DSGVO: Die wichtigsten Fakten für die perfekte Vorbereitung

Am 25. Mai ist es soweit: Die neue DSGVO tritt in Kraft. Doch was bedeutet das für Unternehmen und wie bereitet man sich am besten darauf vor? Wir haben uns explizit einen Datenschutzbeauftragten bestellt, um bestens vorbereitet zu sein und nun wollen unser Wissen mit euch teilen. Die wichtigsten Facts zum Thema DSGVO erfahrt ihr in diesem Artikel.

DSGVO-Checkliste

Im Tierreich würde man sich die momentane Situation etwa so vorstellen: Ein Elefant trompetet, der Tiger brüllt, der Affe zieht am Haar des Primaten auf dem Nachbarast. Großes Getümmel, absurde Aufregung. Auslöser einer solchen Situation könnte ein baldiger Sturm oder eine Herde wilder Langhaarochsen sein - in unserer Welt ist es die bevorstehende DSGVO. Aber Spaß beiseite. Die DSGVO treibt vielen Unternehmern momentan den Schweiß auf die Stirn, denn am 25. Mai 2018 ist Stichtag. Bedeutet: Bis zu 20 Millionen Euro oder bis zu 4% des jährlichen weltweiten Umsatzes drohen Unternehmen als Strafe, falls die Bibel des Datenschutzgotts nicht umgesetzt wird. Als Betroffene haben wir uns natürlich genauer mit dem Thema auseinandergesetzt.

 

DSGVO Definition

Fangen wir einmal bei Null an: Die Buchstaben des Akronyms stehen für die Datenschutzgrundverordnung. Die neue EU-Verordnung wirkt ab Mai unmittelbar in allen Mitgliedsstaaten und soll einen einheitlichen Rechtsrahmen für die gesamte Datenschutz-Thematik schaffen. Denn unsere Gesellschaft wird immer digitaler, das Datenaufkommen immer größer und in den letzten Jahren kam es vermehrt zu – nennen wir es eine kreative Interpretation des Datenschutzgesetzes. Denn einzelne EU-Länder haben Datenschutzgesetze anders ausgelegt als andere, wodurch keine Einheitlichkeit gegeben war. Dies soll sich nun ändern. Grundsätzlich gilt: Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz sogar besonders betont, aber die einzelnen Elemente des Datenschutzgesetzes sind nun viel detaillierter und versuchen Grauzonen auszuschließen.


Die Grundlage der DSGVO - Was du nicht darfst

Doch gehen wir zunächst auf die Basis der DSGVO ein. Was sind die bisherigen Grundprinzipien des Datenschutzes? Kurz und knapp zusammengefasst sind das folgende:

 

  • Transparenz: Die Verarbeitung personenbezogener Daten muss für jeden Betroffenen stets nachvollziehbar sein. Das bedeutet, dass in Zukunft auch eine vollständige Datenschutzerklärung nötig sein wird.
  • Zweckbindung: Alle erhobenen Daten dürfen ausschließlich für den vorgesehenen Zweck verarbeitet werden. Voraussetzung dafür ist, dass man am Anfang des Verarbeitungsprozesses festlegt und dokumentiert, für welchen Zweck die Daten benötigt werden. Denn laut Art. 6 Abs. 4 der DSGVO ist eine nachträgliche Zweckänderung nur zulässig, wenn sie dem ursprünglichen Zweck gleicht.
  • Verbot mit Erlaubnisvorbehalt: Grundsätzlich gilt, dass alle Daten nur nach dem Gesetz verarbeitet werden dürfen und jede Verarbeitung personenbezogener Daten verboten ist, außer das Gesetz erlaubt diese.
  • Datensparsamkeit: Die Verarbeitung von personenbezogenen Daten ist auf den Verarbeitungszweck begrenzt. Die Daten dürfen nicht zu weiteren Zwecken genutzt werden, damit eine „Datenerhebung auf Vorrat" (Art. 5 Abs. 1 lit. C. DSGVO) nicht möglich ist.
  • Vertraulichkeit: Man ist dazu verpflichtet alle personenbezogenen Daten durch technische und organisatorische Maßnahmen vor unbefugten Zugang, der Zerstörung oder Veränderung zu schützen.

 

Diese Prinzipien sind die Grundlage der DSGVO und nun wurde sie im Umfang, Ausdruck und natürlich den Konsequenzen konkretisiert. Das dient einerseits dem Schutz personenbezogener Daten, andererseits schränkt es Unternehmen in der alltäglichen Datenverarbeitung aber auch sehr ein. Doch konzentrieren wir uns erstmal auf die personenbezogenen Daten. Bisher war besonders die Definition dieser Formulierung eine regelrecht individuelle Auslegungssache. Die neue DSGVO hat in Bezug dieser Begrifflichkeit konkrete Änderungen vorgenommen und in Artikel 4 Nr.1 der DSGVO eine eindeutige Definition festgelegt:

 

Personenbezogene Daten sind sämtliche Daten, die eine Person theoretisch identifizieren können.

 

Das bedeutet, dass eine Person nicht unbedingt identifiziert werden muss, sondern allein die Tatsache ausreicht, dass die Informationen vorliegen mit denen man sie identifizieren könnte. Dazu zählen nun pseudonyme Cookies genauso wie IP-Adressen oder ähnliche „Online-Kennungen". Besonders die Welt des Online Marketings wird dadurch auf den Kopf gestellt, denn viele Tracking Konzepte und Analysen von Daten für Retargeting und Co. werden nun schwieriger umzusetzen sein. Aber auch die Agenturbranche ist durch den großen Umfang an Kundendaten sehr davon betroffen und muss ihre Datenschutzprozesse umstellen. Unsere Agentursoftware PROAD haben wir deshalb noch genauer überprüft und uns informiert darüber, was für konkrete Änderungen in der DSGVO noch aufgestellt wurden:

 

  • Mehr Rechte für natürliche Personen: Ab dem 25. Mai ist die ausdrückliche Zustimmung von allen Personen erforderlich, von denen man Daten erhebt. Dazu gehören ebenfalls alle Informationen, die Ort- und Zeitangaben der Daten betreffen - welche Daten wurden wo und seit wann gespeichert?
  • Extraterritoriale Anwendung: Die Welt ist immer vernetzter und man kann von überall aus Daten empfangen und versenden. Deshalb wurde die territoriale Anwendung genauer definiert: Es zählt alleinig, wohin die Daten fließen und nicht von wo aus man arbeitet.
  • Risikobasierte Rechenschaftspflicht: Jedes Unternehmen ist nun dafür verantwortlich, dass alle wirksamen Maßnahmen für den Datenschutz ergriffen werden.
  • Mitteilungspflicht bei Verletzungen: Wird die Datenschutzpflicht verletzt muss der Verantwortliche innerhalb von 72 Stunden die Aufsichtsbehörde darüber informieren.
  • Datenschutzbeauftragter: Unternehmen in denen Mitarbeiter nicht einer Berufserlaubnispflicht unterliegen und die mehr als 10 Mitarbeitern führen sind nun dazu verpflichtet einen Datenschutzbeauftragten zu bestellen. Dieser kann ein interner Mitarbeiter sein oder von einer externen Person übernommen werden.

 

Deine Vorteile - Was du darfst

Doch die DSGVO hat nicht nur Nachteile oder grenzt das Business mehr ein. Der Datenschutz hat auch wirtschaftliche Interessen. Der Schutz personenbezogener Daten ermöglicht nun auch den freien Verkehr von Daten. Dadurch kann flexibler mit geschützten Daten umgegangen werden. Dabei ist jedoch jederzeit zu beachten, dass anonyme Daten nur als anonym gelten, wenn keine Rückschlüsse auf konkrete Personen zulässig sind. Zudem dürfen personenbezogene Daten wie auch bisher verarbeitet werden, wenn der Zweck die Erfüllung eines Vertrages oder eine vorvertraglichen Anfrage ist. Eine Verarbeitung ist ebenfalls erlaubt, wenn sie durch andere Gesetze vorgeschrieben ist und jetzt kommt eine ganz besondere Klausel, die das Interesse der meisten Geschäftsleute auf sich zieht:

 

Die Verarbeitung personenbezogener Daten ist auf Grundlage berechtigter Interessen erlaubt.

 

Soweit so gut. Was berechtigte Interessen sind, ist jetzt wieder Auslegungssache? Naja sicher nicht, denn wenn wir nun eins bei der DSGVO gelernt haben, dann dass nichts mehr impliziert werden kann. Berechtigte Interessen sind insbesondere wirtschaftliche Interessen und diese haben wir euch in einer Grafik zusammengefasst.

 

Wir sind vorbereitet

Ziemlich viel Input zur DSGVO, mit dem auch wir uns erstmal auseinandersetzen mussten. Doch da wir nichts falsch machen wollen, haben wir uns direkt professionelle Hilfe geholt und einen externen Datenschutzbeauftragten bestellt. Unser Unternehmen und vor allem PROAD Software ist dadurch bestens beraten und wir fragen lieber zweimal nach, bevor bei dem Thema Datenschutz etwas misslingt. Damit auch ihr vorbereitet seid, haben wir euch eine Checkliste zusammengestellt, mit der ihr schon einmal entspannter in Richtung Mai blicken könnt. Denn der 25. Mai 2018 scheint für viele noch in weiter Ferne zu sein, doch wir warnen lieber jetzt, bevor es zu spät ist: Die DSGVO ist bereits in Kraft getreten, der 25. Mai ist ausschließlich der Tag an dem die neue EU-Verordnung seine gesamte Wirkung entfaltet. Wir raten deshalb: Setzt euch lieber früh mit der Thematik auseinander, denn es gibt keine Milderung für Unternehmen, die ihre Datenverarbeitung nicht rechtzeitig nach der DSGVO angepasst haben. Mit unserem Datenschutzbeauftragten sind wir nun bestens ausgerüstet, doch eine Frage bleibt wohl noch offen: Können Akronyme zum Unwort des Jahres gewählt werden? DSGVO hätte jedenfalls großes Potential.