Datenschutzreform: Wer weiterschläft, riskiert hohe Strafen!

//Datenschutzreform: Wer weiterschläft, riskiert hohe Strafen!

Datenschutzreform

Das hier ist ein Weckruf! Es soll nämlich immer noch Unternehmen und Selbstständige geben, die den Schuss nicht gehört haben: Ab 25. Mai 2018 wird die Datenschutz-Grundverordnung der EU (EU-DSGVO) umgesetzt, die bereits 2016 in Kraft getreten ist. Wer die zweijährige Frist zur Umstellung auf die neuen Bestimmungen verschlafen hat, könnte unliebsame Bekanntschaft mit drakonischen Strafen für Verstöße gegen die Verordnung machen. Bis zu 20 Mio. Euro oder 4 % des Umsatzes drohen – je nachdem, was höher ist! Zur Halbzeit der Umsetzungsfrist hatten sich laut einer Bitkom-Studie erstaunliche 44 % der Unternehmen nicht einmal mit der Verordnung irgendwie beschäftigt – geschweige denn die erforderlichen Maßnahmen in Angriff genommen.

EU-weit gleiche Regeln – mehr Sicherheit, aber auch mehr Aufwand

Inwieweit die Datenschutz-Grundverordnung den eigentlichen Datenschutz verbessert bzw. seine Durchsetzung erleichtert, war und ist unter Juristen und Datenschützern umstritten. Ungeachtet dessen ist klar: Die Umsetzung der Verordnung muss bis 25.8.2017 abgeschlossen (!) sein. Das gilt für alle (auch Organisationen mit Sitz außerhalb der EU), die personenbezogene Daten im Gebiet der EU speichern und verarbeiten. Und es gilt unmittelbar, d. h., nationale Bestimmungen dürfen die Vorschriften weder abschwächen noch verschärfen. Von einer Reihe der Bestimmungen sind auch Kleinunternehmen und Freiberufler betroffen.

Eine Vereinfachung und damit auch mehr Rechtssicherheit bringt die DSGVO bei allen grenzüberschreitenden Geschäften innerhalb der EU, denn hier gelten nun in allen Staaten im Wesentlichen die gleichen Bestimmungen. Die Ausnahmen sind überschaubar – aber auch nicht unwichtig. National geregelt bleibt z. B. die Arbeitnehmerdatenverarbeitung.

Datenschutz-Grundverordnung – die wichtigsten Regeln

Das zentrale Prinzip der DSGVO ist, dass für jede Erhebung und Verarbeitung personenbezogener Daten eine rechtliche Grundlage erforderlich ist, dass sich der Umfang und die Dauer dieser Datenverarbeitung/-speicherung auf das erforderliche Maß beschränkt sowie zweckgebunden und vertraulich bleibt. Kurz gesagt gilt: Es ist alles verboten, was die Verordnung nicht ausdrücklich erlaubt.

Die Datenschutz-Grundverordnung ist sehr umfangreich; die eigentlichen Artikel beginnen erst nach 173 Präambel-Abschnitten. Im Folgenden sind daher nur Beispiele für wesentliche bzw. neue Regelungen aufgeführt:

  • Ansprechpartner sind die Datenschutz-Aufsichtsbehörden. Ihnen sind nicht nur Verstöße gegen den Datenschutz zu melden, sie stellen u. a. auch Auslegungshilfen zum neuen Datenschutzrecht zur Verfügung.
  • Vorbeugend sind Voreinstellungen und Techniken bzw. Produktdesigns – Stichwort data protection by design/by default – einzuführen, die die Einhaltung der Bestimmungen (z. B. Datenminimierung) erleichtern oder gewährleisten (Artikel 25).
  • In Unternehmen, die nach Artikel 37 einen Datenschutzbeauftragten bestellen müssen, hat dieser zukünftig die Einhaltung der Vorschriften zu überwachen (nicht mehr nur „darauf hinzuwirken“). Er und der Unternehmer haften somit auch persönlich dafür.
  • Hinzugekommen ist eine verpflichtende Datenschutz-Folgeabschätzung für Techniken oder Systeme der EDV, die neu eingeführt werden. Die Abschätzung soll Risiken für die Rechte betroffener Personen erfassen und muss u. U. mit der Datenschutzbehörde abgestimmt werden (Artikel 35).
  • In einem sogenannten Verfahrensverzeichnis müssen die Prozesse, wie mit Daten im Unternehmen umgegangen wird, dokumentiert sein (Artikel 30).
  • Bei grenzüberschreitendem Datenverkehr haben Unternehmen nur mit der Datenschutz-Aufsichtsbehörde, die sich am Hauptsitz der Firma befindet, zu tun.
  • Betroffene Personen müssen umfassend über ihre gespeicherten Daten informiert werden, und zwar bereits zum Zeitpunkt der Erhebung dieser Daten (Artikel 13).
  • Das Recht von Personen auf digitales „Vergessenwerden“ bedeutet, dass Daten unter bestimmten Voraussetzungen wieder gelöscht werden müssen. Das beinhaltet auch entsprechende Mitteilungen an Stellen, denen solche Daten weitergeleitet worden sind (Artikel 17).
  • Verletzungen des Schutzes personenbezogener Daten müssen an die Datenschutz-Aufsichtsbehörde gemeldet werden (Artikel 33).

Fazit: Packen Sie es an – jetzt!

Datenschutz kann zukünftig nicht mehr mit links erledigt werden. Es ist höchste Zeit für Unternehmen jeder Größenordnung, die erforderlichen Maßnahmen und Verfahren gezielt und zügig zu entwickeln, und die entsprechenden Ressourcen inkl. Budgets einzuplanen, auch wenn Klein- und Mittelunternehmen (ein wichtiger Schwellenwert sind hier 250 Beschäftigte) von einigen Verpflichtungen entlastet sind. Es kann sich durchaus lohnen, im Zweifel professionelle Hilfe in Anspruch zu nehmen.

Newsletter abonnieren

Verpassen Sie keinen Blog-Eintrag mehr!

Abonnieren Sie unseren Blog und halten Sie Ihr Online-Marketing-Wissen aktuell!
Newsletter abonnieren

Mehr zum Thema Rechtsfragen

Erfahren Sie mehr Grundlagen und Wissenswertes zum Thema.

Impressumspflicht_Webseiten

Ein ordentliches Impressum ist für die allermeisten Webseiten Pflicht. Wichtig ist nicht nur, was drinsteht, sondern auch, wo es steht.

Facebook Buttons einbinden

Facebook-Buttons auf der eigenen Website einzubinden, kann ganz schön teuer werden. Wir zeigen Ihnen, wie Sie rechtlich sicher bleiben.

Datenschutzreform: Wer weiterschläft, riskiert hohe Strafen!
Beitrag bewerten

By | 2018-02-22T15:58:03+00:00 31.08.2017|Categories: Online Marketing|Tags: |1 Kommentar

About the Author:

Michael Praschma
Michael Praschma ist Texter, Lektor und Redakteur. Er beherrscht so unterschiedliche Gattungen wie Werbetext, Direct Marketing, Claims, Webtext, Ghostwriting, Manuals oder PR. Außerdem treibt er sich – schreibend und anderweitig engagiert – in Journalistik, Non-profit-Organisationen und Kulturwesen herum. Seine Kunden kommen aus verschiedensten Branchen. Bei Heise RegioConcept schätzt er die Möglichkeit, mit eigenen Recherchen auf den Punkt zu bringen, was Blogbesucher interessiert.

Ein Kommentar

  1. Michael Praschma 5. Dezember 2017 um 11:41 Uhr - Antworten

    UPDATE FÜR BETREIBER VON WEBSITES MIT DEM CMS WORDPRESS.COM:
    Automattic, die Entwickler von WordPress.com, haben jetzt mitgeteilt, dass sie daran arbeiten, das CMS bis Mai 2018 mit den Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO) in Übereinstimmung zu bringen. Dazu sollen u. a. Features gehören, die Nutzern mehr Wahlmöglichkeiten hinsichtlich der Verarbeitung ihrer Daten bieten.
    Ein kritischer Bereich wird dabei die Frage der Weitergabe von Nutzerdaten an US-Behörden sein. Inwieweit hier volle Übereinstimmung mit europäischem Recht erreichbar wird, ist derzeit noch nicht klar.
    Die Informationen von WodPress.com/Automattic finden sich unter https://en.support.wordpress.com/automattic-gdpr/

Hinterlassen Sie einen Kommentar