DSGVO – eine Einführung

Kentico

Weniger als ein Jahr vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben viele Unternehmen die Schwere und Ernsthaftigkeit des Gesetzes noch nicht erkannt. Aber Unwissenheit schützt vor Strafe nicht, deswegen ist Vorsicht angesagt!

Im ersten Teil unserer Einführung schauen wir uns die Grundlagen der neuen EU Verordnung an, versuchen die Hintergründe des Gesetzes zu erläutern, wen es betrifft, und werden auf ein paar Punkte eingehen, die Sie laut Gesetz unbedingt beachten sollten. Mit der Aussicht auf empfindliche Strafen und eine strenge Auslegung und Verfolgung, wird die DSGVO signifikante Auswirkungen auf Unternehmen innerhalb und außerhalb der EU haben.

Was ist die DSGVO?

DSGVO ist die Abkürzung für die Datenschutzgrundverordnung (English GDPR – General Data Protection Regulation), eine EU-Verordnung, welche die weitreichendsten Änderungen im europäischen Datenschutz seit 1995 beinhaltet. Die DSGVO wurde entworfen, um das Thema Datenschutz so breit und einheitlich wie möglich zu regeln. Dass es eine „Verordnung“ ist, ist eine der größten Veränderung zum Ist-Stand, denn bisher wurde das Thema durch eine EU-Richtlinie geregelt. Diese wurde in nationale Datenschutzgesetze übernommen, dabei gibt es allerdings große Unterschiede zwischen den einzelnen Staaten. Als Verordnung ist die DSGVO im Gegensatz zu einer Richtline direkt anwendbar. Das bedeutet, dass jemand, der in Irland geschäftlich tätig sein will, einen gleichen Rechtsrahmen vorfinden wird wie in anderen EU-Staaten. Die Verordnung versucht außerdem den aktuellen Herausforderungen der digitalen Welt gerecht zu werden.

Wann wird die DSGVO in Kraft treten?

Die Letztfassung der DSGVO ist bereits seit über einem Jahr verfügbar, in Kraft treten wird sie am 25. Mai 2018. In jedem EU-Mitgliedsstaat gibt es eine Behörde, die für die Umsetzung der DSGVO verantwortlich ist und Geldbußen für die Nichteinhaltung verhängen wird. Obwohl die Verordnung in der gesamten EU mehr oder weniger standardisiert ist, gibt es einige Bereiche in denen Mitgliedsstaaten noch Verschärfungen vornehmen können.

Wie wird die DSGVO umgesetzt und wie können Unternehmen deren Einhaltung beweisen?

Entsprechend dem Grundsatz der Rechenschaftspflicht sind in der DSGVO Unternehmen selbst für den Beweis der Einhaltung verantwortlich. Das bedeutet, dass Unternehmen fähig sein müssen, jederzeit zu beweisen, dass sie die DSGVO einhalten. Es gibt jedoch einige Mechanismen die nicht klar geregelt sind, und die DSGVO möchte, dass sich Branchen selbst Verhaltenskodizes schaffen. Diese sollen von Unternehmen angewendet werden und dadurch sicherstellen, dass das Unternehmen DSGVO konform arbeitet. Die DSGVO sagt dazu im Artikel 49:

Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.

Wen betrifft die DSVGO und wer ist davon ausgenommen?

Die DSGVO ist eine EU-Verordnung, welche

Anwendung auf die Verarbeitung personenbezogener Daten [findet], soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (Artikel 3)

Das zeigt, dass „Niederlassung“ ein sehr breiter und flexibler Begriff ist, der sich nicht an eine spezifische Rechtsform oder Örtlichkeit einer Organisation richtet. Die DSGVO betrifft damit auch Unternehmen außerhalb der Region, die das Onlineverhalten von Menschen innerhalb der EU überwachen, sowie nicht-europäische Unternehmen die innerhalb der EU Güter und Dienstleistungen anbieten. Das bedeutet, dass es sehr hilfreich ist, wenn man ein CMS verwendet das zwischen Besuchern innerhalb und außerhalb der EU unterschieden kann. Denn dann wird mit Geolocation sichergestellt, dass z.B. Analytics bei EU-Bürgern erst zum Einsatz kommen, wenn Websitebesucher eindeutig zugestimmt haben, dass ihr Verhalten auf der Website getracked wird.

In diesem Zusammenhang ist es wichtig festzuhalten, dass es laut DSGVO nicht erlaubt ist, Nutzern den Zugriff auf Services zu verweigern, wenn einer Verarbeitung der Daten nicht zugestimmt wird, vor allem wenn diese Daten nicht geschäftsrelevant sind. Das lässt sich am besten anhand eines Beispiels erklären: Sie besuchen eine E-Commerce-Seite um etwas online zu kaufen. Diese Website meldet, dass der Einkauf nicht abgeschlossen werden kann, wenn Sie nicht zustimmen, dass ihr Onlineverhalten erfasst wird. Wenn nur jene Information gespeichert wird, die notwendig ist, um den Einkauf vollständig abzuschließen, z.B. Vorname, Nachname und Adresse, dann ist es nicht notwendig, dass der Nutzer sein Einverständnis für das Erfassen gibt. Das E-Commerce-Unternehmen kann jedoch nicht verlangen, dass Sie als Nutzer einer Verarbeitung ihrer Daten für Facebook Remarketing o.ä. zustimmen, damit ein Kauf möglich ist. Die DSGVO sagt dazu im Artikel 7:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Welche Umstrukturierungen kommen auf ein Unternehmen zu?

Mögliche Umstrukturierungen hängen davon ab, welche Art von Datenverarbeitung im Unternehmen stattfindet, wie wichtig die Nutzung von persönlichen Daten für das Kern-Geschäft ist, und ob es sich um normale oder sensible Daten handelt (die Bedingungen für sensible Daten sind viel strenger). Das heißt, dass jede Umstrukturierung mit einem DSGVO-Audit und einer detaillierten Abbildung der Datenprozesse beginnen sollte. Dieser Review sollte darstellen, ob es notwendig ist, dass Abläufe oder Kontrollmechanismen für die Datenverarbeitung eingeführt werden, z.B. dass der Zugang zu bestimmten Daten reglementiert wird.

Wer sollte die DSGVO Implementierung leiten?

Viele große Unternehmen haben ihre internen Prozesse bereits gestartet und eigene Compliance-Officer oder externe Berater angestellt. In Klein- und Mittelbetrieben sollte sich in erster Linie das Management damit auseinandersetzen, und dann erst Verantwortlichkeiten delegieren.

 

Die gesamte Verordnung können Sie hier einsehen.

Dieser Beitrag ist ursprünglich im Kentico Blog erschienen und wurde von EMAKINA CEE übersetzt und gekürzt.

Leave a Comment

Start typing and press Enter to search