Zur Übersicht

Neue Datenschutzgrundverordnung – to do's für Unternehmer

Dr. Christine Knecht-Kleber LLM
Dr. Christine Knecht-Kleber LLM Aktualisiert am 17. Aug. 2020
Bereiten Sie sich auf die Datenschutzgrundverordnung vor Artikelübersicht MASSIVE ART Titelbild

Vor allem wegen ihrer sehr hohen Strafen ist die Datenschutzgrundverordnung zurzeit in aller Munde. Bis zu vier Prozent des Konzernumsatzes oder zwanzig Millionen Euro – je nachdem welcher Betrag höher ist – sind als Strafe möglich, wenn gegen die Datenschutzgrundverordnung verstoßen wird. In der Tat ist Handlungsbedarf gegeben, denn die verbleibende Zeit von zehn Monaten zur Umsetzung der erforderlichen Maßnahmen ist denkbar kurz.

Wann ist das Datenschutzrecht zu beachten?

Sämtliche Informationen, die die Feststellung der Identität einer Person ermöglichen, sind personenbezogen und unterliegen dem Datenschutz. Dazu zählen: 

  • E-Mail-Adresse
  • Foto
  • Anschrift
  • IP-Adresse
  • Sozialversicherungsnummer

Anonyme Daten sind folglich ausgenommen.

Gesetzliche Grundlage für Datenverarbeitung

Sofern keine gesetzliche Grundlage vorliegt, ist jede Datenverarbeitung verboten. Als gesetzliche Grundlage dienen in der Praxis vor allem die Erfüllung einer vertraglichen Pflicht oder die Einwilligung. Wer beispielsweise eine Ware bestellt, muss seine Adresse bekanntgeben, damit diese zugestellt werden kann. Wer einen Newsletter per E-Mail an seine Kunden versenden möchte, benötigt die Zustimmung der Kunden.

Erhobene Daten sparsam nutzen

Neben einer Rechtsgrundlage erfordert jede Datenverarbeitung einen festgelegten, legitimen Zweck. Will man IP-Adressen und User-IDs protokollieren und speichern, um die Benutzerfreundlichkeit der Website zu optimieren, ist dieser Zweck anzugeben. Auch sind die erhobenen Daten auf das für die Verarbeitung notwendige Maß zu beschränken.

Jede Person hat ein Recht zu erfahren, was mit den eigenen, personenbezogenen Daten passiert. Dank der Datenschutzerklärung muss klar definiert sein, welche personenbezogenen Daten zu welchem Zweck, von wem, wie lange verarbeitet werden. Zudem muss nachvollziehbar sein, ob die Daten an Dritte weitergegeben werden.

Stichtag zur Datenschutzgrundverordnung

Die Europäische Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Sie ersetzt die EU-Datenschutzrichtlinie sowie das österreichische Datenschutzgesetz. Die obigen Grundsätze zur Datenverarbeitung erfahren keine wesentliche Änderung. Jedoch kommen aber weitere Pflichten und Unsicherheiten auf die Unternehmen zu. Durch den Wegfall der Meldeplicht bei der Datenschutzbehörde haben die Unternehmen ihre Datenverarbeitungen eigenverantwortlich und datenschutzkonform durchzuführen.

Vorbeugende Maßnahmen treffen

Um Datenschutzverstöße schon im Vorfeld zu verhindern, müssen Unternehmen „technische und organisatorische Maßnahmen“ ergreifen. Sie sollten eine Datenschutzfolgenabschätzung vornehmen. Maßnahmen können beispielsweise sein:

  • Technische Maßnahme: Verschlüsselung und Pseudonymisierung von Daten.
  • Organisatorische Maßnahme: Beschränkung des Datenzugriffs auf das Minimum (need-to-know).

Faktoren wie technische Machbarkeit, Kosten und Eintrittswahrscheinlichkeit einer Datenschutzverletzung sind dabei ebenfalls zu berücksichtigen.

Datenanwendungen ermitteln und dokumentieren

Unternehmen müssen sich fortan einen Überblick über ihre Datenanwendungen verschaffen, indem sie Folgendes ermitteln, dokumentieren,

  • wo
  • welche Daten
  • von wem
  • auf welcher Rechtsgrundlage
  • zu welchem Zweck
  • wie lange
verarbeitet werden und ob eine Weitergabe an Dritte (beispielsweise an IT-Dienstleister) erfolgt. Eine Ausnahme besteht für Unternehmen mit weniger als zweihundertfünfzig Mitarbeiter. Allerdings darf die Haupttätigkeit dieser Unternehmen dann nicht in der Verarbeitung von sensiblen Daten bestehen und nicht regelmäßig erfolgen.
 

Nutzen Sie die verbleibenden zehn Monate bis zum Inkrafttreten der Europäischen Datenschutzgrundverordnung am 25. Mai 2018. Treffen Sie Maßnahmen, die Ihr Unternehmen vor Datenschutzverstößen schützen. 

Dr. Christine Knecht-Kleber LL.M.
Dr. Christine Knecht-Kleber LLM
Die Spezialistin für Informations- und Wirtschaftsrecht ist geprüfte Datenschutzbeauftragte. Sie berät Unternehmen in sämtlichen Rechtsfragen – vom Vertragsrecht über Datenschutz bis hin zum Markenrecht.