DSGVO: Das sollten Sie unbedingt beachten!

Halten Sie die Datenschutzgrundverordnung ein? Sie sind sich nicht sicher? Dann lassen Sie die Einhaltung der DSGVO prüfen. Nur so vermeiden Sie die Folgen von Datenschutzverstößen durch Bußgelder, Abmahnungen, Schadensersatzforderungen und ein negatives Image beim Datenschutz in der Öffentlichkeit.

Die wichtigsten Fakten

• Die Datenschutzgrundverordnung muss nahezu jeder beachten.
• Sie regelt umfassend die Verarbeitung der Daten von EU-Bürgern.
• Mit der DSGVO gilt EU-weit ein einheitliches Datenschutzrecht mit neuen Pflichten.
• Die DSGVO erlaubt Bußgelder bis zu 20 Millionen Euro oder bis zu 4 Prozent des Vorjahresumsatzes.

So gehen Sie vor

1. Sorgen Sie für eine aktuelle Datenschutzerklärung.
2. Bestellen Sie einen Datenschutzbeauftragten.
3. Erstellen Sie ein Verzeichnis ihrer Datenverarbeitungen.
4. Schließen Sie Verträge, wenn Sie Daten im Auftrag verarbeiten lassen.
5. Beachten Sie stets die aktuellen Anforderungen der DSGVO.

Die DSGVO hat den Datenschutz zum Dauerthema in den Medien und in der Gesellschaft gemacht. Keiner kann es sich mehr erlauben, die DSGVO zu ignorieren.

Wer muss die Datenschutzgrundverordnung einhalten?

Sie meinen, die Datenschutzgrundverordnung gelte nur für Online-Unternehmen? Falsch. Richtig ist: Die Datenschutzgrundverordnung gilt für so gut wie jeden. Wo gilt die DSGVO nicht? Bei ausschließlich persönlichen oder familiären Tätigkeiten natürlicher Personen, also von Menschen. Jedes geschäftliche Handeln verpflichtet dagegen zur Einhaltung der DSGVO. Dafür genügt bereits ein kleiner wirtschaftlicher Zusammenhang – etwa Werbung auf dem privaten Blog.                

DSGVO gilt für fast jede Tätigkeit

Neben Unternehmen müssen auch Vereine und Behörden die DSGVO einhalten. Egal, ob Dienstleister oder Produzent, ob klein, mittel oder groß, online oder offline tätig: Online-Shops, Handwerksbetriebe, Einzelhändler, Hotels, Banken, Versicherungen, Arztpraxen, Krankenhäuser, Kindergärten, Altenheime, Bibliotheken, Behörden und Vereine müssen die DSGVO befolgen und eine rechtmäßige Datenverarbeitung gewährleisten.

Alle personenbezogenen Daten geschützt

Das Datenschutzrecht gilt für alle Menschen. Zweck der DSGVO ist der Schutz ihrer jeweiligen personenbezogenen Daten. Das sind alle Informationen, mit denen sich eine bestimmte natürliche Person – also ein bestimmter Mensch – identifizieren lässt. Die DSGVO gilt auch für Unternehmen mit Sitz außerhalb der EU bzw. des EWR, sobald sie personenbezogene Daten von Bürgern eines EU-Lands sowie Norwegens, Islands oder Liechtensteins verarbeiten.

Name, Adresse, Telefonnummern und vieles mehr

Personenbezogene Daten sind insbesondere Name, Adresse, Geburtsdatum, E-Mail-Adresse, Alter, Familienstand, Geschlecht, Kontodaten, Kreditkartennummer, Kfz-Kennzeichen, Kundennummern, Standortdaten und so weiter. Personenbezogen können insbesondere Informationen über das Aussehen einer Person sein wie deren Haarfarbe oder Körpergröße oder deren Vorlieben wie ein Hobby. Weit verbreitete personenbezogene Daten sind zudem die im Internet verwendeten IP-Adressen.

Nicht nur bei Speicherung im Computer

Die Verordnung gilt zum einen für die automatisierte Verarbeitung personenbezogener Daten. Damit gemeint ist insbesondere die Speicherung in einem Computer oder ähnlichen Geräten. Zum anderen genügt es, dass personenbezogene Daten in einem Dateisystem gespeichert werden oder gespeichert werden sollen, wofür bereits die strukturierte Erfassung in einer Liste genügt.

Datenschutzpflicht jederzeit möglich

Eine abgeschlossene Liste, welche Daten personenbezogen sind und welche nicht, gibt es nicht. Vielmehr gilt: Sobald Daten die Identifizierung eines Menschen ermöglichen, werden sie zu personenbezogenen Daten. Möglich ist diese Verwandlung beim Verbinden vorhandener Daten mit neuen Daten. Ab diesem Zeitpunkt unterliegen diese insgesamt dem Datenschutz. Fortan sind die Vorschriften der DSGVO einzuhalten.

Die DSGVO ist in vielen Fällen zu beachten

Die hohe Zahl personenbezogener Daten und die weitverbreiteten Verarbeitungsmethoden führen dazu, dass die DSGVO in einer Vielzahl von Fällen zu beachten ist. Hier sind nur einige Beispiele, bei denen Sie die DSGVO regelmäßig einhalten müssen:

• Verwalten von Kundendaten, Mitarbeiterdaten, Bewerberdaten, Patientendaten, Mitgliederdaten, Lieferantendaten und vergleichbaren Daten
• Kommunizieren per E-Mail oder per Messenger wie etwa WhatsApp
• Betrieb einer Website
• Werbebanner auf der Website
• Nutzen von Analyse- und Tracking-Software (z. B. Google Analytics)
• Anbieten eines Newsletters
• Videoüberwachung
• Veröffentlichen von Personenfotos

Sensible Daten unterliegen besonderem Datenschutz

Für folgende Kategorien personenbezogene Daten gilt zudem ein erhöhter Datenschutz: Gesundheitsdaten, Daten zur rassischen und ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit. Für ihre Verarbeitung sieht die DSGVO strengere Regeln vor als für andere personenbezogene Daten.

Wer ist für die Einhaltung der DSGVO verantwortlich?

Verantwortlich für die Einhaltung der DSGVO ist, wer Zwecke und Mittel der Datenverarbeitung bestimmt. Das ist regelmäßig die Leitung einer Stelle:

• Verantwortlich in einem Unternehmen ist die Geschäftsleitung, also Geschäftsführer, Vorstände oder geschäftsführende Gesellschafter
• Verantwortlich in einem Verein ist dessen Vorstand
• Verantwortlich in einer Praxis oder Kanzlei ist deren Inhaber
• Verantwortlich in einer Behörde ist der Behördenleiter

Verantwortliche haften mit ihrem Privatvermögen für Datenschutzverstöße. Neben Bußgeldern der Datenschutzbehörde drohen Schadensersatzforderungen betroffener Personen. Bei schweren Verstößen sind zudem Geldstrafen oder sogar Freiheitsstrafe möglich. Die Namen und Kontaktdaten des Verantwortlichen müssen in der Datenschutzerklärung stehen.

Bußgelder bis zu 20 Millionen Euro möglich

Die bisherigen Bußgelder wurden durch die DSGVO extrem angehoben. Verstöße können die Datenschutzbehörden nun mit bis zu 20 Millionen Euro oder bei Unternehmen mit bis zu 4 Prozent ihres weltweiten Vorjahresumsatzes ahnden – je nachdem, welcher Betrag höher ist. Datenschutzbeauftragte können ebenfalls haften. Sie befreien die Leitung aber nicht von deren Verantwortung und eigenem Haftungsrisiko.

Was müssen Verantwortliche aufgrund der DSGVO einhalten?

Die Datenschutzgrundverordnung stellt enorme Anforderungen an die Verantwortlichen. Ein Vorteil ist: Viele Vorschriften der Verordnung galten bereits vergleichbar, bevor die DSGVO am 25. Mai 2018 verbindlich wurde. Eine wesentliche Grundlage der Datenschutzgrundverordnung bildete das bisherige deutsche Datenschutzrecht.

Nicht alles ist neu, aber einiges anders

Wer bereits das vor der Datenschutzgrundverordnung geltende Bundesdatenschutzgesetz – kurz BDSG – befolgt hat, befindet sich auf einem guten Weg. Einiges in der DSGVO entstammt ihm. Einfach zurücklehnen in puncto Datenschutz können Sie sich jedoch nicht. Die DSGVO bringt auch viele neue Anforderungen mit sich. Neu sind insbesondere strengere Informations- und Dokumentationspflichten, Gestaltungsprinzipien wie Privacy by Design und Privacy by Default sowie eine Datenschutzfolgeabschätzung bei besonderen Risiken für die verarbeiteten Daten. Dadurch wirkt sich die DSGVO wesentlich stärker auf das Tagesgeschäft aus, als das nach dem alten BDSG der Fall war.

Datenschutz ist Daueraufgabe

Hinzu kommt: Der Datenschutz muss den Entwicklungen in jeder Einrichtung nicht nur folgen. Er muss Veränderungen und Neuerungen in vielen Fällen sogar vorausgehen. Nur dann ist die Datenverarbeitung rechtmäßig. Ansonsten lässt sich eine rechtmäßige Verarbeitung im Nachhinein nicht oder nur schwer herstellen.

Somit ist er bereits bei der Planung neuer Prozesse zu beachten. Der Datenschutz stellt jede Stelle somit ständig vor die Aufgabe, die Regeln der DSGVO einzuhalten.

Wer braucht einen Datenschutzbeauftragten?

Haben Sie einen Datenschutzbeauftragten? Die DSGVO verlangt in vielen Fällen dessen schriftliche Bestellung.

Ein Datenschutzbeauftragter ist Pflicht, wenn mindestens zehn Personen regelmäßig ständig personenbezogene Daten automatisiert verarbeiten – also insbesondere an Computern damit arbeiten. Unabhängig davon ist ein Datenschutzbeauftragter immer vorgeschrieben, wenn folgende Tätigkeiten im Mittelpunkt stehen:

• Geschäftsmäßige Übermittlung personenbezogener Daten etwa zum Datenhandel
• Datenverarbeitung für Zwecke der Markt- oder Meinungsforschung
• Umfangreiche oder systematische Datenverarbeitung zur Überwachung von Personen
• Verarbeitung mit hohem Risiko für davon betroffene Personen, die einer Datenschutzfolgeabschätzung bedürfen
• Hauptsächliche Verarbeitung besonders geschützter Kategorien personenbezogener Daten wie z. B. von Gesundheitsdaten in Arztpraxen
• Datenverarbeitung öffentlicher Stellen und Behörden, mit Ausnahme der Gerichte im Rahmen der Rechtsprechung     

Wer kann Datenschutzbeauftragter sein?

Datenschutzbeauftragter kann sowohl eine Person außerhalb der verantwortlichen Stelle sein wie auch ein Mitarbeiter. Je nachdem wird diese Person als externer Datenschutzbeauftragter oder als interner bzw. betrieblicher Datenschutzbeauftragter bezeichnet. In jedem Fall muss der Datenschutzbeauftragte eine entsprechende berufliche Qualifikation und Fachkenntnisse besitzen.

Es dürfen keine Interessenkonflikte zwischen der Tätigkeit für das Unternehmen und den Pflichten des Datenschutzbeauftragten entstehen. Mitglieder der Leitung und leitende Mitarbeiter können deshalb kein Datenschutzbeauftragter sein.

Aufgrund der DSGVO ist der Datenschutzbeauftragte zudem der zuständigen Datenschutzbehörde zu melden.

DSGVO-Einhaltung muss der Verantwortliche beweisen

Achtung: Als Verantwortlicher trifft Sie die Beweislast, dass Sie die DSGVO einhalten. Sie müssen im Streitfall beweisen, dass sie das Datenschutzrecht beachtet haben. Dieser Beweis gelingt Ihnen nur, wenn Sie

• jegliche Verarbeitung personenbezogener Daten sorgfältig prüfen und
• umfassend dokumentieren, wie Sie personenbezogene Daten verarbeiten.

Können Sie sich nicht entlasten, drohen

• Bußgelder und Auflagen durch die Datenschutzbehörden,
• Abmahnungen und Unterlassungsverpflichtungen durch Verbraucherverbände, Wettbewerbsverbände und Konkurrenten,
• Schadensersatzforderungen betroffener Personen.   

Die wichtigsten DSGVO-Pflichten    

Für die Verarbeitung personenbezogener Daten gelten folgende DSGVO-Grundsätze

• Rechtmäßigkeit
• Zweckbindung
• Transparenz
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit
• Rechenschaftspflicht

Aus diesen Grundsätzen für die Verarbeitung personenbezogener Daten folgen erhebliche Pflichten. Die wichtigsten Anforderungen, die Sie danach einhalten müssen, sind:

Rechtmäßige Verarbeitung: Daten verarbeiten, nur wenn erlaubt                              

Für jede Datenverarbeitung benötigen Sie eine Rechtsgrundlage. Sonst verarbeiten Sie die Daten rechtswidrig. Folgende Rechtsgrundlagen für die Verarbeitung kennt die DSGVO:

• Einwilligung der betroffenen Person
• Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen
• Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person
• Erfüllen einer rechtlichen Verpflichtung
• Wahrnehmen einer Aufgabe im öffentlichen Interesse
• Wahren Ihrer berechtigten Interessen oder eines Dritten

Richtige Rechtsgrundlage auch richtig anwenden

Eine Datenverarbeitung ohne oder auf falscher Rechtsgrundlage ist rechtswidrig. Die Rechtsgrundlagen lassen sich jedoch nicht beliebig verwenden. Die Wahl der richtigen Rechtsgrundlage ist deshalb entscheidend dafür, dass die Verarbeitung rechtmäßig ist.

Wichtig ist zudem, dass Sie die Anforderungen der Rechtsgrundlage im Einzelfall einhalten.

Stützen Sie die Datenverarbeitung – beispielsweise zum Newsletterversand – auf eine Einwilligung,

• müssen die Einwilligungen der von der Verarbeitung betroffenen Personen vorher vorliegen,
• müssen sie sie freiwillig abgegeben haben,
• muss jede Einwilligung durch eine aktive Handlung erfolgt sein,
• müssen sie die Einwilligung jederzeit widerrufen können,
• dürfen Sie die Daten nur für die im Rahmen der Einwilligung erläuterten Zwecke verarbeiten.

Sensible Daten betroffener Personen dürfen Sie oft nur mit ihrer ausdrücklichen Einwilligung verarbeiten.

Sie müssen die Einwilligung zudem beweissicher dokumentieren. Ohne Nachweis der Einwilligung können Sie sonst einen Verstoß gegen die Datenschutzgrundverordnung kaum widerlegen. Sie trifft nämlich eine Rechenschaftspflicht.

Stützen Sie die Verarbeitung auf die Wahrung berechtigter Interessen, müssen Sie umfassend abwägen, ob Ihre Interessen die Interessen der von der Verarbeitung betroffenen Person überwiegen. Andernfalls droht deren Unrechtmäßigkeit.               

Transparenzpflichten

Transparenz ist ein weiterer wesentlicher Grundsatz der Datenschutzgrundverordnung. Sie müssen dazu umfangreiche Informationspflichten erfüllen.     

Aktuelle Datenschutzerklärung

Die Informationspflichten erfüllen Sie vor allem mit Ihrer Datenschutzerklärung. Sorgen Sie dafür, dass die Datenschutzerklärung stets vollständig und aktuell informiert.

Sie müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form darüber informieren,

• wie Sie personenbezogene Daten erheben und wie Sie diese nutzen,
• wer verantwortlich für die Verarbeitung der Daten ist,
• welche Rechte betroffene Personen haben,
• wie diese Ihren Datenschutzbeauftragten erreichen.

Die Sprache muss klar und einfach sein. Wo muss die Datenschutzerklärung muss stehen? Auf einer Website muss sie gut sichtbar und von überall leicht erreichbar eingebunden sein. Gut geeignet ist ein Link im Footer auf jeder Seite der Website.

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis muss stets aktuell sein und sämtliche Verarbeitungen beschreiben. Sie müssen es der Datenschutzbehörde jederzeit auf Verlangen vorlegen können. Andernfalls kann diese die Verarbeitung untersagen und ein Bußgeld verhängen. Ab 250 Mitarbeitern müssen Verantwortliche immer ein solches Verfahrensverzeichnis führen. Oft gilt diese Pflicht bereits bei weniger als 250 Mitarbeitern. Es genügt, dass die Verarbeitung Risiken für Rechte und Freiheiten der davon betroffenen Personen birgt oder eine regelmäßige Verarbeitung stattfindet.

Datenpannen in 72 Stunden melden

Ob Hackerangriff oder eigene Fehler: Geraten Daten an unbefugte Personen oder werden diese vernichtet, gilt eine Meldepflicht, wenn ein Risiko für betroffene Personen besteht. Wird die Datenpanne bemerkt, muss innerhalb von 72 Stunden eine Meldung bei der zuständigen Datenschutzbehörde erfolgen. Bei einem hohen Risiko für die betroffenen Personen sind auch diese zu informieren. Die Meldepflicht gilt auch im Falle eines Datenschutzverstoßes bei einem Dienstleister.

Sicherheit der Verarbeitung

Datenschutz durch Datensicherheit ist ein weiterer Grundsatz, in der DSGVO mit Integrität und Vertraulichkeit umschrieben. Ein Schlagwort dafür ist Privacy by Design. Daraus folgt die Pflicht, die Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen vor Risiken zu sichern. Danach muss zum Beispiel bei Kontaktformularen eine verschlüsselte Datenübertragung erfolgen.       

Verträge über Auftragsverarbeitung

Verantwortliche, die Dritte mit der Datenverarbeitung beauftragen, müssen die Regeln der DSGVO zur Auftragsverarbeitung einhalten.

Situationen, in denen eine Auftragsverarbeitung vorliegen kann:

• Nutzung von Google Analytics
• Hosting von Daten auf fremdem Server
• Verwendung von Cloud-Diensten
• Einsatz eines Newsletterdienstleisters
• Wartungsdienste an IT-Einrichtung
• Datenträgerentsorgung
• Externe Lohnabrechnung

Sie müssen darüber hinaus den Auftragsverarbeiter sorgfältig auswählen und dessen ordnungsgemäße Verarbeitung regelmäßig kontrollieren und sicherstellen. Insbesondere müssen Sie eine Auftragsverarbeitung mit dem Anbieter vereinbaren. Dieser Vertrag soll die Verarbeitung in Ihrem Auftrag absichern. Der Abschluss ist auch elektronisch möglich.

Datenübermittlung ins Ausland      

Verarbeitet ein Beauftragter Daten in einem Land außerhalb der EU bzw. des EWR, müssen Sie sicherstellen, dass in diesem Drittland ein vergleichbares Datenschutzniveau herrscht. Auch Großbritannien wird zum Drittland beim Verlassen der EU ohne geeignete Vereinbarung.

Eine Übermittlung in die USA setzt voraus, dass sich der Anbieter nach dem EU-US-Abkommen Privacy Shield zertifiziert hat. Hier ist zu unterscheiden nach der Zertifizierung für Beschäftigtendaten und übrigen Daten. Andernfalls sind die Standardvertragsklauseln der EU zu nutzen. Die Übermittlung sensibler Daten ist dennoch nur eingeschränkt in Drittländer möglich.

Außerdem können branchenspezifische Datenschutzregeln die Übermittlung legitimieren. Einen solchen Code of Conduct muss jedoch die Aufsichtsbehörde offiziell genehmigen.

Gemeinsam Verantwortliche

Bestimmen zwei oder mehrere Verantwortliche arbeitsteilig Zwecke und Mittel einer Verarbeitung, sind sie gemeinsam für die Verarbeitung Verantwortliche. Auch für diese Konstellation verlangt die DSGVO eine Vereinbarung.

Datenminimierung

Sie müssen darauf achten, dass Sie nur so viele Daten verarbeiten, wie Sie für den Zweck benötigen. Schlagwort dafür ist Privacy by Default. Daraus folgen datenschutzfreundliche Voreinstellungen. Insbesondere Kontaktformulare sind so zu gestalten, dass Sie nur die notwendigen Daten abfragen. So benötigt ein Newsletterabo prinzipiell nur die E-Mail-Adresse, jedoch keine Telefonnummer.

Zweckbindung

Die Daten dürfen Sie nur für den vorher festgelegten Zweck verarbeiten. Verarbeiten Sie z. B. Daten aufgrund einer Einwilligung, dann dürfen Sie das nur, soweit der Betroffene auch vorher in diese Verarbeitung eingewilligt hat.

Möchten Sie die Daten für später andere Zwecke verwenden, müssen Sie zuvor erneut eine Einwilligung dafür einholen.        

Speicherbegrenzung

Eine Grenze gilt auch in zeitlicher Hinsicht. Sie dürfen Daten nur so lange verarbeiten, wie dies für den Zweck erforderlich ist. Danach müssen Sie die Verarbeitung einschränken und die Daten löschen.

Der Löschung können Gründe entgegenstehen, z. B. gesetzliche Aufbewahrungspflichten. Diese müssen im Einzelfall gegeben sein.

Betroffenenrechte beachten

Von der Verarbeitung ihrer Daten betroffene Personen haben zahlreiche Rechte aufgrund der DSGVO. Diese Rechte muss Ihre Datenschutzerklärung nennen. Macht sie jemand geltend, müssen Sie zudem rechtzeitig darauf reagieren. Sonst droht eine Beschwerde bei der Datenschutzbehörde. Diese führt zu Kontrollen und einem Bußgeld, wenn die Behörde einen Verstoß feststellt. Zudem können Betroffene Schadensersatz geltend machen.

Die wichtigsten Betroffenenrechte sind:

• Recht auf umfassende Auskunft über die Daten und deren Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht auf Löschung personenbezogener Daten und „auf Vergessenwerden“
• Recht auf Einschränkung der Verarbeitung
• Recht auf Berichtigung unrichtiger Daten
• Widerspruchsrecht gegen die Datenverarbeitung

Was droht Ihnen, wenn Sie gegen die DSGVO verstoßen?                                   

Schützen Sie sich vor folgenden Risiken durch Einhaltung der DSGVO.

(GUE)