DSGVO: Alle wichtigen Infos auf einen Blick
Seit dem 25. Mai 2018 ist die europaweite Datenschutzgrundverordnung (DSGVO) in Kraft. Seitdem gelten strengere Datenschutz-Regeln für Unternehmen und Selbständige. Mittlerweile gibt es schon einige Bußgelder und Urteile. Hier gibt es alle Infos zur DSGVO im Überblick.
Update: Die ersten DSGVO-Urteile und Bußgelder
Bringt die DSGVO einheitlichen Datenschutz?
Wo gilt die DSGVO und was zieht sie nach sich?
Besonderer Schutz von Kindern!
Verzeichnis von Verarbeitungstätigkeiten
Pflicht zur Auskunft, Berichtigung und Löschung
Infografik: Wie setze ich die DSGVO um?
Video: Expertentipps zur Umsetzung der DSGVO
DSGVO: Wie läuft die Vorbereitung?
Kann ich ein DSGVO-Bußgeld versichern?
Update: DSGVO-Positionspapier der Datenschutzkonferenz
Die ersten DSGVO-Urteile und Bußgelder
Seit Mai ist die DSGVO in Kraft und nun gibt es die ersten Urteile und Bußgelder. Dass die Gerichte sich nicht einig sind, ob Wettbewerber Verstöße gegen die DSGVO abmahnen können, können Sie in diesem Artikel nachlesen: Gerichte uneinig: DSGVO-Verstöße abmahnbar oder nicht?
Knuddels muss 20.000 Euro Bußgeld bezahlen
Und auch das erste Bußgeld in Deutschland wurde jetzt verhängt: Es traf das Soziale Netzwerk Knuddels.de aus Karlsruhe. 20.000 Euro muss das Unternehmen wegen DSGVO-Verstößen bezahlen. Der Grund: Das Netzwerk hatte personenbezogene Daten seiner Nutzer nicht ausreichend gesichert. Es hatte Kunden-Passwörter im Klartext auf seinem Unternehmensserver gespeichert und es versäumt, pünktlich die neue Version des Betriebssystems aufzuspielen. Prompt wurde Knuddels im Sommer gehacked und über 800.000 E-Mail-Adressen sowie zwei Millionen Pseudonyme und Passwörter von circa 330.000 Nutzern im Netz veröffentlicht. Ein datenrechtlicher Super-Gau für das Unternehmen!
Nach diesem Vergehen war auch dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) nicht mehr zum Knuddeln zumute. Er verhängte ein Bußgeld von 20.000 Euro gegen das Unternehmen. Dass die Strafe nicht noch höher ausfiel, liegt daran, dass Knuddels sehr gut mit der Datenschutzbehörde kooperierte, transparent mit dem Verstoß umging und seiner Meldepflicht nachkam (Pressemitteilung des LfDI). Wäre das nicht der Fall gewesen, wäre das Bußgeld wohl noch höher ausgefallen. Zur Erinnerung: Es können Bußgelder bis zu 20 Mio. Euro oder vier Prozent des Vorjahresumsatzes verhängt werden.
Richtiges Verhalten nach Datenschutzpanne verringert Bußgeld
Als Lehre aus diesem Fall gilt für alle Unternehmen, die eine Datenschutzpanne bemerken: Melden Sie diese sofort, schaffen Sie Transparenz, bemühen Sie sich um Aufklärung und arbeiten Sie mit der Ordnungsbehörde zusammen. Denn – wie der Fall Knuddels zeigt – hat das Verhalten nach einer Panne Auswirkungen auf die Höhe des Bußgeldes. Das bekräftigt auch der LfDI in seiner Pressemitteilung: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen. Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Wichtig: Wer eine Berufshaftpflichtversicherung hat, sollte nach einer Datenschutzpanne unbedingt auch unverzüglich seinen Versicherer informieren. So ist sichergestellt, dass eventuelle Forderungen der Geschädigten umfassend beglichen werden können.
Mittlerweile gibt es auch schon viele Millionen-Bußgelder gegen verschiedene bekannte Unternehmen. So musste die Deutsche Wohnen SE zum Beispiel ein Bußgeld von 14,5 Millionen Euro bezahlen. Die Modekette H&M bekam ein Bußgeld von 35,3 Millionen Euro aufgebrummt, British Airways 22 Millionen und Amazon Europe Core 35 Millionen. Alle Bußgelder finden Sie hier in der Übersicht: DSGVO-Portal.
DSGVO – Grundlagen
Zunächst einmal ein Überblick zu den grundlegenden Fragen zur DSGVO:
Was ist die DSGVO?
Die DSGVO ist die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“, kurz Datenschutzgrundverordnung.
Bisher ist der Datenschutz in Europa durch die EU-Datenschutzrichtlinie geregelt – und die ist aus dem Jahr 1995! Neben ihrem Alter liegt das Problem schon beim Namen: Denn eine Richtlinie regelt lediglich wesentliche Grundlagen, ist aber nicht unmittelbar bindend. Das heißt, seit 1995 „stöpselt“ jeder EU-Mitgliedstaat seine eigenen Datenschutzgesetze zusammen und versucht sie dem technischen Fortschritt anzupassen. Die Folge: Kein einheitlicher europäischer Schutzstandard.
Bringt die DSGVO einheitlichen Datenschutz?
Unternehmen, die europaweit tätig sind, müssen sich mit sage und schreibe 28 verschiedenen Datenschutzgesetzen auseinandersetzen! Höchste Zeit also für eine einheitliche Datenschutzverordnung für alle EU-Mitgliedstaaten. Die DSGVO regelt ab 25. Mai 2018 die Verarbeitung personenbezogener Daten für den gesamten privaten und öffentlichen Bereich. Komplett verschwinden wird der Datenschutz-„Flickenteppich“ wohl trotzdem nicht. Denn die DSGVO sieht 68 sogenannte Öffnungsklauseln für nationale Regelungen vor. Das heißt, 68 Optionen für jedes EU-Land, datenschutzrechtliche Fragen individuell zu regeln – beispielsweise im Hinblick auf die Ernennung von Datenschutzbeauftragten. Diesbezüglich bleibt es spannend, wie die einzelnen Länder mit diesen Freiheiten umgehen werden.
Wo gilt die DSGVO und was zieht sie nach sich?
Die wichtigste Änderung liegt in der Bezeichnung. Wie der Name schon sagt ist die DSGVO eine Verordnung. Und Verordnungen sind allgemeingültig. Das heißt, die DSGVO gilt verbindlich und unmittelbar in jedem Mitgliedstaat der EU und hat immer Vorrang gegenüber nationalem Recht. Das bedeutet auch, dass die bisherige Datenschutzrichtlinie ab Mai 2018 aufgehoben wird.
Außerdem wird die DSGVO einige weitere Neuerungen nach sich ziehen. Zum Beispiel die E-Privacy-Verordnung. Sie liegt als Entwurf vor und soll den Umgang mit Daten und Informationen im Rahmen der elektronischen Kommunikation regeln. Außerdem müssen die EU-Länder bis Mai 2018 all das regeln, was die DSGVO den nationalen Gesetzgebern überlässt. In Deutschland wird das im Bundesdatenschutzanpassungsgesetz passieren, das ebenfalls als Gesetzentwurf vorliegt.
Welche Bußgelder gibt es?
Bei Missachtung der neuen Datenschutz-Regeln drohen hohe Bußgelder. Laut Bundesdatenschutzgesetz (BDSG) gab es eine Haftungshöchstgrenze von 300.000 Euro. Die entfällt nun: Die DSGVO räumt die Möglichkeit ein, Bußgelder bis 20 Millionen Euro zu verhängen, beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Vorjahresumsatzes.
DSGVO: Regelungen im Überblick
Die DSGVO bringt einige Änderungen und neue Datenschutz-Vorschriften mit sich:
Verbot mit Erlaubnisvorbehalt
Wie auch im BDSG (Bundesdatenschutzgesetz) geregelt, dürfen personenbezogene Daten weiterhin nur unter dem sogenannten Erlaubnisvorbehalt verarbeitet werden. Das heißt, nur wenn der Betroffene einwilligt oder gesetzliche Vorschriften es erlauben. Letzteres ist beispielsweise der Fall, wenn Verträge abgewickelt werden oder im Rahmen eines Arbeitsverhältnisses Daten gespeichert werden müssen.
In Artikel 6 DSGVO heißt es konkret:
- Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Verbot mit Erlaubnisvorbehalt: So muss die Einwilligung aussehen
Für die Einwilligung des Betroffenen gibt es laut Artikel 7 DSGVO diese Bedingungen:
- Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Das bedeutet, dass es indirekt ein Formerfordernis gibt. Eine bestimmte Form für die Einwilligung wird zwar nicht vorgegeben, aber wenn ein Unternehmen nachweisen muss, dass ein Kunde die Einwilligung in die Datenschutzerklärung erteilt hat, dann braucht es irgendetwas, das dies dokumentiert. Diese Regelung geht mit der deutschen Gesetzgebung konform, die zur rechtssicheren Einwilligung, beispielsweise beim Newsletter-Versand, das sogenannte Double-Opt-In-Verfahren verlangt.
Weiter heißt es in den Bedingungen:
- Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
Kurz gesagt: Der Betroffene muss klar erkennen können, dass er gerade in die Nutzung seiner Daten einwilligt. Andere Erklärungen müssen deutlich hiervon abgehoben sein.
Kopplungsverbot in der DSGVO
Soweit – so bekannt. Bisher sind das keine Neuerungen im Vergleich zum BDSG. Aber die kommen jetzt! Weiter heißt es nämlich in Artikel 7, Absatz 4:
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Aufgepasst: Kopplungsverbot! Das heißt, wenn ein Unternehmen einen bestimmten Dienst anbietet, darf es vom Kunden keine weiteren Daten fordern, die für die Erbringung des Dienstes eigentlich gar nicht notwendig wären und die Erbringung dieses Dienstes von der Einwilligung abhängig machen. Das ist wohl ein Wink in Richtung Facebook, Google, Amazon & Co., die Nutzern gar keine andere Möglichkeit bieten, als der Datenschutzerklärung zuzustimmen, wenn sie deren Dienste nutzen wollen. Auch kleinere Unternehmen und Startups sollten ihre Datenschutzrichtlinien diesbezüglich checken, denn es drohen hohe Bußgelder bei Verstoß!
Besonderer Schutz von Kindern!
Kinder unter 16 Jahren werden durch Artikel 8 der DSGVO besonders geschützt. Dort heißt es in Absatz 1:
Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
Das bedeutet, bei unter 16-Jährigen hängt die Rechtmäßigkeit der Datennutzung davon ab, ob die Eltern zustimmen. Der letzte Satz heißt, dass die DSGVO hier eine sogenannte Öffnungsklausel vorsieht und abweichende Regelungen in den EU-Mitgliedsstaaten individuell getroffen werden können. Deutschland könnte demnach im Datenschutzanpassungsgesetz eigene Regelungen dazu treffen…
Verzeichnis von Verarbeitungstätigkeiten
Natürlich gibt es mit der DSGVO auch weiterhin bestimmte Dokumentationspflichten, die Unternehmer und Selbständige einhalten müssen. Jeder, der personenbezogene Daten verarbeitet oder speichert – und da kommt kaum einer im täglichen Business drum herum –, muss eine Übersicht darüber erstellen. Das muss sie enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragte);
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 (Sicherheit der Verarbeitung).
Achtung Kleinunternehmer: Ihr seid nicht aus dem Schneider!
In Artikel 30 DSGVO steht, dass diese Pflicht nur für Unternehmen oder Einrichtungen gilt, die mehr als 250 Mitarbeiter beschäftigen. Wer jetzt laut „Hurra“ schreit, dem bleibt es wohl im Halse stecken. Denn aufgepasst, der Artikel beinhaltet so viele Einschränkungen, dass er fast schon zum Vergessen ist. Die Regelung gilt nämlich nur, wenn die Verarbeitung von Daten nur gelegentlich erfolgt, was bei den meisten Unternehmen nicht der Fall ist. Jede dauerhafte Verarbeitung von Daten muss festgehalten werden, dazu gehören jegliche Art von Kunden- und Personalmanagement sowie die Buchhaltung.
Zudem gilt die Ausnahme zur gelegentlichen Datenverarbeitung nicht, wenn sensible Daten gespeichert werden. Davon abgesehen, dass es sicher zu Streitigkeiten darüber kommen wird, was „gelegentlich“ und „sensibel“ in diesem Zusammenhang heißt, bedeutet die Regelung nichts anderes, als dass jeder, der auf irgendeine Weise persönliche Daten verarbeitet, ein Verzeichnis führen sollte, um auf der sicheren Seite zu sein: Denn – wie mehrmals betont – es drohen viel höhere Bußgelder als bisher!
Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung (DSFA) ist ähnlich der Vorabkontrolle aus dem Bundesdatenschutzgesetz (BDSG) und löst diese ab. Sie wird durchgeführt, um vor der Erhebung von Daten zu prüfen, ob diese überhaupt rechtmäßig ist.
Wann muss eine DSFA erfolgen?
Laut DSGVO muss sie stattfinden, wenn
„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (hat)“.
Im Klartext: bei besonders kritischen Fällen der Datenspeicherung. Solche Fälle sind
- die systematische und umfassende Bewertung persönlicher Aspekte von Personen auf Grundlage automatisierter Datenverarbeitung, einschließlich Profiling,
- die umfangreiche Verarbeitung sensitiver Daten gemäß Artikel 9 Absatz 1 (zum Beispiel politische Meinungen, religiöse oder weltanschauliche Überzeugungen) und Daten über Straftaten gemäß Artikel 10 DSGVO,
- die systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.
Was muss eine DSFA enthalten?
Die Mindestanforderungen an den Inhalt einer DSFA sind gemäß DSGVO folgende:
- Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
- Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen,
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren.
Alle unangenehmen Dinge zum Datenschutz auf den Datenschutzbeauftragten abwälzen? Das geht nicht mehr! Neu ist, dass dieser nicht mehr für die Abschätzung der Folgen verantwortlich ist, sondern das Unternehmen selbst. Der Datenschutzbeauftragte muss lediglich zur Beratung hinzugezogen werden. Kommt das Unternehmen nach der Folgenabschätzung zu dem Schluss, dass ein Fall vorliegt, der ein hohes Risiko für die Rechte und Freiheiten von Betroffenen bedeutet, muss es die zuständige Aufsichtsbehörde informieren. Diese kann eine schriftliche Empfehlung für das Projekt erteilen oder die Datenverarbeitung untersagen.
Exkurs: Was passiert mit dem Datenschutzbeauftragten?
Gemäß BDSG braucht in Deutschland fast jedes Unternehmen einen Datenschutzbeauftragten. Mit der DSGVO gibt es bald europaweit die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn ein Unternehmen einer Tätigkeit nachgeht, die datenschutzrechtlich besonderer Kontrolle bedarf. Auch hier gilt wieder: Zu früh gefreut, wenn Sie nun denken, für Ihr Unternehmen gilt das nicht und Sie brauchen keinen Datenschutzbeauftragten mehr. Denn: Es gibt die sogenannten Öffnungsklauseln in der DSGVO, die Regelungen auf Landesebene möglich machen. Und da wird Deutschland im Datenschutzanpassungsgesetz – nach derzeitigem Stand – bei der bisherigen Regelung bleiben.
DSGVO: Informationspflichten
Die Informationspflichten werden in der DSGVO in den umfangreichen Artikeln 13 und 14 geregelt. Dabei unterscheidet sie zwischen der Erhebung personenbezogener Daten beim Betroffenen selbst (Artikel 13) und einer Erhebung, die nicht direkt beim Betroffenen erfolgt (Artikel 14).
Wenn Daten beim Betroffenen selbst erhoben werden, müssen diesem gemäß DSGVO folgende Informationen mitgeteilt werden:
- Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters
- Kontaktdaten des Datenschutzbeauftragten (falls es einen gibt)
- die Zwecke, für die die Daten verarbeitet werden und die Rechtsgrundlage hierfür
- berechtigtes Interesse des Verantwortlichen oder Dritten, falls die Datenverarbeitung deshalb erfolgt
- Empfänger oder die Kategorie der Empfänger (wenn der Empfänger noch nicht konkret benannt werden kann) der personenbezogenen Daten
Absicht des Verantwortlichen, falls er die personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermitteln will (in diesem Fall muss er auch mitteilen, auf welcher Bedingung des Artikel 44 ff. die Übermittlung erfolgt und welche Maßnahmen er ergriffen hat, um ordnungsgemäßen Datenschutz zu gewährleisten).
Informationen zum Zeitpunkt der Datenerhebung
Oberstes Gebot beim Datenschutz ist Transparenz. Deshalb müssen Unternehmen und Selbständige zusätzlich zu diesen Informationen den Betroffenen zum Zeitpunkt der Datenerhebung weitere Informationen zur Verfügung stellen, um eine faire und transparente Verarbeitung zu gewährleisten:
- Dauer, für die die personenbezogenen Daten gespeichert werden (oder, falls das nicht möglich ist, die Kriterien für die Festlegung dieser Dauer).
- Belehrung darüber, dass der Betroffene folgende Rechte bezüglich seiner Daten hat: Auskunftsrecht, Recht auf Berichtigung oder Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, Recht auf Datenübertragbarkeit.
- Falls die Datenverarbeitung auf einer Einwilligung des Betroffenen (zum Beispiel Kunden) beruht, gesonderter Hinweis darauf, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.
- Aufklärung über das Beschwerderecht bei der Aufsichtsbehörde.
Information darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist. Und ob die betreffende Person verpflichtet ist, die Daten bereitzustellen und welche Folgen eine Weigerung hätte.
Wenn eine automatisierte Entscheidung im Einzelfall getroffen werden soll oder eine andere Profiling-Maßnahme stattfinden soll, muss der Betroffen darüber informiert werden (Angaben über Tragweite, Logik, Algorithmus).
Achtung: Werden Daten nicht direkt beim Betroffenen erhoben, gelten im Wesentlichen die gleichen Informationspflichten. Er muss jedoch zusätzlich darüber informiert werden, um welche Art von Daten es sich handelt, woher die Daten stammen und ob es sich um eine öffentlich zugängliche Quelle handelt.
Wie informieren?
Diese genannten Informationen müssen präzise, transparent, verständlich und leicht zugänglich sein. Sie können schriftlich oder elektronisch übermittelt werden. Dafür dürfen Verantwortliche auch standardisierte Bildsymbole verwenden. Da die DSGVO Kinder unter 16 Jahren besonders schützt, müssen, falls Daten von Kindern verarbeitet werden, Informationen und Hinweise in solch einer klaren und einfachen Sprache vorhanden sein, dass Kinder sie verstehen können.
Wann informieren?
- Daten werden direkt beim Betroffenen erhoben? – Zeitpunkt: Der Moment der Datenerhebung
- Daten werden nicht direkt beim Betroffenen erhoben? Zeitpunkt: innerhalb einer angemessenen Frist, spätestens aber nach einem Monat
- Daten werden nicht direkt beim Betroffenen erhoben, werden allerdings zur Kommunikation mit diesem genutzt oder an einen Empfänger übermittelt? – Zeitpunkt: Der Moment der Kontaktaufnahme oder der ersten Übermittlung
Informationspflicht ist kaum einschränkbar
Da die europäischen Gesetzgeber die faire und transparente Datenverarbeitung als existenziell ansehen, haben Verantwortliche so gut wie keinen Spielraum bei der Einschränkung der Informationspflicht. Wenn sie die Daten nicht direkt erhoben haben, können sie die Information unterlassen, wenn sie unmöglich oder unverhältnismäßig aufwendig ist, die Erhebung gesetzlich vorgeschrieben ist oder ein Berufsgeheimnis oder eine sonstige Geheimhaltungspflicht besteht.
Bei Verstößen gegen die Informationspflicht kennen die Gesetzgeber keine Gnade: Es drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes!
Pflicht zur Auskunft, Berichtigung und Löschung
Leider noch nicht genug der Pflichten! Von der Datenverarbeitung betroffene Personen haben noch weitere Rechte, die beachtet werden müssen.
Auskunftspflicht
Unternehmen und Selbständige sind gegenüber ihren Kunden oder anderen Betroffenen der Datenverarbeitung dazu verpflichtet, Auskunft über die gespeicherten Daten zu geben. Dazu gehören nach Artikel 15 DSGVO im Wesentlichen die Punkte, über die aus den Gründen der Fairness und Transparenz ohnehin eine Informationspflicht besteht (siehe oben).
Achtung: Neu ist, dass dem Betroffenen eine Kopie der personenbezogenen Daten zur Verfügung gestellt werden muss!
Berichtigungs- und Löschungspflicht
Weiterhin hat der Betroffene – wie bisher – das Recht, dass seine Daten berichtigt werden, wenn sie fehlerhaft sind. Zudem hat er das Recht auf Löschung seiner Daten, das sogenannte „Recht auf Vergessenwerden“. Dieses besteht
- Wenn die Speicherung der Daten nicht mehr notwendig ist,
- wenn der Betroffene seine Einwilligung widerrufen hat,
- wenn die Daten unrechtmäßig verarbeitet wurden,
- wenn eine Rechtspflicht zur Löschung besteht.
Neu ist, dass, falls der Verantwortliche die Daten öffentlich gemacht hat, er diejenigen, die die Daten verarbeiten, darüber informieren muss, dass die betroffene Person die Löschung aller Links zu diesen Daten oder Kopien verlangt hat.
Recht auf Datenübertragbarkeit
Die DSGVO schreibt ein Recht auf Datenübertragbarkeit vor. Das bedeutet, dass der Betroffene von dem Verantwortlichen verlangen kann, dass seine Daten einer anderen Stelle – zum Beispiel einem sozialen Netzwerk – ohne Behinderung übermittelt werden, falls dies technisch machbar ist. Dadurch soll es für Kunden einfacher sein, von einem Anbieter zu einem anderen zu wechseln, ohne dass dabei Daten verloren gehen. Für entsprechende Unternehmen bedeutet das, dass sie technische Voraussetzungen schaffen müssen, um dies zu ermöglichen.
DSGVO-Checkliste für Eilige
-
Was ist die DSGVO und wieso ist sie mein Problem?
Die DSGVO ist eine neue EU-Verordnung, die den Datenschutz in der Europäischen Union einheitlich regelt. Sie ist seit dem 25. Mai 2016 in Kraft. Seither haben alle, die im Business Daten verarbeiten, zwei Jahre – also bis zum 25. Mai 2018 – Zeit, sie umzusetzen.
Die DSGVO gilt für alle Unternehmen innerhalb der EU und für alle, die personenbezogene Daten von EU-Bürgern verarbeiten. Wer sich in Zukunft nicht daran hält, dem drohen Abmahnungen und saftige Bußgelder: Gemäß DSGVO können diese bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen.
-
Kopplungsverbot
Unternehmen dürfen vom Kunden nur Daten fordern, die dafür notwendig sind, eine bestimmte Dienstleistung zu erbringen – Daten die dafür nicht notwendig sind, dürfen sie auch nicht verlangen. Ein Beispiel: Für das Versenden eines Newsletters wird lediglich die Emailadresse des Empfängers benötigt, deshalb darf die Angabe des Namens bei der Bestellung eines Newsletters kein Pflichtfeld sein.
-
Verzeichnis von Verarbeitungstätigkeiten
Im Verzeichnis von Verarbeitungstätigkeiten müssen Sie alle personenbezogenen Daten, die Sie verarbeiten oder speichern, auflisten.
-
Datenschutz-Folgenabschätzung (DSFA)
Sollen besonders sensible Daten (zum Beispiel Angaben über politische Meinungen, weltanschauliche Überzeugungen oder persönliche Aspekte von Personen auf der Grundlage automatisierter Datenverarbeitung) verarbeitet werden, müssen die Folgen und Risiken dieser Verarbeitung abgeschätzt werden.
-
Mehr Informationspflichten
Die betroffenen Personen müssen ab sofort umfangreicher als bisher darüber informiert werden, wann, wie, wer, wo ihre Daten speichert und welche Rechte sie diesbezüglich haben.
-
Recht auf Vergessenwerden (Recht auf Löschung)
Betroffene haben das sogenannte Recht auf Vergessenwerden ihrer Daten, unter anderem dann, wenn deren Speicherung nicht mehr notwendig ist oder sie ihre Einwilligung widerrufen haben.
-
Recht auf Datenübertragbarkeit
Betroffene haben das Recht, dass ihre Daten ohne Verzögerung an eine andere Stelle übermittelt werden. Unternehmen müssen daher die technischen Voraussetzungen schaffen, damit Datensätze portabel sind.
-
Rechenschaftspflicht
Auf Aufforderung einer Aufsichtsbehörde müssen Datenverantwortliche nachweisen können, dass sie alle Datenschutzregeln einhalten.
Infografik: Wie setze ich die DSGVO um?
Wenn Sie jetzt wissen, was Sie umsetzen müssen, aber nicht, wie Sie das anstellen sollen, dann ist diese Info-Grafik der Rechtsanwaltskanzlei Dr. Schwenke genau das Richtige. Dort wird Schritt für Schritt erklärt, welche Maßnahmen getroffen werden müssen, um die DSGVO umzusetzen. Weitere Tipps zur Umsetzung der DSGVO gibt es auch auf der Homepage von Dr. Schwenke.
DSGVO-Wissenstest
Sie wollen wissen, ob Sie in Sachen DSGVO schon auf einem guten Weg sind, oder noch am Anfang stehen? Machen Sie den Test! Das Bayerische Landesamt für Datenschutzaufsicht hat einen Online-Test zur Selbsteinschätzung in Vorbereitung auf die DSGVO entwickelt.
Video: Expertentipps zur Umsetzung der DSGVO
DSGVO: Wie läuft die Vorbereitung?
Die DSGVO-Studie des Händlerbundes zeigt, was sich in Sachen DSGVO getan hat und wie gut Händler bisher darauf vorbereitet sind:
Kann ich ein DSGVO-Bußgeld versichern?
Wenn die DSGVO im Mai in Kraft tritt, drohen bei Verstößen Bußgelder von bis zu 20 Millionen Euro. Diese Summe versetzt viele Freelancer und Dienstleister in Angst und Schrecken. Denn Bußgelder können bekanntlich in der Regel nicht versichert werden. „Aber was bringt mir dann eine Berufshaftpflichtversicherung?“, mag nun so mancher denken.
Hier liegt jedoch ein Missverständnis vor: Denn, Bußgelder, die Unternehmen und Selbständigen auferlegt werden, weil sie selbst in ihrem eigenen Business gegen die DSGVO verstoßen haben, können nicht versichert werden. Logisch, weil dann würde sich jeder gegen Bußgelder versichern und sich nicht um den Datenschutz kümmern. Jedoch bemisst sich das Bußgeld laut DSGVO nach dem Jahresumsatz. Und da Freelancer keine Milliarden-Umsätze wie Konzerne haben, werden sie bei einem Verstoß gegen die DSGVO auch keine Millionen-Bußgelder zahlen müssen.
ABER: Wenn ein Freelancer oder Dienstleister bei seinem Kunden im Rahmen seiner Arbeit einen DSGVO-Verstoß verursacht und der Kunde daraufhin ein Bußgeld auferlegt bekommt, dann sieht die Sache ganz anders aus! Denn dann ist dies ein Schaden bei einem anderen, den der Freelancer verursacht hat. Der Kunde wird in diesem Fall das Bußgeld in Form von Schadenersatz vom Freelancer zurückverlangen und dagegen können sie sich mit einer Berufshaftpflichtversicherungen über exali.de natürlich absichern. In solch einem Fall würde die Versicherung den Schadenersatz übernehmen und auch die Kosten tragen, die der Kunde hatte, um das Bußgeld abzuwehren.
DSGVO-Positionspapier der Datenschutzkonferenz
Die Datenschutzbehörden des Bundes und der Länder haben ein Positionspapier zur DSGVO veröffentlicht – und das hat es in sich! Zunächst einmal stellt die Datenschutzkonferenz fest, dass ab dem 25. Mai, wenn die DSGVO in Kraft tritt, das Telemediengesetz (TMG) und die sogenannte „Cookie-Richtlinie“ nicht mehr angewendet werden und nur noch die DSGVO gültig ist. Da jedoch die neue ePrivacy Verordnung, die Regelungen zu Cookies, Tracking & Co. enthalten soll, noch auf sich warten lässt, ist nun auch zu diesen Themen die DSGVO gefragt. Und die ist diesbezüglich als Rechtsgrundlage mehr als dürftig!
Nach Meinung der Datenschutzkonferenz eignet sich nur Art. 6 Abs. 1 a) als Grundlage für den Umgang mit Tracking. Und demnach muss es für den Einsatz jeglicher Form von Tracking eine nachweisbare und ausdrückliche Einwilligung des Betroffenen geben! Für die Praxis würde das bedeuten: Wenn ein Nutzer auf eine Website kommt, auf der er in irgendeiner Form getrackt wird, würde er zuerst einmal einen schwarzen Bildschirm sehen und dazu einen sehr langen Text, in dem ihm detailliert erklärt wird, welche Daten wann und wo von ihm getrackt werden. Und erst wenn er diesem zustimmt, käme er auf die eigentliche Website. Eine Katastrophe für jegliche Form von Online-Business!
Das Problem daran: Niemand kann betroffenen Unternehmen oder Selbständigen momentan sagen, was sie machen sollen. Denn wie solche Fälle entschieden werden, wenn sie vor Gericht landen, wird erst die Zukunft zeigen. Und Experten – zum Beispiel Rechtsanwälte – werden derzeit immer dazu raten, Tracking abzuschalten, um sich nicht selbst am Ende haftbar zu machen.
Was also tun? Das muss jeder selbst für sich und sein Unternehmen entscheiden und das Risiko abwägen. Wenn Sie sich dazu entschließen, weiterhin Tracking zu nutzen, sollten Sie Ihre Kunden in jedem Fall in Ihrer Datenschutzerklärung genauestens darüber informieren, wann, wie und warum sie tracken und warum Sie auf das Tracking nicht verzichten können.
Eine Rettung gibt es eventuell in Form des Art. 6 Abs. 1 f) DSGVO. Dort wird nämlich ausgeführt, dass die Datenverarbeitung rechtmäßig ist, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Inwieweit Richter dies in Zukunft als Grundlage für vereinzeltes Tracking gelten lassen, kann niemand sagen. Klar ist nur, dass es zu Abmahnungen kommen wird. Welcher Einschätzung die Gerichte dann folgen und was sie entscheiden werden, bleibt leider nur abzuwarten.
Eine kleine Hoffnung bleibt nun doch noch, denn laut Berliner Morgenpost hat Bundeskanzlerin Angela Merkel angekündigt die DSGVO zusammen mit Bundesinnenminister Horst Seehofer kurzfristig noch einmal zu diskutieren. Die Kanzlerin soll erkannt haben, dass die Umsetzung für viele Probleme sorgt. Ein weiteres interessantes Datum wird der 15.05.2018 werden, denn gerademal zehn Tage vor dem Stichtag will sich auch das EU-Parlament noch einmal mit der DSGVO befassen. An diesem Tag werden die Mitgliedsstatten über den aktuellen Stand der Umsetzung in den jeweiligen Ländern sprechen.
Auch bei Datenschutzverstößen: Eine Berufshaftpflicht schützt
Neue Verordnungen wie die DSGVO bringen immer auch Verwirrung mit sich und ein Verstoß ist vor dem Hintergrund der vielen Regeln schnell passiert. Deshalb gilt: Denken Sie an die richtige Absicherung Ihres Business! Die Berufshaftpflichtversicherungen über exali.de stehen an Ihrer Seite, wenn Ihnen eine Abmahnung wegen Datenschutz-Verstößen ins Haus flattert. Sie prüfen auf eigene Kosten, ob die Ansprüche berechtigt sind und übernehmen im Fall einer berechtigten Forderung die Schadenersatzzahlung.
Ehem. Chefredakteurin Online-Redaktion
Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun bei exali als Chefredakteurin in der Online-Redaktion für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fußball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.