Sie ist in aller Munde und bereitet vielen Unternehmern und Selbstständigen Angst und Schrecken: die Änderung des Datenschutzgesetz zum 25. Mai 2018.
Denn insbesondere für Medienunternehmen und Agenturen sind die gesetzlichen Änderungen des Datenschutzgesetz einschneidend in vielerlei Hinsicht. Was das Datenschutzgesetz mit sich bringt und welche Konsequenzen für die europäische Unternehmenslandschaft daraus resultieren werden, zeigen die folgenden fünf Fakten zur Änderung der DSGVO (Datenschutz-Grundverordnung).
Was steckt hinter der Änderung des Datenschutzes?
Die Neuerungen des bestehenden Datenschutzgesetz gehen auf die einheitliche Überarbeitung der europaweiten Richtlinien zurück (EU-DSGVO). Das heißt, dass dieses rechtliche Konstrukt Anwendung in ganz Europa findet und das parallel erneuerte Bundesdatenschutzgesetz (BDSG) ergänzt. Der Geltungsbereich betrifft dabei alle Handlungen, welche die Handhabung mit personenbezogenen Daten betreffen. Das Ziel der Änderungen besteht dabei darin, die Nutzer für den Umgang mit Ihren persönlichen Daten zu sensibilisieren, die Transparenz des Datenverkehrs zu erhöhen und die Rechtslage innerhalb der EU einheitlich zu gestalten. Darüber hinaus gelten die ab dem 25. Mai 2018 gültig werdenden Regelungen auch für Drittstaaten wie den USA. Diese konnten sich bisher wegen mangelnder Rechtsgrundlage nicht für den fahrlässigen Umgang mit personenbezogenen Daten haftbar machen lassen, sodass auch für Global Player wie Google oder Facebook Konsequenzen zu erwarten sind. Die Strafen für einen fehlerhaften Datenumgang können fatale Folgen nach sich ziehen. Bußgelder in Höhe von 20 Millionen Euro oder 4 % des jährlichen weltweiten Umsatzes drohen Unternehmern, die sich nicht an die neue Verordnung halten.
Fakt #1: Personenbezogene Daten – mehr als nur der eigene Name
Dieser Begriff bildet den Ausgangspunkt der gesetzlichen Regelungen und beschreibt dabei Daten, die Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person preisgeben. Darunter fallen auch Angaben, welche Aufschluss über eine Person liefern können ohne diese zu nennen. Hierzu zählt auch, wenn ein Mitarbeiter aufgrund seiner Arbeitsstelle und seiner E-Mail-Adresse als Max Mustermann identifizierbar wird. Der Kontext der vorliegenden Daten wird daher ebenfalls von der EU-DSVGO berücksichtigt. Darüber hinaus sind personenbezogene Daten nicht nur die offensichtlichen Fakten wie der Name, das Alter oder das Geburtstagdatum. Vielmehr zählen auch Kontonummern, E-Mail-Adressen, Telefonnummern sowie die IP-Adresse und Cookies zu persönlichen Parametern einer Person. Darunter fallen zudem sensible Daten wie Gesundheitsverhältnisse, Einstellungen und politische und sexuelle Ausrichtung eines Menschen.
Fakt #2: Die EU-DSGVO betrifft nicht nur europäische Unternehmen
Das komplizierte Gesetzeskonstrukt bildet nicht nur die Basis für die Verordnung in Deutschland. Europaweit findet die EU-DSGVO Anwendung, wenn gleich hierdurch nicht die Gesetze innerhalb der EU-Staaten außer Kraft gesetzt werden. Die einheitliche Rechtsgrundlage soll vielmehr die Gesetze der Euro-Staaten bündeln und gleichstellen. Betroffen sind dadurch alle Unternehmen, die Ihren Sitz innerhalb der europäischen Staatsgrenzen haben oder dort mit einer Niederlassung vertreten sind. Doch anders als zu vermuten, spielen die Änderungen des Datenschutzes auch für nicht EU-Unternehmen eine große Rolle. Unabhängig vom Standort des Unternehmens, sind die Regelung auch dann gültig, wenn personenbezogene Daten von Europäern erhoben, verarbeitet oder genutzt werden.
Fakt #3: Die alten Grundsätze des Datenschutzgesetz gelten weiterhin
Ein weitverbreiteter Irrglaube besteht darin, dass alle Aspekte der Datenschutzänderung grundsätzlich neu sind. Dies ist so nicht richtig, da bereits im alten Bundesdatenschutzgesetz wesentliche Anweisungen zum Umgang mit persönlichen Daten wurden. Es gelten deshalb nach wie vor die wesentlichen zehn Gebote des Datenhandlings:
- Zuverlässigkeit
- Zweckbindung
- Notwendigkeit
- Richtigkeit
- Treu und Glaube
- Sicherheit
- Transparenz
- Sensibilität
- Überwachung
- Werbezwecke
Wie bisher auch müssen Unternehmen einen verantwortungsvollen Umgang mit den Ihnen anvertrauten Daten betreiben. Gemeint ist damit, dass alle Daten vertraulich behandelt werden und dies auch nur, wenn die zweckgebundene Einverständniserklärung des Verbrauchers vorliegt. Hierzu gehört ebenfalls, dass dieser über den Zweck und seine Rechte aufgeklärt wird und nur autorisiertes Personal Zugriff auf diese hat. Ausführliche Informationen hierzu finden Sie hier: Gesetze im Netz
Fakt #4: Erweiterung und Ergänzung des Datenschutzgesetz
Abgesehen von den bisherigen Geboten, an die sich Unternehmen zu halten haben, sind auch neue Aspekte hinzugekommen. Hierzu zählt beispielsweise die Protokollierung aller Vorgänge der Datenverarbeitung in Firmen. Von der Einwilligung über die Erhebung bis hin zu Verarbeitung, Speicherung und Löschung müssen alle Tätigkeiten der Firmen nachweisbar sein. Hierrunter fällt auch die Dokumentationspflicht, welche in Abwägung an die Folgen der Datenschutzverarbeitung geknüpft ist.
Darüber hinaus wird die Portabilität der Daten gefordert: Verbrauchern wird hierdurch der Wechsel von Vertragspartnern (wie der Krankenkasse oder Mobilfunkanbietern) vereinfacht. In diesem Zug findet auch das „Recht auf Vergessenwerdens“ Anwendung: alle Angaben, Querverweise oder auch Suchmaschineneinträge müssen auf Wunsch des Betroffenen vollständig vernichtet werden.
Wesentlich ist zudem die Haftbarkeit der Unternehmer. Neben der deutlichen Anhebung der Bußgelder, müssen Firmen ab sofort auch für Ihre Subunternehmer und Dienstleister haften. Zudem ist die Informationspflicht, welche Unternehmer zu erfüllen haben, weitaus umfänglicher als bislang. Hierzu gehört zum Beispiel die Nennung der Rechtsgrundlage innerhalb der Datenschutzerklärung. Die vollständige EU-DSVGO finden Sie hier.
Fakt #5: Nicht nur die digitale Kommunikation ist betroffen
Änderungen in Bezug auf das Datenschutzgesetz werden häufig mit der digitalen Welt in Verbindung gebracht. Dieser Trugschluss ist jedoch falsch. Jede unternehmerische Handlung im Umgang mit personenbezogenen Daten hat den Grundsätzen der Datenschutzrichtlinien zu unterliegen. Demzufolge sind die Verordnungen zu Einverständniserklärungen und Informations-, Auskunfts- und Dokumentationspflichten in der digitalen als auch in der analogen Kommunikation zu beachten. Ein Beispiel hierfür sind Gewinnspiele. Unabhängig davon, ob die Daten der Teilnehmer offline oder online erhoben werden, gelten die gleichen Grundsätze für den Umgang mit den Daten des Betroffenen.
Was sind nun die akuten Auswirkungen des Datenschutzgesetz?
Unternehmen müssen tätig werden und alle betroffenen Prozesse genauestens unter die Lupe nehmen. Unabdingbar ist hierbei der Beistand eines darauf spezialisierten Fachanwalts und das zu Rate ziehen des Datenschutzbeauftragten des Unternehmens.
Einige Maßnahmen müssen daher schnellstmöglich ergriffen werden:
- Aktualisieren Sie die Datenschutzerklärung
- Schaffen Sie die technischen Voraussetzungen für die Einhaltung der zehn Gebote
- Kontrollieren Sie Ihre Datenbestände und Protokollierungsvorgänge
- Schulen Sie Ihr Personal extern oder intern
- Überprüfen Sie Ihre Vereinbarungen mit Subunternehmern
Insgesamt betrachtet sind die Auswirkungen daher mit einem großen zeitlichen und personellen Aufwand verbunden. Darüber hinaus sind bestimmte Softwareanpassungen und Datenbankerneuerungen ebenfalls mit Entwicklungs- und Programmierungskosten verbunden. Zusammenfassend lässt sich daher sagen, dass die Änderungen des Datenschutzgesetzes ein Kraftakt für alle Unternehmen darstellt. Es besteht allerdings Hoffnung: abschließend sind noch nicht alle Grauzonen ausgemerzt und Präzedenzfälle liegen den Gerichtshöfen noch nicht vor. Es kann daher sein, dass sich einige Regelungen als nicht praktikabel oder für Firmen zumutbar erweisen. Darauf Ausruhen sollte sich jedoch kein Unternehmen.
Wer sich tiefergehend für das Thema Datenschutzgesetz interessiert, kann weitere Informationen hierzu nicht nur online, sondern auch auf diversen Tagungen einholen. Der 19. Datenschutzkongress in Berlin findet vom 16.-18. Mai statt und bietet die Möglichkeit des Networkings und der Workshop-Teilnahme. Gemeinsam werden Problematiken erörtern und Handlungsempfehlung ausgesprochen: zur Anmeldung.
Bildnachweis: Regulierung Daten Europa, 10 Gebote des Datenschutz