EU-Datenschutz-Grundverordnung: Was kommt auf Sie zu?
Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese EU-Verordnung soll das Datenschutzrecht europaweit einheitlich regeln. Sie trat bereits am 25. Mai 2016 in Kraft, muss jedoch erst ab diesem Jahr angewandt werden.
Wichtige Informationen zur EU-DSGVO:
- Wen betrifft die EU-DSGVO?
Die EU-Datenschutz-Grundverordnung ist eine Verordnung, die jedes im Internet aktive Unternehmen betrifft. Sie betrifft auch Personen mit Sitz außerhalb der EU, sofern diese Daten von Personen aus der EU verarbeitet. Auch Unternehmen die eine Niederlassung in der EU haben, müssen sich danach richten. Das bedeutet also, dass sich zum Beispiel auch soziale Netzwerke aus den USA an diese Verordnung halten müssen. - Was passiert mit dem BDSG und TMG?
Die DSGVO wird in Teilen das bisherige BDSG ersetzen, dieses wird entsprechend noch angepasst. Außerdem werden bisher wichtige Regelungen des Telemediengesetzes (TMG) zum Teil verdrängt, da die DSGVO aber nicht speziell für Telemedien konzipiert ist, wird es zukünftig noch die e-privacy-Verordnung geben. - Welche Datenschutzbehörde ist für Sie zuständig?
Die zuständige Datenschutzbehörde ist diejenige, in der Ihr Unternehmen seinen Hauptsitz hat. - Mit welchen Strafen ist zu rechnen?
Ein Verstoß gegen die EU-DSGVO kann mit erheblichen Bußgeldern geahndet werden. Es sind Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vorgesehen. So soll sichergestellt werden, dass auch globale Unternehmen sich an die neue Verordnung halten. Wichtig: Nehmen Sie Anfragen und Beschwerden von Nutzern und Datenschutzbehörden ernst, um Abmahnungen zu vermeiden.
Was ist neu?
- Verbot mit Erlaubnisvorbehalt: Sofern Sie keine Erlaubnis haben, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten. Sie benötigen also die Einwilligung der betroffenen Person oder die Erlaubnis entsteht durch Gesetze wie dem BDSG, TMG oder der EU-DSGVO.
- Zweckbindung: Sie dürfen Daten, die Sie verarbeiten, nur für den Zweck nutzen, für den Sie diese Daten erhoben haben.
- Datensparsamkeit: Nur Daten, die Sie tatsächlich benötigen, dürfen Sie erheben und verarbeiten.
- Datenrichtigkeit: Die erhobenen und verarbeiteten Daten müssen sowohl inhaltlich als auch sachlich korrekt und aktuell sein.
- Datensicherheit: Sie sind dazu verpflichtet, ein, dem Risiko angemessenes, Schutzniveau für Ihre erhobenen Daten zu gewährleisten. Dies richtet sich nach der Schutzbedürftigkeit der personenbezogenen Daten, dem Stand der Technik, den notwendigen Implementierungskosten u.ä.
- Recht auf Löschung: Nutzer müssen die Möglichkeit haben von jeder Stelle, die personenbezogene Daten verarbeitet, eine Löschung oder Sperrung der Daten zu verlangen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Mögliche Gründe dafür sind, dass der Betroffene die Einwilligung widerrufen hat oder die Datenverarbeitung unrechtmäßig war.
- Recht auf Datenportabilität: Nutzern muss die Möglichkeit eingeräumt werden ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen/einen anderen Anbieter weiterzugeben (z. B. Wechsel der Bank).
- Rechenschaftspflicht: Richten Sie ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen, da Datenverantwortliche bei Aufforderung die Einhaltung aller Datenschutzprinzipien nachweisen können müssen.
- Einwilligung: Die Einwilligungen können mündlich, schriftlich oder elektronisch erfolgen. Ein Opt-In ist erforderlich, da vorangekreuzte Einwilligungen nicht wirksam sind. Die Einwilligung muss freiwillig und immer zweckgebunden sein. Die Verarbeitungszwecke sollten also immer mit aufgeführt werden. Darüber hinaus müssen alle Einwilligungen dokumentiert und somit nachweisbar sein und jederzeit mit Wirkung für die Zukunft widerrufbar sein. Der Widerruf sollte dabei aber genauso einfach wie die Erteilung der Einwilligung sein. Alte Einwilligungen haben aber weiterhin Bestand, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wichtig: Einwilligungen von Minderjährigen unter 16 Jahren sind nur wirksam, wenn die Eltern einverstanden sind.
Anpassung der Datenschutzerklärung
Nahezu alle Webseitenbetreiber müssen ihre Datenschutzerklärung an die EU-DSGVO anpassen. Die Datenschutzerklärung muss präzise, transparent, verständlich, leicht zugänglich und in klarer und einfacher Sprache verfasst sein. Außerdem muss sie die Rechtsgrundlage für die Datenverarbeitung nennen. Darüber hinaus gibt es ein klares Kopplungsverbot: Einwilligungen dürfen nicht an den Download von z. B. Whitepaper oder Checklisten geknüpft werden.
Auftragsdatenverarbeitung
Die Auftragsdatenverarbeitung (ADV) unterliegt im Zuge der DSGVO einheitlichen Anforderungen für die EU. Laut der DSVGO ist nun nicht mehr nur der Auftraggeber für die Einhaltung der Datenschutzvorgaben verantwortlich, sondern auch der Auftragnehmer. Auftragsdatenverarbeiter müssen nun unter anderem mit der Aufsichtsbehörde zusammenarbeiten und Maßnahmen zur Datensicherheit umsetzen. Darüber hinaus genügt nun auch ein elektronischer Vertrag zur ADV. Sie sollten entsprechend Ihre Verträge prüfen und ggf. anpassen.
Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist für die Überwachung der Einhaltung von Datenschutzvorgaben zuständig und für das Verarbeitungsverzeichnis. Er fungiert als Ansprechpartner bei Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten für die Kunden und Datenschutzbehörden. Die Bestellung eines Datenschutzbeauftragten ist zum Beispiel Pflicht, wenn sich in Ihrem Unternehmen mehr als 9 Personen mit der Verarbeitung personenbezogener Daten befassen.
Disclaimer: Dies ist nur ein kurzer Umriss der Pflichten und Änderungen, welche die neue EU-DSGVO mit sich bringt. Ausführliche Informationen zur Datenschutz-Grundverordnung finden Sie unter dsgvo-gesetz.de. Wir machen Sie darauf aufmerksam, dass dieser Beitrag lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung darstellt oder ersetzt. Alle angegebenen Informationen verstehen sich ohne Gewähr auf Richtigkeit und Vollständigkeit. Wir empfehlen Ihnen deshalb sich von Ihrem Rechtsanwalt ausführlich zum Thema EU-DSGVO beraten zu lassen.