EU Datenschutz Grundverordnung 2018 – Mittelständische Unternehmen betroffen?

In weniger als 9 Monaten – am 25. Mai 2018 – tritt die neue EU-Datenschutz-Grundverordnung (EU DSGVO) auch in Deutschland in Kraft. Nicht viel Zeit für Unternehmen oder Privatpersonen, ihre Prozesse auf den aktuellen Stand zu bringen – eine Übergangsfrist ist nämlich nicht geplant! Unternehmen, die digitale Daten verarbeiten oder verarbeiten lassen, müssen bis dahin alle Änderungen vorgenommen und ihre Prozesse angepasst haben. Ist dies nicht der Fall, können empfindliche Strafen drohen.
Aber was genau ist eigentlich in der EU DSGVO 2018 enthalten? Was ist neu? Welche Änderungen sind notwendig? Inwiefern betrifft die neue Verordnung Ihre Website/ Ihren Webshop? Können Anpassungen selber durchführt oder müssen Experten beauftragt werden? Fragen über Fragen, die wir Ihnen gerne jetzt beantworten.

Ziel der EU DSGVO 2018

• Einheitliches Datenschutzgesetz innerhalb der EU
• Verschärfungen im Bereich der Verarbeitung personenbezogener Daten
• Rechte und Kontrollmöglichkeiten von Nutzern sollen verbessert werden

Was ändert sich für Unternehmen?

Technische und organisatorische Maßnahmen für Datenschutz

Für Unternehmen fallen besonders die Anforderungen bei der Erfassung personenbezogener Daten ins Gewicht. Mit der neuen EU Datenschutz Grundverordnung 2018 hat der Nutzer das Recht, einen leichteren Zugang zu seinen Daten zu erhalten und sich über deren Nutzung zu informieren. Das heißt Nutzer dürfen erfahren, welche Daten warum erfasst wurden.
Das „Recht auf Vergessenwerden“, bisher nur gerichtlich konstituiert, soll jetzt auch gesetzlich festgelegt werden. Nutzer haben somit Anspruch auf die komplette Löschung personenbezogener Daten.
Für Unternehmen heißt das, sie müssen sich überlegen, wie sie Informationsanfragen zu gespeicherten Daten oder Anträge auf Löschung kommunikationstechnisch managen.

Dokumentation über den Erwerb der Daten

Daten, die bisher erhoben wurden und zu denen kein genauer Nachweis vorhanden ist, wie sie erhoben wurden, könnten Ihr Unternehmen bald in Teufels Küche bringen. Die Einhaltung des Datenschutzgesetztes kann ohne diese Dokumentation nämlich rechtlich nicht einwandfrei bewiesen werden. Was also tun? Eine recht schmerzhafteste Variante wäre, diese „unsicheren“ Daten zu löschen. Andererseits können Sie die Kunden aber auch erneut um Zustimmung bitten und dies dann genau dokumentieren.
Insgesamt ergibt sich für Unternehmen die Notwendigkeit, Dokumentationsprozesse zu entwickeln, die nachweisen, dass Daten im Einklang mit dem Gesetz erhoben wurden.
Zudem tritt das geplante Koppelungsverbot in Kraft: Ein Websitebetreiber darf vom Nutzer keine Daten verlangen, die zu Erfüllung des jeweiligen Zwecks (z.B. Beantragung eines Newsletters) nicht notwendig sind. Im Falle des Newsletters darf also nicht nach Postadresse oder Geburtsdatum gefragt werden. Dies wäre schließlich für den Zweck des Newsletterversands nicht notwendig. Solche Angaben dürfen keine Pflichtfelder mehr sein, sondern allenfalls freiwillig vom Nutzer verlangt werden.

„Verzeichnis der Verarbeitungstätigkeiten“ erstellen

Was genau heißt das nun wieder? Damit ist gemeint, dass Unternehmen dokumentieren und eine Übersicht darüber liefern müssen, wie personenbezogene Daten verarbeitet werden. In einigen Fällen bzw. wenn bestimmte Voraussetzungen erfüllt sind, können Unternehmen mit weniger als 250 Arbeitnehmern von dieser Pflicht entlastet werden (Art. 30 Abs. 5 DSGVO). Wer sich an dieser Stelle für die genauen Änderungen interessiert, sollte sich mit dem kompletten Verordnungstext als PDF vertraut machen und sich bei Fragen an einen Rechtsexperten werden.
Zusammenfassend lässt sich sagen, dass Unternehmen alle mühsam angelegten Datenprofile auf deren Konformität mit den gesetzlichen Bestimmungen überprüfen und daraus die entsprechenden Konsequenzen ziehen müssen.

Betrieblicher Datenschutzbeauftragte bleibt

Unternehmen, deren Kerntätigkeit Vorgänge umfasst, die eine datenschutzrechtliche Überwachung erforderlich machen und Unternehmen, die besonders sensible Daten verarbeiten, müssen weiterhin einen Datenschutzbeauftragten benennen (Genauere Ausführung der Vorraussetzung in Art. 37 Abs. 1 DSGVO). Dies wird mit § 38 DSAnpUG-EU erweitert, sodass jetzt auch Unternehmen, in denen zum Beispiel mindestens zehn Personen hauptsächlich mit der Datenverarbeitung beauftragt sind, einen Datenschutzbeauftragten stellen müssen.

Welche Folgen hat eine Missachtung der DSGVO?

Gibt es 2018 wieder eine Abmahnwelle? Genaueres kann man natürlich erst 2018, wenn die Verordnung tatsächlich in Kraft getreten ist, beantworten. Theoretisch gesehen ist ein Verstoß gegen das Datenschutzgesetz jedoch als Wettbewerbsverstoß zu bewerten und die Abmahner sitzen sicherlich schon in den Startlöchern.

Was jedoch sicher ist: Datenschutzbeauftragte in den jeweiligen Bundesländern werden mehr Möglichkeiten haben, die Verstöße zu bestrafen. Bei besonders gravierenden Datenschutzvergehen soll das bisher höchste Bußgeld von 3000.000 Euro deutlich überschritten werden. Dies betrifft jedoch eher große Unternehmen denn Strafgelder sollen mit dem Jahresumsatz gekoppelt sein. Sie können sich auf bis zu 4 % des Jahresumsatzes eines Unternehmen belaufen. Neu ist auch die Vorgabe zur Melde- und Informationspflicht bei Datenpannen: Innerhalb von 72 Stunden nach Bekanntwerden müssen diese nämlich bei den jeweiligen Datenschutzbeauftragten in den einzelnen Bundesländern gemeldet und bestimmte Angaben zum Vorfall gemacht werden.

Was bedeutet das für mittelständische Unternehmen?

Für viele kleine und mittelständische Unternehmen bringt die neue Verordnung zusätzliche Dokumentationen mit sich. Um den neuen Pflichten nachzukommen, bedarf es automatisierter Protokollierungs-Software und Prüfungsprogrammen. Auch in Schulungen, Beratungen und Weiterbildungen für den internen Datenschutzbeauftragten muss investiert werden. Eine gute Alternative könnte hier der externe Datenschutzbeauftragte sein. Damit können Sie die Verantwortung nach außen abgeben. Unsere Empfehlung: Kümmern Sie sich möglichst frühzeitig um die Umsetzung der Verordnung und lassen Sie sich rechtlich durch einen Rechtsanwalt und Datenschutzbeauftragten beraten. Dabei ist natürlich zu beachten, dass kleine und mittelständische Unternehmen einen Datenschutzbeauftragten bestimmen müssen, wenn die Datenverarbeitung zu ihren Haupttätigkeiten gehört. Ob sie trotzdem jemanden mit Rechtsfragen zur Datenverarbeitung beauftragen, bleibt Ihnen freigestellt.
Ein Tipp für alle Mittelständler und kleinere Unternehmen: Nutzen Sie die Zeit bis zum 25. Mai 2018 und überprüfen Sie die Art und Weise der Datenerhebung in Ihrem Unternehmen sowie die Verarbeitung und Nutzung personenbezoger Daten. Das Datenmanagement sollte transparent und nachvollziehbar sein.

Def. Personenbezogene Daten

Personenbezogene Daten umfassen alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Quelle: § 3 Abs. 1 Bundesdatenschutzgesetz BDSG). Informationen von denen aus man also irgendwie auf eine Person schließen kann oder die man irgendwie in Zusammenhang mit einer Person bringen kann, sind im Zweifelsfall als personenbezogen zu bezeichnen. Dazu gehören zum Beispiel auch Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstag, Familienstand, Kontonummer, Kundennummer, Kfz-Kennzeichen, Zeugnisse, usw. Angaben über juristische Personen (rechtsfähige Vereine, Kapitalgesellschaften, usw.) sind also nicht personenbezogen. Vorsichtig muss man jedoch sein, sobald Infos, die sich auf einzelne Personen dahinter beziehen, generiert werden.

Macht diese Verordnung überhaut Sinn?

Zu diesem Thema gibt es einige interessante Links, die wir Ihnen an dieser Stelle nicht vorenthalten wollen:

• Befürworter der neuen Verordnung
• Kritik an der neuen Verordnung
• Diese Vorschläge gefährden das Datenschutzniveau

Bei Fragen wenden Sie sich gerne an uns.