HDI.de Google Plus HDI.de Facebook HDI.de LinkedIn HDI.de Twitter pdf Vektor-Smartobjekt1 Vektor-Smartobjekt Vektor-Smartobjekt
ratgeber-cyber-versicherung-eu-datenschutz-mann-laptop-tablet-schloss
Wenn es um effektiven Datenschutz geht.

Die Uhr tickt: Der 25. Mai 2018 ist ein wichtiger Termin für Selbständige und Freiberufler. Ab diesem Tag müssen sie – wie die meisten Unternehmer, Unternehmen und Behörden – die EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt haben. Ziel der Richtlinie ist ein einheitlicher Umgang in der Europäischen Union mit personenbezogenen Daten. Der Gesetzgeber verspricht sich davon mehr Sicherheit für sensible, digital verarbeitete Informationen über Verbraucher. Wer sich darauf nicht einstellt, muss mit erheblichen Bußgeldern rechnen.


EU-Recht löst deutsches Recht ab

Der Countdown läuft bereits seit dem 25. Mai 2016. Damals trat die Datenschutz-Grundverordnung offiziell in Kraft – allerdings mit einer zweijährigen Schonfrist für ihre Umsetzung. Nun ist diese Übergangsphase fast abgelaufen. Der Handlungsdruck wird damit immer größer. Zwar basiert die neue EU-weite Regelung weitgehend auf dem deutschen Bundesdatenschutzgesetz (BDSG), dennoch kommen auch auf hiesige Unternehmen erhebliche Veränderungen zu. Denn sämtliche diesbezüglichen länderspezifischen Gesetze verlieren ab dem 25. Mai 2018 ihre Gültigkeit. Darunter fallen in Deutschland auch Teile des Telemediengesetzes.


Sinn und Zweck der EU-DSGVO

In erster Linie sollen die DSGVO-Neuerungen die Grundrechte und Grundfreiheiten der Verbraucher stärken. Konkret folgt daraus ein streng geregelter Umgang mit personenbezogenen Daten, die einen Menschen identifizierbar machen. Damit wirkt sich die Datenschutz-Grundverordnung auf alle Unternehmen aus, die im Internet aktiv sind. Betroffen sind Sie beispielsweise, wenn Sie Facebook-Kanäle betreiben, Newsletter verschicken, Nutzerverhalten oder Kundendaten erfassen und auswerten. Das gilt übrigens auch für außereuropäische Anbieter, die in der EU Handel treiben beziehungsweise Geschäfte machen und personenbezogene Daten von EU-Bürgern verarbeiten, wie etwa Google oder Microsoft. Der Firmensitz spielt also keine Rolle, nur der Wirkungskreis entscheidet.

Personenbezogene Daten von Verbrauchern sind unter anderem:

  • Name
  • Adressinformationen (auch Telefonnummern, E-Mail- sowie IP-Adressen)
  • Geburtstag
  • Autokennzeichen
  • Bankverbindungen
  • Cookies

Die Auftragsdatenverarbeitung (ADV) dieser und ähnlicher digitaler Informationen unterliegt künftig bestimmten Grundsätzen, die in Artikel 5 der EU-DSGVO stehen. Dort heißt es zum Beispiel, personenbezogene Daten müssen …

  • ... „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“.
  • ... ausschließlich „für festgelegte, eindeutige und legitime Zwecke erhoben werden“.
  • ... „dem Zweck angemessen sein“.
  • ... „sachlich richtig“ sein.
  • ... nur insoweit eine Identifizierung ermöglichen, wie es für ihre Verarbeitung unbedingt erforderlich ist. Das gilt auch für die Speicherdauer.
  • ... angemessen vor Verlust und unbefugtem Zugriff geschützt sein.

EU-Datenschutz-Grundverordnung: Darauf kommt es an

Die Richtlinie zwingt zu einer reformierten Auftragsdatenverarbeitung von personenbezogenen Daten. Das wirkt sich stark auf Datenumgang und Datenschutz in Unternehmen jeder Größe aus, also auch in mittelständischen und kleinen.

Als Selbstständiger oder Chef müssen Sie beispielsweise:

  • Nachweisen, dass Sie ein funktionierendes und dokumentiertes Datenschutzkonzept betreiben und damit sämtliche Anforderungen der EU-DSGVO erfüllen (Rechenschaftspflicht). Dazu gehören auch Sicherheitsaudits sowie eine Risiko- und Folgenabschätzung. Das Datenschutzkonzept ist regelmäßig zu kontrollieren und bei Bedarf neuen technischen Entwicklungen anzupassen.
  • Einen Datenschutzbeauftragten bestellen und seine Kontaktdaten auf Ihrer Internetseite veröffentlichen.
  • Erwachsene und Kinder ab dem vollendeten 13. Lebensjahr (Art. 8 EU-DSGVO) viel detaillierter als bisher über den Umgang mit ihren personenbezogenen Daten informieren. Auch benötigen Sie dafür das freiwillige und schriftliche Einverständnis der Betroffenen. Diese Einwilligung dürfen Verbraucher jederzeit zurückziehen.
  • Verbraucher auf Wunsch ihre verarbeiteten Daten einsehen lassen.
  • Daten unverzüglich löschen, wenn die betreffenden Verbraucher Sie dazu auffordern. Das gilt unter anderem auch, wenn Sie Daten nicht mehr benötigen oder unrechtmäßig verarbeitet haben.
  • Personenbezogene Daten in einem gängigen Format den Nutzern bereitstellen, wenn diese zu einem anderen Unternehmen wechseln. Beispiele: Ein Kunde geht zu einem neuen Arbeitgeber, einer anderen Bank oder einem anderen (sozialen) Netzwerk.
  • Die Menge personenbezogener Daten so gering wie möglich halten.
  • Jegliche Datenschutzverstöße innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde und – je nach Schwere des Falls – den betreffenden Verbrauchern melden. Zu gestehen sind damit auch Datenlecks und Hackerangriffe, die zu immensen Folgekosten führen können. Viele dieser Risiken fängt die Cyber-Versicherung von HDI ab.

Was tun? Die EU-DSGVO-Checkliste

Die Zeit drängt und es gibt viel zu tun. Interne Prozesse und Dokumente sind zu prüfen und den neuen Anforderungen anzupassen. Strategisches Vorgehen spart hier Zeit, Geld und Nerven. Kalkulieren Sie daher vorab den zeitlichen und finanziellen Aufwand. Binden Sie nicht nur den Datenschutzbeauftragten in die Planung ein, sondern gegebenenfalls die Geschäftsleitung sowie Vertreter der Abteilungen IT, Recht und Compliance, Finanzen, F&E, Personal sowie des Betriebsrats. Hier eine kurze Übersicht weiterer, wichtiger Aufgaben:

  • Ermitteln und dokumentieren Sie, welche personenbezogenen Daten Sie wo und wie in Ihrem Unternehmen verarbeiten.
  • Klären Sie, wer darauf zugreifen darf. Stellen Sie sicher, dass nur Berechtigte die Kontrolle über die Daten besitzen.
  • Passen Sie Ihre Datenschutzerklärung der Datenschutz-Grundverordnung an. Das gilt auch für eventuelle Betriebsvereinbarungen mit Ihrer Belegschaft.
  • Bereiten Sie Ihr Personal mit Schulungen auf die EU-DSGVO und die damit verbundenen internen Prozesse vor.
  • Sorgen Sie für Einwilligungserklärungen und entwickeln Sie einen Workflow, falls Verbraucher ihre Einwilligung zurückziehen oder Widersprüche einreichen.
  • Regeln und dokumentieren Sie die Auftragsverarbeitung inklusive Haftungsfragen.
  • Bringen Sie Ihre Notfallpläne bei Datenpannen auf den aktuellen Stand.
  • Führen Sie bei Bedarf ein gängiges Datenverarbeitungsformat ein.

Diese und weitere Punkte unterliegen der erweiterten Rechenschaftspflicht. Um ihr zu genügen, etablieren Sie ein angemessenes Datenschutzmanagement-System. Es begleitet und dokumentiert sämtliche oben genannten Prozesse. Sie brauchen es, um vor den Aufsichtsbehörden die regelkonforme Umsetzung der Datenschutz-Grundverordnung nachzuweisen.


Konsequenzen bei Verstößen

Wer sich nicht ab dem 25. Mai 2018 an die Datenschutz-Grundverordnung hält, muss mit empfindlichen Strafen rechnen. Möglich sind Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens, das bei einem Verstoß erwischt wird. Entscheidend ist hier, welcher Betrag höher ausfällt.