DSGVO: Das müssen Sie bei der Datenschutzgrundverordnung beachten

DSGVO: Das müssen Sie bei der Datenschutzgrundverordnung beachten

Im Mai 2018 trat die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Sie führte zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechts. Die Verordnung ist sehr komplex und immer noch tauchen Fragen in Unternehmen bei der Umsetzung auf. Der folgende Beitrag erläutert, was Sie bei der DSGVO beachten müssen und warum ein Datenschutzbeauftragter im Betrieb unermesslich ist.

Der Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten sind die wichtigsten Ziele der DSGVO (Datenschutz-Grundverordnung). Darüber hinaus gilt die Verordnung für die gänzliche oder teilweise automatisierte Verarbeitung personenbezogener Daten.

    DSGVO: Beispiele für personenbezogene Daten

    Diese Informationen fallen laut Datenschutzgesetz unter personenbezogene Daten:

    • Name
    • Adresse
    • Telefonnummer
    • E-Mail-Adresse
    • Geburtstag
    • Kontoverbindung
    • IP-Adresse
    • Cookies
    • Standortdaten

    Entdecke weitere interessante Artikel zum Thema Gesetze und Verordnungen:

    Verbot der Verarbeitung personenbezogener Daten

    Die DSGVO verbietet die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinung oder religiöse und weltanschauliche Überzeugung hervorgeht. Das Verbot der Verarbeitung besteht auch dann, wenn sich aus den Daten das Sexualleben oder die sexuelle Orientierung der natürlichen Person ergibt.

    Das Verbot ist laut Grundverordnung allerdings dann aufgehoben, wenn die betroffene Person in die Verarbeitung der personenbezogenen Daten für einen oder mehrere Zwecke eingestimmt hat. Darüber hinaus besteht eine Ausnahme des Verbots, wenn die Verarbeitung der Daten zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person geschieht – auch dann, wenn der Betroffene aus körperlichen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben.

    Zudem definiert die Verordnung neun festgelegte Grundsätze der Verarbeitung personenbezogener Daten:

    • Rechtmäßigkeit
    • Treu und Glauben
    • Transparenz
    • Zweckbindung
    • Datenminimierung
    • Richtigkeit
    • Speicherbegrenzung
    • Integrität und Vertraulichkeit
    • Rechenschaftspflicht
    Wichtig: Unternehmen, die mit Hilfe von Newslettern ihre Kunden informieren, benötigen unbedingt deren Zustimmung, dass ihre E-Mail-Adressen genutzt werden. Seit Inkrafttreten der DSGVO haben Firmen ihre Kundenportale überarbeitet und bitten darum, dem Erhalt des Newsletters zuzustimmen.

    Für wen die DSGVO gilt

    An die EU-Datenschutzgrundverordnung (EU-DSGVO) muss sich jedes Unternehmen mit eigener Webpräsenz halten. Das betrifft nicht nur Firmen in Deutschland, sondern alle innerhalb der gesamten Europäischen Union (EU).

    Konkret muss sich jede Firma in der EU an die DSGVO halten, die im Internet aktiv ist. Wenn Nutzer-Tracking betrieben wird oder Firmenprodukte über Newsletter und Werbemails angepriesen werden, sind sie im Netz aktiv. Dies gilt auch für Social-Media-Kanäle, wie Facebook, Twitter oder Instagram. In allen Fällen werden personenbezogene Daten verarbeitet, wozu die Nutzer gemäß DSGVO ihre Zustimmung erteilen müssen.

    Jedes Unternehmen in der EU muss sich an die DSGVO halten © fotogestoeber – Adobe Stock

    Auch für Unternehmen außerhalb der EU

    Die DSGVO gilt auch für Unternehmen außerhalb der EU. Allerdings nur dann, wenn sie in eine Niederlassung in einem EU-Mitgliedsland haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Die personenbezogenen Daten sind mit der DSGVO eng verknüpft. Darüber hinaus gilt die DSGVO für geschäftliche Beziehungen mit Personen innerhalb der EU. Die Verordnung gilt, wenn Waren oder Dienstleistungen in der EU angeboten werden oder das Verhalten von Personen innerhalb der Europäischen Union beobachtet wird.

    Dabei spielt es keine Rolle, ob das anbietende oder das beobachtende Unternehmen einen Sitz oder eine Niederlassung in der EU hat. Zudem müssen die betroffenen Personen keine EU-Bürger sein. Es genügt, dass sie sich in der EU aufhalten. Die Datenschutzgrundverordnung gilt auch dann, wenn die Datenverarbeitung eines nicht in der EU ansässigen Verantwortlichen erfolgt und wenn die Verarbeitung innerhalb der EU erfolgt.

    Auch diese Artikel zum Thema Gesetze und Verordnungen könnten Sie interessieren:

    Automatisierte Datenverarbeitung laut DSGVO

    Die DSGVO umfasst die automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Computer, Smartphones, Kameras, Dash- und Webcams, Scanner und Kopierer erfassen automatisch Daten der Nutzer. Bei diesen Geräten erfolgt die automatisierte Datenerfassung.

    Allerdings sind handschriftliche Aufzeichnungen davon ausgenommen. Doch selbst diese fällt unter den Anwendungsbereich der DSGVO. Werden die Aufzeichnungen beispielsweise in einem Ordner abgelegt, stellt dies bereits ein Dateisystem dar.

    Wichtig: Laut DSGVO werden handschriftliche Daten bzw. Daten auf Papier nicht automatisiert. Die Daten werden nur dann von der Verordnung erfasst, wenn sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

    Laut DSGVO ist ein Dateisystem eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind – unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Beispiele hierfür sind Fragebögen, Karteikarten oder Akten, die alphabetisch nach dem Namen der betroffenen Personen oder nach Vorgangsnummern geordnet sind. Akten, Aktensammlungen und ihre Deckblätter fallen in den Zuständigkeitsbereich der DSGVO.

    DSGVO: Das sind Anforderungen an Unternehmen

    Bis zum Inkrafttreten der endgültigen Fassung der Datenschutz-Grundverordnung DSGVO im Mai 2018 hatten Unternehmen zwei Jahre Zeit, die datenschutzrechtlichen Anforderungen umzusetzen. Demzufolge müssen sie längst alles erledigt haben. Nachfolgend werden die wichtigsten Punkte genannt, die vor allem Unternehmensgründer beachten müssen.

    Lesen Sie Auch
    StVO: Sicher unterwegs auf dem gesamten Firmengelände
    Arbeitsschutz
    StVO: Sicher unterwegs auf dem gesamten Firmengelände

    1. Aufbau eines Verarbeitungsverzeichnis nach DSGVO

    Hierbei handelt es sich um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Im Bundesdatenschutzgesetz (BDSG) gab es bereits vor Inkrafttreten der DSGVO das Verfahrensverzeichnis.Die Pflicht für das Führen des Verarbeitungsverzeichnis gilt sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter. Gemäß Art.30 Abs. 5 DSGVO ergeben sich allerdings Ausnahmen für die Erstellung des Verfahrensverzeichnisses.

    Wenn ein Unternehmen weniger als 250 Beschäftigte hat, muss das Verarbeitungsverzeichnis nicht geführt werden. Diese Ausnahme ist allerdings dann wieder aufgehoben, wenn die Verarbeitung der Daten ein Risiko für die Rechte und Freiheiten der Mitarbeiter birgt. Darüber hinaus sind Unternehmen mit einer Beschäftigtenzahl unter 250 zur Führung eines Verarbeitungsverzeichnisses auch dann verpflichtet, wenn die Datenverarbeitung strafrechtlich relevante Daten oder besonders sensible Datenkategorien betrifft.

    Die DSGVO sieht vor, dass ein Verarbeitungsverzeichnis geführt wird © penguiiin – Adobe Stock

    2. Einführung eines Datenschutz-Managementsystems

    Nach der neuen DSGVO müssen Unternehmen ein Datenschutz-Managementsystem einführen. Datenschutzrechtliche Vorgaben müssen folglich nicht nur eingehalten, sondern auch nachgewiesen werden. Darüber hinaus müssen Unternehmen „geeignete technische und organisatorische Maßnahmen“ einsetzen, um die Datensicherheit für die Beschäftigten zu garantieren.

    Dokumentationen müssen unter anderem aus folgenden Bereichen angelegt und gepflegt werden:

    • Datenschutzorganisation sowie Verantwortlichkeit für Datenverarbeitungen
    • Einbindung eines Datenschutzbeauftragten ins Unternehmen, der sich um die datenschutzrechtlichen Belange der Beschäftigten kümmert
    • Aufbau eines Verzeichnisses von Verarbeitungstätigkeiten
    • Datenschutz-Folgeabschätzung
    • für die Datenschutzschulung und Verpflichtung auf das Datengeheimnis
    • bei Meldung bei Datenverstöße
    • zum Nachweis der Datensicherheit. Dieser Punkt bezieht sich auf die Umsetzung von technischen und organisatorischen Maßnahmen)

    Wenn Unternehmen ein Datenschutz-Management-System in die Betriebsstruktur integrieren, entbindet sie dies bei Datenschutzverstößen nicht zwingend vom Vorwurf der Fahrlässigkeit. Dennoch müssen sie mit einem Bußgeldbescheid rechnen.

    Lesen Sie Auch
    ASR: Sicherheit und Gesundheitsschutz nach den Technischen Regeln für Arbeitsstätten
    Arbeitsschutz
    ASR: Sicherheit und Gesundheitsschutz nach den Technischen Regeln für Arbeitsstätten

    3. Zulässigkeit der Datenverarbeitung prüfen

    Junge Unternehmen, die an den Markt gehen und Mitarbeiter haben, müssen unbedingt im Vorfeld prüfen, ob die Erlaubnis zur Verarbeitung und Nutzung personenbezogener Daten vorliegt. Rechtsgrundlagen und Einwilligungen der Beschäftigten müssen deshalb genau angeschaut werden.

    Aus der DSGVO ergeben sich die Bedingungen, unter denen eine Einwilligung rechtskonform ist:

    • Die betreffenden Personen müssen frei entscheiden können.
    • Beschäftigte müssen ausführlich darüber informiert werden, was mit ihren Daten geschieht.
    • Die Einwilligungserklärung muss in Schriftform erfolgen.
    • Sie müssen die Möglichkeit zum Widerruf der Einwilligungserklärung haben.
    Wichtig: Bei Minderjährigen unter 16 Jahren muss die Einwilligung zur Datenverarbeitung von den Eltern kommen. Nur dann ist sie gültig.

    4. Informationspflichten des Unternehmens gemäß DSGVO

    Die DSGVO schreibt eine Vielzahl von Informationspflichten für Unternehmen gegenüber ihren Beschäftigten vor.

    Unter anderem gehören zu diesen Pflichten laut Grundverordnung:

    • Identität des Verantwortlichen
    • Kontaktdaten des Datenschutzbeauftragten
    • Verarbeitungszwecke und Rechtsgrundlagen
    • Interesse des Unternehmens
    • Empfänger
    • Dauer der Speicherung
    • Beschwerderecht bei der Aufsichtsbehörde

    Die Rolle des Datenschutzbeauftragten in der DSGVO

    Im Rahmen der Umsetzung ist der Datenschutzbeauftrage im Unternehmen unermesslich – und das sowohl für junge Betriebe als auch in Firmen, die bereits lange aktiv sind. In der Regel ist der Datenschutzbeauftragte ein Beschäftigter, der vom Unternehmen bestellt wird. Er ist eine natürliche Person.

    Nach den Vorschriften der DSGVO ist der Datenschutzbeauftragte dazu verpflichtet, das Unternehmen über datenschutzrechtliche Pflichten aufzuklären. Darüber hinaus ist er der erste Ansprechpartner für die Beschäftigten sowie für Behörden und führt das Verarbeitungsverzeichnis. Zudem unterstützt der Datenschutzbeauftragte das Unternehmen bei der Durchführung der Datenschutz-Folgeabschätzung.

    Wichtig: Auch Betriebe mit weniger als 20 Mitarbeitern müssen einen Datenschutzbeauftragten bestellen, der gleichzeitig in der DSGVO benannt werden muss. Es besteht auch die Möglichkeit, dass Betriebe einen externen Datenschutzbeauftragten bestellen, falls die Kompetenzen und die zeitlichen Ressourcen in der Belegschaft nicht vorhanden sein sollten. Ansonsten müssen Betriebe mit Abmahnungen und Bußgeldbescheiden rechnen

    Entdecke weitere interessante Artikel zum Thema Gesetze und Verordnungen:

    Autor: Redaktion Safety Xperts