Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Bis dato geltende und im Bundesdatenschutzgesetz (alte Fassung) definierte Regeln wurden damit teilweise verschärft. Mittlerweile haben sich die anfänglichen Sorgen von Unternehmern, es müssten gänzlich neue Datenschutzkonzepte her, zu großen Teilen als unbegründet herausgestellt. Dennoch: Auf die leichte Schulter sollte man das Thema nicht nehmen.
Datenschutz-Basics für kleine und mittlere Unternehmen
In Deutschland wandelt die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) die Regelungen zum Umgang mit personenbezogenen Daten, die von der EU-Datenschutzrichtlinie (RL 95/46/EG) definiert sind, in nationales Recht um. Ziel der Richtlinie war und ist es, das Datenschutzrecht in Europa zu standardisieren. Zuvor regelten hierzulande Telekommunikationsgesetz (TKG), BDSG-alt und Telemediengesetz (TMG) in den Umgang mit personenbezogenen Daten.
Neu ist beispielsweise die Höhe der Bußgelder bei Nichteinhaltung der gesetzlichen Vorgaben. Datenschutzverstöße können Unternehmen bis zu 20 Millionen Euro oder (falls höher) bis zu 4 % der weltweiten Vorjahresumsatz kosten.
Technische und organisatorische Maßnahmen
Gemäß DSGVO muss jeder, der personenbezogene Daten verarbeitet, „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Technische Maßnahmen können sowohl die Installation einer Alarmanlage als auch die Verschlüsselung des Datenverkehrs und weitere IT-Security-Maßnahmen sein. Selbst die Verwendung eines Passwort-Managers in Unternehmen kann im weitesten Sinne als technische Maßnahme gewertet werden. Als organisatorische Maßnahme wird insbesondere die Schulung und Sensibilisierung der Mitarbeiter/innen gefordert.
Datenschutzbeauftragter
Unternehmen, in denen mindestens zehn Personen ständig personenbezogene Daten verarbeiten, müssen zwingend eine/n Datenschutzbeauftragte/n ernennen. Die Person dient der zuständigen Aufsichtsbehörde als Ansprechpartner und ist dieser demnach zu melden. Die Pflicht einen Datenschutzbeauftragten zu bestellen entsteht auch unabhängig von der Unternehmensgröße, wenn es sich bei den verarbeiteten Daten um sensible Kategorien (sexuelle Orientierung, religiöse Zugehörigkeit, Gesundheitsdaten etc.) handelt.
Der oder die Datenschutzbeauftragte muss die Datenverarbeitung überwachen und dokumentieren. Dazu wird ein sog. Verzeichnis von Verarbeitungstätigkeiten erstellt. Tipp: Weil nicht jedes Unternehmen über entsprechend qualifizierte Mitarbeiter/innen verfügt, können auch externe Dienstleister als Datenschutzbeuaftragte/r bestellt werden.
Unternehmenswebseite? Datenschutzerklärung nicht vergessen!
Grundlegend muss eine Datenschutzerklärung Webseitenbesucher darüber informieren, welche Daten auf welche Art und Weise von wem erhoben werden. Auch Rechte und Möglichkeiten der Nutzer müssen in der Datenschutzerklärung klar kommuniziert werden.
–> Alles Wichtige zur Datenschutzerklärung für Unternehmenswebseiten
Die Rechte der Nutzer im Überblick:
- Auskunftsrecht
- Berichtigungsrecht
- Widerspruchsrecht
- Recht auf Vergessenwerden
- Recht auf Datenübertragbarkeit
- Recht auf Widerruf von Einwilligungen
- Recht auf Beschwerde bei Aufsichtsbehörden
- Recht auf Löschung und Einschränkung der Verarbeitung von Daten
Weil Webseiten in den seltensten Fällen auf einem eigenen Server, sondern bei einem speziellen Provider gehostet sind, und dieser somit Zugriff auf personenbezogenen Daten hat, sollte in Zweifel ein sog. Vertrag zur Auftragsdatenverarbeitung (ADV) mit dem Hoster geschlossen werden. Gleiches gilt für andere “zugriffsberechtigte” Anbieter, deren Services auf der Webseite eingebunden sind.
Seit Einführung der DSGVO und damit des BDSG-neu reicht eine stillschweigende Einwilligung von natürlichen Personen, dass deren personenbezogene Daten verarbeitet werden dürfen, nicht mehr aus. Stattdessen muss die Einwilligung bewusst getroffen werden. Das betrifft beispielsweise den Cookie-Hinweis auf Webseiten. Nutzer müssen der Cookie-Nutzung zustimmen und widersprechen können.
DSGVO- / Datenschutz-Checkliste
- technische und organisatorische Maßnahmen treffen
- Verzeichnis von Verarbeitungstätigkeiten erstellen
- Einwilligungen der User zur Datenerfassung einholen
- Datenschutzerklärung erweitern
- Datenschutzbeauftragten ernennen (falls notwendig)
- Cookie-Hinweis auf Unternehmenswebseite einbinden
- Datenpannen sofort der Aufsichtsbehörde melden
- Auftragsdatenverarbeitungsverträge mit Providern schließen
- Über Bild- oder Videoaufnahmen (Videoüberwachung) informieren
Was sind eigentlich personenbezogene Daten?
Alle Informationen, die sich auf eine identifizierbare oder bereits identifizierte NATÜRLICHE Person beziehen, sind als personenbezogene Daten definiert. Dazu zählen Name, Vorname, Adresse, Familienstand, Größe, Alter, Beruf etc. Angaben zur sexuellen Orientierung, der Religionszugehörigkeit und dem Gesundheitszustand einer Personen gelten als besonders sensible Kategorien von personenbezogenen Daten und gehen mit einer besonderen Sorgfaltspflicht einher.