Seit 25. Mai 2018 gilt europaweit die Datenschutz-Grundverordnung (kurz: DSGVO, offizieller Titel: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG). Diese europaweite Regelung löst die bis 2018 gültigen Nationalen Gesetze, sowie die europäische Datenschutz-Richtline aus dem Jahr 1995 ab. Leider halten sich nach wie vor zahlreiche Mythen um diese neue Regelung. An dieser Stelle wollen wir Ihnen helfen zu verstehen, was die DSGVO ist, bzw. nicht ist, und was sie für Ihr Unternehmen bedeutet.

Lesezeit: 6 Minuten

Die erste gute Nachricht zur DSGVO: es ist nicht alles neu!

 

Seit 2018 gilt die DSGVO

Wenn Sie Ihre Datenstände schon vor der DSGVO entsprechend der Datenschutz-Richtlinie bzw. der darauf aufbauenden österreichischen Datenschutzgesetze (vor allem das DSG2000) verwaltet haben, sind sie zwar noch nicht automatisch DSGVO-Konform, sie sind allerdings schon eine hervorragende Basis.

Sehr viele Bereiche der DSGVO umfassen nämlich Vorschriften, welche bereits vor dem 25. Mai 2018 Gültigkeit hatten. So galt beispielsweise schon bisher das Prinzip, dass Daten nur dann gespeichert werden dürfen, wenn es dafür eine entsprechende Rechtsgrundlage gibt.

Rechtsgrundlagen für eine rechtskonforme Datenverarbeitung und das speichern von personenbezogenen Daten laut DSGVO

  • Eine Einwilligung der betroffenen Person
    • Die betroffene Person hat bestätigt, dass Sie ihre Daten zu bestimmten Zwecken verarbeiten dürfen (Achtung! Sie müssen einerseits vollständig darüber aufklären, welche Daten der betroffenen Person sie wie verwenden, und an wen diese Daten weitergegeben werden).  Allerdings ist zu beachten, dass eine Einwilligung zur Datenverarbeitung jederzeit widerrufen werden kann.
  • Datenverarbeitung zur Vertragserfüllung
    • Wenn ein Kunde/eine Kundin ein Rechtsgeschäft mit Ihnen abschließt, und Sie Daten zwingend benötigen, um das Geschäft abzuwickeln, ist Ihnen die Verarbeitung natürlich erlaubt. Wenn Sie beispielsweise einen Onlineshop betreiben, werden sie den Namen und die Anschrift ihrer Kunden/Kundinnen benötigen, um die bestellte Ware an die richtige Adresse zu schicken. Hierbei gilt allerdings zu bedenken, dass die Rechtsgrundlage mit Vertragserfüllung erlischt.
  • Erfüllung einer rechtlichen Verpflichtung
    • Sie brauchen ebenfalls keine zusätzliche Rechtsgrundlage, wenn Ihnen der Gesetzgeber die Datenverarbeitung vorschreibt. Beispiele hierfür wären realistische Gewährleistungs-Verpflichtungen. Wenn Sie also ein Produkt mit 2 Jahren gesetzlicher Gewährleistung verkaufen, werden Sie die Verarbeitung gewisser Daten sicher rechtfertigen können. Eine vollständige Datenverarbeitung über 50 und mehr Jahre aufgrund der Möglichkeit eines arglistig verschwiegenen Mangels werden Sie dagegen nicht rechtfertigen können.
  • Schutz von lebenswichtigen Interessen der betroffenen Person oder anderer natürlicher Personen
    • Diese Rechtsgrundlage ist nur in den seltensten Fällen tatsächlich praxisrelevant, weil Sie für diesen Rechtfertigungsgrund bereits im vorhinein wissen müssten dass das Leben und die Gesundheit einer betroffenen Person von Ihrer Datenverarbeitung abhängt. Mögliche Anwendungsbeispiele wären medizinische Notfälle, wo Daten wie die Blutgruppe für eine eventuelle Blut-Transfusion verarbeitet werden müssen.
  • Wahrung von Berechtigten Interessen des Verantwortlichen oder eines Dritten
    • Sollten Sie einen guten Grund für die Verarbeitung gewisser Daten haben, dürfte diese Rechtsgrundlage die beste Möglichkeit sein. Allerdings kommt es hierbei zu einer Interessensabwägung zwischen den Konfliktparteien. Dadurch hängt Ergebnis zu einem gewissen Grad von der entscheidenden Person ab. Ein mögliches Beispiel wäre das Speichern von Kontaktdaten Ihrer Kunden für Kontaktaufnahme im Rahmen einer möglichen Rückrufaktion

Hierbei gilt, dass man sich als Verantwortlicher im Streitfall nur auf eine Rechtsgrundlage stützen kann. Sollten Sie also mit einer Klage konfrontiert sein, müssen Sie sich bereits im Voraus auf eine dieser Rechtsgrundlagen stützen.

Prinzipien der DSGVO

Auch an den Prinzipien, die Sie zur Verarbeitung von Daten anwenden sollten, hat sich nichts entscheidendes geändert. Hauptsächlich wurden die Begriffe im Vergleich zu den alten Regelungen auf einen moderneren Stand gebracht. Ebenso wurde mit Grundlagen wie „Privacy by default“ und „Privacy by design“ bisherige Forderungen an die Datensicherheit präzisiert.

Prinzipien, nach welchen Sie Ihre Daten verarbeiten Sollten:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Neben den oben angeführten Punkten müssen Sie nachweisen, dass Sie die Daten nicht missbräuchlich verwenden, und müssen die Betroffenen jederzeit darüber informieren können, welche Daten sie wie verwenden (inklusive einer allgemeinen Information auf Ihrer Website)

  • Zweckbindung: Sie dürfen Daten jeweils nur für einen klar definierten Zweck verwenden

  • Datenminimierung und Speicherbegrenzung: Es dürfen keine Daten gespeichert werden, die nicht für einen angegebenen Zweck verwendet werden. Daten dürfen auch nur für den angegebenen Zeitraum gespeichert werden.

  • Integrität und Vertraulichkeit: Sie als Verantwortlicher müssen sicherstellen, dass die Daten nach dem Stand der Technik gegen unerlaubte Zugriffe und Veränderungen abgesichert sind.

Und was ist nun neu an der Datenschutzgrundverordnung?

Bei all diesen Dingen, die gleichgeblieben sind, stellt sich die Frage: „Was hat sich nun verändert?“ Hier erfahren Sie einige der wichtigsten Punkte, die Sie beachten müssen.

Datenschutzregister vs. Datenverarbeitungsverzeichnis

Wer bisher von der Datenschutzbehörde veröffentlichte Standardanwendungen verwendet hat, musste nicht viel zusätzlich machen. Verantwortliche, die komplexere oder potenziell gefährlichere Datenanwendungen verwendet haben, mussten diese bei der Datenschutzbehörde melden und sich in das Datenschutzregister eintragen lassen. Diese Praxis wird nun praktisch vollständig durch das Firmen-interne Datenverarbeitungsverzeichnis ersetzt. Dieses Verzeichnis listet alle verwendeten Kategorien von Daten auf. Zusätzlich werden Speicher-Dauer, Rechtsgrundlage, Kategorien von Betroffenen und Weitergabe der Daten dokumentiert.

Unter besonderen Voraussetzungen müssen Sie zusätzlich eine Datenschutz-Folgeabschätzung durchführen. Als Orientierung hierfür dienen die (nicht vollständigen) Black- bzw. Whitelists der Datenschutzbehörde. Diese bieten zwar keine definitive Antwort, aber sie helfen bei der Entscheidung ob eine Folgeabschätzung durchgeführt werden muss.

Rechenschaftspflicht laut DSGVO

Ein in dieser Form (und derart explizit) neuartiges Konzept ist die Rechenschaftspflicht. Als Verantwortlicher müssen Sie jederzeit nachweisen können, dass Sie

  • die Daten verarbeiten durften
  • sorgsam mit den Daten umgegangen sind
  • die Daten nur an Berechtigte weitergegeben haben.

Hierfür müssen Sie mit Auftragsdatenverarbeitern abschließen, in denen diese garantieren, sich an die Vorgaben der DSGVO zu halten. Zusätzlich müssen Sie darauf achten, dass die Daten im Idealfall innerhalb der Europäischen Union bleiben. Zumindest sollten die Daten aber bei Firmen gespeichert werden, die den nötigen Standard erfüllen.

Rechte der Betroffenen sind durch die Datenschutzgrundverordnung geregelt

Die Rechte von Betroffenen haben sich gegenüber dem DSG2000 beziehungsweise der zugrunde liegenden Datenschutz-Richtlinie nicht außergewöhnlich verändert. Der Gesetzgeber hat lediglich präzisiert, wie diese Rechte ausgeübt werden können. Die Betroffenenrechte im Detail:

  • Informationspflicht: Auch bisher waren Sie schon verpflichtet, Betroffene über ihre Datenverarbeitung zu informieren (§ 24 DSG2000). Die DSGVO präzisiert, welche Informationen Sie bereits vorab bereitstellen müssen. Diese umfassen unter anderem: Name und Kontakdaten, Verarbeitungszwecke und Rechtsgrundlagen, und (falls vorhanden) Empfänger der Daten. Es gibt nun auch eine Unterscheidung zwischen Daten, die Sie selbst erhoben haben, und solchen, die Sie zugekauft haben.
  • Auskunftsrecht: Betroffene haben bisher schon das Recht gehabt zu erfahren, welche Daten Sie von ihnen verarbeiten. Die DSGVO beschreibt lediglich genauer (und etwas strenger), wann und wie diese Informationen bereitgestellt werden müssen. So müssen Sie der betroffenen Person Kopien aller Daten zusenden, die Sie von ihr verarbeiten (dies beinhaltet auch E-Mails). Ebenso müssen Sie Verarbeitungszweck, Datenkategorien, Empfänger, Speicherfrist und alle Informationen über die Herkunft der Daten übermitteln. Dafür haben Sie im Normalfall 1 Monat ab der Anfrage Zeit. Sollten außergewöhnliche Umstände eintreten, können Sie diese Frist einmalig auf zwei Monate verlängern, müssen der betroffenen Person dies aber inklusive der Gründe mitteilen.
  • Recht auf Berichtigung: Wie schon im DSG2000, müssen Sie die Daten von Betroffenen korrigieren, sobald eine betroffene Person Sie darauf hinweist.
  • Recht auf Löschung: Auch dieses Betroffenenrecht hat sich nicht nennenswert verändert. Sofern keine überwiegenden Gründe (unter anderem rechtliche Verpflichtungen) dagegen sprechen, müssen Sie die Daten von Betroffenen löschezum aktuellen Zeitpunkt noch nicht gänzlich geklärt ist: Ob sie auch Daten von Backups löschen müssen. Hierbei scheint der Konsens zu herrschen, dass Sie Backups nicht angreifen müssen, sondern lediglich einen Löschvermerk speichern.
  • Recht auf Einschränkung: Unter gewissen Umständen (unter anderem bis zur Klärung, welches Interesse überwiegt), haben Betroffene ein Recht darauf, dass ihre Daten nur eingeschränkt verwendet werden.
  • Recht auf Datenübertragbarkeit: Sie müssen in der Lage sein, Betroffenendaten so zu exportieren, dass diese von anderen Anbietern ohne übermäßigen Aufwand importiert werden können, falls eine betroffene Person dies wünscht.
  • Widerspruchsrecht: Betroffene Personen können jederzeit der Datenverarbeitung widersprechen. Hierbei müssen sie aber beachten, dass sie den Widerspruch begründen müssen.

Die hohen Strafen der DSGVO – Was steckt dahinter?

Die größte Änderung der DSGVO gegenüber den bisherigen Regelungen ist das Strafmaß. Im Gegensatz zum eher milden DSG2000, das Strafen in Höhe von maximal 25.000€ vorgesehen hat, besitzt die DSGVO wesentlich strengere Strafmechanismen. Bereits bei „geringfügigen Delikten beträgt die maximale Strafe 10 Millionen € oder 2% des weltweiten Gesamtumsatzes. Sollten Sie ein schwereres Vergehen begangen haben, verdoppelt sich der Strafrahmen.

Diese Zahlen sind zwar auf den ersten Blick Angst einflößend, bei näherer Betrachtung kann man allerdings sehr viel relativieren. Zum einen haben die Verantwortlichen das Strafmaß mit dem Blick auf Giganten wie Google und Facebook gewählt. Zum Anderen steht bereits zwischen den Zeilen der Verordnung, dass diese nicht das Ziel hat Unternehmen zu ruinieren. Der österreichische Gesetzgeber hat diese Intention mit dem Datenschutz-Deregulierungsgesetz (in den Medien unter „beraten statt strafen“ bekannt) nochmal hervorgehoben.

Dies bedeutet natürlich nicht, dass Sie sich überhaupt keine Gedanken machen müssen. Sollten Sie eine Überprüfung haben und nichts vorweisen können, ist davon auszugehen, dass sie sofort eine Strafe erhalten. Wenn Sie dagegen nachweisen können, dass Sie sich mit der Verordnung auseinandergesetzt haben (der beste Weg hierfür ist ein vollständiges Datenverarbeitungsverzeichnis), aber als Laie ein paar formelle Fehler gemacht haben, wird die Strafe wohl aus einer Ermahnung und einer Aufforderung zur Verbesserung innerhalb eines gewissen Zeitraumes bestehen. Hier können Sie natürlich davon ausgehen, dass vollständigen Laien Fehler eher verziehen werden, als beispielsweise einer Anwaltskanzlei.

Fazit zur DSGVO: Nicht vor Angst Zittern, nicht untätig bleiben

Ja, die DSGVO zieht Änderungen nach sich. Ja, wenn Sie sie konsequent ignorieren, werden Sie mit hoher Wahrscheinlichkeit früher oder später eine massive Strafe zahlen müssen. Aber die Hysterie in gewissen Medien war überzogen, und viele Bestandteile der DSGVO sind bereits seit Jahren vorgeschrieben. Zusätzlich müssen Sie die Umstellung auf die DSGVO nicht alleine bewältigen.

mea IT Services beschäftigt geprüfte Datenschutz-Experten, die ihnen bei der Einführung und Überwachung der DSGVO-Konformität sowie bei der Umsetzung technischer und organisatorischer Maßnahmen gerne behilflich sind. Wir betreuen Unternehmen und unterstützen in der Form eines externen Datenschutzbeauftragten. Kontaktieren Sie uns für mehr Details!