Sie gilt – die neue DSGVO!
Was müssen Unternehmen als Folge der neuen EU-Datenschutz-Grundverordnung (DSGVO) beachten? Fragen und Antworten.
Das strengere Datenschutzgesetz der EU gilt. Die Vertretung der Europäischen Kommission in Deutschland hat häufige Fragen und Antworten zusammengestellt.
Welche Vorteile bietet die neue DSGVO?
Die Reform sieht vor, dass die Bürger mehr Kontrolle über ihre personenbezogenen Daten erhalten. Die neuen Regeln sorgen dafür, dass Unternehmen und Institutionen genau sagen müssen, für welchen Zweck sie welche Daten haben wollen. Für die Bürger bringt diese Regelung verschiedene Vorteile:
- Das „Recht auf Vergessenwerden“: Möchte ein Bürger nicht, dass seine Daten verarbeitet werden, so müssen die Daten gelöscht werden, wenn kein berechtigter Grund für deren Speicherung vorliegt. Dabei geht es ausschliesslich um den Schutz der Privatsphäre; es sollen keine vergangenen Ereignisse gelöscht oder gar die Pressefreiheit eingeschränkt werden.
- Zugang zu eigenen Daten: Die Bürger werden besser darüber informiert, wie ihre Daten verarbeitet werden. Diese Informationen müssen klar und verständlich sein. Ein Recht auf Datenübertragbarkeit macht es Bürgern leichter, personenbezogene Daten zwischen verschiedenen Anbietern zu übermitteln.
- Das Recht zu erfahren, ob eigene Daten gehackt wurden: Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstösse melden, durch die ein Risiko für den betroffenen Bürger entstanden ist. Zudem muss die betroffene Person so rasch wie möglich über alle mit hohem Risiko behafteten Verstösse informiert werden, damit er entsprechend reagieren kann.
- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: „Datenschutz durch Technik“ und „datenschutzfreundliche Voreinstellungen“ sind nunmehr wesentliche Elemente der EU-Datenschutzvorschriften. Datenschutzgarantien werden bereits frühzeitig in die Entwicklung von Produkten und Dienstleistungen integriert und datenschutzfreundliche Voreinstellungen werden beispielsweise in sozialen Netzwerken oder Mobilen Apps zur Norm.
Die wichtigsten Änderungen für Unternehmen?
Die neue DSGVO baut auf den mehr als 20 Jahre geltenden Regeln der Datenschutzrichtlinie auf. Die Grundprinzipien des Datenschutzes werden nicht geändert, sondern aktualisiert und modernisiert. Die entscheidende Neuerung ist, dass nun ein einheitliches europäisches Datenschutzrecht die verschiedenen Gesetze der Mitgliedstaaten ersetzt. Aus den 28 verschiedenen Gesetzen wird eine gemeinsame Datenschutzverordnung geschaffen. Für Unternehmen und Behörden wird somit ein einheitliches und klares Regelwerk geschaffen, das es einfacher und billiger macht, EU-weit Geschäfte zu tätigen.
Mit dem „One-Stop-Shop“ wird ausserdem eine zentrale Anlaufstelle für Unternehmen geschaffen. Unternehmen müssen sich dann nur noch an eine einzige Behörde und nicht an 28 Behörden richten. Damit wird die notwendige Rechtssicherheit für Geschäftstätigkeiten gewährleistet. Die Unternehmen profitieren von schnelleren Entscheidungen, einem zentralen Ansprechpartner (Abschaffung mehrerer Kontaktstellen) und weniger Bürokratie. Darüber hinaus können sie bei gleichen Verarbeitungstätigkeiten in mehreren Mitgliedstaaten auf einheitliche Entscheidungen vertrauen.
Die neuen Datenschutzregeln gelten für alle Unternehmen, unabhängig vom Firmensitz. Das heisst Unternehmen mit Sitz ausserhalb Europas müssen dieselben Vorschriften befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten.
Unnötige Bürokratie?
Die Datenschutz-Grundverordnung baut Wachstumshindernisse auf europäischer Ebene ab, gerade auch für kleine Unternehmen. So werden z.B. Formalitäten wie allgemeine Meldepflichten abgeschafft, die in vielen Mitgliedstaaten üblich waren. Und es gibt künftig EU-weit eine einzige Datenschutzregelung, mit einem einzigen Ansprechpartner und einer einheitlichen Auslegung der Vorschriften. Davon profitieren auch mittelständische Unternehmen, die ihre Produkte oder Dienstleistungen in anderen Mitgliedstaaten anbieten. Sie brauchen sich keinen Anwalt mehr zu nehmen, um sich an Regelungen dort anzupassen.
Und wer die Regeln der aktuell geltenden Datenschutzrichtlinie einhält, sollte mit der Umsetzung der Datenschutzgrundverordnung keine allzu grossen Schwierigkeiten haben. Die Grundprinzipien haben sich nicht geändert.
Welche Ausnahmen gibt es für kleinere Unternehmen?
In der Datenschutz-Grundverordnung wurden für kleinere Unternehmen ganz bewusst weniger Verpflichtungen vorgesehen. Wenn ein kleineres Unternehmen nicht primär in der Verarbeitung personenbezogener Daten tätig ist, braucht es beispielsweise keinen Datenschutzbeauftragten einzusetzen und muss auch keine detaillierte Datenschutz-Folgeabschätzung erstellen. Solche Unternehmen müssen zwar in der Regel ihre Datenverarbeitung dokumentieren, wenn sie regelmässig personenbezogene Daten verarbeiten, und diese der Datenschutzbehörde auf Anfrage zur Verfügung stellen. Hier wird jedoch eine einfache einseitige Aufstellung reichen.
So muss beispielsweise ein Handwerksbetrieb der nur für eigene Zwecke Informationen über seine Mitarbeiter oder Kunden speichert und diese nicht weiterverkauft, im Grunde nur dafür sorgen, dass diese Daten sicher aufbewahrt sind. Eine kleine Bäckerei braucht keine Datenschutzfolgenabschätzung.
Kommt die DSGVO mit anderen Gesetzen zur Datenverarbeitung in Konflikt?
Grundsätzlich gibt es hier keine Konflikte. Die DSGVO erlaubt bei Bedarf spezielle Klauseln für die Verarbeitung personenbezogener Daten und hindert Unternehmen nicht daran, ihre gesetzlichen Verpflichtungen einzuhalten.
Im Gegenteil, wenn das nationale oder das europäische Recht den Arbeitgebern eine rechtliche Verpflichtung zur Datenverarbeitung auferlegt, ist dies gemäss der Datenschutzverordnung rechtmässig. Wichtig dabei ist, dass in solchen Fällen der Arbeitnehmer klar und vollständig über die Verarbeitung seiner Daten informiert wird.
Wer ist für Verfolgung von Verstössen gegen die Datenschutzverordnung zuständig? Wie kann eine einheitliche Anwendung in den einzelnen Mitgliedstaaten garantiert werden?
Künftig wird es nicht nur eine europaweit einheitliche Datenschutzvorschrift, sondern auch eine wesentlich engere Zusammenarbeit der nationalen Aufsichtsbehörden geben. Im neuen Europäischen Datenschutzausschuss, dem die Leiter der nationalen Datenschutzbehörden angehören, wird die einheitliche Anwendung regelmässig überwacht.
Die DSGVO führt auch den sogenannten „One-Stop-Shop“-Mechanismus ein, der die Zusammenarbeit zwischen den Datenschutzbehörden gewährleistet, wenn die Tätigkeit eines Unternehmens Datenverarbeitungsvorgänge in mehreren Mitgliedstaaten umfasst. Es gibt einen einzigen Ansprechpartner für das Unternehmen und eine einheitliche Auslegung der Vorschriften durch die oberste Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des Unternehmens befindet.
Mit welchen Strafen müssen Unternehmen rechnen, wenn sie gegen die neuen Datenschutzvorschriften verstossen?
Die Datenschutzbehörden sind befugt, Verstösse gegen die Datenschutzbestimmungen zu ahnden. Sie können Abhilfemassnahmen ergreifen oder Geldbusse verhängen. Allerdings muss die Entscheidung über Geldbussen immer verhältnismässig sein und alle Umstände des Einzelfalls berücksichtigen. Die Strafen fallen dazu proportional zur Grösse der Organisation aus. Wer die Vorgaben der Datenschutzverordnung nicht anwendet, dem drohen Strafen von vier Prozent des Jahresumsatzes. Damit ist sichergestellt, dass auch globale Unternehmen und Internetgiganten ein Interesse haben, die Regeln einzuhalten.
Müssen Unternehmen mit Bussgeldern rechnen, sofern diese es nicht schaffen, alle Anforderungen umzusetzen?
Grundsätzlich gibt es keine Schonfrist. Nach einer zweijährigen Übergangsphase kommt die Verordnung am 25. Mai 2018 zur Anwendung. Die Unternehmen hatten also zwei Jahre, um sich auf die neuen Regeln vorzubereiten. Sicher werden die nationalen Behörden aber auf die Verhältnismässigkeit der Sanktionen achten.
Es gibt klare Kriterien: Wenn ein Unternehmen kooperiert oder die Zahl der Betroffenen überschaubar ist, muss es auch keine drakonischen Strafen befürchten. Wenn eine Firma hingegen ein Datenleck verschleiert und wenig zur Aufklärung beiträgt, werden die Behörden Ernst machen.
Hilfsmittel: 7 Schritte für Unternehmen
Speziell für Unternehmen hat die Kommission einen Leitfaden auch in deutscher Sprache im Netz veröffentlicht, in dem die wichtigsten Fragen beantwortet werden. Zusätzliche gibt es eine Übersicht „Sieben Schritte für Unternehmen zur Vorbereitung auf die Datenschutzgrundverordnung“.
Für weitere Hintergrundinformationen hier
Quelle: EU-Kommission, Vertretung Deutschland