz noch stärker in die Pflicht nehmen. Zum Teil sind diese für deutsche Unternehmen gar nicht so neu, da sie bereits im Bundesdatenschutzgesetz bestanden.

• Die neue europäische Datenschutzgrundverordnung trat bereits am 24. Mai 2016 in Kraft. Ab dem 25. Mai 2018 sind die hierin enthaltenen Maßgaben zum Datenschutz verbindlich in den jeweiligen Mitgliedstaaten anzuwenden – auch ohne die separate Übertragung in nationales Recht.
• Gestärkt werden sollen durch die europäische Datenschutzverordnung vor allem die Verbraucherrechte. Datenverarbeitende Stellen müssen mit strengeren Regulierungen rechnen.
• Ein Verstoß gegen die EU-Datenschutzgrundverordnung kann das betreffende Unternehmen bis zu 20 Millionen Euro Geldbuße kosten – oder bis zu 4 % dessen weltweiter Umsätze (je nachdem, welcher Wert am Ende höher ausfällt).

Zum Beispiel muss laut EU-DSGVO ein Datenschutzbeauftragter bestellt werden, wenn die Datenverarbeitung eine Kerntätigkeit des Unternehmens ist und einen großen Umfang aufweist.

Am 24. Mai 2016 trat die neue EU-Datenschutzverordnung in Kraft. Derzeit gilt zwar noch die alte EU-Datenschutzrichtlinie, ab 2018 allerdings ist die Novelle verbindlich anzuwenden. Das bedeutet für die Mitgliedstaaten der Europäischen Union: Sie müssen derzeit geltende nationale Gesetzesgrundlagen zum Datenschutz an die neue EU-Datenschutzgrundverordnung (DSGVO) sowie die Strukturen in Behörden und Unternehmen anpassen.

Aber inwieweit unterscheiden sich in der EU-DSGVO getroffenen Regelungen zum Datenschutz von den derzeit noch gültigen Maßgaben der Richtlinie 95/46/EG? Was blieb gleich, was kam hinzu? Diese und weitere Fragen wollen wir in dem folgenden Ratgeber einer näheren Betrachtung unterziehen.

Mit der Novelle des europäischen Datenschutzrechts wurden zahlreiche bereits in der Datenschutzrichtlinie enthaltenen Vorgaben konkretisiert, abgeändert oder ergänzt. In Deutschland sind bereits jetzt schon viele der neuen Ideen alte Bekannte aus dem Bundesdatenschutzgesetz, nahm sich die EU-Kommission doch gerade die Bundesrepublik zum Vorbild.

Im Folgenden finden Sie elementare Bestandteile, die grundlegend gleich geblieben sind sowie die wichtigsten Neuerungen:

Das ist geblieben

1. Das maßgebliche Ziel der in der zum Datenschutz errichteten Grundverordnung der EU bleibt: Es sollen die Grundrechte und Grundfreiheiten jeder natürlichen Person geschützt werden – allen voran das Recht auf informationelle Selbstbestimmung.
2. Als Grundsatz bleibt zudem bestehen, dass personenbezogene Daten in aller Regel nicht erhoben oder verarbeitet werden dürfen, sofern keine andere Rechtsvorschrift Abweichendes bestimmt. Ausnahmen müssen streng reguliert sein.
3. Die Verarbeitung besonders sensibler personenbezogene Daten unterliegt auch nach der EU-Datenschutzgrundverordnung weiterhin strengen Voraussetzungen und bedarf zum Beispiel der vorherigen Einwilligung des Betroffenen. Das gilt in der Regel auch im Bereich des E-Mail-Marketings.
4. Weiterhin muss in Unternehmen, deren Hauptaktivität die Datenerhebung und Datenverarbeitung oder die dauerhafte Beobachtung von Personen ist, laut EU-Datenschutzverordnung ein betrieblicher Datenschutzbeauftragter installiert sein.
5. Die Weiterverarbeitung von Daten ist von der jeweiligen Zweckbestimmung abhängig. Erhobene personenbezogene Daten dürfen mithin nicht zweckentfremdet werden. Die jeweiligen Vorgänge müssen entsprechend transparent sein.

Das hat sich im Wesentlichen verändert

1. Der Anwendungsbereich hat sich erweitert: Mithin unterliegen auch Unternehmen und Anfragende aus Drittländern denselben Vorgaben wie die Mitgliedstaaten, sobald die Vorgänge EU-Bürger betreffen bzw. deren personenbezogene Daten.
2. Die Einwilligungshandlung muss strengeren Vorgaben genügen (z. B. durch Kontrollkästchen auf Webseiten, Auswahl spezifischer Einstellungen usf.). Das stillschweigende Einverständnis genügt nicht mehr. Sind unterschiedliche Datenverarbeitungsvorgänge geplant, muss in jeden einzelnen gesondert eingewilligt werden können.
3. Die erteilte Einwilligung muss der Betroffene jederzeit und unbegründet widerrufen können. Der Widerruf muss einfach und verständlich möglich sein.
4. Es muss dem Betroffenen möglich sein, aktiv gegen einzelne Zwecke der Datenverarbeitung – etwa dem Profiling oder Direktmarketing – zu widersprechen.
5. Das bereits bestehende Koppelungsverbot wurde in der EU-Datenschutzgrundverordnung noch einmal verschärft: Ein Vertrag darf etwa nicht mehr davon abhängig gemacht werden, dass der Betroffene eine Einwilligung in die Datenverarbeitung erteilt.
6. Die Auskunftsrechte der Betroffenen wurden inhaltlich erweitert: Nunmehr sollen auch Angaben zu der jeweiligen Rechtsgrundlage der erhobenen und verarbeiteten Daten oder die Dauer der Speicherung bzw. der Kriterien genannt werden.
7. Mit der neuen EU-Verordnung zum Datenschutz müssen Unternehmen ferner in der Lage sein, die von dem Betroffenen überlassenen Daten in einem portablen und dennoch sicheren Format an diesen oder – auf dessen Wunsch – direkt an einen Dritten auszuhändigen.
8. Die Pflicht zur Löschung veralteter oder falscher Daten wurde erweitert, sodass nunmehr die öffentlichen und nicht öffentlichen Stellen, die solche an Dritte weitergegeben haben, die jeweiligen Ansprechpartner kontaktieren und über die Unrichtigkeit in Kenntnis setzen müssen.
9. Datenverarbeiter können bei Fehlern und Pannen vom Betroffenen mitunter auch direkt zur Verantwortung gezogen werden (Schadensersatzansprüche u. ä.).
10. Es bedarf einer regelmäßigen Risikobewertung (Datenschutzfolgenabschätzung).
11. Die Meldepflicht im Falle einer Datenpanne wurde beschränkt auf einen Zeitraum von 72 Stunden, sobald die Rechte und Pflichten des Betroffenen durch die Panne einem Risiko ausgesetzt sind.
12. Die Geldbußen im Falle eines Verstoßes gegen die in der EU-Datenschutzgrundverordnung festgehaltenen Grundsätze wurden noch weiter erhöht: auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes des Unternehmens (der höhere Wert entscheidet am Ende).

Vor allem die Änderungen bezogen auf den europäischen Datenschutz, den die Grundverordnung der EU gegenüber der Datenschutzrichtlinie mitbringt, erfordern die Novellierung der jeweiligen nationalen Datenschutzgesetze. Diese müssen nunmehr auf die in der DSGVO getroffenen Maßnahmen ausgerichtet werden. Auch das neue Bundesdatenschutzgesetz sowie alle weiteren gesetzlichen Anpassungen zum Datenschutz muss bis zum 25. Mai 2018 in Kraft getreten sein. Sie werden von EU-Kontrollgremien auf Ihre Vereinbarkeit mit der EU-Datenschutzgrundverordnung hin geprüft.

Es gibt auch kritische Stimmen zur Datenschutzverordnung der EU

Grundsätzlich begrüßen viele Datenschützer die Novelle des EU-Datenschutzes, vor allem aufgrund der insgesamt gestärkten Verbraucherrechte. Da zudem die EU-Datenschutzgrundverordnung für alle Mitgliedstaaten mit Wirksamkeit ab dem 25. Mai 2018 verbindlich ist und nicht zunächst gesondert in nationales Recht übertragen werden muss, entfallen auch zahlreiche Probleme, die bei der damaligen Überarbeitung des BDSG entstanden.

Doch es gibt auch kritische Stimmen zur EU-Datenschutzgrundverordnung. Bei der re:publica 2017 bemängelte etwa Christoph Kucklick, Chefredakteur der GEO, dass nicht nur Unternehmen, sondern auch Privatpersonen über Gebühr in die Pflicht genommen würden. Meinungsfreiheit und Berichterstattung könnten durch den Einwilligungsvorbehalt ebenfalls eingeschränkt werden. Die anschließende hitzige Debatte zum Für und Wider der angeführten Kritik an der DSGVO zeigt eines ganz deutlich: Der Datenschutz ist und bleibt Reizthema und wird uns auch den kommenden Jahren durch die Netzwelt und den Alltag immer häufiger begleiten.

Zum Bußgeldrechner: DSGVO-Verstöße

Mehr hier.

E-Book zu diesem Thema