Die neue Datenschutz-Grundverordnung (EU-DSGVO) -Was Sie wissen sollten

Am 25. Mai 2018 ist Stichtag. Dann ist die zweijährige Übergangsfrist vorbei und die EU-Datenschutz-Grundverordnung gilt. Somit bleibt Unternehmen rechnerisch noch ein gutes halbes Jahr, um ihre Arbeitsprozesse den neuen Vorschriften anzupassen. Wer es bis dahin nicht schafft, seine unternehmerischen Strukturen anzupassen, muss mit drastischen Strafen rechnen: Bis zu 4% des globalen Umsatzes bzw. 10 Millionen Euro wären zu zahlen -je nachdem, welche Summe höher ist (Art. 83 DSGVO).

Warum DSGVO?

Ob es nur die steigende mobile Nutzung ist oder ob es Cloud-Dienste, Social Media Plattformen und Big Data sind -die letzten Jahre haben gezeigt, dass ein einheitlicher Rechtsrahmen in jedem Fall dringend notwendig ist. Im Allgemeinen werden zwei große Ziele verfolgt. Zum einen geht es um den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und deren Rechte auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO), zum anderen geht es um den freien Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

Für wen gilt die DSGVO?

Weil es sich um eine europäische Verordnung handelt, grundsätzlich alle 27 EU-Mitgliedstaaten (s. Niederlassungsprinzip). Neu ist das Marktortprinzip. Das heißt, ab sofort sind auch Unternehmen aus sogenannten Drittstaaten betroffen. Werden personenbezogene Daten im Bezug auf Warenangebote oder Dienstleistungen in der EU verarbeitet, müssen sich diese Unternehmen auch an die Vorgaben der DSGVO halten. Das bedeutet, dass die Datenschutz-Grundverordnung auch für US-Unternehmen wie Google oder Facebook gilt.

Die DSGVO auf einem Blick

Auf 11 Kapiteln mit insgesamt 99 Artikeln bzw. 173 Erwägungsgründen erstreckt sich die DSGVO:

Was ist neu an der DSGVO?

Gesetzesänderung in Deutschland und anderen Mitgliedstaaten

Werfen wir erst einmal einen Blick auf Deutschland: Die für Unternehmen einschlägigen Regelungen des Bundesdatenschutzgesetzes (BDSG) werden weitestgehend durch die neue EU-Verordnung ersetzt. Für alle anderen EU-Mitgliedstaaten gilt ein ähnliches Prinzip: Im Grunde genommen werden die nationalen Gesetzgeber „nur“ neue Gesetze erlassen bzw. Gesetze anpassen, um die nationalen Vorschriften, die durch die DSGVO ersetzt werden, aufzuheben.

Personenbezogene Daten bei Unternehmen (Art. 12 DSGVO)

Personen, die einem Unternehmen ihre Daten übermitteln, z. B. bei einer Online-Bestellung, sollen zukünftig mehr Auskunft über die Verarbeitung ihrer Daten erhalten.

Unterstützung bei Datenübertragung (Art. 18 DSGVO)

Die Daten, die bei einem Unternehmen hinterlassen wurden, sollen zukünftig ohne großen Aufwand von einem Anbieter in das System eines anderen Anbieters übertragen werden können, wenn diese Person, die Dienste des Unternehmens nicht mehr in Anspruch nehmen möchte.

Recht auf Vergessenwerden bzw. Löschungspflicht (Art. 17 DSGVO)

Ab sofort gibt es durch die DatenschutzGrundverordnung aufgestellte Leitlinien über die Regelung von Daten, die nicht länger gespeichert werden sollen. Daneben gibt sie auch Antworten auf die Frage, inwiefern Daten gelöscht werden können, wenn es keine legitimen Gründe gibt, sie aufzubewahren.

Privacy by Design und Privacy by Default (Art. 25 DSGVO)

Personenbezogene Daten sollen nur dann erhoben werden können, wenn es zur Erbringung einer Leistung nötig ist. Das heißt, dass die Datenschutzbestimmung bereits bei der Prozess- und Produktentwicklung beginnt und Daten nur dann erfasst werden können, wenn sie für die Erbringung eines Dienstes nötig sind (Private by Design). Diese Vorkehrungen gelten auch für alle Geräte und Plattformen (Privacy by Default).

Fazit

Nicht alle Regelungen sind neu. Besonders Unternehmen, die das BDSG umfassend befolgen, sind viele Vorschriften mit Sicherheit nicht neu. So ändert sich auf den ersten Blick nur Geringfügiges, aber auch diese Kleinigkeiten müssen berücksichtigt werden -allein schon wegen der hohen Geldstrafe, die droht, sollte die Datenschutz-Grundverordnung nicht eingehalten werden. Unternehmen, die Ihre unternehmerische Struktur schon an die Verordnung angepasst haben, haben einen klaren Vorteil. Für alle anderen Unternehmen gilt es in erster Linie herauszufinden, wo personenbezogene Daten erfasst oder verarbeitet werden. Um die Prozesse dann mit dem geforderten Schutz auszustatten, ist eine Dokumentation erforderlich. Erhöhte Dokumentations- und Nachweispflichten werden zwar vorerst mehr Arbeit machen, ihnen steht jedoch der Vorteil gegenüber, dass die überarbeiteten Prozesse danach schneller durchgeführt werden können.

Sind Sie schon auf den 25. Mai 2018 vorbereitet?

Machen Sie den Selbsttest!

Mit plenigo startklar für die DSGVO!

Wir haben uns bereits umfassend mit der neuen EU-Grundverordnung auseinandergesetzt und all unsere Arbeitsschritte und -prozesse erneuert oder angepasst. In dieser Zeit haben wir viel neues Wissen gewonnen, das wir bereit sind, zu teilen. Kontaktieren Sie uns gern, wenn Sie mehr über die DSGVO-Bestimmungen von plenigo wissen möchten. Gern beantwortet Ihnen unser Datenschutz-Team alle Fragen, die Sie im Zusammenhang mit Ihren personenbezogenen Daten bzw. mit denen Ihrer Kunden haben.

Quelle: DSGVO-Gesetz