DSGVO: Alle wichtigen Infos auf einen Blick

Update: Die ersten DSGVO-Urteile und Bußgelder

Was ist die DSGVO?

Bringt die DSGVO einheitlichen Datenschutz?

Wo gilt die DSGVO und was zieht sie nach sich?

Welche Bußgelder gibt es?

Verbot mit Erlaubnisvorbehalt

Kopplungsverbot in der DSGVO

Besonderer Schutz von Kindern!

Verzeichnis von Verarbeitungstätigkeiten

Datenschutz-Folgenabschätzung

DSGVO: Informationspflichten

Pflicht zur Auskunft, Berichtigung und Löschung

DSGVO-Checkliste für Eilige

Infografik: Wie setze ich die DSGVO um?

DSGVO-Wissenstest

Video: Expertentipps zur Umsetzung der DSGVO

DSGVO: Wie läuft die Vorbereitung?

Kann ich ein DSGVO-Bußgeld versichern?

Update: DSGVO-Positionspapier der Datenschutzkonferenz

DSGVO – Grundlagen

Zunächst einmal ein Überblick zu den grundlegenden Fragen zur DSGVO: 

Was ist die DSGVO?

Die DSGVO ist die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“, kurz Datenschutzgrundverordnung.

Bisher ist der Datenschutz in Europa durch die EU-Datenschutzrichtlinie geregelt – und die ist aus dem Jahr 1995! Neben ihrem Alter liegt das Problem schon beim Namen: Denn eine Richtlinie regelt lediglich wesentliche Grundlagen, ist aber nicht unmittelbar bindend. Das heißt, seit 1995 „stöpselt“ jeder EU-Mitgliedstaat seine eigenen Datenschutzgesetze zusammen und versucht sie dem technischen Fortschritt anzupassen. Die Folge: Kein einheitlicher europäischer Schutzstandard.

nach oben

Bringt die DSGVO einheitlichen Datenschutz?

Unternehmen, die europaweit tätig sind, müssen sich mit sage und schreibe 28 verschiedenen Datenschutzgesetzen auseinandersetzen! Höchste Zeit also für eine einheitliche Datenschutzverordnung für alle EU-Mitgliedstaaten. Die DSGVO regelt ab 25. Mai 2018 die Verarbeitung personenbezogener Daten für den gesamten privaten und öffentlichen Bereich. Komplett verschwinden wird der Datenschutz-„Flickenteppich“ wohl trotzdem nicht. Denn die DSGVO sieht 68 sogenannte Öffnungsklauseln für nationale Regelungen vor. Das heißt, 68 Optionen für jedes EU-Land, datenschutzrechtliche Fragen individuell zu regeln – beispielsweise im Hinblick auf die Ernennung von Datenschutzbeauftragten. Diesbezüglich bleibt es spannend, wie die einzelnen Länder mit diesen Freiheiten umgehen werden.   

nach oben

Wo gilt die DSGVO und was zieht sie nach sich?

Die wichtigste Änderung liegt in der Bezeichnung. Wie der Name schon sagt ist die DSGVO eine Verordnung. Und Verordnungen sind allgemeingültig. Das heißt, die DSGVO gilt verbindlich und unmittelbar in jedem Mitgliedstaat der EU und hat immer Vorrang gegenüber nationalem Recht. Das bedeutet auch, dass die bisherige Datenschutzrichtlinie ab Mai 2018 aufgehoben wird.

Außerdem wird die DSGVO einige weitere Neuerungen nach sich ziehen. Zum Beispiel die E-Privacy-Verordnung. Sie liegt als Entwurf vor und soll den Umgang mit Daten und Informationen im Rahmen der elektronischen Kommunikation regeln. Außerdem müssen die EU-Länder bis Mai 2018 all das regeln, was die DSGVO den nationalen Gesetzgebern überlässt. In Deutschland wird das im Bundesdatenschutzanpassungsgesetz passieren, das ebenfalls als Gesetzentwurf vorliegt.

nach oben

Welche Bußgelder gibt es?

Bei Missachtung der neuen Datenschutz-Regeln drohen hohe Bußgelder. Laut Bundesdatenschutzgesetz (BDSG) gab es eine Haftungshöchstgrenze von 300.000 Euro. Die entfällt nun: Die DSGVO räumt die Möglichkeit ein, Bußgelder bis 20 Millionen Euro zu verhängen, beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Vorjahresumsatzes.

DSGVO: Regelungen im Überblick

Die DSGVO bringt einige Änderungen und neue Datenschutz-Vorschriften mit sich:

nach oben

Verbot mit Erlaubnisvorbehalt

Wie auch im BDSG (Bundesdatenschutzgesetz) geregelt, dürfen personenbezogene Daten weiterhin nur unter dem sogenannten Erlaubnisvorbehalt verarbeitet werden. Das heißt, nur wenn der Betroffene einwilligt oder gesetzliche Vorschriften es erlauben. Letzteres ist beispielsweise der Fall, wenn Verträge abgewickelt werden oder im Rahmen eines Arbeitsverhältnisses Daten gespeichert werden müssen.

In Artikel 6 DSGVO heißt es konkret:

1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Verbot mit Erlaubnisvorbehalt: So muss die Einwilligung aussehen

Für die Einwilligung des Betroffenen gibt es laut Artikel 7 DSGVO diese Bedingungen:

1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Das bedeutet, dass es indirekt ein Formerfordernis gibt. Eine bestimmte Form für die Einwilligung wird zwar nicht vorgegeben, aber wenn ein Unternehmen nachweisen muss, dass ein Kunde die Einwilligung in die Datenschutzerklärung erteilt hat, dann braucht es irgendetwas, das dies dokumentiert. Diese Regelung geht mit der deutschen Gesetzgebung konform, die zur rechtssicheren Einwilligung, beispielsweise beim Newsletter-Versand, das sogenannte Double-Opt-In-Verfahren verlangt.

Weiter heißt es in den Bedingungen:

2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

Kurz gesagt: Der Betroffene muss klar erkennen können, dass er gerade in die Nutzung seiner Daten einwilligt. Andere Erklärungen müssen deutlich hiervon abgehoben sein.

nach oben

Kopplungsverbot in der DSGVO

Soweit – so bekannt. Bisher sind das keine Neuerungen im Vergleich zum BDSG. Aber die kommen jetzt! Weiter heißt es nämlich in Artikel 7, Absatz 4:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Aufgepasst: Kopplungsverbot! Das heißt, wenn ein Unternehmen einen bestimmten Dienst anbietet, darf es vom Kunden keine weiteren Daten fordern, die für die Erbringung des Dienstes eigentlich gar nicht notwendig wären und die Erbringung dieses Dienstes von der Einwilligung abhängig machen. Das ist wohl ein Wink in Richtung Facebook, Google, Amazon & Co., die Nutzern gar keine andere Möglichkeit bieten, als der Datenschutzerklärung zuzustimmen, wenn sie deren Dienste nutzen wollen. Auch kleinere Unternehmen und Startups sollten ihre Datenschutzrichtlinien diesbezüglich checken, denn es drohen hohe Bußgelder bei Verstoß!  

nach oben

Besonderer Schutz von Kindern!

Kinder unter 16 Jahren werden durch Artikel 8 der DSGVO besonders geschützt. Dort heißt es in Absatz 1:

Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

Das bedeutet, bei unter 16-Jährigen hängt die Rechtmäßigkeit der Datennutzung davon ab, ob die Eltern zustimmen. Der letzte Satz heißt, dass die DSGVO hier eine sogenannte Öffnungsklausel vorsieht und abweichende Regelungen in den EU-Mitgliedsstaaten individuell getroffen werden können. Deutschland könnte demnach im Datenschutzanpassungsgesetz eigene Regelungen dazu treffen…

nach oben

Verzeichnis von Verarbeitungstätigkeiten

Natürlich gibt es mit der DSGVO auch weiterhin bestimmte Dokumentationspflichten, die Unternehmer und Selbständige einhalten müssen. Jeder, der personenbezogene Daten verarbeitet oder speichert – und da kommt kaum einer im täglichen Business drum herum –, muss eine Übersicht darüber erstellen. Das muss sie enthalten:

• den Namen und die Kontaktdaten des Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragte);
• die Zwecke der Verarbeitung;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
• wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 (Sicherheit der Verarbeitung).

Achtung Kleinunternehmer: Ihr seid  nicht aus dem Schneider!

In Artikel 30 DSGVO steht, dass diese Pflicht nur für Unternehmen oder Einrichtungen gilt, die mehr als 250 Mitarbeiter beschäftigen. Wer jetzt laut „Hurra“ schreit, dem bleibt es wohl im Halse stecken. Denn aufgepasst, der Artikel beinhaltet so viele Einschränkungen, dass er fast schon zum Vergessen ist. Die Regelung gilt nämlich nur, wenn die Verarbeitung von Daten nur gelegentlich erfolgt, was bei den meisten Unternehmen nicht der Fall ist. Jede dauerhafte Verarbeitung von Daten muss festgehalten werden, dazu gehören jegliche Art von Kunden- und Personalmanagement sowie die Buchhaltung.

Zudem gilt die Ausnahme zur gelegentlichen Datenverarbeitung nicht, wenn sensible Daten gespeichert werden. Davon abgesehen, dass es sicher zu Streitigkeiten darüber kommen wird, was „gelegentlich“ und „sensibel“ in diesem Zusammenhang heißt, bedeutet die Regelung nichts anderes, als dass jeder, der auf irgendeine Weise persönliche Daten verarbeitet, ein Verzeichnis führen sollte, um auf der sicheren Seite zu sein: Denn – wie mehrmals betont – es drohen viel höhere Bußgelder als bisher!

nach oben

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist ähnlich der Vorabkontrolle aus dem Bundesdatenschutzgesetz (BDSG) und löst diese ab. Sie wird durchgeführt, um vor der Erhebung von Daten zu prüfen, ob diese überhaupt rechtmäßig ist.

Wann muss eine DSFA erfolgen?

Laut DSGVO muss sie stattfinden, wenn

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (hat)“. 

Im Klartext: bei besonders kritischen Fällen der Datenspeicherung. Solche Fälle sind

• die systematische und umfassende Bewertung persönlicher Aspekte von Personen auf Grundlage automatisierter Datenverarbeitung, einschließlich Profiling,
• die umfangreiche Verarbeitung sensitiver Daten gemäß Artikel 9 Absatz 1 (zum Beispiel politische Meinungen, religiöse oder weltanschauliche Überzeugungen) und Daten über Straftaten gemäß Artikel 10 DSGVO,
• die systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Was muss eine DSFA enthalten?

Die Mindestanforderungen an den Inhalt einer DSFA sind gemäß DSGVO folgende:

• Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
• Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
• Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen,
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren.

Alle unangenehmen Dinge zum Datenschutz auf den Datenschutzbeauftragten abwälzen? Das geht nicht mehr! Neu ist, dass dieser nicht mehr für die Abschätzung der Folgen verantwortlich ist, sondern das Unternehmen selbst. Der Datenschutzbeauftragte muss lediglich zur Beratung hinzugezogen werden. Kommt das Unternehmen nach der Folgenabschätzung zu dem Schluss, dass ein Fall vorliegt, der ein hohes Risiko für die Rechte und Freiheiten von Betroffenen bedeutet, muss es die zuständige Aufsichtsbehörde informieren. Diese kann eine schriftliche Empfehlung für das Projekt erteilen oder die Datenverarbeitung untersagen.

nach oben

DSGVO: Informationspflichten

Die Informationspflichten werden in der DSGVO in den umfangreichen Artikeln 13 und 14 geregelt. Dabei unterscheidet sie zwischen der Erhebung personenbezogener Daten beim Betroffenen selbst (Artikel 13) und einer Erhebung, die nicht direkt beim Betroffenen erfolgt (Artikel 14).

Wenn Daten beim Betroffenen selbst erhoben werden, müssen diesem gemäß DSGVO folgende Informationen mitgeteilt werden: 

• Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters
• Kontaktdaten des Datenschutzbeauftragten (falls es einen gibt)
• die Zwecke, für die die Daten verarbeitet werden und die Rechtsgrundlage hierfür
• berechtigtes Interesse des Verantwortlichen oder Dritten, falls die Datenverarbeitung deshalb erfolgt
• Empfänger oder die Kategorie der Empfänger (wenn der Empfänger noch nicht konkret benannt werden kann) der personenbezogenen Daten

Absicht des Verantwortlichen, falls er die personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermitteln will (in diesem Fall muss er auch mitteilen, auf welcher Bedingung des Artikel 44 ff. die Übermittlung erfolgt und welche Maßnahmen er ergriffen hat, um ordnungsgemäßen Datenschutz zu gewährleisten).

Informationen zum Zeitpunkt der Datenerhebung

Oberstes Gebot beim Datenschutz ist Transparenz. Deshalb müssen Unternehmen und Selbständige zusätzlich zu diesen Informationen den Betroffenen zum Zeitpunkt der Datenerhebung weitere Informationen zur Verfügung stellen, um eine faire und transparente Verarbeitung zu gewährleisten:

• Dauer, für die die personenbezogenen Daten gespeichert werden (oder, falls das nicht möglich ist, die Kriterien für die Festlegung dieser Dauer).
• Belehrung darüber, dass der Betroffene folgende Rechte bezüglich seiner Daten hat: Auskunftsrecht, Recht auf Berichtigung oder Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, Recht auf Datenübertragbarkeit.
• Falls die Datenverarbeitung auf einer Einwilligung des Betroffenen (zum Beispiel Kunden) beruht, gesonderter Hinweis darauf, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.
• Aufklärung über das Beschwerderecht bei der Aufsichtsbehörde.

Information darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist. Und ob die betreffende Person verpflichtet ist, die Daten bereitzustellen und welche Folgen eine Weigerung hätte.

Wenn eine automatisierte Entscheidung im Einzelfall getroffen werden soll oder eine andere Profiling-Maßnahme stattfinden soll, muss der Betroffen darüber informiert werden (Angaben über Tragweite, Logik, Algorithmus).

Achtung: Werden Daten nicht direkt beim Betroffenen erhoben, gelten im Wesentlichen die gleichen Informationspflichten. Er muss jedoch zusätzlich darüber informiert werden, um welche Art von Daten es sich handelt, woher die Daten stammen und ob es sich um eine öffentlich zugängliche Quelle handelt.

Wie informieren?

Diese genannten Informationen müssen präzise, transparent, verständlich und leicht zugänglich sein. Sie können schriftlich oder elektronisch übermittelt werden. Dafür dürfen Verantwortliche auch standardisierte Bildsymbole verwenden. Da die DSGVO Kinder unter 16 Jahren besonders schützt, müssen, falls Daten von Kindern verarbeitet werden, Informationen und Hinweise in solch einer klaren und einfachen Sprache vorhanden sein, dass Kinder sie verstehen können.

Wann informieren?

• Daten werden direkt beim Betroffenen erhoben? – Zeitpunkt: Der Moment der Datenerhebung
• Daten werden nicht direkt beim Betroffenen erhoben? Zeitpunkt: innerhalb einer angemessenen Frist, spätestens aber nach einem Monat
• Daten werden nicht direkt beim Betroffenen erhoben, werden allerdings zur Kommunikation mit diesem genutzt oder an einen Empfänger übermittelt? – Zeitpunkt: Der Moment der Kontaktaufnahme oder der ersten Übermittlung

Informationspflicht ist kaum einschränkbar

Da die europäischen Gesetzgeber die faire und transparente Datenverarbeitung als existenziell ansehen, haben Verantwortliche so gut wie keinen Spielraum bei der Einschränkung der Informationspflicht. Wenn sie die Daten nicht direkt erhoben haben, können sie die Information unterlassen, wenn sie unmöglich oder unverhältnismäßig aufwendig ist, die Erhebung gesetzlich vorgeschrieben ist oder ein Berufsgeheimnis oder eine sonstige Geheimhaltungspflicht besteht.

Bei Verstößen gegen die Informationspflicht kennen die Gesetzgeber keine Gnade: Es drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes!

nach oben

Pflicht zur Auskunft, Berichtigung und Löschung

Leider noch nicht genug der Pflichten! Von der Datenverarbeitung betroffene Personen haben noch weitere Rechte, die beachtet werden müssen.

Auskunftspflicht

Unternehmen und Selbständige sind gegenüber ihren Kunden oder anderen Betroffenen der Datenverarbeitung dazu verpflichtet, Auskunft über die gespeicherten Daten zu geben. Dazu gehören nach Artikel 15 DSGVO im Wesentlichen die Punkte, über die aus den Gründen der Fairness und Transparenz ohnehin eine Informationspflicht besteht (siehe oben).

Achtung: Neu ist, dass dem Betroffenen eine Kopie der personenbezogenen Daten zur Verfügung gestellt werden muss!

Berichtigungs- und Löschungspflicht

Weiterhin hat der Betroffene – wie bisher – das Recht, dass seine Daten berichtigt werden, wenn sie fehlerhaft sind. Zudem hat er das Recht auf Löschung seiner Daten, das sogenannte „Recht auf Vergessenwerden“. Dieses besteht

• Wenn die Speicherung der Daten nicht mehr notwendig ist,
• wenn der Betroffene seine Einwilligung widerrufen hat,
• wenn die Daten unrechtmäßig verarbeitet wurden,
• wenn eine Rechtspflicht zur Löschung besteht.

Neu ist, dass, falls der Verantwortliche die Daten öffentlich gemacht hat, er diejenigen, die die Daten verarbeiten, darüber informieren muss, dass die betroffene Person die Löschung aller Links zu diesen Daten oder Kopien verlangt hat.

Recht auf Datenübertragbarkeit

Die DSGVO schreibt ein Recht auf Datenübertragbarkeit vor. Das bedeutet, dass der Betroffene von dem Verantwortlichen verlangen kann, dass seine Daten einer anderen Stelle – zum Beispiel einem sozialen Netzwerk – ohne Behinderung übermittelt werden, falls dies technisch machbar ist. Dadurch soll es für Kunden einfacher sein, von einem Anbieter zu einem anderen zu wechseln, ohne dass dabei Daten verloren gehen. Für entsprechende Unternehmen bedeutet das, dass sie technische Voraussetzungen schaffen müssen, um dies zu ermöglichen.

nach oben

DSGVO-Checkliste für Eilige

• Was ist die DSGVO und wieso ist sie mein Problem?

Die DSGVO ist eine neue EU-Verordnung, die den Datenschutz in der Europäischen Union einheitlich regelt. Sie ist seit dem 25. Mai 2016 in Kraft. Seither haben alle, die im Business Daten verarbeiten, zwei Jahre – also bis zum 25. Mai 2018 – Zeit, sie umzusetzen.

Die DSGVO gilt für alle Unternehmen innerhalb der EU und für alle, die personenbezogene Daten von EU-Bürgern verarbeiten. Wer sich in Zukunft nicht daran hält, dem drohen Abmahnungen und saftige Bußgelder: Gemäß DSGVO können diese bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen.

• Kopplungsverbot

Unternehmen dürfen vom Kunden nur Daten fordern, die dafür notwendig sind, eine bestimmte Dienstleistung zu erbringen – Daten die dafür nicht notwendig sind, dürfen sie auch nicht verlangen. Ein Beispiel: Für das Versenden eines Newsletters wird lediglich die Emailadresse des Empfängers benötigt, deshalb darf die Angabe des Namens bei der Bestellung eines Newsletters kein Pflichtfeld sein.

• Verzeichnis von Verarbeitungstätigkeiten

Im Verzeichnis von Verarbeitungstätigkeiten müssen Sie alle personenbezogenen Daten, die Sie verarbeiten oder speichern, auflisten.

• Datenschutz-Folgenabschätzung (DSFA)

Sollen besonders sensible Daten (zum Beispiel Angaben über politische Meinungen, weltanschauliche Überzeugungen oder persönliche Aspekte von Personen auf der Grundlage automatisierter Datenverarbeitung) verarbeitet werden, müssen die Folgen und Risiken dieser Verarbeitung abgeschätzt werden.

• Mehr Informationspflichten

Die betroffenen Personen müssen ab sofort umfangreicher als bisher darüber informiert werden, wann, wie, wer, wo ihre Daten speichert und welche Rechte sie diesbezüglich haben.

• Recht auf Vergessenwerden (Recht auf Löschung)

Betroffene haben das sogenannte Recht auf Vergessenwerden ihrer Daten, unter anderem dann, wenn deren Speicherung nicht mehr notwendig ist oder sie ihre Einwilligung widerrufen haben.

• Recht auf Datenübertragbarkeit

Betroffene haben das Recht, dass ihre Daten ohne Verzögerung an eine andere Stelle übermittelt werden. Unternehmen müssen daher die technischen Voraussetzungen schaffen, damit Datensätze portabel sind.

• Rechenschaftspflicht

Auf Aufforderung einer Aufsichtsbehörde müssen Datenverantwortliche nachweisen können, dass sie alle Datenschutzregeln einhalten.

nach oben

Infografik: Wie setze ich die DSGVO um?

Wenn Sie jetzt wissen, was Sie umsetzen müssen, aber nicht, wie Sie das anstellen sollen, dann ist diese Info-Grafik der Rechtsanwaltskanzlei Dr. Schwenke genau das Richtige. Dort wird Schritt für Schritt erklärt, welche Maßnahmen getroffen werden müssen, um die DSGVO umzusetzen. Weitere Tipps zur Umsetzung der DSGVO gibt es auch auf der Homepage von Dr. Schwenke.  

nach oben

DSGVO-Wissenstest

Sie wollen wissen, ob Sie in Sachen DSGVO schon auf einem guten Weg sind, oder noch am Anfang stehen? Machen Sie den Test! Das Bayerische Landesamt für Datenschutzaufsicht hat einen Online-Test zur Selbsteinschätzung in Vorbereitung auf die DSGVO entwickelt.

nach oben

Video: Expertentipps zur Umsetzung der DSGVO

nach oben

DSGVO: Wie läuft die Vorbereitung?

Die DSGVO-Studie des Händlerbundes zeigt, was sich in Sachen DSGVO getan hat und wie gut Händler bisher darauf vorbereitet sind:

nach oben

Kann ich ein DSGVO-Bußgeld versichern?

Wenn die DSGVO im Mai in Kraft tritt, drohen bei Verstößen Bußgelder von bis zu 20 Millionen Euro. Diese Summe versetzt viele Freelancer und Dienstleister in Angst und Schrecken. Denn Bußgelder können bekanntlich in der Regel nicht versichert werden. „Aber was bringt mir dann eine Berufshaftpflichtversicherung?“, mag nun so mancher denken.

Hier liegt jedoch ein Missverständnis vor: Denn, Bußgelder, die Unternehmen und Selbständigen auferlegt werden, weil sie selbst in ihrem eigenen Business gegen die DSGVO verstoßen haben, können nicht versichert werden. Logisch, weil dann würde sich jeder gegen Bußgelder versichern und sich nicht um den Datenschutz kümmern. Jedoch bemisst sich das Bußgeld laut DSGVO nach dem Jahresumsatz. Und da Freelancer keine Milliarden-Umsätze wie Konzerne haben, werden sie bei einem Verstoß gegen die DSGVO auch keine Millionen-Bußgelder zahlen müssen.

ABER: Wenn ein Freelancer oder Dienstleister bei seinem Kunden im Rahmen seiner Arbeit einen DSGVO-Verstoß verursacht und der Kunde daraufhin ein Bußgeld auferlegt bekommt, dann sieht die Sache ganz anders aus! Denn dann ist dies ein Schaden bei einem anderen, den der Freelancer verursacht hat. Der Kunde wird in diesem Fall das Bußgeld in Form von Schadenersatz vom Freelancer zurückverlangen und dagegen können sie sich mit einer Berufshaftpflichtversicherungen über exali.de  natürlich absichern. In solch einem Fall würde die Versicherung den Schadenersatz übernehmen und auch die Kosten tragen, die der Kunde hatte, um das Bußgeld abzuwehren. 

DSGVO-Positionspapier der Datenschutzkonferenz

Die Datenschutzbehörden des Bundes und der Länder haben ein Positionspapier zur DSGVO veröffentlicht – und das hat es in sich! Zunächst einmal stellt die Datenschutzkonferenz fest, dass ab dem 25. Mai, wenn die DSGVO in Kraft tritt, das Telemediengesetz (TMG) und die sogenannte „Cookie-Richtlinie“ nicht mehr angewendet werden und nur noch die DSGVO gültig ist. Da jedoch die neue ePrivacy Verordnung, die Regelungen zu Cookies, Tracking & Co. enthalten soll, noch auf sich warten lässt, ist nun auch zu diesen Themen die DSGVO gefragt. Und die ist diesbezüglich als Rechtsgrundlage mehr als dürftig!

Nach Meinung der Datenschutzkonferenz eignet sich nur Art. 6 Abs. 1 a) als Grundlage für den Umgang mit Tracking. Und demnach muss es für den Einsatz jeglicher Form von Tracking eine nachweisbare und ausdrückliche Einwilligung des Betroffenen geben! Für die Praxis würde das bedeuten: Wenn ein Nutzer auf eine Website kommt, auf der er in irgendeiner Form getrackt wird, würde er zuerst einmal einen schwarzen Bildschirm sehen und dazu einen sehr langen Text, in dem ihm detailliert erklärt wird, welche Daten wann und wo von ihm getrackt werden. Und erst wenn er diesem zustimmt, käme er auf die eigentliche Website. Eine Katastrophe für jegliche Form von Online-Business!

Das Problem daran: Niemand kann betroffenen Unternehmen oder Selbständigen momentan sagen, was sie machen sollen. Denn wie solche Fälle entschieden werden, wenn sie vor Gericht landen, wird erst die Zukunft zeigen. Und Experten – zum Beispiel Rechtsanwälte – werden derzeit immer dazu raten, Tracking abzuschalten, um sich nicht selbst am Ende haftbar zu machen.

Was also tun? Das muss jeder selbst für sich und sein Unternehmen entscheiden und das Risiko abwägen. Wenn Sie sich dazu entschließen, weiterhin Tracking zu nutzen, sollten Sie Ihre Kunden in jedem Fall in Ihrer Datenschutzerklärung genauestens darüber informieren, wann, wie und warum sie tracken und warum Sie auf das Tracking nicht verzichten können.  

Eine Rettung gibt es eventuell in Form des Art. 6 Abs. 1 f) DSGVO. Dort wird nämlich ausgeführt, dass die Datenverarbeitung rechtmäßig ist, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Inwieweit Richter dies in Zukunft als Grundlage für vereinzeltes Tracking gelten lassen, kann niemand sagen. Klar ist nur, dass es zu Abmahnungen kommen wird. Welcher Einschätzung die Gerichte dann folgen und was sie entscheiden werden, bleibt leider nur abzuwarten.

Eine kleine Hoffnung bleibt nun doch noch, denn laut Berliner Morgenpost hat Bundeskanzlerin Angela Merkel angekündigt die DSGVO zusammen mit Bundesinnenminister Horst Seehofer kurzfristig noch einmal zu diskutieren. Die Kanzlerin soll erkannt haben, dass die Umsetzung für viele Probleme sorgt. Ein weiteres interessantes Datum wird der 15.05.2018 werden, denn gerademal zehn Tage vor dem Stichtag will sich auch das EU-Parlament noch einmal mit der DSGVO befassen. An diesem Tag werden die Mitgliedsstatten über den aktuellen Stand der Umsetzung in den jeweiligen Ländern sprechen.

nach oben