DSGVO: Die Grundprinzipien der Europäischen Datenschutz-Grundverordnung im Überblick

Oft besteht noch Unklarheit zu den neuen Vorschriften der Europäischen Datenschutz-Grundverordnung (DSGVO), die seit 25. Mai 2018 strikt und verbindlich gelten. Eine Zusammenstellung der wichtigsten Kernpunkte wird der Orientierung dienlich sein – hier eine kleine Übersicht:

• Es geht um personenbezogene Daten, wie Name, Geburtsdatum, Adresse, Bankdaten, E-Mail-Adresse, Telefonnummer, Cookie-Informationen oder IP-Adresse. Es sind Informationen, die sich auf eine bereits vom Unternehmen identifizierte oder über die Daten potentiell identifizierbare Person beziehen.
• Achtung – das Erheben von Daten ist erlaubnisabhängig. Dabei kann sich die Erlaubnis aus einem gesetzlichen Hintergrund ergeben wie direkt aus der EU-Datenschutzgrundverordnung (zum Beispiel um einen Geschäftsabschluss zu ermöglichen). Ansonsten wird die Erlaubnis jedoch direkt von der betroffenen Person einzuholen sein, insbesondere bei Datenerhebung im Internet oder beim Newsletter-Versand.
• Nach dem Prinzip der Datensparsamkeit ist wie bisher nur so viel an Daten zu erheben wie tatsächlich benötigt wird, etwa um einen Kaufvertrag zu ermöglichen und ihn einschließlich Warenversand zu erfüllen. Ebenfalls wie bisher besteht der Grundsatz der Zweckbindung. Außerdem müssen die Daten richtig erhoben sein.
• Fragen rund um die DSGVO mit den passenden Antworten klären wir auch auf unserer FAQ-Seite. Bleiben Sie also auf dem Laufenden!

A und O der Risikominderung für Betroffene

• Wichtig in Artikel 32 DSGVO – die Datensicherheit! Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der weiteren Umstände unter zugrundeliegender Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen. So soll ein dem Risiko (etwa Hackerangriffe, Datenverlust usw.) angemessenes Schutzniveau für die Daten erreicht werden.
• Das „Recht auf Vergessenwerden“: Künftig ist diese Besonderheit gegenüber jeder datenerhebenden Stelle als ein prinzipieller Anspruch bei Vorliegen eindeutiger Merkmale fixiert (Artikel 17). Diese sind: 1. Der Zweck für die Datenverarbeitung ist weggefallen oder 2. der Betroffene hat seine Einwilligung widerrufen und 3. der Fall, dass die Datenerhebung sowieso unrechtmäßig zustande gekommen ist. Unter anderem können Kunden das Löschen ihrer Daten aus Direktwerbe-Datenpools und Profiling-Prozessen im Internet verlangen. Konsequenz: Archivierungsvorgänge sind in Zukunft so zu organisieren, dass kritische Kundendaten leicht auffindbar sind und gegebenenfalls kurzfristig entfernt werden können.

Einfach mal praktisch und auch Diffizileres

• Ganz neu ist das Recht auf Datenübertragbarkeit (Artikel 20). Nutzern von Diensten beispielsweise ist damit die Möglichkeit rechtlich eingeräumt, ihre Daten unproblematisch von einem Anbieter zum nächsten mitzunehmen. Sie können sich dann an den betreffenden Datenschutzbeauftragten beim bisherigen Dienstleister wenden, damit ihre Daten in einem gängigen Format an einen anderen Verantwortlichen (beim neuen Anbieter) weitergegeben werden. Bedeutung kann das beim Wechsel von sozialen Netzwerken oder beim Kontowechsel zu einer anderen Bank haben. Das Prinzip der sogenannten „Datenportabilität“ lässt sich aber auch auf den Wechsel des Arbeitgebers übertragen.
• Spezieller Schutz wird Arbeitnehmer-Daten gelten. Und zwar egal, ob Sie vom Arbeitgeber, einem Arbeitsvermittler oder vom Betriebsrat verwaltet werden. Im Grundsatz sollen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn dies für die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Erlaubt ist die Verarbeitung außerdem, falls für die Erfüllung gesetzlicher Rechte und Pflichten, für die Erfordernisse aus einem Tarifvertrag oder aus einer Betriebs- und Dienstvereinbarung übergeordneter Bedarf besteht – ferner auch für Zwecke einer Strafverfolgung. Zum „Ob und Wie“ bezüglich Einholen besonderer Einwilligungen von Beschäftigten gelten relevante Kriterien. Hier ist es ggf. ratsam, sich extra kundig zu machen. Auf jeden Fall liegt die Beweislast zur Einhaltung der Vorschriften im Hinblick auf Arbeitnehmer-Datenschutz beim Arbeitgeber, und es können Löschungspflichten von Daten im Personalbereich entstehen. Mehr zum Thema DSGVO für die Personalabteilung finden Sie in unserer Checkliste

Wie die „wichtigsten Hausaufgaben“ zu erledigen sind

• Sehr wichtig – Rechenschaftspflicht zum Umgang mit Daten: Die Konsequenz aus diesem Erfordernis besteht darin, dass Datenschutzverantwortliche auf Anforderung die Einhaltung aller Datenschutzkriterien nachzuweisen haben. Hierzu sollte ein leistungsstarkes Datenschutzmanagement eingerichtet werden, durch das sich die Einhaltung der Bestimmungen gegenüber der Aufsichtsbehörde per detaillierter Dokumentation nachweisen lässt. Über Datenschutzpannen ist die Aufsichtsbehörde umgehend in Kenntnis zu setzen. Wichtig ist es auch, um Abmahnungen vorzubeugen, eine rechtlich auf den neuesten Stand abgesicherte Datenschutzerklärung im Online-Auftritt implementiert zu haben.
• Unbedingt notwendig – Bestellung eines Datenschutzbeauftragten. Erfordernis hierzu ist, dass die Person „eine gewisse berufliche Qualifikation“ aufweist, wie datenschutzbeauftragter-info.de erläutert. Und wie es weiter heißt, über „das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis“ verfügt, sowie „die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben“. Die oder der Betreffende sollte in der Funktion leicht erreichbar sein, insbesondere für die Aufsichtsbehörde und ggf. auch für Beschwerdeführer. Es kann durchaus ein externer Beauftragter sein, so wie man etwa einen Steuerberater für das Finanzwesen hinzuzieht.
• Besonderheiten bei Auftragsdatenverarbeitung: Es geht hierbei – Kürzel: ADV – um Erhebungs- Verarbeitungs- und Nutzungsprozesse personenbezogener Daten durch Auftragnehmer – etwa externes Rechenzentrum, Call-Center oder auch Cloud-Computing-Anbieter. Für die Behördenseite ist der Auftraggeber zwar primärer Ansprechpartner, aber der ADV-Betrieb doch erheblich mit verantwortlich. Dazu gehört es für diesen gemäß Artikel 30, ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung zu erstellen. Sodann soll der Dienstleister mit der Aufsichtsbehörde zusammenarbeiten (Artikel 31) und auch technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1 DSGVO).

Kleines ABC zum „elektronischen Handschlag“

• Einwilligungen zur Datennutzung von Betroffenen: Sie einzuholen, ist zwar nicht an eine besondere Form gebunden. So kann sie mündlich, schriftlich und auch elektronisch geschehen. Jedoch ist stets an die eindeutige Dokumentation zu denken, was bei mündlicher Zustimmung (siehe Call-Center) besonders zu berücksichtigen ist. Bei der elektronischen Einwilligung kommt es darauf an, sich Klick auf ein „Opt-in-Kästchen“ geben zu lassen. Das Opt-out ist grundsätzlich nicht ausreichend, so dass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung herstellen. Wie bislang schon, muss für Betroffene (Kunden usw.) ein jederzeitiges Widerrufsrecht der Einwilligung bestehen. Als Novum dabei: Der Widerruf muss zwingend so einfach wie die Einwilligung vorgenommen werden können. Alte Einwilligungen müssen zwar nicht erneuert, jedoch rechtskonform und wirksam zustande gekommen sein. Besonderheiten gelten für elterliche Zustimmungserfordernisse bei Einwilligungen von Minderjährigen. Nicht zu vergessen sind auch „Double-opt-in´“-Regelungen für einen Newsletter-Versand. Wer sich also als Nutzer mit seiner E-Mail-Adresse in einen Verteiler eingetragen hat, erhält durch anschließende Bestätigungs-E-Mail die Möglichkeit, die Anmeldung zu bestätigen. Erst dann ist der Double-opt-in-Vorgang abgeschlossen. Gleichsam als Begleitmusik der DSGVO wird es im Übrigen die „e-Privacy-Verordnung“ nach EU-Recht geben. Dazu sei erwähnt, dass die DGSVO die allgemeinen Grundsätze und Prinzipien klärt, während die noch nicht abschließend durchformulierte und durch die Instanzen gebrachte ePrivacy-Verordnung mehr auf die IT-technische Handhabung der Kommunikation via Internet fokussieren wird – also Tracking-Prozeduren, der Einsatz von Cookies usw. Zwischen beiden Verordnungen bestehen dann künftig teils inhaltliche Überschneidungen, aber die Akzente liegen jeweils anders.

• Last but not least – drohende Bußgelder bei Datenrechtsverstößen: Die Grundverordnung hat in der Hinsicht nicht eben zimperliche Maßstäbe gesetzt. Diese sehen Strafmaßnahmen bis zu 20 Millionen Euro oder bis zu 4 % vom Umsatz vor. Vorsicht oder – noch besser – doppelte Vorsicht ist also geboten.

Tipp: Wichtige weiterführende Informationen im e-Book

Die hier vorgestellten Punkte können nur ein erster Kompass für die Landkarte der EU-DSGVO sein. Unser E-Book „Die Europäische Datenschutz-Grundverordnung (DSGVO kommt)!“ gibt Ihnen weitere wichtige Einblicke in die jetzt anstehenden Schritte in Richtung „DSGVO-konformes Unternehmen“. Zudem haben wir spezielle Checklisten für Geschäftsführung, HR-Abteilung und Finanzbuchhaltung entwickelt, um den jeweils Betroffenen so konkrete Handlungshinweise und Anleitungen für die Umsetzung der DSGVO mitgeben zu können.

---

Zurück