Für alle Unternehmen ist seit Mai 2018 die neue EU-Datenschutzverordnung (EU-DSGVO) bindend. Ziel ist es den Schutz privater Daten zu verbessern und sicher zu stellen, dass in den 28 Mitgliedstaaten die Regelungen vereinheitlicht werden. Unternehmen, Selbständige oder Vereine die sich nicht daran halten, riskieren hohe Strafen. Wir haben die 10 wichtigsten Fragen und Antworten für Sie zusammengestellt.
Worauf geachtet werden muss - Die Grundregel
Merken Sie sich die Grundregel: Datensparsamkeit - Speichern Sie nur die Daten, die Sie für die Abwicklung von Aufträgen tatsächlich benötigen. Für das Vereinsleben gilt das gleiche. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten. Dafür brauchen Sie eine Erlaubnis aus dem BDSG, TMG, EU-DSGVO und der Einwilligung der Person. Des Weiteren dürfen Sie die Daten nur für die Zwecke verarbeiten, für die Sie sie erhoben haben. Wer Daten speichert muss sicherstellen, dass diese aktuell und richtig sind. Mehr Informationen über die neue EU-Datenschutzverordnung.
Was steht im Artikel 32 DSGVO?
Artikel 32 DSGVO regelt den Grundsatz der Datensicherheit. Datenverarbeiter müssen folgendes beachten: Stand der Technik, Implementierungskosten und Art der Kosten, Umfang, Risikoanalysen. Des Weiteren müssen Sie organisatorische Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau sicherzustellen. Das Niveau des Datenschutzes orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Lesen Sie hier Artikel 32 DSGVO nach.
Besteht ein Recht auf Vergessenwerden?
Das Recht auf Vergessenwerden ist ein Anspruch, dass personenbezogene Daten gelöscht oder gesperrt werden müssen, wenn kein Verwendungsgrund mehr vorliegt. Dieses Recht kann gegen alle Stellen geltend gemacht werden. Es ist oft ein Irrglaube, dass Nutzer nur gegen Suchmaschinen dieses Recht geltend machen können. Neu ist, dass es im Artikel 17 der DSGVO eine eigenständige Regelung zum Recht auf Vergessenwerden gibt.
In folgenden Fällen besteht Recht auf Vergessenwerden:
- Der Zweck der Datenverarbeitung ist weggefallen (Art. 17 Buchstabe a)
- Die Einwilligung wurde durch den Betroffenen widerrufen (Art. 17 Buchstabe b)
- Die Datenverarbeitung war unrechtmäßig (Art. 17 Buchstabe c)
Besteht ein Recht auf Übertragbarkeit der Daten?
Die Übertragbarkeit der Daten wird in Artikel 20 DSGVO geregelt. Dabei handelt es sich um das Recht, Daten zu einem anderen Anbieter “mitzunehmen”. Das heißt, dass die betroffene Person die Übertragung der personenbezogenen Daten veranlassen kann. Sie kann von dem Datenverantwortlichen verlangen, dass die Daten an einen anderen Verantwortlichen weitergegeben werden. Die Übertragbarkeit von Daten ist in folgenden Bereichen von Relevanz:
- Wechsel zu anderen (sozialen) Netzwerken
- Wechsel der Bank
- Wechsel des Arbeitgebers
Beachten Sie, dass das Recht auf Übertragbarkeit sehr komplex ist. Es ist daher ratsam einen spezialisierten Berater heranzuziehen, um Fehler und damit verbundene hohe Kosten zu vermeiden.
Was ist die Rechtshaftpflicht?
Artikel 5 Abs. 2 DSGVO regelt die Rechenschaftspflicht. Alle Datenschutzverantwortlichen müssen die Einhaltung aller Datenschutzprinzipien nachweisen können. Es ist daher ratsam ein effektives Datenschutzmanagement einzurichten und die Einhaltung der Datenschutzanforderungen zu dokumentieren. Beachten Sie: Bei Nichteinhaltung sind die Strafen deutlich höher als früher!
Wann wird ein Datenschutzbeauftragter benötigt?
Sie müssen einen Datenschutzbeauftragten bestellen, wenn mindestens zehn Mitarbeiter zur Bearbeitung persönlicher Daten angestellt sind. Es zählt jeder Mitarbeiter, auch wenn dieser nur einmal pro Woche personenbezogene Daten bearbeitet.
Des Weiteren, ist ein Datenschutzbeauftragter zu bestellen, wenn mit sensiblen Daten gearbeitet wird. Dies gilt unabhängig von der Mitarbeiterzahl. Sensible Daten sind beispielsweise Angaben über die sexuelle Orientierung, religiöse Überzeugung, oder Daten zur Gesundheit.
Wenn personenbezogene Daten an Dritte übermittelt werden, müssen Unternehmen einen Datenschutzbeauftragten bestellen. Bei Adresshandel, Markt- und Meinungsforschungszwecken ist ein Datenschutzbeauftragter verpflichtend.
Gut zu wissen: Der Datenschutzbeauftragter muss nicht vollzeit beschäftigt sein, es kann auch ein externen Dienstleister herangezogen werden.
Was gilt für Webseiten?
Betreiben Sie eine Webseite, dann muss die Datenschutzerklärung geprüft und ergänzt werden. Achten Sie darauf, dass oft auch im Hintergrund Daten von Besuchern der Webseite gespeichert werden. Auch hier ist Vorsicht geboten. Informieren Sie sich genau welche Daten in den Log-Dateien protokolliert werden. Log-Dateien sind eine Auflistung von ausgeführten Aktivitäten.
Was gilt für die Teilnahme an Gewinnspielen?
Bei Gewinnspielen und Preisausschreibungen muss die Datenerhebung und Datenverarbeitung durch Einwilligung oder durch eine gesetzliche Bestimmung legitimiert werden. Die Einwilligung muss freiwillig erfolgen. Zu beachten ist, dass die Teilnahme am Gewinnspiel nicht mit der Einwilligung in die Zusendung von Werbematerial gekoppelt sein darf.
Dürfen Daten in einer Cloud gespeichert werden?
Personenbezogene Daten können weiterhin in einer Cloud gespeichert werden. Zu beachten ist jedoch, dass der Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung abschließen muss. Der Cloud-Betreiber muss garantieren, dass die geeigneten technischen und organisatorischen maßnahmen getroffen wurden, um die Datenverarbeitung gem. DSGVO durchzuführen. Es muss sichergestellt werden, dass die personenbezogenen Daten im Einklang mit den Regelungen der DSGVO stehen.
Was sind die Konsequenzen bei einem Verstoß der Verordnung?
Ein Verstoß gegen die neue DSGVO ist kostspielig. Die Sanktionen werden im Bundesdatenschutzgesetz (BDSG) geregelt.
Vorgesehen sind Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatz des Unternehmens. Es handelt sich dabei um Höchststrafen, die dazu dienen sollen große Konzerne abzuschrecken.