Wichtige Fragen zur Datenschutzgrundverordnung auf einem Blick

1. Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen. Konkrete Ziele sind:
  • Der Schutz natürlicher Personen bei der Verarbeitung deren personenbezogener Daten.
  • Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten.
  • Sicherstellung, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.
Dieser Rechtsrahmen ersetzt die derzeitige EU-Datenschutzrichtlinie (95/46/EG) mit zusätzlichen bislang geltenden Anforderungen. Die neue EU-Datenschutzregelung erweitert den Geltungsbereich des EU-Datenschutzrechts auf alle Unternehmen auch außerhalb der EU, sobald diese Daten von EU-Bürgern verarbeiten.

2.  Macht die DSGVO einen Unterschied bei B2B und B2C?

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sondern gilt für beide gleichermaßen. Die Datenschutz-Grundverordnung gilt dem Schutz natürlicher Personen statt juristischer Personen!

3. Warum sollte ich DSGVO-konform sein? Was sind die Vorteile?

DSGVO-konform zu sein hat, abgesehen von keiner Strafzahlung, zahlreiche Vorteile:
  • Guter Kundenservice
  • Engagement verbessern
  • Bessere Markenreputation
  • Erhöht das Vertrauen
  • Wettbewerbsvorteil
  • Erhöhung der Verfügbarkeit

4. Wann tritt die DSGVO in Kraft?

Sie gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten.

5. Für wen gilt die EU-DSGVO?

Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet.

6. Wo gilt die Datenschutz-Grundverordnung (DSGVO)?

Die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedsstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, sofern die Datenverarbeitung EU-Bürgerinnen und Bürger betrifft.

7. Welche alten Regeln gelten unter der Datenschutz-Grundverordnung weiterhin?

  • Das primäre Ziel, die Grundrechte und Grundfreiheiten von natürlichen Personen zu schützen, bleibt bestehen. Das Recht auf Selbstbestimmung bleibt unberührt.
  • Das keine personenbezogenen Daten erhoben oder verarbeitet werden dürfen, solange eine Rechtsvorschrift etwas anderes bestimmt, bleibt in Kraft. Ausnahmen werden weiterhin streng reguliert.
  • Die Verarbeitung von sensiblen personenbezogenen Daten unterliegen weiterhin strengen Voraussetzungen. Eine vorherige Einwilligung des Betroffenen bleibt ebenfalls Pflicht.
  • Unternehmen, deren Hauptaktivität die Datenerhebung und Datenverarbeitung von natürlichen Personen ist, benötigen einen Datenschutzbeauftragten.
  • Die jeweilige Zweckbestimmung ist für eine Weiterverarbeitung entscheidend und bedarf einer entsprechenden Transparenz. Eine andere, außer dem ursprünglichen Zwecke, Nutzung von personenbezogenen Daten bleibt verboten.

8. Was wird sich mit der neuen DSGVO konkret ändern?

Einige Beispiele:
  • Sämtliche Daten, die die direkte Identifizierung einer Person ermöglichen (Vorname, Nachname, Adresse) oder beziehbar durch Kombination machen. (IP Adresse + Providerauskunft=Adresse) müssen geschützt werden.
  • Mehr Rechte für natürliche Personen, ausdrückliche Zustimmung erforderlich. Recht auf Vergessen.
  • Information, welche Daten wo, von wem mit welcher Rechtsgrundlage und seit wann gespeichert werden.
  • Deutlich höhere Bußgelder bei Verstößen.
  • Extraterritoriale Anwendung: Es zählt alleinig, wohin die Daten fließen und nicht von wo man operiert.
  • Risikobasierte Rechenschaftspflicht: Der Verantwortliche hat dafür Sorge zu tragen, dass risikominimierende Maßnahmen wirksam ergriffen werden.
  • Mitteilungspflicht bei Datenschutz Verletzungen: Bei einer Datenverletzung muss der Verantwortlich innerhalb von 72 Stunden die Betroffenen und Behörden informieren.
  • Konkretere Bestimmung wann ein Datenschutzbeauftragter zu ernennen ist.
  • Datenschutz Konzept
  • Übermittlung der Daten an betroffene Personen, Kontrolle ihrer Daten.
  • Strengere technische und organisatorische Maßnahmen.

9. Was passiert, wenn ich mit Drittanbietern zusammenarbeite? Kann ich diese weiterhin nutzen?

Wenn Sie Daten an Dritte zur Verarbeitung weitergeben, müssen sie die Einwilligung der betroffenen Personen erlangen, die es Ihnen erlaubt, Daten an diese Drittanbieter zu übermitteln. Sie namentlich bekannt gegeben werden. Die DSGVO gilt nicht nur für Unternehmen, die die Daten speichern sondern auch für diejenigen, die diese Daten verarbeiten. Ihr Unternehmen wird laut Datenschutzgrundverordnung als Datenverarbeiter angesehen und trägt somit die gleiche Verantwortung wie ein Lösungsanbieter, der die Daten speichert. Wichtig: Sofern der von Ihnen genutzte Drittanbieter nicht DSGVO konform ist, so gelten Sie automatisch auch nicht als konform. In diesem Fall drohen Ihnen die gleichen Strafen.

10. Wie verhält es sich mit ausländischen Unternehmen?

Eine Übermittlung personenbezogener Daten an ein Drittland, wie etwa die USA, oder eine internationale Organisation, darf vorgenommen werden, wenn die Europäische Kommission der Meinung ist, das Folgendes erfüllt ist:
  • Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten
  • öffentliche und nationale Sicherheit, angewandtes Strafrecht und der Zugang der Behörden zu personenbezogenen Daten
  • Aufsichtsbehörden, die die Einhaltung aller Rechtsvorschriften und Datenschutzrichtlinien überwacht
  • Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften auch hinsichtlich der Übermittlung personenbezogener Daten an Dritte
Dies ist beispielsweise bei unter dem Privacy Shield agierenden Unternehmen der Fall.

11. Wie kann ich sichergehen, dass die Drittanbieter, mit denen ich zusammenarbeite DSGVO-konform sind?

Um sicherzustellen, dass Sie unter der DSGVO ordnungsgemäß mit Drittanbietern zusammenarbeiten, prüfen und dokumentieren Sie folgende Schritte: Schritt 1: Nehmen sie die Verarbeitungen in ihr Verfahrensverzeichnis auf. Schritt 2: Klären Sie, welche Daten, wann zu welchem Drittanbieter gehen. Schritt 3: Nehmen Sie eine Risikoabschätzung vor, ob ggf. eine Datenschutzfolgeabschätzung notwendig ist. Schritt 4: Schließen Sie einen neuen Auftragsverarbeitungsvertrag nach DSGVO Norm ab. Schritt 5: Verpflichten Sie den Drittanbieter Ihnen sämtliche Unteranbieter, sowie jegliche Standorte von Datenzentren aufzulisten, wo personenbezogene Daten gespeichert und verarbeitet werden. Schritt 6: Prüfen sie, ob alle Unteranbieter DSGVO konform sind. Prüfung sowohl von EU- als auch von Nicht-EU Lösungsanbietern. Schritt 7: Ggf. Wechsel zu DSGVO konformen Drittanbietern.

12. Ist das Profiling unter der DSGVO erlaubt?

Profiling ist eine automatisierte Verarbeitung personenbezogener Daten um, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen. Beispielsweise: Automatische Ablehnung eines Online-Kreditantrags, Online-Einstellungsverfahren. Das Profiling wird in Art. 22 DSGVO erfasst: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet, oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Art 22 Abs. 1, DSGVO)

13. Welche Strafen drohen bei Datenschutzverstößen?

Datenschutzverstöße werden ab dem 25. Mai 2018 stärker bestraft. Die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung kann nach Art. 83 (5) DSGVO bis zu 20 Mio. € oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem welcher Wert größer ist. Es gibt nach Art. 83 (4) DSGVO einen abgestuften Ansatz zu Geldstrafen, z.B. Ein Unternehmen kann mit 2% verurteilt werden, weil es seine Aufzeichnungen nicht in der richtigen Reihenfolge hat (Artikel 28), ohne die Überwachungsbehörde darüber zu benachrichtigen und die Betroffenen über einen Verstoß ausreichend zu informieren oder keine Folgenabschätzung durchzuführen.