EU-Datenschutz-Grundverordnung (DSGVO): Was müssen Unternehmen beachten?

Personenbezogene Daten, wie zum Beispiel Name, Alter, Anschrift, E-Mail-Adresse oder die Kontonummer, dürfen nur verarbeitet und gespeichert werden, wenn die betroffene Person ihr Einverständnis gegeben hat. Dies war so auch schon im Bundesdatenschutzgesetz (BDSG, Art. 6) geregelt – also im Prinzip nichts Neues. Die DSGVO ermöglicht, dass dieses Einverständnis beispielsweise auch durch das Anklicken eines Kästchens auf der Internetseite erteilt werden kann und nicht mehr schriftlich erfolgen muss. 

Bereits erteilte Einwilligungen der Betroffenen bleiben nur wirksam, wenn sie den Bedingungen der DSGVO entsprechen. Die bekannten datenschutzrechtlichen Grundprinzipien Datensparsamkeit, Zweckbindung und Datensicherheit wurden fortentwickelt.

So besteht etwa eine engere Zweckbindung, weshalb Daten grundsätzlich nur zu dem ursprünglichen Erhebungszweck verwendet werden dürfen. Dieser Erhebungszweck muss eindeutig, festgelegt und legitim sein.

Es gilt das Prinzip der Datenminimierung: Daten dürfen nur dem Zweck angemessen sowie auf das notwendige Maß beschränkt gesammelt werden. An dieser Stelle sollte auch die Speicherbegrenzung beachtet werden: Daten dürfen nur so lange gespeichert werden, wie es erforderlich ist; ein betriebliches Löschkonzept ist empfehlenswert. Schließlich muss eine angemessene Datensicherheit von Seiten des Unternehmens gewährleistet werden, damit die Daten nicht in falsche Hände geraten können.

Informieren Sie in Ihrem Unternehmen zum Thema Datenschutz und benennen Sie einen Datenschutzbeauftragen. Dazu ist jedes Unternehmen mit mehr als neun Mitarbeitern verpflichtet, das personenbezogene Daten verarbeitet. Vergessen Sie hier nicht die freien Mitarbeiter und Teilzeitkräfte. Der oder die Datenschutzbeauftragte sollte regelmäßig geschult werden. 

Die DIHK unterstützt Sie mit Hinweisen zur Suche nach einem vertrauenswürdigen Dienstleister.

Dies betrifft zum Beispiel die Bereiche Personalverwaltung und Lohnbuchhaltung, Kundendaten (die etwa über die Website, Mailinglisten oder eine Telefon-Hotline erhoben werden), Bewerbungen – eben jeder Umgang mit personenbezogenen Daten. Dieser Überblick kann zum Beispiel eine Tabelle sein, in der dargestellt wird, welche Daten erhoben werden. Sie sollte immer aktuell gehalten werden: Dieses Verarbeitungsverzeichnis ist die Basis für eine strukturierte DSGVO-Compliance (vgl. Art.30 DSGVO). Die Datenschutzkonferenz stellt Muster für Verarbeitungsverzeichnisse zur Verfügung. Muster für verschiedene Branchen (z.B. Beherbergungsbetrieb, Einzelhandel, Online-Shop, WEG-Verwaltung) hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht.

Wichtig: Soweit Verarbeitungsvorgänge besonders sensible Daten (wie zum Beispiel Gesundheitsdaten oder beim Einsatz von Videoüberwachung) betreffen, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen (Muster des BfDI).

Schließlich darf auch die IT-Sicherheit im Unternehmen nicht vergessen werden. Technische und organisatorische Maßnahmen (TOM) sorgen für die sichere Verarbeitung personenbezogener Daten (vgl. Art. 32 DSGVO). Es geht um Schutzvorkehrungen wie z.B. Zutrittskontrollen zu IT-Abteilungen und Servern, die Sicherung von PCs und Laptops, Backups oder den Einsatz von Firewalls.

Die IHK-Organisation bietet hierzu passgenaue Vorschläge zur Verbesserung der Cybersicherheit im Unternehmen an.

Wenn Sie personenbezogene Daten außer Haus geben (zum Beispiel durch Nutzung von Cloud-Services, Internet-Providern oder Zeiterfassungssystemen externer Dienstleister), müssen Sie sich von der Eignung des Dienstleisters überzeugen und die Details der Datenverarbeitung vertraglich festlegen (vgl. Art. 28 DSGVO). Auch hier ist eine aktuelle Übersicht sämtlicher Auftragsverarbeitungen im Unternehmen wichtig.

Muster für einen Vertrag zur Auftragsdatenverarbeitung stellen u.a. das Bayerische Landesamt für Datenschutzaufsicht und der Branchenverband Bitkom e.V. zur Verfügung.

Betroffene müssen verständlich darüber informiert werden, was mit ihren Daten passiert. Sie haben ein Widerspruchsrecht bezüglich der weiteren Datenverarbeitung. Ebenfalls gibt es nun ein Recht auf Berichtigung, Sperrung und Löschung der Daten.

Eine besondere Ausformung des Löschungsanspruchs stellt das „Recht auf Vergessenwerden“ dar – das bedeutet, dass ein Unternehmen die Kundendaten zeitnah und umfassend löschen muss, wenn dies verlangt wird und gesetzliche Aufbewahrungsfristen nicht entgegenstehen.

Und: Soweit die zu löschenden Daten an Dritte weitergegeben wurden, müssen Sie die datenverarbeitende Stelle darüber informieren, dass die betroffene Person die Löschung aller Links zu diesen Daten und von Kopien oder Replikationen verlangt.

Auf Basis des geänderten Rechts auf Datenübertragbarkeit haben betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Unternehmen sollten insofern überprüfen, ob vorhandene Systeme die Datenübertragbarkeit unterstützen.

Die Homepage des Unternehmens muss in einer Datenschutzerklärung über die Erhebung und Speicherung von Daten informieren. Die Universität Münster hat dazu eine Musterdatenschutzerklärung veröffentlicht.

Das LfDI Baden-Württemberg hat eine Hilfestellung bei der Erstellung von Datenschutzinformationen für kleine Unternehmen veröffentlicht.

Die IHK Köln stellt ein Muster für die Pflichtinformationen bei der Erhebung von personenbezogenen Daten bereit (vgl. Art.13 und 14 DSGVO).

Trotz umfassender Vorsorge und Absicherung kann es zu Datenpannen kommen. Der interne Melde- und Entscheidungsweg sollte bereits vorweg festgelegt und im Unternehmen bekannt sein: Das Unternehmen muss Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde nämlich grundsätzlich binnen 72 Stunden melden, wenn von der Datenpannen mehr als nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht (vgl. Art. 33 f. DSGVO).

Die Meldung erfolgt bei der zuständigen Aufsichtsbehörde, in NRW über ein Online-Formular bei der LDI (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen).

Daneben sind in bestimmten Fällen auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat (vgl. Art.34 DSGVO).

Nach dem Marktortprinzip gelten die Vorgaben der DSGVO für alle Unternehmen unabhängig von ihrer Niederlassung, soweit sie ein Angebot an einen bestimmten nationalen Markt in der EU richten. Im Falle von grenzüberschreitenden Datenverarbeitungen sind dem One-Stop-Shop-Mechanismus entsprechend die Aufsichtsbehörden an der Hauptniederlassung zuständig, so dass es einen zentralen Ansprechpartner gibt.

Durch die DSGVO wurde der Sanktionsrahmen bei Pflichtverletzungen drastisch erhöht. So drohen bei schwerwiegenden Verstößen Geldbußen bis zu 20 Millionen Euro und für Unternehmen Bußgelder von bis zu 4 % des gesamten weltweiten Umsatzes.