DSGVO – Das müssen Sie wissen!

DSGVO – Das müssen Sie wissen!

Die neue Datenschutz Grundverordnung (DSGVO) bringt viele Veränderungen für Unternehmer mit sich. Doch was genau ändert sich ab Mai 2018? Was bedeuten die Veränderungen für den Vertrieb?

In diesem Beitrag möchte ich Ihnen einen Überblick verschaffen, was die neue Verordnung konkret mit sich bringt.

Noch ein kleiner Hinweis: Dieser Beitrag gilt nicht als Rechtsberatung und soll ausschließlich zur Information dienen.

Gilt die neue Verordnung schon?

Die neue Datenschutz Grundverordnung, kurz DSGVO, trat bereits am 25. Mai 2017 in Kraft und ist somit schon gültig. Verbindlich umgesetzt, muss sie jedoch erst ab 25. Mai 2018. Dieses gilt für alle EU Mitgliedstaaten und Unternehmen innerhalb der EU. Die DSGVO ist eine einheitliche europaweite EU-Verordnung. Das heißt, die Verordnung muss hierzulande nicht erst mit nationalen recht umgesetzt oder angepasst werden. Es handelt sich um ein EU-Gesetz, das nicht durch die Mitgliedsstaaten einzeln umgesetzt werden muss, es ist direkt gültig! Sie wird des Weiteren in weiten Teilen das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Derzeit wird das BDSG auch deswegen noch überarbeitet.

 

Wen betrifft die neue DSGVO?

Grundsätzlich betrifft es alle Unternehmen innerhalb der EU, dabei spielt es keine Rolle ob B2C oder B2B oder ob Sie Einzelunternehmer sind oder ein Unternehmen mit 10, 100 oder 1000 und mehr Angestellten.

Alle Unternehmen die mit personenbezogenen Daten arbeiten sind ebenfalls verpflichtet einen Datenschutzbeauftragten zu ernennen, der zur Einhaltung der DSGVO zuständig ist.

Im Einzelnen betrifft es auch Betriebsräte, Personalvermittler sowie Behörden und Ämter. Die Datenschutzverordnung betrifft also nicht nur pauschal alle Arbeitgeber.

 

Was sich alles ändert

Zuerst einmal die gute Nachricht. Deutschland hat in der Vergangenheit schon einen relativ hohen Anspruch an den Datenschutz gehabt, sodass Sie als Unternehmen nicht so viele Änderungen zu fürchten haben, es sei denn, Sie haben sich schon in der Vergangenheit, nicht an den Datenschutz gehalten. Als Unternehmer in Deutschland haben Sie somit einen gewissen Vorteil gegenüber anderen Unternehmen im europäischen Ausland.

Trotzdem müssen Sie ein paar Änderungen beachten und spätestens ab Mai 2018 dann auch so umsetzen.

So müssen Sie sich am besten schon heute, diese Fragen stellen und Ihre Prozesse entsprechend anpassen:

  • Hat die Person mir Ihre Zustimmung dazu erteilt und kann ich die Dokumentation derer nachweisen?
  • Wozu habe ich die Daten gespeichert?
  • Wie gehe ich mit Datendiebstahl und Verlust um z.B. Laptop gestohlen oder Datenbank gehackt.
  • Wie schützen Sie die personenbezogenen Daten gegen solche Fälle?

 

Das sind die Neuregelungen der DSGVO die Sie als Unternehmer betreffen in der Kurzform:

Neue Regelungen der DSGVO

  1. Einwilligung
  2. Recht auf Vergessenwerden
  3. Auftragsdatenverarbeitung
  4. Rechenschaftspflicht
  5. Mitarbeiterdaten / Beschäftigtendatenschutz (wichtig für Betriebsräte)
  6. Meldepflicht bei Datenschutzverletzungen (wird überarbeitet)
  7. privacy by default / privacy by design (wird überarbeitet)

 

1. Einwilligung zum speichern und verarbeiten von personenbezogener Daten

In Zukunft spielt die Einwilligung von Nutzern oder Kunden eine größere Rolle. Grundsätzlich gilt ein Verbot zum speichern von personenbezogenen Daten, im genauen Wortlaut heißt es:

„Verbot mit Erlaubnisvorbehalt“

Zum speichern von personenbezogenen Daten brauchen Sie also die Einverständniserklärung ihres Kunden,  um die personenbezogenen Daten Ihres Kunden zu speichern. Diese Einwilligung ist allerdings an keine besondere Form gebunden, sie kann somit mündlich, schriftlich oder elektronisch per E-Mail erfolgen. Da Sie aber zur Dokumentation verpflichtet sind, empfiehlt es sich grundsätzlich die Einwilligung per E-Mail oder schriftlich vom Kunden einzuholen.

Datensparsamkeit, Zweckbindung etc. sind weiterhin zu beachten und sollte Ihnen schon ein Begriff aus dem alten BDSG sein.

 

Was sind die Anforderungen an eine Einwilligung

  • die Einwilligung richtet sich nach dem Gebot der Freiwilligeit (kein Koppelgeschäft), Sie dürfen Ihre Vertragserfüllung nicht davon abhängig machen, ob die betroffene Person eine Einwilligung erteilt oder nicht.
  • die Einwilligung muss immer zweckgebunden sein, dabei müssen auch die Verarbeitungszwecke aufgeführt sein.
  • Sie müssen die Einwilligung dokumentieren und auf verlangen diese nachweisen können.
  • Hinweis auf Widerruf muss vor der Erteilung erfolgen.
  • Ein recht auf Widerruf gab es schon vorher, neu ist aber das der Widerruf so einfach gestaltet sein muss wie die Einwilligung.
  • Für alle die im Internet Daten erheben empfiehlt sich nach wie vor das Opt-In per auswählbaren Kästchen.

Was genau sind denn jetzt personenbezogene Daten?

Personenbezogenen Daten sind Daten oder Informationen die eine Person identifiziert. Das können Ausweisdaten, Adresse, Name und Vorname etc. sein. Auch wenn die Daten nicht vollständig zu einer Person vorliegen, gilt der Grundsatz: „Eine Möglichkeit zur Identifizierung reicht an dieser Stelle aus.

Personenbezogene Daten sind:
  • Name, Vorname
  • Adresse
  • Telefonnummern
  • E-mail Adressen
  • Bankverbindung
  • IP-Adressen
  • GPS Standortdaten
  • Cookies
  • Geburtstag

 

2. Das Recht auf „Vergessenwerden“

Als Unternehmen verarbeiten und speichern Sie in der Regel eine Menge personenbezogener Daten. Doch was ist, wenn Ihr Kunde gar kein Kunde mehr ist? Oder Ihr Kunde ruft Sie an und bittet Sie seine Daten zu löschen. Vielen kommt dieses Recht sicher bekannt vor, in der Vergangenheit hatte der uropäische Gerichtshof bereits ein Urteil dazu gefällt, nämlich das Bürger der EU,  unter bestimmten Voraussetzungen verlangen können das bestimmte Suchergebnisse in Suchmaschinen nicht mehr angezeigt werden.

Das bedeutet das Kunden ein Recht darauf haben, dass Ihre Daten gelöscht werden bzw. Sie die Pflicht haben die Daten zu löschen, sofern diese nicht mehr benötigt werden z.B. nach

  • Artikel 17 a. Der Zweck für die Datenverarbeitung ist weggefallen
  • Artikel 17 b. Einwilligung widerrufen
  • Artikel 17 d. Die Daten wurden zu unrecht erhoben

Den Artikel 17 der DSGVO können Sie hier im Detail nachlesen

 

 

3. Auftragsdatenverarbeitung

Die Auftragsdatenverarbeitung ist nicht unbedingt nur und sollten jedem Unternehmer aus dem §11 BDSG bekannt sein. Mit Auftragsdatenverarbeitung ist gemeint das Sie Daten durch dritte Anbieter verarbeiten lassen z. B.

  • Newsletter Systeme
  • Dienstleister z.B. Akquise, Terminvereinbarungen etc.
  • speichern von Daten in der Cloud
  • externes Callcenter
  • externe Werbeagenturen etc.

Bisher war der Auftraggeber, also Sie als Unternehmer, der Hauptansprechpartner und vorrangig für die Einhaltung des Datenschutzes zuständig. Neu ist jetzt das auch der Auftragnehmer, also z. B. das Callcenter aus Datenverarbeiter mit in die Pflicht genommen werden. Sie müssen ein genaues Verzeichnis führen, im Artikel 31 steht es wie folgt:

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

Außerdem Sie die Auftragnehmer verpflichtet mit der Aufsichtsbehörde zusammenzuarbeiten und organisatorische sowie technische Maßnahmen zu treffen, um die Datensicherheit zu gewährleisten.

 

4. Rechenschaftspflicht (Artikel 5 Absatz 2)

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Bedeutet nichts anderes als das Mitarbeiter, die schützenswerte Daten verarbeiten, bei Aufforderung die Prinzipien des Datenschutzes nachweisen können.

Stellen Sie sicher das Ihre Mitarbeiter geschult sind im Umgang und verarbeiten von Daten.

 

5. Beschäftigungsdatengesetz / Schutz von Mitarbeiterdaten

Grundsätzlich dürfen und sollen Sie nur personenbezogene Daten von Mitarbeitern für folgende Zwecke erheben und verarbeiten:

  • Bewerberdaten zur Einstellungsentscheidung
  • zur Ausübung und Beendigung des Arbeitsverhältnisses
  • zur Erfüllung gesetzlicher Rechten und Pflichten

Dabei sind die Interessen beider Parteien Arbeitgeber und Arbeitnehmer abzuwägen. Diese Abwägung muss immer auf Grundlage der derzeitigen Rechtssprechung berücksichtigt werden. Dabei sind die Bestimmungen der DSGVO zu beachten.

Als Arbeitgeber sind Sie in der Pflicht diese Vorgaben einzuhalten und im Zweifel nachzuweisen. Deshalb ist es ratsam Ihre bisherige Einwilligungserklärungen zu überprüfen und ggf. anzupassen.

Wirksame Einwilligung von Beschäftigten

Generell ergeben sich im Arbeitnehmer- / Arbeitgeberverhältnis, sowieso schon gewisse „Erforderlichkeiten“. Wie sieht es mit freiwillig abgegebenen Einwilligungserklärungen von Mitarbeitern aus?

Diese Möglichkeit besteht, allerdings gibt es auch hier einiges zu beachten, denn im Streitfall müssen Sie als Arbeitgeber, die behauptete Freiwilligkeit nachgewiesen werden.

Bedenken Sie auch das Thema Abhängigkeitsverhältnis, was ist wenn Ihr Mitarbeiter aus Angst den Arbeitsplatz zu verlieren, die „freiwillige“ Einwilligung erteilt? Bedenken Sie auch das die Einwilligung Ihrer Mitarbeiter immer schriftlich und eigenhändig von Ihren Mitarbeitern unterschrieben sein muss. Die Beweislast liegt im Klagefall beim Unternehmer!

Schauen sie sich Ihre derzeitigen Prozesse an und passen Sie die entsprechend an. Schauen Sie genau beim Vertrieb und Marketing hin, den dort hat man erfahrungsgemäß am häufigsten mit personenbezogenen Daten zu tun. Es empfiehlt sich im Zweifel rechtlichen Rat einzuholen.

 

6. Meldepflicht bei Datenschutzverletzungen

dieser Absatz wird derzeit überarbeitet

7. privacy by default / privacy by design

hierzu erscheinen in kürze aktuelle Informationen

 

UPDATE vom 07.12.2017:  Weiterführende Informationen

Kostenloses Webinar zur DSGVO

 

 

Weiterführende Informationen

Die komplette DSGVO

DSGVO.tips von Thiemo Sammern

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.