DSGVO: Diese Änderungen kommen auf dein Online-Business zu (Teil 1)
In dieser Beitragsreihe möchte ich die Datenschutzgrundverordnung (DSGVO) verständlich erklären sowie Checklisten und Handlungsvorschläge bieten. Denn angesichts des drastisch erhöhten Bußgeldrahmens, ist Untätigkeit der falsche Weg. Bevor es jedoch an praktische Anforderungen für Einwilligungen, Onlinemarketing, Auftragsverarbeitung und Verzeichnisse von Verarbeitungstätigkeiten geht, muss ein Überblick zu den Änderungen her.
DSGVO: Was ist die Datenschutzgrundverordnung?
Die DSGVO ist ein EU-Gesetz, das unmittelbar in den Mitgliedsstaaten wirkt. Sein Ziel ist es einen einheitlichen Rechtsrahmen zu schaffen. Ob dies gelingt, bleibt abzuwarten. Denn auch heute gleichen sich viele Datenschutzgesetze, werden jedoch von den Datenschutz-Aufsichtsbehörden der einzelnen Länder anders ausgelegt.
So ist es kein Geheimnis, dass im Hinblick auf die Datenschutzpraxis ausländische Unternehmen ihre Dependancen lieber in Irland als in Deutschland eröffnen. Ferner enthält das Gesetz sogenannte „Öffnungsklauseln“, die zum Beispiel im Hinblick auf den Beschäftigtendatenschutz, Datenschutzbeauftragte oder Videoüberwachung nationale Regelungen erlauben. So wird es beispielsweise auch wieder ein deutsches Bundesdatenschutzgesetz geben (BDSG).
Ebenso wird es auch auf der EU-Ebene Spezialgesetze geben, wie die E-Privacy-Verordnung, die gerade verhandelt wird. Sie enthält besondere Regelungen zum E-Mail-Marketing und nach derzeitigem Stand einen erneuten Versuch eine Einwilligungspflicht für Tracking- und Targeting-Cookies sowie vergleichbare Fingerprintingverfahren einzuführen.
Zusammengefasst: Die DSGVO ist zwar ein Schritt zu einer EU-einheitlichen Regulierung. Sie führt jedoch nicht unbedingt zu einer Vereinfachung des Datenschutzrechts.
Stichtag: 25. Mai 2018
Der Stichtag der DSGVO ist der 25. Mai 2018. Hört sich noch weit weg an, doch DSGVO sollte bereits heute beachtet werden. Denn die DSGVO ist bereits in Kraft getreten, entfaltet jedoch erst am 25. Mai 2018 ihre Wirkung. Es gibt weder eine Übergangsfrist noch sonstige Milderungsgründe für Unternehmen, die den Umstieg verpasst haben.
Aus diesem Grund sollten Unternehmen ihre Datenverarbeitungsprozesse bereits heute an die DSGVO anpassen. Denn bisherige Datenverarbeitungen und vor allem Einwilligungen werden nur dann gültig bleiben, wenn sie der DSGVO entsprechen.
Auch Google, Facebook und andere Tech-Giganten werden unmittelbar zur Beachtung des europäischen Datenschutzrechts verpflichtet. Die DSGVO betrifft nicht nur Unternehmen, die in der EU sitzen. Betroffen sind Unternehmen aus sogenannten „Drittstaaten“ außerhalb der EU, die Daten der EU-Bürger verarbeiten. Damit werden vor allem auch US-Anbieter wie Google oder Facebook der DSGVO unterfallen.
Was dein Business davon hat und was nicht
Die DSGVO dient nicht einseitig dem Datenschutz, sondern berücksichtigt auch wirtschaftliche Interessen. So bringt die DSGVO zwar neue oder erhöhte Pflichten sowie Bußgelder mit sich, erschwert die Einholung einer Einwilligung, verpflichtet zur Datenportabilität und stellt klar, dass pseudonyme Cookies und IP-Adressen als „Online-Kennungen“ personenbezogene Daten sind.
Die DSGVO bietet aber auch Erleichterungen. Ein Vorteil ist, dass nicht nur der Schutz personenbezogener Daten, sondern auch der freie Verkehr von Daten und damit auch wirtschaftliche Interessen im Artikel 1 der DSGVO kodiert sind.
Dieser Grundgedanke der Abwägung zwischen berechtigten (wirtschaftlichen) Interessen und dem Schutz der Daten betroffener Personen wird daher einen Dreh- und Angelpunkt der gesetzlich erlaubten Datenverarbeitung darstellen. Die Unternehmen haben es zugleich in der Hand, mit Mitteln wie Pseudonymisierung und Aufklärung, die Abwägung zu deren Gunsten zu verschieben.
Ferner darf das Datenschutzniveau generell nicht durch nationale Auflagen erhöht werden, wie es zum Beispiel bisher in Deutschland mit der Schriftformgebot für Einwilligungen oder Verträge mit Auftragsverarbeitern der Fall war.
Datenschutzprinzipien
Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.
Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz besonders betont. Man muss sich diese Prinzipien als die Grundlagen des Gesetzes vorstellen, die bei der Auslegung unklarer Fälle herbeigezogen werden. Dazu gehören entsprechend Art. 5 DSGVO vor allem:
- Rechtmäßigkeit – Sie dürfen Daten nur entsprechend dem Gesetz verarbeiten, was an sich selbstverständlich ist.
- Transparenz – Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein, was zum Beispiel eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht und erfordern beispielsweise einen Hinweis auf die Rechtsgrundlage der Verarbeitung.
- Verbot mit Erlaubnisvorbehalt – Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
- Zweckbindung – Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Das heißt man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren. Eine nachträgliche Zweckänderung ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
- Datenminimierung – Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken. Eine „Datenerhebung auf Vorrat“ ist verboten (Art. 5 Abs. 1 lit. c DSGVO).
- Integrität und Vertraulichkeit – Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.
Privacy by Design und Privacy by Default werden Gesetz
Datenschutz muss bereits ein Teil von Entwicklungsprozessen sein und darf nicht erst nachträglich berücksichtigt werden.
Neu zu den vorgenannten Grundprinzipien des Datenschutzes, kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu.
„Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen.
„Privacy by Default“ bedeutet wiederum, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.
Datenschutzpflicht fordert Fleiß und Bürokratie
DSGVO bedeutet vor allem Fleißarbeit bei der Dokumentation der Datenverarbeitung. Auch wenn viele der bisher geltenden Datenschutzprinzipien und -bestimmungen sich in der DSGVO wiederfinden, wäre es falsch zu denken, dass die Änderungen nicht beachtlich sind.
Wie so häufig steckt der Teufel im Detail und neben Änderungen bei Einwilligungen, Erlaubnisgrundlagen oder Bußgeldern, liegt der Schwerpunkt der Änderungen vor allem auf den Rechenschaftspflichten (auch bezeichnet als „Accountability“).
Vereinfacht gesagt möchte der Gesetzgeber, dass Unternehmen sich zumindest Gedanken um den Datenschutz machen. Dieses Vorhaben setzt er mit erhöhten Dokumentations- und Nachweispflichten um.
Das bedeutet, man muss jederzeit Nachweis über seine Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ dokumentiert und die Zulässigkeit geprüft worden sind. In den nächsten Folgen dieser Beitragsreihe erfahrt ihr, wie diese Dokumentationen zu erfolgen haben.
Im Ergebnis heißt es, dass die Datenschutzreform vor allem diejenigen treffen wird, die sich bisher um den Datenschutz wenig Gedanken gemacht haben. Wer dagegen bereits heute ein Verzeichnis der Datenverarbeitungen geführt hat, wird sich viel von dieser Fleißarbeit ersparen.
DSGVO: Der Bußgeldrahmen wird erhöht
Die drastische Erhöhung des Bußgeldrahmens von auf bis zu 20 Millionen Euro wird sich mittelbar auch auf KMUs auswirken.
Der erhöhte Bußgeldrahmen richtet sich vor allem an Großunternehmen, bei denen zum Beispiel die maximalen deutschen Bußgeldgrenzen von 50.000 Euro (im Telemediengesetz, TMG) und 300.000 (im BDSG) kaum Abschreckung entfalteten.
Nunmehr können Bußgelder bis zu zehn Millionen Euro oder bei Unternehmen bis zu zwei Prozent des weltweiten Jahresumsatzes und in schweren Fällen bis zu 20 Millionen Euro, respektive vier Prozent des Umsatzes betragen. Aber auch wenn diese Grenzen selten erreicht werden dürften, wird ebenfalls ein Anstieg des Bußgeldrahmens auf niedrigeren Ebenen erwartet. Das zumal Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen.
All die vorgenannten Änderungen zusammenfassend zwingt der Gesetzgeber Unternehmen zur Professionalisierung des Datenschutzes. Wie dies in der Praxis umzusetzen ist, erkläre ich in den nächsten Artikeln dieser Beitragsreihe.
FAQ mit 10 Fragen zur DSGVO
Wann? – Die DSGVO wirkt zwar erst ab dem 25. Mai 2018, jedoch sollten Unternehmen die Vorgaben der DSGVO bereits jetzt beachten.
Wer ist betroffen? – Alle Unternehmen, die personenbezogene Daten verarbeiten, auch wenn sie außerhalb der EU sitzen und Daten von EU-Bürgern verarbeiten.
Was bleibt? – Bisherige Datenschutzprinzipen und viele bisherige Regelungen finden sich in der DSGVO wieder.
Was ändert sich? – Es ändern sich sehr viele Details, weshalb alle Verarbeitungsprozesse überprüft werden müssen. Änderungen gibt es bei der Definition personenbezogener Daten, den Erlaubnisgrundlagen, Einwilligungen, Informationspflichten, Betroffenenrechten, Bußgeldern, Rechenschaftspflichten, Verantwortlichkeit von Auftragsdatenverarbeitern, etc.
Was ist Privacy bei Design? – Privacy by Design ist ein Grundsatz, der bereits im Rahmen der Entwicklung (zum Beispiel von Hardware oder Software) zur Beachtung der Datenschutzvorschriften verpflichtet.
Müssen Datenschutzerklärungen geändert werden? – Da Informationspflichten erhöht werden und zum Beispiel Hinweise auf die Rechtsgrundlagen der Verarbeitung enthalten müssen, wird ein Update notwendig.
Was ist die Accountability? – Die Rechenschaftspflicht (Accountability) ist eine zentrale Neuerung der DSGVO und erfordert die unternehmerischen Compliance-Anforderungen um eine genaue Dokumentation von Verarbeitungsprozessen sowie u.U. Datenschutzfolgeabschätzungen zu ergänzen.
Wie sind die Konsequenzen bei Nichtbeachtung? – Die Konsequenzen ändern sich drastisch. Der Bußgeldrahmen wird bis auf 20 Millionen Euro, bzw. vier Prozent des weltweiten Jahresumsatzes erhöht und Datenschutzbehörden werden angehalten, Bußgelder effektiver zu verhängen.
Wird das Datenschutzrecht einfacher? – Damit ist leider weniger zu rechnen, zumal neben der DSGVO auch nationale Datenschutzgesetze (in Deutschland BDSG-Neu) und die EU-ePrivacy-Verordnung (wird wahrscheinlich erst 2019 beschlossen) beachtet werden müssen.
Wie hoch ist der Umsetzungsaufwand? – Der Umsetzungsaufwand ist individuell, insgesamt eher hoch und betrifft vor allem Unternehmen, die sich bisher nicht um den Datenschutz gekümmert und zum Beispiel keine Verfahrensverzeichnisse geführt haben.
Mehr zur neuen Datenschutzgrundverordnung:
- DSGVO: Diese Änderungen kommen auf dein Online-Business zu (Teil 1)
- DSGVO: Welche Daten du nutzen darfst – und welche nicht (Teil 2)
- DSGVO: So holst du Einwilligungen richtig ein (Teil 3)
- DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten (Teil 4)
- DSGVO: So gibst du Daten rechtssicher an Dritte weiter (Teil 5)
- DSGVO: Wie eine Datenschutzerklärung aussehen sollte (Teil 6)
War auch ein wichtiges Thema bei der letzten IDC Enterprise Mobility in Frankfurt https://innovative-trends.de/2017/07/03/neue-eu-datenschutz-grundverordnung-dsgvo-ab-25-5-2018-und-angepasstes-bdsg/
Danke für den spannenden Artikel zu diesen herausfordernden Thema.
Ein Aspekt der mir inhaltlich allerdings zu kurz kommt, ist die Herausforderung für Unternehmen Mitarbeiter zu schulen. Aus meiner Sicht ist dies eine der am stärksten unterschätzten Aufgaben im Zusammenhang mit dem EU DSGVO.
Die DSGVO betrifft am Ende alle Mitarbeiter und alle Mitarbeiter im Unternehmen müssen daher zumindest ein gewisses Grundverständnis haben welche Anforderungen und Änderungen es gibt.
Wir haben uns beim Startup University4Industry diesem Thema angenommen und entsprechende Online Lerninhalte zur Schulung von Mitarbeitern erstellt. Zusammen mit Fachexperten von Siemens und Nokia wird dabei Praxisnah erklärt was zu tun.
Die Inhalte finden sich auf http://www.u4i.io/datenschutz.
Über jegliches Feedback (positiv, wie auch gerne kritisch) freuen wir uns sehr.
Heißt das, dass ich im Mai bei Google und Facebook anklopfen kann und die mir alle Daten die sie über mich und meinen PC haben raus rücken müssen? :)
Ich bin neugierig wie ein Unternehmen dann bei einer „Forderung afu Löschung der Daten“ einer Person diese Daten aus den Täglichen oder evtl. schlimmer noch Stündlichen Sicherungen raus bekommen :)
Würde mich über eure Meinung/Antwort freuen!