Datenschutz-Grundverordnung (DSGVO) - FAQ Teil 1

Datenschutz-Grundverordnung (DSGVO) – FAQ Teil 1

14.02.2018

Die Datenschutzgrundverordnung der EU – DSGVO – tritt am 25. Mai 2018 in Kraft. Eine Frist, die sich rasch nähert.

 

Die Auswirkungen sind für viele Unternehmen gewaltig. Werbetreibende, insbesondere B2C-Unternehmen, bekommen die Forderungen dieser neuen Verordnung besonders zu spüren, da die Mehrheit von ihnen in Besitz personenbezogener Daten ist. 

 

Derzeit verstehen viele Vermarkter die Auswirkungen der DSGVO allerdings noch nicht vollständig. Einige glauben nicht, dass ihre Teams sich dessen voll bewusst sind, und geben sogar zu, dass ihre Websites Ende Mai wahrscheinlich nicht konform sein werden. 

 

Die Strafen für die Nichteinhaltung können schwerwiegend sein. Unternehmen, die diesen Anforderungen nicht nachkommen, können bis zu 4% des jährlichen globalen Einkommens oder 20 Mio. € für die Verletzung der DSGVO zahlen.

 

Aus diesem Grund haben wir die wichtigsten Fakten der Grundverordnung in einem übersichtlichen FAQ zusammengestellt.

 

 

Teil 1:

 

 

Was ist die DSGVO?

 

Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie noch erhebliche Unterschiede bestanden, wird die DSGVO direkt geltendes Recht in allen Mitgliedsstaaten sein.

 

 

Was ist das Ziel der DSGVO?

 

Mit der DSGVO soll ein einheitlicher Schutz personenbezogener Daten natürlicher Personen sowie des freien Datenverkehrs innerhalb der Europäischen Union gewährleistet werden. Als EU-Verordnung hat die DSGVO unmittelbare Rechtswirksamkeit in allen EU-Mitgliedsstaaten.

 

Konkrete Ziele sind (Art. 1 DSGVO):

 

  1. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Sicherstellen, dass der freie Verkehr personenbezogener Daten aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.

 

 

Wann tritt die DSGVO in Kraft?

 

Die DSGVO ist bereits am 25. Mai 2016 in Kraft getreten – 20 Tage nach ihrer Veröffentlichung im EU-Amtsblatt. Nach der darin geregelten Übergangsfrist kommt sie allerdings erst zwei Jahre nach Inkrafttreten zur Anwendung. Das bedeutet, dass sie ab 25. Mai 2018 für alle gültig ist.

 

 

Wer ist betroffen?

 

Die DSGVO gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig vom Sitz der Organisation. Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.

 

 

Wo gilt die DSGVO?

 

Die DSGVO stellt darauf ab, ob ein Anbieter von Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet, unabhängig vom Sitz des verarbeitenden Unternehmens.

 

 

Wie wirkt die DSGVO in Deutschland?

 

Die für Unternehmen einschlägigen Regelungen des BDSG werden weitgehend durch die Regelungen der DSGVO ersetzt. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedsstaaten und bedarf keines nationalen Umsetzungsgesetzes. Die nationalen Gesetzgeber werden lediglich neue Gesetze erlassen, um die nationalen Vorschriften, die durch die Verordnung ersetzt werden, aufzuheben.

 

 

Wofür gilt die DSGVO?

 

Die Verordnung gilt für „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (Art.2 Abs.1 DSGVO).

 

 

Was sind personenbezogene Daten?

 

Personenbezogene Daten sind definitionsgemäß alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sie umfassen z.B. Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann. Die Grundsätze des Datenschutzes gelten nicht für „anonyme Informationen“, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht identifiziert werden kann. (Art. 4 Abs. 1 DSGVO).

 

 

Welche Strafen drohen bei Verstößen?

 

Datenschutzverstöße werden ab dem 25. Mai 2018 stärker bestraft. Die DSGVO sieht vor, dass grundsätzlich jede Pflichtverletzung, also jede unzureichende organisatorische und technische Maßnahme zum Schutz von personenbezogenen Daten, seitens der Verantwortlichen oder der Auftragsverarbeiter bußgeldbewehrt ist.

 

Die Bußgeldhöhe richtet sich gemäß DSGVO nach einem zweistufigen System:

 

  • „Einfachere“ Verstöße können zu einem Bußgeld von bis zu 10 Mio. Euro bzw. in Höhe von bis zu zwei Prozent des gesamten und weltweit erwirtschafteten Jahresumsatzes des vorangegangenen Geschäftsjahres führen, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 DSGVO).
  • Bei schwerwiegenderen Verstößen und bei Nichtbefolgung einer Anweisung der nationalen Aufsichtsbehörde ist ein Bußgeld von bis zu 20 Mio. Euro oder in Höhe von bis zu vier Prozent des weltweit erzielten Jahresumsatzes möglich (Art. 83 Abs. 5 und 6 DSGVO). Dies geschieht hier ebenfalls in Abhängigkeit von der jeweiligen Höhe des Betrags.

 

 

Wer ist „Verantwortlicher“ und welche Pflichten hat er?

 

Ein Verantwortlicher ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“, die für eigene Zwecke personenbezogene Daten verarbeitet. Er entscheidet „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ (Art. 4 Abs.7 DSGVO). Die Entscheidung über die Zwecke und die Schutzmaßnahmen muss sich allerdings im Rahmen der Vorschriften der DSGVO bewegen. In der Regel richten sich die Datenverarbeitungszwecke nach dem Geschäftsfall, z. B. im Rahmen der Kreditoren- und Debitorenbuchhaltung. Die Schutzmaßnahmen für die personenbezogenen Daten müssen entsprechend des jeweiligen Schutzbedarfs gewählt werden. Der Verantwortliche muss die Rechtmäßigkeit und die Zweckbindung der Datenverarbeitung sicherstellen, sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden, gewährleisten. Er muss zudem die Einhaltung der DSGVO nachweisen.

 

 

Welche wesentlichen Änderungen gibt es für die Verantwortlichen?

 

Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können (sog. Rechenschaftspflicht). Dafür müssen unter anderem die Datenverarbeitungsprozesse dokumentiert, sowie die Prozesse zur Gewährleistung der Betroffenenrechte im Unternehmen etabliert werden. Zusätzlich zur Dokumentation der Datenverarbeitungsprozesse müssen betroffene Personen, deren Daten verarbeitet werden, umfassender informiert werden. Maßnahmen zum Schutz der Daten müssen grundsätzlich den aktuellen Stand der Technik widerspiegeln. Die Schutzmaßnahmen müssen entsprechend des jeweiligen Schutzbedarfs gewählt werden. Dieser risikobasierte Ansatz macht die Forderung nach einem Prozess für Risikomanagement zur Festlegung geeigneter technisch-organisatorischer Maßnahmen deutlich.

 

 

Wer ist „Auftragsverarbeiter“?

 

Ein Auftragsverarbeitender ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Abs. 8 DSGVO). Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen. Er ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Daten.

 

 

Was sind die wichtigsten Änderungen im Vergleich zum geltenden Recht?

 

Zu den wichtigsten Änderungen der DSGVO gehören:

 

  • Einheitlicher europäischer Datenschutz:
    Die DSGVO ersetzt als einheitliches europäisches Datenschutzrecht die verschiedenen Gesetze der Mitgliedstaaten. Unternehmen müssen sich somit nur noch mit einem einzigen und nicht mit 28 verschiedenen Gesetzen auseinandersetzen.
  • Geltungsbereich außerhalb der EU:
    Die Regelungen der DSGVO gelten auch für Unternehmen, die keine Niederlassung in der EU haben, aber EU-Bürgern Waren- und Dienstleistungen (einschließlich kostenfreier Waren- und Dienstleistungen wie beispielsweise Social-Media-Angebote) anbieten oder deren Verhalten überwachen.
  • Datenschutzgarantien:
    Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sind nunmehr wesentliche Elemente der EU-Datenschutzvorschriften. Datenschutzgarantien werden bereits frühzeitig in die Entwicklung von Erzeugnissen und Dienstleistungen integriert und datenschutzfreundliche Voreinstellungen werden beispielsweise in sozialen Netzwerken oder Mobilen Apps zur Norm.
  • Personenbezogene Daten:
    Mit dem gestärkten Datenschutz werden Unternehmen in die Pflicht genommen, personenbezogene Daten angemessen zu schützen. Diese werden definiert als:„alle Informationen über eine bestimmte oder bestimmbare natürliche Person (nachstehend „betroffene Person“ genannt); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;” (Art. 4 Abs.1 DSGVO). Diese weite Definition personenbezogener Daten deckt auch Informationen ab, die lediglich indirekt auf Kunden, Konsumenten, Mitarbeiter, Studenten oder Schüler verweisen sowie jegliche andere Daten über Individuen.
  • Meldungen bei Datenschutzverstößen:
    Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstöße melden, durch die ein Risiko für den betroffenen Bürger entstanden ist. Zudem muss die betroffene Person so rasch wie möglich über alle mit hohem Risiko behafteten Verstöße informiert werden, damit entsprechend reagiert werden kann. Organisationen müssen die nationalen Behörden bei schweren Datenschutzverletzungen unverzüglich innerhalb von 72 Stunden informieren.
  • Stärkere Durchsetzung der Vorschriften:
    Datenschutzbehörden können Geldstrafen gegen Unternehmen verhängen, die gegen EU-Vorschriften verstoßen. Diese Geldstrafen können bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens ausmachen. Bußgelder sind allerdings nicht zwingend und müssen dem jeweiligen Einzelfall angemessen verhängt werden sowie verhältnismäßig sein.

 

 

Was ist weitestgehend gleich geblieben?

 

  • Heute schon geltende Datenschutzprinzipien wie Zweckbindung, Datenminimierung und Transparenz bleiben erhalten.
  • Für die Verarbeitung von Daten ist weiterhin eine Rechtsgrundlage, z. B. „Vertragserfüllung“ oder „Einwilligung des Betroffenen“ notwendig.
  • Die wesentlichen Rechtsgrundlagen zur Datenverarbeitung bleiben bestehen.
  • Der Umgang mit personenbezogenen Daten bleibt auch weiterhin verboten, wenn er nicht entweder durch einen Erlaubnistatbestand der DSGVO oder sonstigen Rechtsvorschrift (z.B. Spezialgesetzgebung wie Telekommunikationsgesetz (TKG) oder Telemediengesetz (TMG)) erlaubt ist (Grundprinzip Verbot mit Erlaubnisvorbehalt). Die gängigen gesetzlichen Erlaubnistatbestände für die Verarbeitung bleiben erhalten.
  • Die Verarbeitung besonders sensibler Daten unterliegt nach wie vor besonderen Voraussetzungen.
  • Die gängigen gesetzlichen Rechtsinstrumente für die Übermittlung in Drittstaaten bleiben weitestgehend erhalten und werden sogar noch erweitert.
  • Zumindest in Deutschland bleibt der betriebliche Datenschutzbeauftragte für die meisten Unternehmen unabdinglich.

 

Weitere Informationen zur DSGVO gibt es in unserem FAQ – Teil 2.

 
 

Quellen:

 

https://dsgvo-gesetz.de/

https://blog.sage.de/digitaletrends/eu-dsgvo/faq-dsgvo/

http://www.rechtsanwalt.de/eu-dsgvo-fragen-und-anworten-faq/

https://www.bitkom.org/Bitkom/Publikationen/FAQ-zur-Datenschutzgrundverordnung.html

 

Haftungsausschluss: Die in diesem Artikel enthaltenen Informationen stellen keine rechtliche Beratung dar. Jede Person, die beabsichtigt, sich auf die hierin enthaltenen Informationen zu verlassen oder diese zu nutzen, ist allein dafür verantwortlich, die Informationen unabhängig zu überprüfen und gegebenenfalls unabhängigen Expertenrat einzuholen.

So bringen Werbetreibende AdTech und MarTech zusammen  

30.05.2018

  AdTech und MarTech laufen in Zukunft zusammen. Dennoch sind Lösungen, die die Daten- und Performancevorteile beider miteinander verbinden, bisher mehr Ausnahme als Regel. Und das, obwohl Kunden sowohl über Paid als auch Owned Media eine konsistente und ganzheitliche User Journey haben sollten.   Diese kann jedoch nicht entstehen, solange beide Bereiche getrennt betrachtet werden. […]

Datensicherheit im Cross-Device-Tracking

03.05.2018

Im vergangenen Jahr war bereits deutlich zu sehen, wie immer mehr Online-Marketer das Cross-Device-Tracking für ihre Werbezwecke nutzen. Das Sammeln von Nutzerinformationen im Internet bringt für Werbetreibende allerdings Vorteile und Herausforderungen gleichermaßen mit sich. Vor allem die Datensicherheit ist ein immer wieder aufkeimendes Thema. Doch wie steht es um diese eigentlich und was können Unternehmen […]

Datensicherheit im Cross-Device-Tracking

03.05.2018

Im vergangenen Jahr war bereits deutlich zu sehen, wie immer mehr Online-Marketer das Cross-Device-Tracking für ihre Werbezwecke nutzen. Das Sammeln von Nutzerinformationen im Internet bringt für Werbetreibende allerdings Vorteile und Herausforderungen gleichermaßen mit sich. Vor allem die Datensicherheit ist ein immer wieder aufkeimendes Thema. Doch wie steht es um diese eigentlich und was können Unternehmen […]