Im Mai 2018 wird die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft treten. Die Regularien setzen europaweit einen einheitlichen Standard für den Umgang mit personenbezogenen Daten. Viele Vorschriften sind dabei an das deutsche Recht angelehnt, dennoch gibt es auch für Deutschland einige Änderungen, die die Unternehmen direkt betreffen. Verschaffen Sie sich hier einen Überblick:
Das Ziel der EU-DSGVO
Mit dem neuen EU Datenschutzgesetz soll ein einheitlicher Standard für Europa erschaffen werden. Dessen Ziel soll der Schutz einzelner Personen und deren personenbezogenen Daten sein. Dabei sollen rechtliche Nischen gänzlich verhindert werden, so dass Verbraucher und Nutzer schließlich eine größere Kontrolle über ihre Daten erhalten und sich vor unbefugten Gebrauch schützen können.
Auf einen Blick die wichtigsten Änderungen
- Aktive Zustimmung
Nutzer müssen aktiv und schriftlich der Datenverarbeitung zustimmen. Liegt keine Zustimmung vor, ist eine Verarbeitung rechtswidrig. - „Recht auf Vergessenwerden“
Fordern Nutzer die Löschung und Nutzung ihrer Daten ist dem ausnahmslos und unverzüglich nachzukommen. - Höhere Bußgelder
Bei Verstoß drohen Bußgelder von bis zu 4% des gesamten weltweiten Jahresumsatzes oder bis zu 20 Mio Euro. - Datenverarbeitung erst ab 16
Eine Anmeldung bei Online-Diensten wie bspw. Facebook ist erst mit 16 Jahren zugelassen und rechtswirksam. - Auskunftsrecht
Nutzer haben das Recht zu erfahren, welche Daten zu welchem Zweck und wie lange verarbeitet und gespeichert wurden. Der Zugang zu allen gespeicherten Daten muss gewährleistet werden. Darüber hinaus ist sicherzustellen, dass die Daten leicht zwischen zwei Dienstanbietern ausgetauscht werden können. - Über Grenzen hinweg
Das neue Gesetz gilt für alle europäischen Länder, aber auch für Anbieter und Unternehmen, welche ihren Sitz außerhalb Europas haben und ihre Produkte und Dienstleistungen in der EU anbieten möchten. Darüber hinaus haben Unternehmen mit grenzübergreifenden Datentransfers nur noch einen Ansprechpartner für die Beurteilung rechtlicher Belange, an die sich wenden können. Dieses Vorgehen soll bürokratische Aufwände minimieren, es ist jedoch mit längeren Bearbeitungs- und Wartezeiten zu rechnen. - Meldepflicht
Gehen Daten verloren oder kam es zu einem Hackerangriff, sind Unternehmen verpflichtet so schnell wie möglich, jedoch mindestens innerhalb von 24 Stunden, den Vorfall behördlich zu melden.
Die größten Änderungen
Nutzer erhalten mehr Rechte
Bereits jetzt ist es in Deutschland geregelt, dass personenbezogenen Daten nur erhoben und verarbeitet werden dürfen, sofern der Nutzer ausdrücklich zugestimmt hat oder der Gesetzgeber die Nutzung ausdrücklich erlaubt. Dieses Vorgehen bleibt weiterhin bestehen, doch seine Umsetzung wird zunehmend verschärft.
So müssen Unternehmen dem „Recht auf Vergessenwerden“ vehement gerecht werden. Verlangt ein Nutzer die Löschung oder Bearbeitung seiner Daten, so müssen Unternehmen dem nachkommen und die Daten ggf. sogar selbst bei Drittanbietern löschen lassen. Mit dem „Recht auf Datenportalität“ wird außerdem ein Anbieterwechsel für die Verbraucher zunehmend vereinfacht, da die Anbieter verpflichtet werden die Daten miteinander auszutauschen.
Des Weiteren soll den Usern der Zugang zu ihren Daten erleichtert werden. Es muss ein Nachweis erbracht werden können, welcher sicherstellt, dass alle personenbezogenen Daten unter Berücksichtigung der neuen EU-Regelung verarbeitet wurden. Alle erhobenen Daten müssen den Usern in verständlicher und maschinell lesbaren Form auf Anfrage zur Verfügung gestellt werden. Ausgenommen sind hierbei Schätzdaten wie bspw. das Kundensegment, dem der User zugeordnet wurde. Darüber hinaus sind die Speicherdaten und deren -Dauer für die User erkennbar zu machen, genauso wie ein Hinweis auf sein Beschwerderecht bei der Datenschutzaufsichtsbehörde.
FSK für die Datenverarbeitung
Bisher war es Kindern und Jugendlichen möglich ihrer Datenverarbeitung bereits mit 13 Jahren zuzustimmen. Mit der neuen Verordnung jedoch ist eine Einwilligung für die Verarbeitung personenbezogener Daten erst mit 16 Jahren rechtswirksam. Die Krux daran ist aber, dass diese Altersgruppe zur Zielgruppe von Internetdiensten wie Facebook oder Twitter zählen. Kritiker vermuten, dass es zukünftig somit häufiger zu rechtswidrigen Anmeldungen – also Anmeldungen ohne Zustimmung der Eltern – kommen wird. Die neue Verordnung möchte dem mit gesetzten Prüfpflichten entgegenwirken. So sind Unternehmen verpflichtet mit den ihnen zur Verfügung stehenden technischen Mitteln nachzuprüfen wie alt der Nutzer ist. Wie eine solche Prüfung aber in Zukunft konkret und rechtswirksam aussehen soll, ist noch strittig.
Auch US-Dienste müssen sich an das EU-Gesetz halten
Nun könnte man anmerken, dass Facebook & Co. amerikanische Dienste sind und deren Rechte und Pflichten unterliegen. Mit der neuen Verordnung jedoch, gilt das Sitzlandprinzip des Anbieters nicht. Ohnehin ist das Sitzland bei Facebook für Europa beispielsweise Irland. Mit der neuen Verordnung unterliegen nun aber alle europäischen Länder dem EU-DSGVO. Dieses Vorgehen soll abermals die Standardisierung und den einheitlichen Schutz zum Ziel haben.
Hohes Bußgeld bei Verstoß
Bisher wurden in Deutschland bei Datenschutzverstößen Bußgelder mit festen Werten bemessen. Der Höchstsatz lag dabei in wenigen Einzelfällen bis zu 300.000 Euro Strafe. Mit dem neuen Datenschutzgesetz werden die Strafgelder jedoch am Jahresumsatz gekoppelt was bedeutet, dass Strafen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes oder bis zu 20 Mio. Euro veranlasst werden können – je nachdem, welcher Wert höher ist. Für Großunternehmen und Konzerne kann dies Strafgelder in Millionen, ja sogar Milliardenhöhe, heißen. Doch auch für kleine und mittelständische Unternehmen ergeben sich hohe Summen, denen sie aber mit einer ordentlichen Datenverarbeitung entgegenwirken können.
Folgen für Unternehmen
Im Mai 2018 werden die neuen Regelungen ausnahmslos in Kraft treten. Für Massenabmahner ist dies „ein gefundenes Fressen“ kleine Lücken oder Fehler in der Datenschutzrichtlinie aufzuspüren und mit teuren Rechtsanwaltsschreiben abzustrafen.
Wir empfehlen Ihnen daher, sich rechtzeitig um die Umsetzung und ggf. Änderung einiger Prozesse zu kümmern. Spüren Sie potenzielle Schwachstellen in Ihrem Unternehmen auf und entwickeln Sie Prozesse dagegen. So oder so – ziehen Sie unbedingt Ihren (internen oder externen) Datenschutzbeauftragten zu Rat. Lassen Sie sich in jedem Fall professionell in Sachen Datenschutz beraten, dokumentieren Sie ihren Datenbestand und die zu Grunde liegenden Verarbeitungsprozesse. Ihr Datenmanagement sollte transparent und nachweisbar sein. Dies bedeutet für viele klein- und mittelständische Unternehmen einen immens hohen Arbeitsaufwand, angesichts der hohen Bußgelder lohnt sich dieser jedoch.
Unternehmen müssen sich dem Wert personenbezogener Daten bewusstwerden und für deren inhaltlichen sowie technischen Schutz sowie die Aufklärung der Nutzer über deren Verwendung gewährleisten.
Alle Vorschriften und Regelungen finden Sie unter https://dsgvo-gesetz.de/
Informieren Sie sich jetzt über Rechtssichere Archivierung
Vereinbaren Sie jetzt einen unverbindlichen Termin mit unserem Berater: