Kalendereintrag 25.05 für das Inkrafttreten der neuen Datenschutzverordnung

6 Fragen und Antworten zur Datenschutzgrundverordnung (DSGVO)

Der Schutz von sensiblen Daten ist im Unternehmensalltag unerlässlich. Täglich wird dort mit vertraulichen und personenbezogenen Daten sowohl in digitaler als auch in gedruckter Form gearbeitet. Um das Datenschutzrecht zu modernisieren und europaweit zu vereinheitlichen, wurde die Datenschutzgrundverordnung (DSGVO) geschaffen, die am 25. Mai 2018 in Kraft tritt. Viele Regelungen des bisher geltenden deutschen Bundesdatenschutzgesetzes werden erweitert und verschärft. Verstöße gegen den Datenschutz können dann deutlich teurer werden als bisher. Welche Änderungen das neue Datenschutzgesetz mit sich bringt, haben wir in 6 Fragen und Antworten zusammengefasst.

1. Wann tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft?

Am 25. Mai 2018 endet die Übergangszeit der neuen europäischen Datenschutzgrundverordnung. Das bedeutet für Kleinunternehmer, Unternehmen, Behörden und Vereine, dass die Vorschriften der neuen Verordnung in Kraft treten und umgesetzt sein müssen. Im April 2016 wurde die Verordnung mit dem offiziellen Namen „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ vom EU-Ministerrat und dem Europäischen Parlament beschlossen, um den Datenschutz in Europa zu vereinheitlichen und an das Internetzeitalter anzupassen.

Die Verordnung soll dafür sorgen, dass der Datenschutz von personenbezogenen Daten gewährleistet und einheitlich in Europa geregelt wird. Die neuen Vorgaben sind nicht völlig neu. Sie bauen auf bisherige Richtlinien und nationale Gesetze der jeweiligen Länder zum Datenschutz auf. In Deutschland galt vor der DSGVO beispielsweise das deutsche Bundesdatenschutzgesetz.

2. Was ändert sich am Datenschutz?

Vor allem in der Transparenz- und Informationspflicht gibt es Neuerungen. Unternehmen, die personenbezogene Daten verarbeiten, stehen in der Pflicht, Auskunft darüber geben zu können, was mit Daten passiert und wieso diese genutzt werden. Zu den personenbezogenen Daten zählt beispielsweise der Name, die Adresse sowie Bank- und Gesundheitsdaten. Die Nutzung von Daten ist nur dann erlaubt, wenn sie unmittelbar benötigt werden. Beispielsweise für den Versand von Newslettern, bei denen die Eingabe einer E-Mail-Adresse erforderlich ist. Zur Vernichtung von Datenträgern mit Aktenvernichtern gibt die DSGVO keine Hinweise. Hier greift allerdings die DIN 66399, welche die sichere Vernichtung von Daten mithilfe von Aktenvernichtern festlegt. 

Weitere Beispiele für Änderungen bezüglich des Datenschutzes sind:

  • Kontaktformulare oder Webformulare, bei denen persönliche Daten eingegeben werden, müssen verschlüsselt werden
  • Es dürfen nur Daten angefordert werden, die unmittelbar benötigt werden - Bei Newslettern ist die Zustimmung des Adressaten notwendig
  • Wenn Daten an Unbefugte gelangen, besteht eine frühzeitige Meldepflicht bei der zuständigen Datenschutzbehörde und eine Informationspflicht bei Betroffenen
  • Die Nutzung der Daten muss in einem Verarbeitungsverzeichnis angelegt werden, um Nachweise über die Aktivitäten vorlegen zu können
  • Betroffene können sich darüber informieren, welche persönlichen Daten zu welchem Zweck gesammelt werden und diese auf Wunsch löschen bzw. entfernen lassen
Laptop mit Ansicht von Daten

3. Wer ist alles von der Datenschutzgrundverordnung betroffen? 

Datenverantwortliche und Datenverarbeiter sind von der Datenschutzgrundverordnung betroffen. Wer mit Daten arbeitet, muss begründen können, wofür und warum persönliche Daten genutzt werden. Wenn die Daten in Zusammenarbeit mit Daten verarbeitenden Unternehmen genutzt werden, müssen diese auch die DSGVO umsetzen. Dies ist beispielsweise der Fall, wenn Daten zur Auswertung der Onlineaktivitäten von Usern gesammelt werden und diese von einem Daten verarbeiteten Unternehmen (z.B. Analysetools, Newsletteranbieter) bereitgestellt werden.

4. Sieht die Datenschutzgrundverordnung einen Datenschutzbeauftragten für Unternehmen vor? 

Fast alle Unternehmen, die personenbezogene Daten automatisiert verarbeiten, benötigen laut Artikel 37 der DSGVO einen Datenschutzbeauftragten. Zu den personenbezogenen Daten zählen beispielsweise Namen, E-Mail-Adressen, Kontodaten und Standorte von Kunden. Lediglich Unternehmen, bei denen weniger als 10 Mitarbeiter mit personenbezogenen Daten arbeiten, benötigen keinen Datenschutzbeauftragten. Ab dem 25. Mai müssen außerdem die Kontaktdaten des Datenschutzbeauftragten sowohl für die Mitarbeiter beispielsweise im Intranet zur Verfügung gestellt werden als auch auf der Webseite des Unternehmens, wenn Kundendaten verarbeitet werden. Zudem muss die zuständige Landesdatenschutzbehörde, die sich bei Datenschutzverstößen einschaltet, die Kontaktdaten übermittelt bekommen.

Papierdaten müssen sicher aufbewahrt werden.

5. Werden Prozesse zum Datenschutz benötigt?

Neben dem Einsatz eines Datenschutzbeauftragten sollten auch Prozesse und die Technik überprüft werden. Viele Onlinetools bieten inzwischen aktualisierte Nutzungsbedingungen sowie Verträge zur Auftragsdatenverarbeitung an, die zwischen Datenverantwortlichen und Datenverarbeitern abgeschlossen werden sollten. Es ist empfehlenswert, dass Unternehmen zusammen mit dem Datenschutzbeauftragten Verantwortlichkeiten, Prozesse und Strategien anpassen und optimieren, um den Datenschutz zu gewährleisten. So sollte beispielsweise geregelt werden, wann Daten gelöscht werden müssen oder wie der sichere Umgang mit Papierdokumenten aussieht. 

6. Was ist ein Verarbeitungsverzeichnis?

Wer mit Daten arbeitet, muss zukünftig ein Verarbeitungsverzeichnis nach Artikel 30 der Datenschutzgrundverordnung anlegen. Welche Punkte im Verarbeitungsverzeichnis aufgenommen werden müssen, könnt ihr in der Datenschutzgrundverordnung nachlesen. Im Wesentlichen gehören folgende Angaben in das Verzeichnis:

  • Angaben zum Namen, den Kontaktdaten des Verantwortlichen sowie wenn vorhanden die Daten einer Vertretung und des Datenschutzbeauftragten
  • Angaben zum Zweck der Datennutzung
  • Angaben zu Kategorien betroffener Personen
  • Angaben zu Kategorien personenbezogener Daten
  • Angaben zu Kategorien von Empfängern der Daten
  • Angaben zur Übermittlung von personenbezogenen Daten in Drittländer
  • Fristen für die Löschung der Datenkategorien

Datenschutz ist immer wichtig 

Die Neuerungen durch die Datenschutzgrundverordnung zeigen, dass Unternehmen den Datenschutz ernst nehmen sollten und am besten einen Datenschutzbeauftragten zu Hilfe nehmen. Datenschutz bezieht sich hierbei nicht nur auf elektronische Daten sondern auch auf Daten, die auf Datenträgern wie Papier oder CDs enthalten sind. Welche Aspekte beim Datenschutz im Unternehmen noch zu beachten sind und wie wichtig der richtige Aktenvernichter zur sicheren Vernichtung von Datenträgern ist, haben wir im Artikel Datenschutz hat immer höchste Priorität zusammengefasst.

 

*Dieser Artikel stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit.