Ab Mai 2018 gilt für alle die Europäische Datenschutzgrundverordnung. Worauf müssen Sie achten?

DSGVO

Sie besteht bereits seit dem 24.05.2016, doch seit dem 25.05.2018 gilt sie im gesamten Raum der Europäischen Union und darüber hinaus für jeden - auch außerhalb - der personenbezogene Daten von EU-Bürgern verarbeitet: die Verordnung (EU) 2016/679, Ihnen sicher besser bekannt unter dem Namen EU-Datenschutzgrundverordnung oder kurz DSGVO.
Diese will natürliche Personen schützen, regelt daher den Umgang mit deren Daten, stärkt die Rechte dieser betroffenen Personen und verschärft die Haftung und Sanktionen bei Verstößen, um dennoch gleichzeitig den freien Datenaustausch zu erhalten. Nur eben geschützter.

Aber was sind nun diese personenbezogenen Daten und was genau bedeutet verarbeiten?
In den ersten beiden Absätzen des Artikel 4 finden wir die Antworten darauf:

„personenbezogene Daten“ bezeichnet
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Klingt nach viel - ist es auch! Denn letztendlich ist jede Information personenbezogen, sobald sie mit vertretbarem Aufwand eindeutig einer bestimmten Person zugeordnet werden kann. Name, Adresse, Beruf und Position, Augenfarbe - dass dies personenbezogene Daten sind, ist verständlich. Aber auch Kontonummern, Kfz-Kennzeichen, Matrikelnummern, selbst Antworten auf Prüfungsarbeiten - all das sind personenbezogene Daten!
Im Artikel 9 werden darüber hinaus besondere Kategorien personenbezogener Daten genannt, deren Verarbeitung sogar bei hoher Strafe untersagt ist!

„Verarbeitung“ bezeichnet
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Oder kurz gesagt: so ziemlich alles, was man mit Daten machen kann; egal, ob automatisiert oder nicht; egal, ob in elektronischer oder Papierform; egal, von wem durchgeführt.

 

Verantwortlicher, Auftragsverarbeiter, Vertreter

Die einzelnen Definitionen, ebenfalls aus Artikel 4:

„Verantwortlicher“ bezeichnet
die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

„Auftragsverarbeiter“ bezeichnet
eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

„Vertreter“ bezeichnet
eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;

Ah, die Hauptcharaktere der DSGVO! Sie sind nämlich diejenigen, die selbst lediglich über die Verarbeitung entscheiden, ohne sie auch tatsächlich durchzuführen. Und sie sind diejenigen, die die Einhaltung der DSGVO und ihrer Grundsätze gewährleisten und nachweisen müssen! Sie lesen richtig: nachweisen! Die DSGVO bringt nämlich eine umfassende Dokumentationspflicht mit und kehrt die Beweislast um - und das nicht gerade zu Ihrer Gunst! Früher mussten die Aufsichtsbehörden nämlich Ihnen nachweisen, dass Sie einen Verstoß gegen rechtliche Datenschutzbestimmungen begangen hatten. Ab sofort hingegen kann sie jederzeit bei Ihnen aufwarten und den Beweis dafür verlangen, dass Sie die DSGVO einhalten und umgesetzt haben! Deswegen ist es Ihre Pflicht, geeignete Maßnahmen zum Schutz der Daten zu treffen (sowohl technisch als auch organisatorisch), Risikoabschätzungen durchzuführen und im Falle eines hohen Risikos auch eine Datenschutz-Folgeabschätzung, sowie ein Verzeichnis von Verarbeitungstätigkeiten, in welchem u.a. Art der Daten, Zweck der Verarbeitung, Löschungsfristen und die getroffenen Maßnahmen zum Schutz der Daten beschrieben werden müssen. Bei Nichteinhaltung drohen übrigens hohe Geldstrafen.

 

Haftung und Sanktionen

Da es Ihre Pflicht als Verantwortlicher, Auftragsverarbeiter und Vertreter ist, der DSGVO nachzukommen, sind auch Sie es, die bei Vorfällen und Verstößen in der Haftung stehen. In der vollen Haftung übrigens. Denn jede betroffene Person kann ihre Rechtsansprüche gegenüber jedem Verantwortlichen geltend machen. Doch nicht nur Vorfälle können zu Strafen führen. Hier eine kurze Übersicht zu den verschärften Geldbußen im Artikel 83. Je nachdem, welcher Betrag höher ist:

  • - bis zu 10.000.000 Euro oder 2% des weltweit erzielten Jahresumsatzes des Vorjahrs bei Verstößen gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter. Diese beinhalten insbesondere Verstöße gegen Regelungen zu
    • • Einwilligung eines Kindes
    • • nicht erforderliche Identifizierung einer betroffenen Person
    • • Dokumentationspflicht
    • • Rechtmäßigkeit und Sicherheit der Verarbeitung
    • • Risiko- und Folgenabschätzung
    • • Verzeichnis von Verfahrenstätigkeiten
    • • Bestellpflicht eines Datenschutzbeauftragten
    • • Zertifizierungen;

 

  • - bis zu 20.000.000 Euro oder 4% des weltweit erzielten Jahresumsatzes des Vorjahrs bei Nichtbefolgen einer Anweisung oder Beschränkung durch die Aufsichtsbehörden oder bei Verstößen gegen
    • • Grundsätze der DSGVO
    • • Bedingungen für die Einwilligung zur Verarbeitung
    • • Rechtmäßigkeit und Sicherheit der Verarbeitung besonderer personenbezogener Daten gemäß Artikel 9
    • • Betroffenenrechte
    • • Bestimmungen für die Übermittlung in Drittländer oder an internationale Organisationen
    • • Vorschriften für besondere Verarbeitungssituationen gemäß Artikeln 85-91;
  • - des Weiteren gemäß §§42-43 des neuen Bundesdatenschutzgesetzes, gestützt auf die Öffnungsklausel im Artikel 84 der DSGVO: bis zu 3 Jahren Freiheitsstrafe oder bis zu 50.000 Euro Strafe für jedes weitere Vergehen, das nicht explizit in der DSGVO genannt wird.

Sie sehen also, die Strafen sind exorbitant hoch und man sollte das ganze nicht auf die leichte Schulter nehmen. Kommen Sie Ihren Pflichten also lieber nach und dokumentieren Sie lieber zu viel als gar nicht!

 

Externer Datenschutzbeauftragter

 

 

Hier finden sie das Gesetz in der Deutschen Fassung und im Englischen Original