Fünf Jahre Datenschutz-Grundverordnung: Happy Birthday, DSGVO

 - 

Seit fünf Jahren gilt die Datenschutz-Grundverordnung (DSGVO). Die anfängliche Panik hat sich gelegt, die große Abmahnwelle ist ausgeblieben und Pragmatismus macht sich breit. Trotzdem müssen die Vorschriften natürlich befolgt und eingehalten werden! Kennen Sie Ihre Rechte und Pflichten beim Datenschutz?

Seit dem 25.5.2018 müssen alle Unternehmen, Behörden und Vereine in der Europäischen Union das Datenschutzrecht der DSGVO beachten. Das bedeutet, sie müssen sich um den sicheren Umgang mit den Daten ihrer Kunden, ihrer Vertragspartner und auch ihrer Mitarbeiter kümmern.

Ziel ist der Schutz von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten in allen Mitgliedstaaten der EU. Daten von juristischen Personen, also etwa einer GmbH oder einer AG, sind hingegen ausgenommen.

 

Inhalt

 

Datenschutz ist nicht nur anstrengend...

Zwar hat sich die anfängliche Aufregung um die DSGVO gelegt, aber trotzdem ist das Thema Datenschutz für viele noch immer ein rotes Tuch. Denn aus Unternehmenssicht hat dieses Gesetz eine Vielzahl von neuen Dokumentationspflichten sowie bürokratischer Hürden mit sich gebracht. Außerdem sieht sich der Datenschutz häufig dem Ruf ausgesetzt, ein »Verhinderer« von innovativen Technologien zu sein.

Datenschutz sollte jedoch nicht nur als unausweichliche Pflicht im Betriebsalltag, sondern auch als Chance eines jeden Unternehmers verstanden werden: Kunden, Mitarbeiter und Vertragspartner müssen darauf vertrauen können, dass die zur Verfügung gestellten personenbezogenen Daten in guten Händen und geschützt sind. Nur so ist ein erfolgreiches Miteinander gewährleistet.

Die Umsetzung der Datenschutzvorgaben im eigenen Betrieb schützt auf der einen Seite vor kostspieligen Fehlern – umgekehrt werden aber auch die Daten des eigenen Betriebs geschützt.

Diese Rechte stehen Betroffenen zu

Die von einer Datenverarbeitung betroffenen Personen sollen ausreichende Einflussmöglichkeit auf »ihre« Daten behalten. Sie haben insbesondere das Recht auf

  • Auskunft über die von ihnen verarbeiteten Daten,

  • Widerspruch gegen bestimmte Datenverarbeitungen,

  • Widerruf einer erteilten Einwilligung,

  • Berichtigung von falschen Daten,

  • Einschränkung von bestimmten Verarbeitungen,

  • Datenübertragbarkeit,

  • Sperrung von Daten sowie auf

  • Löschung der von ihnen verarbeiteten Daten.

Einige dieser Rechtspositionen gab es vor Inkrafttreten der DSGVO auch schon. Es sind aber auch neue Dinge hinzugekommen, die so vorher noch nicht existiert haben. Dazu zählt beispielsweise das Recht auf Datenübertragbarkeit (auch Datenportabilität genannt). Dadurch soll es Betroffenen möglich sein, die eigenen Daten von einer verantwortlichen Stelle zu einer anderen »umzuziehen«.

Die verschiedenen Betroffenenrechte gelten aber nicht grenzenlos: So finden sich in der DSGVO zum Teil konkrete Voraussetzungen, unter denen ein Betroffenenrecht geltend gemacht werden kann. Zudem können sie unter bestimmten Voraussetzungen auch vonseiten des nationalen Gesetzgebers eingeschränkt werden.

Beispiel:

Art. 21 Abs. 1 DSGVO sieht vor, dass Betroffene nicht jeder Verarbeitung ihrer Daten widersprechen können, sondern nur solchen, die auf der Rechtsgrundlage »berechtigte Interessen« oder »Ausübung öffentlicher Gewalt« erfolgen. Zusätzlich müssen sich die Widerspruchsgründe auch aus einer besonderen Situation des Betroffenen ergeben.

§ 27 Abs. 2 BDSG sieht Einschränkungen der Betroffenenrechte vor, wenn es um Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungs- bzw. Statistikzwecken geht.

Diese Pflichten haben die Verantwortlichen

Den Rechten der betroffenen Personen stehen verschiedene Pflichten aufseiten der datenverarbeitenden Stellen gegenüber. Zu diesen Pflichten zählen insbesondere:

  • Bereitstellung von Regelungen im Hinblick auf Datenschutz und IT-Sicherheit,

  • Implementierung von internen Abläufen zur Sicherstellung der Umsetzung der DSGVO-Vorgaben,

  • Dokumentation von Datenverarbeitungsvorgängen,

  • Risikoanalyse in Bezug auf die Folgen der Datenverarbeitungen,

  • Bereitstellen von geeigneten technischen und organisatorischen Maßnahmen (TOMs),

  • Bereitstellung von Pflichtinformationen, z.B. auf der Unternehmens-Website,

  • ggf. Benennung eines Datenschutzbeauftragten,

  • Beachtung der Grundsätze »Privacy by design« und »Privacy by default«.

Was bedeutet »Privacy by design« und »Privacy by default«?

Bei den beiden letztgenannten Pflichten geht es um die datenschutzfreundliche Technikgestaltung bzw. Voreinstellung. Als verantwortliche Stelle müssen Sie also etwa bei neuen Verarbeitungstätigkeiten sowohl zum Planungszeitpunkt als auch im Rahmen der eigentlichen Verarbeitung geeignete technischen und organisatorischen Maßnahmen (TOMs) einplanen bzw. umsetzen, um ein möglichst hohes Datenschutzniveau zu erreichen. Hierfür kommen beispielsweise die Anonymisierung oder die Verschlüsselung von Daten in Betracht.

  • »Privacy by design«: Pflicht zur Berücksichtigung von möglichst datenschutzfreundlichen Techniken schon bei der Entwicklung von neuen Produkten, Dienstleistungen und Verfahren.

  • »Privacy by default«: Pflicht zur datenschutzfreundlichen Voreinstellung der Produkte, Dienstleistungen und Verfahren.

Dabei ist stets der Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung. Außerdem muss auch die Eintrittswahrscheinlichkeit und die Schwere der mit der Datenverarbeitung verbundenen Risiken für die Rechte der betroffenen Personen beachtet werden.

Ratgeber zur DSGVO

Datenschutz einfach umsetzen: Der Praxisratgeber zur DSGVO für Selbstständige und kleine Unternehmen

Mit dem Thema Datenschutz müssen sich alle Unternehmen auseinandersetzen, denn an die Vorschriften der DSGVO haben sich alle zu halten, die von Kunden, Mitarbeitern oder Vertragspartnern personenbezogene Daten verarbeiten.

Dieser Ratgeber wendet sich insbesondere an Selbstständige und kleinere Betriebe und gibt einen fundierten Überblick über die verschiedenen Pflichten DSGVO, um zukünftig Datenschutzkonform zu handeln.

Praxistipps, Checklisten, Musterformulierungen und weiter Arbeitshilfen (auch als Download) helfen dabei, das Thema Datenschutz im eigenen Unternehmen erfolgreich anzugehen.

→ Inhaltsverzeichnis

→ kostenlose Leseprobe (PDF)

→ zum Shop

Lesen Sie dazu auch:

→ Arbeitgeber und Datenschutz: Vom richtigen Umgang mit Bewerberdaten

(MB)

URL:
https://www.steuertipps.de/selbststaendig-freiberufler/existenzgruendung/fuenf-jahre-datenschutz-grundverordnung-happy-birthday-dsgvo