Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten gültig. Wichtig für Sie zu wissen: Sie als Unternehmer müssen die neuen Regelungen bis dahin bereits umgesetzt haben. Die DSGVO bringt einige Änderungen mit sich. Laut DGAP werden Unternehmen im Schnitt acht Stunden pro Tag damit verbringen, ihre Datenbanken zu durchforsten um die neuen Anforderungen erfüllen zu können. Rund 60% der europäischen Unternehmen sind nicht ausreichend auf die neuen Richtlinien vorbereitet. Was sich durch die DSGVO in Bezug auf den Datenschutz ändert und was Sie beachten sollten um teure Bußgelder zu vermeiden, erfahren Sie im Folgenden.
DSGVO – Worum geht es überhaupt?
Die DSGVO ist eine vom Europäischen Parlament beschlossene Verordnung. Den genauen Wortlaut der Verordnung können Sie hier nachlesen. Ziele sind ein einheitliches Datenschutzrecht und der Schutz personenbezogener Daten. Zu personenbezogenen Daten gehören Name, Anschrift, Telefonnummer, Geburtsdatum, E-Mail Adresse, Einkommen und Kontodaten sowie gesundheitliche Informationen einer Person. Aber auch das Kfz-Kennzeichen, die IP Adresse oder das Kauf-, Surf-, und Klickverhalten im Internet zählen dazu. Die DSGVO regelt das Datenschutzrecht, also den Umgang von Unternehmen mit diesen Daten. Die wesentlichen Elemente des aktuell geltenden Bundesdatenschutzgesetz (BDSG) bleiben erhalten, viele Regelungen werden aber auch verschärft. Die DSGVO gilt für alle Unternehmen innerhalb der EU und auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten oder eine Niederlassung in der EU haben. Betroffen ist jedes Unternehmen das im Internet aktiv ist.
Was ändert sich?
Wenn Sie sich bisher gut um den Datenschutz gekümmert haben, können Sie aufatmen. Als Unternehmer in Deutschland sind Sie auf jeden Fall im Vorteil, da die Regelungen bisher schon recht hoch waren. An vielen bekannten Grundsätzen ändert sich nichts.
Das bleibt
Das maßgebliche Ziel, der zum Datenschutz errichteten Verordnung bleibt: Die Grundrechte jeder natürlichen Person sollen geschützt werden. Personenbezogene Daten dürfen weiterhin nicht erhoben, verarbeitet oder genutzt werden, außer Sie haben eine ausdrückliche Erlaubnis dazu. Außerdem dürfen Sie nur so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen. Die Daten müssen inhaltlich und sachlich richtig und immer aktuell sein. Zudem dürfen Sie nicht zweckentfremdet werden.
Das ist neu
Auftragsdatenverarbeitung (Art. 28 ff. DSGVO)
Bei der Auftragsdatenverarbeitung werden personenbezogene Daten durch einen Auftragnehmer im Auftrag des Verantwortlichen verarbeitet. Zum Beispiel wird ein externes Kundencenter oder Rechenzentrum eingesetzt. Nach BDSG war bisher nur der Auftraggeber für die Datenverarbeitung verantwortlich. Zukünftig werden jedoch sowohl Auftraggeber als auch Auftragnehmer gleichermaßen verantwortlich sein. Der Vertrag muss nicht schriftlich geschlossen, sondern kann nun auch elektronisch gefasst werden.
WICHTIG FÜR UNSERE KUNDEN: Das betrifft natürlich auch unsere Kunden, denn wenn Hilfestellung per Remote-Support (TeamViewer, Remote Desktop, o. ä.) geleistet wird, dann erhalten wir unter Umständen Einblicke in personenbezogene Daten (Ansprechpartner bei Kunden/Lieferanten/Interessen, Kalender- oder E-Mail-Inhalte oder Daten zu Ihren Mitarbeitern). Hierzu erhalten Sie in Kürze ein Info-Mailing unseres Datenschutzbeauftragten, der Ihnen den Sachverhalt einmal näherbringt. Ebenso haben wir vorgefertigte Verträge für unsere Kunden, welche die wesentlichen Punkte abdecken.
Einwilligung (Art. 7 DSGVO)
Wenn Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten, müssen Sie sich eine ausdrückliche Zustimmung Ihrer Kunden einholen. Ein voreingestellter Haken in einem Kontrollkästchen auf Ihrer Webseite genügt zum Beispiel nicht mehr und ist keine wirksame Einwilligung. Die Einwilligung muss also durch eine klare Handlung erteilt werden und freiwillig sein. Ein Vertrag darf beispielsweise nicht an die Verarbeitung von Daten gebunden sein, die mit der Leistung oder dem Produkt nichts zu tun haben. Weiterhin muss die Einwilligung jederzeit Widerrufen werden können. Der Widerruf der Einwilligung muss dabei so einfach sein, wie auch die Erteilung der Einwilligung. Bei Minderjährigen ist eine Einwilligung ohne Zustimmung der Eltern erst ab 16 Jahren wirksam. Diese Grenze kann von den Mitgliedsstaaten auf 13 Jahre herabgesetzt werden.
Recht auf Vergessenwerden (Art. 17 DSGVO)
Auf Wunsch müssen Unternehmen personenbezogene Daten löschen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Die Daten müssen gelöscht werden, wenn der Zweck für die Datenverarbeitung wegfällt, diese unrechtmäßig war oder der Betroffene seine Einwilligung widerrufen hat.
Datenübertragbarkeit (Art. 20 DSGVO)
Nutzer können persönliche Daten, zum Beispiel bei einem Wechsel zu einer anderen Bank, einem neuen Arbeitgeber oder auch zu anderen sozialen Netzwerken, zu einem anderen Anbieter mitnehmen. Allerdings ist noch unklar, wie dies in der Praxis umgesetzt wird.
Datensicherheit (Artikel 32 DSGVO)
Um personenbezogene Daten im Missbrauchs- und Verlustfall zu schützen, müssen Datenverarbeiter geeignete technische und organisatorische Maßnahmen treffen. Wie diese Maßnahmen genau aussehen, orientiert sich am Stand der Technik, notwendigen Implementierungskosten und auch den gegebenen Umständen. Für den Verantwortlichen besteht die Verpflichtung, die Datensicherheit regelmäßig zu überprüfen.
Meldepflichten (Art. 33 Abs. 1 DSGVO)
Im Falle einer Datenpanne gibt es ab jetzt konkrete Fristen. Sie müssen jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden, wenn die Rechte und Pflichten des Betroffenen einem Risiko ausgesetzt sind. In diesem Zuge wird es auch eine Dokumentationspflicht für Unternehmen gegenüber der Behörde geben, um die Meldepflicht zu überprüfen.
Datenschutzbeauftragter (Art. 39 DSGVO)
Ab jetzt wird es EU-weit einen Datenschutzbeauftragten geben. Der Datenschutzbeauftragte ist unter anderem dafür zuständig, die Einhaltung der Verordnung zu überwachen und Schulungen durchzuführen.
Vereinfachte Beschwerden (Art. 77 DSGVO)
Künftig ist es möglich, Beschwerde bei der Datenschutzbehörde des eigenen Landes einzureichen, ungeachtet dessen wo der Sitz des jeweiligen Unternehmens ist. Auch Verbände dürfen in Zukunft im Auftrag von Verbrauchern klagen.
Was ist zu tun?
Um die neuen Anforderungen zu erfüllen, sollten Sie einige Vorbereitungen treffen. Aber wo fängt man am besten an? Bis die neue Verordnung in Kraft tritt, ist schließlich nicht mehr viel Zeit. Prüfen Sie deshalb schon jetzt, welche datenschutzrechtlichen Maßnahmen in Ihrem Unternehmen vorhanden sind und ob diese der DSGVO entsprechen. Erarbeiten Sie am besten ein Konzept, nachdem Sie Ihre Mitarbeiter über die neuen Anforderungen informieren und schulen können. Nachfolgend sind die wichtigsten Punkte zusammengefasst:
Struktur und Verantwortlichkeiten
Gibt es in Ihrem Unternehmen eine Datenschutzrichtlinie und sind die Verantwortlichkeiten geregelt? Wer hat Zugriff zu welchen Daten und wer entscheidet über die Datenverarbeitung? Setzen Sie am besten einen Datenschutzbeauftragten ein. Sollten Sie mit besonderen personenbezogenen Daten, wie zum Beispiel Gesundheitsdaten arbeiten, kann es sein dass Sie verpflichtet sind einen Datenschutzbeauftragten zu bestellen, unabhängig davon wie viele Mitarbeiter Ihr Unternehmen hat. Falls Sie bereits einen Datenschutzbeauftragten haben, sollten Sie diesen bei der zuständigen Aufsichtsbehörde melden.
Passen Sie Ihre Verträge an
Sollten Sie mit Dienstleistern zusammenarbeiten, die in Ihrem Auftrag personenbezogene Daten verarbeiten, sollten Sie die Verträge anpassen. Die Inhalte ändern sich mit der DSGVO. Sind die Verträge nicht vollständig, droht bereits ein Bußgeld. Prüfen Sie auch die Verträge mit anderen Vertragspartnern, insbesondere in Bezug auf den Haftungs- und Datenschutz.
Transparenz und Informationspflichten
Transparenz ist eines der wesentlichen Grundsätze des Datenschutzrechts. Schon bei der Erhebung der Daten, müssen Sie den Betroffenen über die Verarbeitung informieren. Dazu zählen zum Beispiel der Verwendungszweck, Dauer der Speicherung oder auch das Widerrufsrecht.
Ändern Sie Ihre Formulare und Einwilligungen
Wie bereits weiter oben beschrieben, gibt es mit der DSGVO strengere Regeln was die Handhabung von Einwilligungen angeht. Mit jeder Einwilligung muss nun auch über die Widerrufsmöglichkeiten informiert werden. Außerdem müssen Sie gewissen Einschränkungen beachten, wenn Sie die Einwilligung in Ihre AGB integrieren oder sie an eine andere Handlung koppeln möchten, wie zum Bespiel den Abschluss eines Vertrages. Es gibt allerdings auch Vereinfachungen: es ist keine Schriftform mehr notwendig.
Passen Sie Ihre Datenschutzerklärungen an
Die Informationspflichten gegenüber betroffenen Personen steigen mit der DSGVO deutlich an. So muss die Person über jeden Vorgang informiert werden, bei welchem Sie dessen Daten verarbeiten. Jede Datenschutzerklärung muss außerdem den Namen und die Kontaktdaten des Webseiten-Betreibers enthalten. Haben Sie einen Datenschutzbeauftragten, müssen auch dessen Kontaktdaten angegeben werden. Zudem müssen Sie Angaben zu Rechtsgrundlage und Zweck der Verarbeitung machen.
Datenschutzverletzungen
Kommt es zu einer Datenschutzverletzung, muss dies innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Sie sollten sicherstellen, dass eine Verletzung auch direkt erkannt.
Schulen Sie Ihre Mitarbeiter
Im Hinblick auf die bevorstehenden Veränderungen ist es notwendig zu wissen, warum Datenschutz wichtig ist und welche Folgen es hat, wenn dieser nicht eingehalten wird. Deshalb sollten Sie alle Mitarbeiter die in Ihrem Unternehmen mit personenbezogenen Daten, beispielsweise von Kunden oder Lieferanten, arbeiten für das Thema Datenschutz sensibilisieren und sie mit den dazugehörigen Anforderungen vertraut machen. Stellen Sie sicher, dass die Daten nicht unberechtigt verarbeitet werden. Nach Art. 39 DSGVO ist es die Aufgabe des Datenschutzbeauftragten die Mitarbeiter zu schulen. Werden die neuen Vorschriften nicht eingehalten, droht ein Bußgeld.
Geldbußen bei Verstößen
Die Bedingungen für die Verhängung eines Bußgeldes sind in Artikel 83 und 84 des DSGVO beschrieben. Bei Verstößen ist mit größeren Sanktionen zu rechnen als zuvor. Allerdings kommt es auf die Art des Verstoßes an. So wird zum Beispiel unterschieden, ob vorsätzlich oder fahrlässig gehandelt wurde oder ein Verstoß gemeldet oder der Behörde auf andere Weise bekannt wurde. Bei Verstößen werden Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt. Bei schweren Verstößen können von den Aufsichtsbehörden Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes verhängt werden.
Weitere Informationen
Wenn Sie mehr über die Datenschutz-Grundverordnung oder die gesamte Funktionspalette von TimeLine ERP erfahren möchten, senden Sie uns gerne eine Nachricht über das Kontaktformular, schreiben an info@timeline.de oder kontaktieren unser Sales-Team unter +49 212 230 35 200. Wir freuen uns auf Sie und beraten Sie gerne!