-Anzeige-

Anzeige

Die wesentlichen Änderungen durch die DSGVO

am . Veröffentlicht in "Darf ich?"

darf ich500Titel "Darf ich?" enthält Datei: #166484651 | © pixelkorn / Fotolia.comvon Julian Eckert

Kamen. Europaweit wird ab dem 25.05.2018 die Datenschutz-Grundverordnung (DSGVO) gelten. In ihr werden Auskunfts-, Informations- und Widerspruchsrechte geregelt, die für alle Unternehmen gelten, die Daten verarbeiten. Es sind Online- und Offline-Unternehmer betroffen. Die wesentlichen Änderungen stellten wir in diesem „Darf ich?“-Rechtsratgeberartikel vor.

Am 25. Mai 2018 wird die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Zudem tritt eine novellierte Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die Änderungen, die die DSGVO mit sich bringt, mögen für betroffene Unternehmen zwar nahezu erdrückend wirken, sind es beim genaueren Hinsehen jedoch nicht. Hier kommt der Bunderepublik zugute, dass der europäische Gesetzgeber zu weiten Teilen vom deutschen Datenschutzrecht (altes BDSG) abgeguckt hat. Die Grundstrukturen des alten BDSG bleiben auch in der neuen DSGVO erhalten.

Dies bedeutet, dass zunächst über die Erfassung, Speicherung, Verarbeitung oder gar Weitergabe personenbezogener Daten umfassend und verständlich informieren muss. Die Intention des Gesetzgebers: nur informierte Menschen können ihre Rechte auch einfordern oder geltend machen. Informationspflichten bestehen bspw. bei der Verwendung von Cookies auf der eigenen Homepage, dem Einsatz von Social-Plugins wie etwa dem Facebook-Pixel oder der Inanspruchnahme des Google-Dienstes Analytics. Dieses darf im Übrigen nur in anonymisierter Form verwendet werden!

Der Punkt Analytics führt direkt zu einer weiteren Neuerung: Mit externen Auftragsdatenverarbeitern, wie z.B. Google Analytics einer ist, muss künftig ein der DSGVO entsprechender Auftragsdatenverarbeitungsvertrag geschlossen werden. Welche Klauseln hier mindestens enthalten sein müssen, regelt die DSGVO detailliert. In eine solchen Auftragsdatenverarbeitungsvertrag muss der Auftragsdatenverarbeiter garantieren, das hohe europäische Datenschutzniveau einzuhalten.

Weiterhin wichtig:
• Speicherfristen von erfassten Daten sind streng limitiert
• Es gilt grundsätzlich das Datensparsamkeitsprinzp
• „Recht auf Vergessenwerden“
• Bußgelder bei Datenschutzverstößen bis zu 20 Millionen Euro

Die Datenschutz-Grundverordnung gilt für alle Unternehmen, die Daten von in der europäischen Union lebenden Menschen verarbeiten, explizit nicht nur für Online-Unternehmen. Auch kennt die DSGVO ein deutlich erweitertes Auskunftsrecht für Jedermann. Das bedeutet: Jedermann kann bei Unternehmern eine Anfrage stellen, welche Daten über seine Person gespeichert oder gar weitergegeben wurden. Wird diese Anfrage nicht binnen eines Monats vollumfänglich beantworten, können Bußgelder verhängt werden (das war jedoch auch bereits nach dem alten BDSG möglich).

Für bestimmte Unternehmen ist zudem die Bestellung eines Datenschutzbeauftragten, das Vorhalten eines Verzeichnisses von Verarbeitungstätigkeiten oder andere Dokumente gesetzlich vorgeschrieben. Auch ein Datenschutzkonzept sollten alle Unternehmen haben. Die Verfassung oder Überprüfung derartiger Dokumente oder eine gänzliche Überprüfung des Unternehmens sollte ein datenverarbeitender Betrieb unbedingt vor dem 25.05. durch einen Spezialisten erledigen lassen.