EU Datenschutz-Grundverordnung (EUDSGVO) - Zusammenfassung und Interpretation

AR-ITcon unterstützt Sie bei der Umsetzung der EU-DSGVO in Ihrem Betrieb.

  • Erstellen von Datenverteilungsplänen
  • Datenrisikoanalyse
  • Bewerten der Datenrisiken und Setzen von entsprechenden Maßnahmen
  • Erarbeiten eines Löschkonzepts
  • Schulung von Datenschutzbeauftragten
Kontakt AR-ITcon

Kontaktieren Sie AR-ITcon.

Datenschutz EU-DSGVO// AR-ITcon
EU-DSGVO-Datenschutz ©AT_ITcon

Die neue, am 14. April 2016 durch das EU-Parlament beschlossene, Datenschutz-Grundverordnung, welche ab 25. Mai 2018 (Art.99 – EU-DSGVO) anwendbar ist, verlangt von jedem Unternehmen, das in irgendeiner Art und Weise Daten von natürlichen Personen verarbeitet, ein Umdenken. Die Verordnung ist ab dem 2. Quartal 2018 direkt anwendbar und bedarf keiner Umsetzung durch die jeweiligen Staaten, lässt diesen aber in einigen Bereichen Entscheidungsfreiheit. Hinsichtlich mancher Punkte ist demzufolge noch abzuwarten, wie diese interpretiert werden, aber grundlegend fixiert die Verordnung das europaweite Vorgehen in Bezug auf Datenschutz.

Folgend wird versucht, die EU-DSGVO einfach zu erklären und die wichtigen Neuerungen herauszuarbeiten. Dabei handelt es sich keinesfalls um eine juristische Abhandlung, welche juristische Feinheiten herausarbeitet. Vielmehr wird versucht, die Inhalte für Nicht-Juristen verständlich zu erklären und Unternehmern, Führungspersonal und Selbständigen die Möglichkeit zu geben, entsprechende Maßnahmen früh genug zu setzen und sich gegebenenfalls Unterstützung von externen Experten auf diesem Gebiet einzuholen.

Für Unternehmen von großer Bedeutung ist die Pflicht zum Nachweis der Datenschutz-Compliance (Rechenschaftspflicht bzw. „accountability“). Es wird verlangt, dass die Unternehmen die Datenrisiken bewerten und dem Risikopotential entsprechende Maßnahmen setzen. Diese Maßnahmen müssen dokumentiert und in ihrer Wirksamkeit überprüft werden. Dabei ist nicht nur von technischen Maßnahmen, sondern auch von entsprechenden Schulungen für Mitarbeiter und strategischen Richtlinien auszugehen. Das Thema IT Risikomanagement gewinnt somit weiterhin an Bedeutung für die Unternehmen.

Kennen Sie Ihr Datenrisiko?

Um Compliance-Maßnahmen setzen zu können, sollten Unternehmen ihr Datenrisiko kennen. Entsprechende Maßnahmen helfen nicht nur im Vorfeld die Datensicherheit zu erhöhen, sondern können sich im Ernstfall auch strafmindernd auswirken. Demgegenüber können unzureichende Datenschutzmaßnahmen (achtloser Umgang, fehlende Sicherheitsmaßnahmen in Bezug auf persönliche Daten) sich negativ bei der Festsetzung des Strafmaßes auswirken.

Strafen bis 20 Mio €

Die Festlegung eines neuen Strafrahmens, der bis zu 4% des gesamten weltweit erzielten Jahresumsatzes bzw. 20Mio € beträgt, sollte die Unternehmen dazu bewegen, das Thema Datenschutz auch entsprechend ernst zu nehmen.

Wichtige Begriffsbestimmungen laut EU-DSGVO (übernommen)

"personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

"Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

"Dateisystem" jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

"Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

"Einwilligung" der betroffenen Person: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

"Verletzung des Schutzes personenbezogener Daten" eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung: festgelegte, eindeutige und legitime Zwecke
  • Datenminimierung: dem Zweck angemessen und auf das notwendige Maß beschränkt
  • Richtigkeit: sachlich richtig und erforderlichenfalls auf dem neuesten Stand; falsche persönliche Daten müssen umgehend gelöscht oder richtiggestellt werden
  • Speicherbegrenzung: Speicherung nur auf bestimmte Zeit
  • Integrität und Vertraulichkeit: Eine angemessene Sicherheit der personenbezogenen Daten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein
  • Rechenschaftspflicht: die Einhaltung der oben genannten Grundsätze muss nachweisbar sein.

Einwilligung bildet den Kern des EUDSGVO

Der Einwilligung der betroffenen Person kommt in der EU-DSGVO eine große Bedeutung zu; nur mit wenigen Ausnahmen dürfen Daten ohne Einwilligung verarbeitet werden. Generell sollte eine Einwilligung der betroffenen Person für den jeweiligen Zweck eingeholt werden und diese Einwilligung auch aufbewahrt werden. Die Einwilligung darf nicht by default sein und muss deutlich willentlich sein. Die betroffene Person muss in einfachen Worten und unkomplizierten Satzbau informiert werden. Eine Widerrufung der Einwilligung muss jederzeit in gleichwertiger Form möglich sein.

Einwilligung durch Minderjährige

Die Einwilligung Minderjähriger unterliegt speziellen Auflagen, das Alter kann noch vom jeweiligen Mitgliedsstaat festgelegt werden, muss sich aber im Bereich von 13-16 Jahren bewegen. Es obliegt den Verantwortlichen, geeignete Altersverifikationen zu integrieren und die Identifikation des Trägers der elterlichen Verantwortung sicherzustellen, der die Einwilligung für den Minderjährigen geben darf.

Rechte von betroffenen Personen nach der EU Datenschutz-Grundverordnung

Folgend werden nur die wichtigsten Rechte für Betroffene erklärt. Näheres findet man im Kapitel III Art.12ff:

  • Recht auf Auskunft: Die betroffene Person hat das Recht auf Auskunft ob, wie und welche Daten verarbeitet werden.
  • Recht auf Berichtigung: Die betroffene Person hat das Recht auf Berichtigung der betreffenden Daten.
  • Recht auf Löschung: Die betroffene Person hat das Recht auf eine unverzügliche Löschung von Daten. (Ausnahmen Art. 17)
  • Recht auf Einschränkung der Verarbeitung: Mit einer Einschränkung belegte Daten dürfen nicht weiterverarbeitet werden, ohne dass der Betroffene informiert wird.
  • Recht auf Datenübertragung: Der Betroffene kann verlangen, dass die Daten an ihn oder Dritte übermittelt werden.

Möglicher Ablauf und Maßnahmen für Unternehmen:

  • Erheben der zutreffenden Vorschriften (Datenschutzbeauftragter vorgeschrieben oder freiwillig, Dokumentation nötig)
  • Berufung eines Datenschutzbeauftragten (intern oder extern);wenn nicht vorgeschrieben, wird die Berufung eines Datenschutzbeauftragten dennoch empfohlen, um den Kontakt mit der Aufsichtsbehörde abzuwickeln
  • Erstellen eines Datenverteilungsplan der persönlichen Daten
  • Erstellen von Verzeichnissen für die Verarbeitungstätigkeiten von persönlichen Daten.
  • Datenrisikoanalyse (eventuell in Verbindung mit einem IT Risikomanagement)
  • Bewerten der Datenrisiken und Setzen von entsprechenden Maßnahmen
  • Erarbeiten eines Löschkonzepts
  • Einholen und Speicherung der Erlaubnis von den betroffenen Personen
  • verbindliche interne Datenschutzvorschriften
  • Zertifizierung der Datenverarbeitungsprozesse (noch keine Zertifizierungsprozesse vorhanden)

EU-DSGVO und Webshops

Personenbezogene Daten von juristischen Personen und von als juristische Personen gegründeten Unternehmen unterliegen den neuen datenschutzrechtlichen Vorgaben momentan nicht. Online-Händler, die ausschließlich im B2B-Bereich tätig sind und sich bei ihren Handelstätigkeiten nur Personengesellschaften gegenübersehen, haben die neuartigen Pflichten also nicht zu beachten.

Problempunkte für Onlineshop-Betreiber:

  • Umsetzung einer geeigneten Prüfung der Altersfreigabe
  • Einholung der Erlaubnis für die Verarbeitung der Daten mit Zweckbindung in geeigneter Form und auch eine entsprechende Speicherung
  • Möglichkeiten der Löschung und Änderung der persönlichen Daten auf demselben Niveau wie die Zustimmung.
  • Schaffung der Möglichkeiten der Datenübertragung an Dritte.
  • Begrenzung der Datenabfrage auf das Nötigste
  • Dokumentation des Datenrisikos und der entsprechenden Maßnahmen
  • Prüfung des Hostingstandorts (EU-Drittland)
  • Datenplan (Verteilung und Wiederauffindbarkeit der Daten)
  • Notfallplan für Extremsituationen (Datenverlust, Datendiebstahl)
  • Zugriffspläne für persönliche Daten
  • Dokumentation der datenverarbeitenden Systeme
  • Bestimmung eines Datenschutzbeauftragten (für die meisten Onlineshops nicht zwingend, aber zu empfehlen)
  • verbindliche interne Datenschutzvorschriften
  • Eventuell Zertifizierung der datenverarbeitenden Systeme