Europäische Datenschutzgrundverordnung (EU-DSGVO)

Europäische Datenschutzgrundverordnung

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Damit werden europaweit einheitlich die Bedingungen für die Verarbeitung personenbezogener Daten geregelt. Das bedeutet einige Neuerungen und damit auch viele Fragen. Was kommt jetzt auf Unternehmen zu? Die wichtigsten Grundsätze und Neuerungen und eine Checkliste finden Sie in diesem Blogbeitrag zur DSGVO 2018.

Vorab: Die EU-Datenschutz-Grundverordnung gilt nur für Unternehmen, die auch personenbezogene Daten (pDaten) verarbeiten. Hierunter fallen (auch) vorgelagertes Erheben und nachgelagertes Speichern. Sie gilt auch für Nicht-EU-Firmen, die innerhalb der Europäischen Union Daten verarbeiten.


Wichtige Grundsätze der DSGVO

Nach wie vor ist eine Einwilligung für die Erhebung, Verarbeitung und Nutzung von pDaten nötig. Diese Einwilligung muss an einen bestimmten Zweck gebunden sein (zum Beispiel Newsletter-Versand), muss widerrufen werden können und ausdrücklich vom Betroffenen erteilt worden sein. Die gegebene Einwilligung sollte dokumentiert werden.

Wichtig: Bereits erteilte Einwilligungen müssen nicht neu eingeholt werden, wenn diese rechtswirksam erteilt worden sind.

Weiterhin gelten auch die gesetzlich erlaubten Datenverarbeitungen ohne Einwilligung, wenn diese zur Erfüllung von Verträgen notwendig sind oder im berechtigten Interesse des Datenerhebenden liegen, was häufig im geschäftlichen Kontext der Fall ist.

Datensparsamkeit: Es dürfen nur relevante und so viele Daten verarbeitet werden, wie tatsächlich nötig sind.

Datenrichtigkeit: Daten müssen richtig und aktuell gehalten werden.


Wichtige Neuerungen der DSGVO

Eine der wohl meistbeachteten Neuerungen ist der erhöhte Bußgeldrahmen. Verstöße gegen die europäische Datenschutzgrundverordnung werden ab 2018 mit weit höheren Bußgeldern belegt: 20 Mio. oder bis zu 4 % des Jahresumsatzes können schlimmstenfalls anfallen. Der 25. Mai 2018 ist dabei der Stichtag – es gelten keine Karenzzeiten oder ähnliches.

Die Betroffenenrechte wurden in der DSGVO erweitert. So gibt es jetzt ein Recht auf Löschung der Daten bzw. Vergessenwerden. Das Recht auf Übertragbarkeit soll Betroffenen bessere Kontrolle über ihre Daten geben, beispielsweise bei einem Wechsel der Bank oder eines sozialen Netzwerks: Der Anbieter muss die Daten dann in einem gängigen Format an den neuen Anbieter weitergeben.

Die EU-Datenschutzgrundverordnung nimmt mit der Rechenschaftspflicht Unternehmen stärker in die Verantwortung. Ein datenverarbeitendes Unternehmen trägt die volle Verantwortung dafür, dass die EU-DSGVO eingehalten wird, auch wenn Auftragsverarbeiter involviert sind.

Sie müssen die Risiken der Datenverarbeitung abwägen, Verantwortlichkeiten für den Datenschutz im Unternehmen klar zuweisen, angemessene Sicherheitsmaßnahmen installieren und – dies kann mit hohen Bußgeldern geahndet werden – dies alles lückenlos dokumentieren (Nachweispflicht).

Eine Einwilligung gilt nicht als explizit erteilt, wenn diese durch Stillschweigen auf eine Information oder ein vorangekreuztes Opt-Out-Kästchen gegeben wurde.

Privacy by Design und Privacy by Default: Die Datenschutzmaßnahmen müssen bereits bei der konzeptionellen Entwicklung von Produkten und Verfahren berücksichtigt werden (Privacy by Design). Voreinstellungen auf Geräten oder Plattformen müssen als Standard die höchste Datenschutzstufe haben (Privacy by Default).

Maßnahmen und Tipps für Unternehmen

1. Datenschutzbeauftragten benennen

Nicht jedes Unternehmen muss einen Datenschutzbeauftragten benennen. Pflicht ist es für diejenigen Unternehmen, die mehr als 10 ständig mit automatisierter Verarbeitung von pDaten beschäftigte Mitarbeiter haben oder für Unternehmen, deren Kerntätigkeit die Verarbeitung von pDaten ist. Somit sind kleine Online-Händler weiterhin nicht zur Benennung einer/eines Datenschutzbeauftragten verpflichtet.

Tipp: Prüfen Sie, ob die Pflicht auf Ihr Unternehmen zutrifft. Falls ja, benennen Sie einen Datenschutzbeauftragten und weisen Sie Verantwortlichkeiten zu. Die Umsetzung sollte mit einer Arbeitsanweisung sichergestellt und Führungskräfte geschult werden.

2. Datenschutzerklärung aktualisieren

Ab Mai muss die Datenschutzerklärung den Regeln der europäischen Datenschutzgrundverordnung entsprechen. Unter anderem muss in der Datenschutzerklärung der Datenschutzbeauftragte mit Kontaktdaten als Ansprechpartner genannt sein, das Recht auf Widerspruch gegen die Datenverarbeitung sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde müssen explizit erwähnt werden.

Auch auf die Betroffenenrechte wie zum Beispiel das Recht auf Datenübertragbarkeit muss hingewiesen werden. Zudem werden die Informationspflichten deutlich umfangreicher.

Tipp: Die Aktualisierung, besonders die Informationspflichten, sind für Händler und Webseitenbetreiber nur sehr schwer überschaubar. Daher ist fachkundige Hilfe angebracht.

3. Auskunftspflichten einstellen

Betroffene haben das Recht, eine Auskunft einzufordern. Das betrifft die Frage, ob die Daten dieser Person verarbeitet werden. Ist das der Fall, kann die betroffene Person Auskunft über diese Daten und ihre Herkunft, Verarbeitungszwecke, den Empfänger und die Dauer der Speicherung verlangen.

Tipp: Unternehmen müssen darauf vorbereitet sein, diese Auskünfte zu erteilen und sollten zudem genau wissen, was die Rechte des Betroffenen sind, zum Beispiel bezüglich der Fristen. Die Etablierung einer unternehmensinternen Prozesskette für diese Fälle vereinfacht die Bearbeitung solcher Anfragen.

4. Auftragsdatenverarbeitung überprüfen

Besondere Sorgfalt sollten auch jene Unternehmen walten lassen, die eine Auftragsdatenverarbeitung involviert haben. Die Verträge mit diesen Subunternehmern müssen neu überarbeitet und um Klauseln ergänzt werden. Neu ist künftig, dass auch der Auftragnehmer Verantwortung für die Verarbeitung trägt. Das entbindet den Auftraggeber jedoch nicht von seiner Verantwortung!

Tipp: Alle Verträge mit entsprechenden Dienstleistern überprüfen und sorgfältig ergänzen.

5. Webanalyse und Cookies

Ein hoher Prozentsatz von Websites verwendet Tools zur Analyse, zum Tracking und Remarketing. Für diese Tools wird ab Geltung der DSGVO eine Einwilligung der Nutzer nötig sein. Verarbeitete IP-Adressen, beispielsweise im Zuge von Google Analytics, müssen anonymisiert werden. Social Plugins auf Websites bedürfen ebenfalls einer Einwilligung.

Tipp: Für die Einwilligung empfiehlt sich ein Opt-In-Kästchen, das der Nutzer anklickt oder eine generelle Einstellung im Browser. Die Einwilligung muss allerdings eindeutig sein, ein vorangekreuztes Kästchen oder Stillschweigen auf einen Hinweis werden nicht mehr als Einwilligung gewertet.

6. Newsletter-Versand

Für Newsletter ist eine Einwilligung nötig. Diese muss freiwillig sein, darf also nicht von einer Bedingung abhängig gemacht werden. Zum Beispiel darf die Einwilligung nicht von einem Vertragsabschluss abhängig gemacht werden.

Tipp: Kontrollieren Sie den Ablauf der Newsletter-Anmeldung und aktualisieren Sie Ihre Datenschutzerklärung entsprechend. Ein Double-Opt-In-Verfahren ist hier am besten (Bestätigen der Einwilligung über Anklicken eines Link in einer E-Mail).

Weitere Tipps zur Vorbereitung auf die EU-DSGVO

  • Analyse und Bestandsaufnahme aller Datenverarbeitungsaktivitäten und Sicherheitsprozesse
  • Alle Datenprozesse und Verarbeitungsaktivitäten individuell überprüfen und dokumentieren, dabei auch die unternehmensinternen Daten wie Personaldaten berücksichtigen
  • Verzeichnis über die Datenverarbeitungstätigkeiten anlegen und weiterführen (bei Fehlen dieser Verzeichnisse drohen hohe Bußgelder!), Muster: www.bvdw-datenschutz.de
  • Wer besonders sensible pDaten verarbeitet, muss eine Datenschutz-Folgenabschätzung durchführen
  • IT-Sicherheitsmaßnahmen dem aktuellen Stand anpassen
  • Interaktionselemente wie Kontaktformulare und andere Eingabemasken sollten daraufhin angepasst werden, dass nur für die Dienstleistung unabdingliche Daten erhoben werden


Zum Ende des Beitrags noch eine gute Nachricht:
Wer sich bisher schon sehr gut um seine datenschutzrechtlichen Verpflichtungen gekümmert hat, ist im Vorteil. Denn in Deutschland galt schon immer ein hohes Datenschutzniveau, sodass hier weniger Änderungen auf Händler und Webseitenbetreiber zukommen als in anderen EU-Ländern.

Hinweis: Alle Angaben wurden sorgfältig recherchiert. Trotzdem kann aufgrund der Komplexität der Thematik und der individuellen Anforderungen für jedes Unternehmen keine Haftung für die Richtigkeit der gemachten Angaben übernommen werden. Bei juristischen Fragen empfehlen wir Ihnen, einen fachkundigen Rechtsanwalt hinzuzuziehen.