Die Datenschutzgrundverordnung FAQs zur neuen Gesetzgebung: Was ist das? Was bedeutet das für mich? Muss ich etwas tun?
In ein paar Wochen gelten mit der viel diskutierten DatenschutzGrundverordnung, kurz DSGVO, europaweit neue, verschärfte Datenschutzregeln. Doch was verlangen sie genau? Wir klären die wichtigsten Fragen.
1.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den bisherigen Flickenteppich an nationalen Datenschutzregeln ersetzen soll. Die Verordnung schafft ein gemeinsames und homogenes europäisches Datenschutzrecht, das einheitliche Schutzstandards in allen EU-Mitgliedstaaten sicherstellt. Bislang gilt in Deutschland das Bundesdatenschutzgesetz (BDSG), das erstmals 1990 verabschiedet und danach mehrfach novelliert wurde.
Die DSGVO besteht aus 99 Artikeln in elf Kapiteln und definiert darin die Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen,
2.
Wann treten die Regeln endgültig in Kraft?
Was viele nicht wissen: Die Europäische Datenschutz-Grundverordnung ist längst in Kraft. Sie gilt bereits seit zwei Jahren, allerdings mit einer Übergangsfrist, die am 25. Mai 2018 ausläuft. Erst ab diesem Tag entfalten die einheitlichen, EU-weit gültigen Datenschutzbestimmungen die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit EU-Bürgern erfassen und auswerten. Als persönliche Daten gelten vor allem Name, Geburtsdatum und E-Mail-Adresse.
Wichtig dabei: Die DSGVO ist keine EU-Richtlinie. Denn Richtlinien bilden lediglich einen rechtlichen Rahmen, der die 28 Mitgliedsländer dazu anhält, entsprechende nationale Gesetze zu verabschieden, was meist zu sehr unterschiedlichen Regelungen und Interpretationen des vorgegebenen Rechtsrahmens führt. Eine Verordnung hingegen hat unmittelbar EU-weite Gesetzeskraft. daher ihre volle Wirkung. Es gibt weder eine zusätzliche Übergangsfrist noch sonstige Milderungsgründe für Unternehmen, die sich auf die Regeln nicht vorbereitet haben.
Nach jahrelangen Verhandlungen wurde die DSGVO im April 2016 vom EU-Ministerrat und vom Europäischen Parlament verabschiedet. Die Verordnung ersetzt die aus dem Jahr 1995 stammende EU-Richtlinie „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“.
3. Wen betrifft die EU-Datenschutzverordnung?
Unmittelbar betroffen sind alle Organisationen, die automatisiert personenbezogene Daten verarbeiten. Dazu gehören vor allem Unternehmen und Behörden – aber auch das elektronische Mitgliederverzeichnis eines Vereins fällt schon unter die DSGVO. Ausgenommen sind Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwenden. Auch für Journalisten, die für ihre Berichterstattung personenbezogene Daten erheben oder nutzen, wird es wie bisher Ausnahmen geben. Wichtig: Die Regeln gelten explizit auch für Firmen außerhalb der EU, sofern sie auf dem europäischen Markt aktiv sind, also auch für die großen Internetkonzerne.
4. Was ändert sich für Unternehmen?
Für Firmen jeglicher Größe – vom Selbstständigen bis hin zum global agierenden Konzern – gelten künftig verschärfte Dokumentationsund Rechenschaftspflichten. Unternehmen müssen also nicht nur sicherstellen, dass sie die Vorgaben der Grundverordnung erfüllen, sondern dies auch nachweisen können.
Als aufwendigster Aspekt der DSGVO gilt das „Data Mapping“, das Erstellen oder Aktualisieren eines sogenannten Verfahrensverzeichnisses. Dieses hilft Unternehmen zu verstehen, welche Daten verarbeitet werden und wo sie gespeichert sind, mit wem die Daten geteilt und wie sie geschützt werden. Das Wissen über diese Informationen ist ein absolutes Muss. Schließlich können Unternehmen keine Daten schützen, von denen sie nicht wissen, wo sie liegen, was sie enthalten und wie sie kontrolliert werden. Das gilt auch für Daten, die in die Cloud fließen.
Zudem ist es künftig noch wichtiger, Daten nur zweckgebunden zu verwenden: Hat ein Kunde seine E-Mail-Adresse nur für einen Newsletter zur Verfügung gestellt, darf diese auch nur ausschließlich dafür verwendet werden. Darüber hinaus muss laut DSGVO grundsätzlich jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Die bisherige Beschränkung auf Risikodaten gibt es künftig nicht mehr.
Betriebe, in denen mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen außerdem zwingend einen Datenschutzbeauftragten bestellen und diesen an die jeweilige Landesbehörde melden.
5. Was ändert sich für Bürger und Verbraucher?
Warum sollte man sich überhaupt mit der DSGVO beschäftigen, wenn sie doch nur Firmen und Behörden unmittelbar betrifft? Ganz einfach: Weil es um unsere Daten geht. Die Verordnung definiert nämlich nicht nur Pflichten, sondern auch Rechte – und von diesen profitieren vor allem Privatpersonen. Sie müssen künftig noch umfassender als bisher darüber informiert werden, welche Daten in welcher Form über sie gespeichert sind – und wie diese verwendet werden.
Neu eingeführt wird auch ein „Recht auf Vergessenwerden“, das sich in bestimmten Fällen einfordern lässt. Das „Recht auf Datenübertragbarkeit“gewährt Verbrauchern bei digitalen Diensten die Möglichkeit, ihre persönlichen Daten von einem Anbieter zum nächsten mitzunehmen – etwa beim Wechsel von einer Plattform wie Facebook zu einem anderen sozialen Netzwerk.
6. Was passiert bei Verstößen gegen die DSGVO?
Die DSGVO sieht weitreichende Sanktionsmöglichkeiten vor. Die Datenschutzbehörden in den EU-Staaten können bei Verstößen gegen die neuen Datenschutzregeln empfindliche Geldbußen verhängen. Vorgesehen sind Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Zunächst wollen die für die Umsetzung zuständigen Landesdatenschützer vor allem beratend tätig sein. Sollten sich Unternehmen jedoch nachhaltig als „beratungsresistent“erweisen, müssen sie natürlich auch mit Bußgeldern rechnen.
Die Datenschutzverordnung räumt Nutzern zudem die Möglichkeit ein, zivilrechtlich Schadensersatz bei einem Unternehmen einzufordern, das die neuen Regeln nicht einhält. Noch ist unklar, um welche Summen es dabei gehen wird. Nicht auszuschließen ist, dass spezialisierte Abmahnanwälte versuchen, die Verordnung auszunutzen, indem sie systematisch kleinere Betriebe ohne besonderes rechtliches Know-how vor den Kadi ziehen. Umso wichtiger ist es für jedes Unternehmen, sich intensiv mit dem Thema zu beschäftigen, um auf den 25. März 2018 optimal vorzubereitet zu sein.