DSGVO im Überblick: Das müssen Sie bei der Datenschutzgrundverordnung beachten
Im Mai 2018 trat die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Sie führte zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechts. Die Verordnung ist sehr komplex und immer noch tauchen Fragen in Unternehmen bei der Umsetzung auf. Der folgende Beitrag erläutert, was Sie bei der DSGVO beachten müssen und warum ein Datenschutzbeauftragter im Betrieb unermesslich ist.
Der Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten sind die wichtigsten Ziele der DSGVO (Datenschutz-Grundverordnung). Darüber hinaus gilt die Verordnung für die gänzliche oder teilweise automatisierte Verarbeitung personenbezogener Daten.
DSGVO: Beispiele für personenbezogene Daten
Diese Informationen fallen laut Datenschutzgesetz unter personenbezogene Daten:
- Name
- Adresse
- Telefonnummer
- E-Mail-Adresse
- Geburtstag
- Kontoverbindung
- IP-Adresse
- Cookies
- Standortdaten
Entdecke weitere interessante Artikel zum Thema Gesetze und Verordnungen:
- Gesetze und Verordnungen im Arbeitsschutz: Alle wichtigen Infos auf einen Blick
- Mutterschutzgesetz: Diese Pflichten entstehen für Gefährdungsbeurteilung und Arbeit mit Gefahrstoffen
- Nichtraucherschutzgesetz: Warum Passivrauchen so gefährlich ist
Verbot der Verarbeitung personenbezogener Daten
Die DSGVO verbietet die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinung oder religiöse und weltanschauliche Überzeugung hervorgeht. Das Verbot der Verarbeitung besteht auch dann, wenn sich aus den Daten das Sexualleben oder die sexuelle Orientierung der natürlichen Person ergibt.
Das Verbot ist laut Grundverordnung allerdings dann aufgehoben, wenn die betroffene Person in die Verarbeitung der personenbezogenen Daten für einen oder mehrere Zwecke eingestimmt hat. Darüber hinaus besteht eine Ausnahme des Verbots, wenn die Verarbeitung der Daten zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person geschieht – auch dann, wenn der Betroffene aus körperlichen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben.
Zudem definiert die Verordnung neun festgelegte Grundsätze der Verarbeitung personenbezogener Daten:
- Rechtmäßigkeit
- Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Für wen die DSGVO gilt
An die EU-Datenschutzgrundverordnung (EU-DSGVO) muss sich jedes Unternehmen mit eigener Webpräsenz halten. Das betrifft nicht nur Firmen in Deutschland, sondern alle innerhalb der gesamten Europäischen Union (EU).
Konkret muss sich jede Firma in der EU an die DSGVO halten, die im Internet aktiv ist. Wenn Nutzer-Tracking betrieben wird oder Firmenprodukte über Newsletter und Werbemails angepriesen werden, sind sie im Netz aktiv. Dies gilt auch für Social-Media-Kanäle, wie Facebook, Twitter oder Instagram. In allen Fällen werden personenbezogene Daten verarbeitet, wozu die Nutzer gemäß DSGVO ihre Zustimmung erteilen müssen.
Auch für Unternehmen außerhalb der EU
Die DSGVO gilt auch für Unternehmen außerhalb der EU. Allerdings nur dann, wenn sie in eine Niederlassung in einem EU-Mitgliedsland haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Die personenbezogenen Daten sind mit der DSGVO eng verknüpft. Darüber hinaus gilt die DSGVO für geschäftliche Beziehungen mit Personen innerhalb der EU. Die Verordnung gilt, wenn Waren oder Dienstleistungen in der EU angeboten werden oder das Verhalten von Personen innerhalb der Europäischen Union beobachtet wird.
Dabei spielt es keine Rolle, ob das anbietende oder das beobachtende Unternehmen einen Sitz oder eine Niederlassung in der EU hat. Zudem müssen die betroffenen Personen keine EU-Bürger sein. Es genügt, dass sie sich in der EU aufhalten. Die Datenschutzgrundverordnung gilt auch dann, wenn die Datenverarbeitung eines nicht in der EU ansässigen Verantwortlichen erfolgt und wenn die Verarbeitung innerhalb der EU erfolgt.
Auch diese Artikel zum Thema Gesetze und Verordnungen könnten Sie interessieren:
- Arbeitsschutz und Arbeitssicherheit im Betrieb: Das sollten Sie wissen
- Wie die Störfallverordnung Industrieunfälle verhindert
- Arbeitsstättenverordnung: Diese Anforderungen gelten für Unternehmen
- Mehr Arbeitssicherheit auf der Baustelle dank der BaustellV
Automatisierte Datenverarbeitung laut DSGVO
Die DSGVO umfasst die automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Computer, Smartphones, Kameras, Dash- und Webcams, Scanner und Kopierer erfassen automatisch Daten der Nutzer. Bei diesen Geräten erfolgt die automatisierte Datenerfassung.
Allerdings sind handschriftliche Aufzeichnungen davon ausgenommen. Doch selbst diese fällt unter den Anwendungsbereich der DSGVO. Werden die Aufzeichnungen beispielsweise in einem Ordner abgelegt, stellt dies bereits ein Dateisystem dar.
Laut DSGVO ist ein Dateisystem eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind – unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Beispiele hierfür sind Fragebögen, Karteikarten oder Akten, die alphabetisch nach dem Namen der betroffenen Personen oder nach Vorgangsnummern geordnet sind. Akten, Aktensammlungen und ihre Deckblätter fallen in den Zuständigkeitsbereich der DSGVO.
DSGVO: Das sind Anforderungen an Unternehmen
Bis zum Inkrafttreten der endgültigen Fassung der Datenschutz-Grundverordnung DSGVO im Mai 2018 hatten Unternehmen zwei Jahre Zeit, die datenschutzrechtlichen Anforderungen umzusetzen. Demzufolge müssen sie längst alles erledigt haben. Nachfolgend werden die wichtigsten Punkte genannt, die vor allem Unternehmensgründer beachten müssen.
1. Aufbau eines Verarbeitungsverzeichnis nach DSGVO
Hierbei handelt es sich um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Im Bundesdatenschutzgesetz (BDSG) gab es bereits vor Inkrafttreten der DSGVO das Verfahrensverzeichnis.Die Pflicht für das Führen des Verarbeitungsverzeichnis gilt sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter. Gemäß Art.30 Abs. 5 DSGVO ergeben sich allerdings Ausnahmen für die Erstellung des Verfahrensverzeichnisses.
Wenn ein Unternehmen weniger als 250 Beschäftigte hat, muss das Verarbeitungsverzeichnis nicht geführt werden. Diese Ausnahme ist allerdings dann wieder aufgehoben, wenn die Verarbeitung der Daten ein Risiko für die Rechte und Freiheiten der Mitarbeiter birgt. Darüber hinaus sind Unternehmen mit einer Beschäftigtenzahl unter 250 zur Führung eines Verarbeitungsverzeichnisses auch dann verpflichtet, wenn die Datenverarbeitung strafrechtlich relevante Daten oder besonders sensible Datenkategorien betrifft.
2. Einführung eines Datenschutz-Managementsystems
Nach der neuen DSGVO müssen Unternehmen ein Datenschutz-Managementsystem einführen. Datenschutzrechtliche Vorgaben müssen folglich nicht nur eingehalten, sondern auch nachgewiesen werden. Darüber hinaus müssen Unternehmen „geeignete technische und organisatorische Maßnahmen“ einsetzen, um die Datensicherheit für die Beschäftigten zu garantieren.
Dokumentationen müssen unter anderem aus folgenden Bereichen angelegt und gepflegt werden:
- Datenschutzorganisation sowie Verantwortlichkeit für Datenverarbeitungen
- Einbindung eines Datenschutzbeauftragten ins Unternehmen, der sich um die datenschutzrechtlichen Belange der Beschäftigten kümmert
- Aufbau eines Verzeichnisses von Verarbeitungstätigkeiten
- Datenschutz-Folgeabschätzung
- für die Datenschutzschulung und Verpflichtung auf das Datengeheimnis
- bei Meldung bei Datenverstöße
- zum Nachweis der Datensicherheit. Dieser Punkt bezieht sich auf die Umsetzung von technischen und organisatorischen Maßnahmen)
Wenn Unternehmen ein Datenschutz-Management-System in die Betriebsstruktur integrieren, entbindet sie dies bei Datenschutzverstößen nicht zwingend vom Vorwurf der Fahrlässigkeit. Dennoch müssen sie mit einem Bußgeldbescheid rechnen.
3. Zulässigkeit der Datenverarbeitung prüfen
Junge Unternehmen, die an den Markt gehen und Mitarbeiter haben, müssen unbedingt im Vorfeld prüfen, ob die Erlaubnis zur Verarbeitung und Nutzung personenbezogener Daten vorliegt. Rechtsgrundlagen und Einwilligungen der Beschäftigten müssen deshalb genau angeschaut werden.
Aus der DSGVO ergeben sich die Bedingungen, unter denen eine Einwilligung rechtskonform ist:
- Die betreffenden Personen müssen frei entscheiden können.
- Beschäftigte müssen ausführlich darüber informiert werden, was mit ihren Daten geschieht.
- Die Einwilligungserklärung muss in Schriftform erfolgen.
- Sie müssen die Möglichkeit zum Widerruf der Einwilligungserklärung haben.
4. Informationspflichten des Unternehmens gemäß DSGVO
Die DSGVO schreibt eine Vielzahl von Informationspflichten für Unternehmen gegenüber ihren Beschäftigten vor.
Unter anderem gehören zu diesen Pflichten laut Grundverordnung:
- Identität des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszwecke und Rechtsgrundlagen
- Interesse des Unternehmens
- Empfänger
- Dauer der Speicherung
- Beschwerderecht bei der Aufsichtsbehörde
Die Rolle des Datenschutzbeauftragten in der DSGVO
Im Rahmen der Umsetzung ist der Datenschutzbeauftrage im Unternehmen unermesslich – und das sowohl für junge Betriebe als auch in Firmen, die bereits lange aktiv sind. In der Regel ist der Datenschutzbeauftragte ein Beschäftigter, der vom Unternehmen bestellt wird. Er ist eine natürliche Person.
Nach den Vorschriften der DSGVO ist der Datenschutzbeauftragte dazu verpflichtet, das Unternehmen über datenschutzrechtliche Pflichten aufzuklären. Darüber hinaus ist er der erste Ansprechpartner für die Beschäftigten sowie für Behörden und führt das Verarbeitungsverzeichnis. Zudem unterstützt der Datenschutzbeauftragte das Unternehmen bei der Durchführung der Datenschutz-Folgeabschätzung.
Entdecke weitere interessante Artikel zum Thema Gesetze und Verordnungen:
- Neue Sicherheitsregeln für Galvanik
- Sicherheitsbeauftragter – Aufgaben & Bestellung des Sicherheitsbeauftragten