EU-Datenschutz-Grundverordnung (DSGVO)
Ansprechpartner/innen (1)
Dipl.-Ing. (FH) Richard Dürr
IT | Digitalisierung, eBusiness, Datenschutz, Technologietransfer Tel: +49 911 1335 1320Update 28. Juni: Änderung des Bundesdatenschutzgesetzes
Duch Änderungen im Bundesdatenschutzgesetz (BDSG) wird die Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Mehr zur Änderung und weitere Inhalte der zwei beschlossenen Gesetze zum Datenschutzrecht gibt es auf der Seite des Deutschen Bundestages (www.bundestag.de).
Am 25. Mai 2016 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Nach einer Übergangszeit von zwei Jahren muss die Verordnung auch in den deutschen Unternehmen seit dem 25. Mai 2018 angewandt werden.
Die neuen Datenschutzvorschriften bewirken, dass
- Individuen eine bessere Kontrolle über ihre personenbezogenen Daten haben und
- Unternehmen von Wettbewerbsgleichheit profitieren.
Die EU-Kommission veröffentlichte einen Leitfaden zur Anwendung der neuen Datenschutzgrundverordnung. Ein Online-Tool soll insbesondere KMU dabei unterstützen, die neuen Datenschutzbestimmungen richtig umzusetzen.
Die Regelungen betreffen:
- Ein Unternehmen oder eine Einrichtung, welches oder welche personenbezogene Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet oder
- Ein Unternehmen, das außerhalb der EU ansässig ist und Waren/Dienstleistungen (bezahlt oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU beobachtet.
Wenn Ihr Unternehmen personenbezogene Daten gemäß den oben genannten Beschreibungen verarbeitet, müssen Sie die Bestimmungen der Datenschutz-Grundverordnung erfüllen. Wenn die Verarbeitung personenbezogener Daten jedoch nicht zu den Kerntätigkeiten Ihres Unternehmens gehört und Ihre Tätigkeit keinerlei Risiko für Personen darstellt, gelten einige der Pflichten der Datenschutz-Grundverordnung für Sie nicht verbindlich (zum Beispiel die Ernennung eines Datenschutzbeauftragten). Beachten Sie, dass die "Kerntätigkeiten" Tätigkeiten umfassen sollten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeiten des Verantwortlichen oder Auftragsverarbeiters bilden muss.
Handreichungen für kleine Unternehmen
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellt speziell kleinen Unternehmen Handreichungen zur Verfügung, um ihnen die wesentlichen Anforderungen der Datenschutz-Grundverordnung kompakt und verständlich darzulegen. Diese Papiere können unter https://www.lda.bayern.de/de/kleine-unternehmen.html abgerufen werden.
Datenschutz-Grundverordnung: Was ist zu beachten?
Welche Arten von Daten sind durch die DSGVO geschützt?
Alle Arten von personenbezogenen Daten (pbD) werden durch die DSGVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um
- Mitarbeiter-,
- Kunden- oder z. B.
- Lieferantendaten handelt.
Für die DSGVO gilt wie für alle weiteren Datenschutzgesetze: Sie sind immer dann zu beachten, wenn Unternehmen mit sog. „personenbezogenen Daten“ umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „Betroffener“) beziehen lassen.
Beispiele sind: Name, Anschrift sowie Kontaktdaten von Kunden, Vertragspartnern oder Mitarbeitern, Prüfungsnoten, Kontodaten, Daten über das Kaufverhalten eines Kunden, Standortdaten, das Geburtsdatum, Bonitätsdaten. Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze wie die DSGVO nicht zu beachten.
Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten laut DSGVO zu beachten?
Als zentrale Pflicht wird über die DSGVO die sog. Rechenschaftspflicht eingeführt. Dies bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:
- Rechtmäßigkeit
Erarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung) - Verarbeitung nach Treu und Glauben
Zweckgebundene und verhältnismäßige Datenverarbeitung, keine Verwendung verborgener Techniken - Transparenz
Keine „heimliche“ Verarbeitung, Gewährleistung der Wahrnehmung der Betroffenenrechte - Zweckbindung
Zweckfestlegung, d. h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke.
Zweckbindung ieS: Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck nicht mehr zu vereinbaren ist. - Datenminimierung
Beschränkung auf das für den Zweck der Verarbeitung angemessene, sachlich relevante und notwendige Maß - Richtigkeit der Daten
Verbot der Erhebung oder Speicherung von falschen Daten
Gebot der Aktualisierung unrichtig gewordener Daten und
Gebot der Löschung oder Berichtigung solcher Daten. - Speicherbegrenzung
Konkretisiert Datensparsamkeit in zeitlicher Hinsicht, d. h. eine Speicherdauer ist auf das „unbedingt erforderliche Mindestmaß“ zu beschränken. - Regelmäßige Prüfung der Zweckerreichung!
- Integrität und Vertraulichkeit
Schutz der Unversehrtheit der Daten
Schutz der Daten vor unbefugter Kenntnisnahme/Verarbeitung
Wie können kleine Unternehmen die DSGVO umsetzen?
Sie sollten sich überlegen,
- wie sie ihre Geschäftsprozesse datenschutzkonform gestalten und
- wie sie dies effizient dokumentieren.
Die Rechenschaftspflicht setzt auch bei kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation voraus, um so die Einhaltung des Datenschutzes nachweisen zu können. Damit werden Unternehmen über ein Datenschutz-Managementsystem sicherstellen müssen, dass ihre Geschäftsprozesse datenschutzkonform sind.
Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.
Was ist zu beachten, wenn ich selbst Apps und Software entwickle oder anbiete?
Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.
Worauf ist in Sachen Datenschutz zu achten, wenn ich andere Unternehmen beauftrage?
Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Dies gilt vor allem bei Verträgen über eine Auftragsverarbeitung. Beauftragende Unternehmen trifft hier eine Prüfpflicht. Sie dürfen nur solche Auftragsverarbeiter einsetzen, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.
Wer trägt die Verantwortung, wenn es zu datenschutzrechtlichen Verletzungen kommt?
Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Die DSGVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Sie werden nicht nur wie bisher zur Verantwortung für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens gezogen. Sie werden nach DSGVO zusätzlich für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.
Auch bei Auftragsverarbeitungsverhältnissen wird es neue Haftungsszenarien geben. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DSGVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.
Publikationen – wo finde ich weitere Informationen und Hilfestellungen zum Thema Datenschutz?
Umfangreiche Informationen zum Thema Datenschutz finden Sie auf unserer Homepage.
Ferner bietet das Bayerische Landesamt für Datenschutzaufsicht auf seiner Homepage für eine erste Selbsteinschätzung einen Onlinetest für Unternehmen an.
Weitere nützliche Links:
Muster, Vorlagen und Formulierungshilfen
Sammlung von Muster, Vorlangen und Formulierungshilfe zur EU-DSGVO
- Meldung des Datenschutzbeauftragten (www.lda.bayern.de)
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bittet von einer Meldung in Papierform abzusehen und diese auf dem Meldeportals vorzunehmen. - Verzeichnis von Verarbeitungstätigkeiten gem. Artikel 30 Abs. 1 DSGVO (www.lda.bayern.de)
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht).
Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar. - Datenschutz-Verpflichtung von Beschäftigten (www.lda.bayern.de)
Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DS-GVO erfolgt. - Formulierungshilfen für Websitebetreiber nach den Vorgaben der DSGVO (www.uni-muenster.de)
- Websites speichern inzwischen immer mehr Daten von Usern. Nicht nur durch Formulare oder Shop-Systeme, sondern auch über verschiedene eingebundene Tools und Funktionen (z. B. Google Analytics oder Facebook) werden Daten von Besuchern verarbeitet. Über die Nutzung und Speicherung der Daten muss der User laut DSGVO informiert werden.
- Auftragsverarbeitung (www.lda.bayern.de)
Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO.
Sobald Sie Dienstleistungen (z. B. Buchhaltung) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich. - Datenschutzverletzungen, Meldung einer Datenpanne (www.lda.bayern.de)
Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. zu Personal- oder Kundenkartendaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber innerhalb von 72 Stunden in Kenntnis zu setzen, betroffene Personen dagegen nur bei vorliegendem hohem Risiko (was eher selten der Fall ist).
Veranstaltung
Vortrag zur DSGVO von Dr. Martin Lintner, Fachanwalt für IT-Recht am 18. April 2018 im Gründerzentrum Schwung (Schwabach) – gemeinsame Veranstaltung des IHK-Gremiums Schwabach, des Gewerbevereins Schwabach und der Wirtschaftsjunioren Schwabach.
Videos immer laden Dieses Video laden
Weitere Informationen
Dokumente
- Praxisleitfaden: "Auftragsverarbeitung gemäß Artikel 28 EU-DSGVO - Anforderung an die betriebliche Organisation" pdf | 770,5 kB 26.03.2018
- EU-Datenschutz-Grundverordnung – Standardmäßiger Datenschutz für mehr Privatsphäre pdf | 122,1 kB 04.09.2017
- EU-Datenschutz-Grundverordnung – Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen pdf | 126 kB 04.09.2017
- EU-Datenschutz-Grundverordnung – Dokumentationspflichten pdf | 245,1 kB 07.08.2017
- EU-Datenschutz-Grundverordnung – Betroffenenrechte pdf | 142,6 kB 07.08.2017
Externe Links
- Die Datenschutz-Grundverordnung (DSGVO) im Originaltext (https://dsgvo-gesetz.de)
- Online-Tool der EU-Kommission für KMU (http://ec.europa.eu)
- Leitfaden der EU-Kommission zur Reform der EU-Datenschutzvorschriften 2018 (https://ec.europa.eu)
- Handreichungen zur DSGVO speziell für kleine Unternehmen unterschiedlicher Branchen vom Bayerischen Landesamt für Datenschutzaufsicht (www.lda.bayern.de)
- Musterdatenschutzerklärung für Websitebetreiber nach den Vorgaben der DSGVO von Professor Dr. Thomas Hoeren zusammen mit Mitarbeitern der Forschungsstelle Recht des DFN-Vereins (.docx-Datei unter www.uni-muenster.de, Stand April 2018)
- Schritt für Schritt zum neuen Datenschutz. Hilfen zur DSGVO für Vereine, kleine Unternehmen und Selbständige in Bayern. (Bayerische Staatsministerium des Innern und für Integration)
