Recht

10 Fragen zur Daten­schutz­grund­ver­ord­nung (DSGVO)

Michael Jaros

Was ändert sich eigentlich für Ihr Unternehmen ab 25. Mai 2018 mit der Datenschutz-Grundverordnung? Gilt diese überhaupt für Sie? Und ist WhatsApp wirklich ein Problem? Lesen Sie unsere 10 Fragen (und Antworten) zur DSGVO.

Bevor Sie weiterlesen

Der Autor hat die in diesem Artikel bereitgestellten Inhalte nach bestem Wissen verfasst. Dies geschah mit dem Ziel der allgemeinen Information und ist nicht auf Ihren individuellen Fall bezogen. Die Nutzung des Artikels erfolgt auf eigene Gefahr, auch wenn Sie diesen für rechtliche Einschätzungen nutzen. Ziehen Sie in Erwägung, sich wegen Ihres individuellen Anliegens an einen Rechtsanwalt zu wenden.

1. Wozu denn das Ganze?

Die Kernidee des Datenschutzes sagt aus, dass jeder Mensch das Recht haben sollte, selbst über die Verwendung seiner persönlichen Daten zu entscheiden (informationelle Selbstbestimmung). Im weiteren Sinne soll er oder sie auch vor missbräuchlicher Datenverarbeitung geschützt und seine Position etwa gegenüber Unternehmen, die sehr viele oder sensible Daten verarbeiten, gestärkt werden. Letztendlich ist auch der Schutz dieser Daten vor Diebstahl, Manipulation oder Verlust Teil des Datenschutzes. Ziel der DSGVO ist ein einheitliches Recht für die Datenverarbeitung innerhalb der EU.

2. Was regelt die DSGVO?

Die DSGVO (im englischsprachigen Raum auch als GDPR bekannt) regelt den „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ und den „freien Verkehr solcher Daten“ innerhalb der EU. Personenbezogene Daten sind Angaben über eine solche natürliche Person, sofern die Person zuordenbar ist.

Wichtig für Unternehmen ist, dass die DSGVO Rechte für Betroffene (Artikel 15-22) gegenüber dem Verantwortlichen regelt und diesen sowie auch Auftragsverarbeitern zusätzliche Pflichten (Artikel 30ff) auferlegt. Der Verantwortliche ist dabei jenes Unternehmen, das die Verarbeitung beauftragt, der Auftragsverarbeiter ist das Unternehmen, das sie tatsächlich durchführt.

Mit Hilfe technisch-organisatorischer Maßnahmen (oft „TOMs“) können Unternehmen die Wahrung der Betroffenenrechte und Erfüllung ihrer eigenen Pflichten sicherstellen.

3. Ab wann gilt die Verordnung? Und wie lange ist die Übergangsfrist?

Genau genommen ist die Verordnung bereits vor zwei Jahren in Kraft getreten, gibt uns aber Zeit bis 25. Mai 2018, um bestehende Datenverarbeitungen mit ihr in Einklang zu bringen. Zu diesem Zeitpunkt löst sie auch die Richtlinie 95/46/EG ab. Im Gegensatz zu einer Richtlinie gilt die DSGVO unmittelbar ohne nationale Umsetzung, hat im Zweifel Vorrang vor nationalen Gesetzen, wird aber auch durch solche ergänzt.

4. Muss ich da wirklich mitmachen?

Wenn Sie im Rahmen Ihrer unternehmerischen Tätigkeit Daten verarbeiten und dies entweder durch eine Niederlassung in der EU oder mit Betroffenen innerhalb der EU geschieht, lautet die Antwort ja. Selbst systematische, nicht-elektronische Datenverarbeitung fällt unter die DSGVO. Die Verordnung gilt grundsätzlich für Unternehmen jeder Größenordnung. Lediglich für einzelne Bestimmungen wie das Verzeichnis der Verarbeitungstätigkeiten (Artikel 30) gibt es Ausnahmen.

5. Was kann mir da schon passieren?

Die DSGVO enthält im Gegensatz zu früheren Rechtsnormen in diesem Bereich erstmals empfindliche Geldbußen (Artikel 83), die von den jeweiligen Aufsichtsbehörden verhängt werden können. Die Maximalhöhe dieser Geldbußen beträgt 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (es gilt der höhere Betrag). Eine Mindesthöhe gibt es nicht, jedoch sollen die Geldbußen im Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein.

6. Benötige ich einen Datenschutzbeauftragten?

Für Unternehmen ist ein Datenschutzbeauftragter (Artikel 37) nur dann verpflichtend, wenn diese schwerpunktmäßig in bestimmten Geschäftsbereichen tätig sind, die mit Überwachung von Personen oder besonderen Kategorien von Daten (Artikel 9 und 10) zu tun haben.

7. Muss ich eine Datenschutzfolgenabschätzung durchführen?

Eine Datenschutzfolgenabschätzung (Artikel 35) soll verhindern, dass Rechte und Freiheiten natürlicher Personen durch Datenverarbeitungen in hohem Maße gefährdet werden. Diese Maßnahme ist mit erhöhtem Aufwand verbunden und wird in den allermeisten Fällen nicht benötigt werden.

  • Verwenden Sie neue Technologien im Zusammenhang mit personenbezogenen Daten?
  • Verarbeiten Sie sehr viele solcher Daten?
  • Ergibt sich aus Art, Umständen oder Zweck Ihrer Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen?
  • Überwachen Sie öffentlich zugängliche Bereiche systematisch und umfangreich?
  • Verarbeiten Sie „besondere Kategorien von Daten“ (Artikel 9 und 10), wie zB Daten über sexuelle Orientierung oder strafrechtliche Verurteilungen?

Wenn Sie eine dieser Fragen mit „ja“ beantworten, sollten Sie sich anwaltlich beraten lassen. Es könnte dann notwendig sein, eine Datenschutzfolgenabschätzung durchzuführen.

8. Muss ich ein Verzeichnis von Verarbeitungstätigkeiten erstellen?

In den allermeisten Fällen lautet die Antwort selbst für kleinste Unternehmen ja, ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 muss erstellt werden. Falls Sie nur gelegentlich (d.h. nicht regelmäßig) Daten verarbeiten, sollten Sie sich die Ausnahmeregelungen für Unternehmen mit weniger als 250 Mitarbeitern genauer ansehen. Ein solches Verzeichnis zu erstellen ist jedoch in jedem Fall eine gute Idee. Es listet all ihre Datenanwendungen, Rechtsgrundlagen, Zwecke, Fristen und Maßnahmen auf. Das Verzeichnis hilft Ihnen so, sich einen Überblick zu verschaffen, ob und wo in Ihrem Unternehmen Handlungsbedarf hinsichtlich des Datenschutzes besteht.

9. Darf ich weiterhin WhatsApp verwenden?

WhatsApp gleicht regelmäßig das Adressbuch Ihres Geräts mit seinem Zentralsystem ab. Wenn Sie diesen Dienst auf dem gleichen Gerät nutzen, das auch Ihre Geschäftskontakte enthält, übermittelt Ihr Gerät also personenbezogene Daten dieser Betroffenen an ein Unternehmen, das nicht europäischem Datenschutzrecht unterliegt (WhatsApp, Inc. ist auch nicht dem EU/US-Privacy Shield nach dem Safe-Harbor-Abkommen beigetreten). In den meisten Fällen wird weder die Zustimmung noch andere Rechtsgrundlagen für alle Betroffenen vorliegen. Wir empfehlen Ihnen daher, auf geschäftlich (mit-)genutzten Telefonen diesen Dienst nicht zu verwenden.

10. Was bedeutet die DSGVO in D-A-CH?

Die DSGVO beinhaltet über 60 sogenannte Öffnungsklauseln, die es den Nationalstaaten freistellen, bestimmte Bereiche abweichend oder spezifischer zu regeln. Daher gibt es weiterhin nationale Datenschutzgesetze, die den Datenschutz zu einer recht komplexen Materie machen.

In Österreich wurde mit Hilfe des Datenschutz-Anpassungsgesetzes 2018 das DSG 2000 überarbeitet. Unter anderem bedeutet das:

  • Die Datenschutzbehörde (vormals Datenschutzkommission) wird als Aufsichtsbehörde mit umfangreichen Befugnissen bestellt.
  • Vertretung vor der Datenschutzbehörde, zusätzliche Verwaltungsübertretungen, Rechtszug zum Bundesverwaltungsgericht und einige Übergangsbestimmungen werden ebenfalls speziell geregelt.
  • Das Datenverarbeitungsregister (DVR) wird eingestellt und durch die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten abgelöst.

In Deutschland wurde mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30. Juni 2017 das Bundesdatenschutzgesetz neu gefasst („BDSG-neu“). Hervorzuheben sind hier etwa spezielle Regelungen für

  • den Beschäftigtendatenschutz,
  • besondere Kategorien personenbezogener Daten,
  • Videoüberwachung,
  • Big Data,
  • Scoring und
  • automatisierte Einzelentscheidungen.

Auch als Schweizer Unternehmen können Sie von der DSGVO betroffen sein, da diese nach dem Niederlassungsprinzip und dem Marktortprinzip auch extraterritoriale Wirkung entfaltet. In diesem Blog-Artikel von MME finden Sie einen Überblick über Konsequenzen der DSGVO für Schweizer Unternehmen.

Interesse am Suchbegriff DSGVO zwischen November 2016 und November 2017 (Quelle: Google Trends)

Fazit

Der Stichtag der DSGVO (25.5.2018) nähert sich in Riesenschritten. Auch wenn die Freude über zusätzliche unbezahlte Arbeit nicht groß ist: Der europäische Gesetzgeber hat dem Thema Datenschutz einen hohen Stellenwert eingeräumt, sodass wir auf lange Sicht nicht an diesem Thema vorbeikommen.

Wir empfehlen Ihnen, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, damit Sie frühzeitig die Lage Ihres Unternehmens kennen. So lassen sich leicht die allenfalls nötigen weiteren Schritte planen.

Wir planen noch weitere Artikel zum Thema DSGVO und hoffen dass dieser Überblick für Sie interessant war. Schauen Sie wieder vorbei!