EU-Datenschutz-Grundverordnung – DSGVO – Die Neuerungen im Überblick


Nach einer 24-monatigen Übergangsfrist tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 schließlich in Kraft. Wenngleich viele Regelungen bereits mit dem bisherigen Bundesdatenschutzgesetz (BDSG) abgedeckt waren, bietet die DSGVO auch einige Neuerungen. Mehr Informationen dazu, was Unternehmen künftig im Umgang mit personenbezogenen Daten zu beachten haben, finden Sie im folgenden Artikel.

Die Datenschutzbestimmungen nach der neuen DSGVO greifen in Zukunft nicht nur EU-weit, auch außerhalb dieser haben sich Unternehmen an die darin aufgeführten Richtlinien zu halten, zumindest sobald sie mit der Verarbeitung persönlicher Angaben von EU-Bürgern beginnen. Die länderspezifischen Gesetze sind dadurch aber nicht außer Kraft gesetzt, sie gelten auch weiterhin in begleitender Form.

DSGVO – Unternehmen müssen Rechenschaftspflicht beachten

Informationen zur DSGVO

Eine gänzlich neue Regelung, die mit Einführung der DSGVO hinzukommt, ist die sogenannte Accountability – zu Deutsch Rechenschaftspflicht. Danach muss die für die Datenverarbeitung verantwortliche Stelle zu jeder Zeit nachweisen können, dass sie die Datenschutzbestimmungen tatsächlich einhält. Dazu gehören zum Beispiel die Vorgaben zur Speicherbegrenzung und zur Zweckbindung der erhobenen Daten sowie zum zwingend erforderlichen Vorliegen der Nutzereinwilligungen.

Nach dem BDSG war bereits ein öffentliches Verfahrensverzeichnis notwendig, bei dem die erhobenen Daten an sich zur Offenlegung gegenüber Dritten aufzuführen waren. Laut DSGVO ist dies jedoch nicht mehr gestattet. Dagegen müssen nun die jeweiligen Maßnahmen, welche zur Wahrung der Sicherheit dieser Daten unternommen werden, dokumentiert und den zuständigen Aufsichtsbehörden vorgelegt werden. Kann ein Unternehmen dieser neuen Rechenschaftspflicht nicht nachkommen, drohen ihm hohe Bußgelder: Bis zu 20 Millionen Euro oder – falls diese Summe höher ausfällt – vier Prozent des weltweiten Jahresumsatzes werden als Strafmaß angesetzt. Aufgrund dessen ist es wichtig, sowohl die Mitarbeiter entsprechend zu schulen als auch eine geeignete Software zu Dokumentationszwecken anzuschaffen.

Nachweispflicht korrekt umsetzen

Grundsätzlich ist der Nachweis der angewandten Maßnahmen in überprüfbarer und aktualisierbarer Form zu erbringen. Darüber hinaus muss die Dokumentation detailliert und für die Aufsichtsbehörde nachvollziehbar sein, weshalb die Verwendung eines Datenschutz-Managementsystems (DSMS) ratsam ist.

Je sensibler die personenbezogenen Daten bei der Erhebung eingestuft werden oder je umfangreicher sie ausfallen, desto sicherer müssen auch die Schutzmaßnahmen eingerichtet werden. Als sensible und somit besonders schützenswerte Daten gelten die religiöse Zugehörigkeit, die ethnische Herkunft, die politische Einstellung, die sexuelle Orientierung sowie der Gesundheitszustand einer Person. Um sicherzugehen, dass keine Gefährdung für diese Daten besteht, können beispielsweise externe Dienstleister mit einer Überprüfung der vorhandenen Vorkehrungen beauftragt werden.

Regelmäßige Risikoanalyse

EU-Datenschutz-Grundverordnung - DSGVODie DSGVO fordert zusätzliche Risikobewertungen in wiederkehrenden Abständen, damit etwaige Datenschutzpannen schnellstmöglich behoben werden können. Eine erhöhte Gefährdung besteht zum Beispiel stets bei der Verwendung neuer Technologien oder wenn Informationen von besonders schutzbedürftigen Personen verarbeitet sowie persönliche Angaben an außereuropäische Empfänger weitergeleitet werden.

Um herauszufinden, ob solche oder ähnliche Gefährdungen vorliegen, müssen Art, Umstände und Zweck der Verarbeitung ebenso wie die Eintrittswahrscheinlichkeit und der Umfang des möglichen zu verursachenden Schadens analysiert werden. Eine Datenschutz-Folgenabschätzung (DSFA) ist immer dann anzufertigen, wenn mindestens zwei der risikobehafteten Gegebenheiten entdeckt werden. Darüber hinaus müssen Datenpannen innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden mitgeteilt werden, ansonsten drohen auch hier Bußgelder.

Datenschutz-Folgenabschätzung richtig erstellen

In einer DSFA – auch Privacy Impact Assessment (PIA) genannt – sollten folgende Aspekte in jedem Fall aufgeführt werden:

  • die Verarbeitungstätigkeit von personenbezogenen Daten
  • Bewertung der Notwendigkeit und Angemessenheit der Datenverarbeitung
  • Darstellung der technischen, organisatorischen und rechtlichen Maßnahmen, die dem erkennbaren Risiko beziehungsweise dessen Eintrittswahrscheinlichkeit entgegenwirken

Das Prinzip der DSFA ist dabei zwar grundsätzlich nicht neu, die zur DSGVO zugehörigen Erwägungsgründe 90 und 91 fügen aber zusätzlich an, dass die Eintrittswahrscheinlichkeit der Gefahr aus Sicht des Betroffenen zu beurteilen sowie die entsprechende Risikoquelle zu nennen ist.

Direktwerbung ohne Listenprivileg

Bisher war es Unternehmen bereits gestattet, die erhobenen personenbezogenen Daten ihrer Nutzer für kommerzielle Zwecke zu vermarkten. In der DSGVO existiert diese Regelung nicht mehr, es wird aber mit dem Erwägungsgrund 47 zumindest festgelegt, dass die Speicherung und Weitergabe von Privatadressen zu Werbezwecken als legitim betrachtet werden kann, wenn für den Betroffenen oder die Betroffene vernünftigerweise absehbar ist, „dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“.

Dies ist in der Regel bei allen öffentlich zugänglichen Daten der Fall, zum Beispiel in Form eines Impressums auf einer Webseite. Aber auch wenn ein Nutzer seine Daten in sozialen Netzwerken mit den entsprechenden Privatsphäre-Einstellungen für die Allgemeinheit zugänglich macht, ist die Direktwerbung ohne Datenschutzverstoß möglich.

Weitere Änderungen, welche die DSGVO sowohl für Verbraucher als auch Unternehmen mit sich bringt, hat der Berufsverband der Rechtsjournalisten e.V. unter www.datenschutz.org/dsgvo für Sie zusammengestellt.