logo JuraFox

Was bedeutet die Datenschutz-Grundverordnung (DSGVO) für Unternehmen? 
 
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 hat für große Aufregung gesorgt. Es schien fast, als wäre der Datenschutz ein völlig neues Thema. Dabei war der Schutz der personenbezogenen Daten auch vorher schon im Bundesdatenschutzgesetz (BDSG) geregelt. Woher kam also die Aufregung? Die Antwort ist ganz einfach: Das Thema Datenschutz bekam durch die EU-Verordnung eine neue Qualität. Es wurden neue Rechtsgrundlagen geschaffen, die Rechte der Betroffenen gestärkt und die Pflichten der Verantwortlichen verschärft. Eine wirkliche Neuerung wurde durch Artikel 82 eingeführt. Der Artikel umfasst Regelungen zur Haftung und das Recht von natürlichen Personen auf Schadenersatz.
 
Wir von JURAFOX möchten ein wenig Licht ins Dunkel des Datenschutzurwaldes bringen. In diesem Lexikon erklären wir Ihnen, was die DSGVO ist und aus welchen Gründen die Verordnung erarbeitet wurde. Außerdem erfahren Sie, welche Funktion das Bundesdatenschutzgesetz heute hat. Danach erklären wir Ihnen die wichtigsten Begriffe der DSGVO, informieren über die Grundsätze der Verarbeitung personenbezogener Daten und beschreiben die Rechte der Betroffenen. Diese Grundlagen sind für Unternehmen und Institutionen wichtig, denn eins ist sicher: Eine Missachtung der Verordnung kann erhebliche Konsequenzen sowohl für die betroffenen Personen als auch für die Institutionen und Unternehmen haben, die die Daten verarbeiten.

1. Was ist die DSGVO?

Die DSGVO ist die europäische Verordnung zum Datenschutz. Sie gilt für die automatisierte und manuelle Verarbeitung personenbezogener Daten von natürlichen Personen. Dabei geht es nur um die Datenverarbeitung, die im Rahmen von wirtschaftlichen oder beruflichen Tätigkeiten erfolgt. Ausgenommen ist also die Verarbeitung zu ausschließlich privaten Zwecken wie zum Beispiel innerhalb der Familie oder im Freundeskreis.
Auch das so genannte berechtigte Interesse, ein öffentliches Interesse oder die Strafverfolgung können Grundlage für Ausnahmeregelungen sein. Dies sei hier aber nur der Form halber erwähnt. Wir beziehen uns in diesem Artikel auf die Verarbeitung personenbezogener Daten im wirtschaftlichen oder beruflichen Zusammenhang, da die für Unternehmen relevant ist.
 

Bisher galt innerhalb der EU die Datenschutz-Richtlinie 95/46/EG. Diese wurde mit Wirkung zum 25.05.2018 aufgehoben und durch die EU-Verordnung 2016/679 ersetzt. So heißt die Datenschutz-Grundverordnung im offiziellen Dokument. Die DSGVO ist zum 25.05 2018 in Kraft getreten. Beschlossen wurde sie bereits am 27.04.2016. Die Länder der Europäischen Union hatten also zwei Jahre Zeit, die Verordnung im jeweiligen Land umzusetzen. Die Übergangsfrist war notwendig, damit die Länder ihr bestehendes Recht prüfen und anpassen konnten.

Damit sind zum Beispiel Behörden, Unternehmen oder Vereine gemeint. In der Verordnung wurde allerdings nicht der komplette Datenschutz neu erfunden. Neben einigen neuen Regelungen wurden auch viele alte Regeln aus der Datenschutz-Richtlinie übernommen. Neue Regelungen wurden im Bereich der Rechtsgrundlagen, der Rechte der betroffenen Personen und der Pflichten, die mit der Verarbeitung personenbezogener Daten einhergehen, geschaffen. Die wichtigsten Neuerungen sind: Straf- und Bußgeldvorschriften, die Stellung eines Datenschutzbeauftragten, Transparenz- und Dokumentationspflichten, Auftragsverarbeitung und Arbeitnehmerdatenschutz.

2. Warum wurde die DSGVO eingeführt?

...wenn ihre personenbezogenen Daten verarbeitet werden. Dieses Recht ist sowohl in der EU-Grundrechtecharta als auch im Grundgesetz verankert. Der technische Fortschritt, die zunehmende Globalisierung und die nationalen Unterschiede im Datenschutz machten die Erfüllung dieses Grundrechts allerdings zunehmend schwerer. Die Sicherheit der Daten war nicht ausreichend gewährleistet. Deshalb wurde im Sinne des Persönlichkeitsrechts und der Gemeinschaft der EU eine Regelung des Datenschutzes auf EU-Ebene erforderlich. Das Ergebnis dieses Vorgangs ist die Datenschutz-Grundverordnung.

...auch EU-DSGVO genannt, ist der Schutz der Menschen, deren personenbezogene Daten verarbeitet werden. Eine Vereinheitlichung der Standards und Vorgehensweisen sowie verbindliche Vorgaben im Datenschutz sind die Maßnahmen, die dabei unterstützen, um dieses Ziel zu erreichen.

...ist ein weiterer positiver Effekt, der sich aus der DSGVO ergeben soll. Denn eine missbräuchliche Verarbeitung der Daten sowie Datenklau bei inländischer oder grenzüberschreitender Verarbeitung sollen durch die Maßnahmen zukünftig vermieden werden. Es ist davon auszugehen, dass die Einhaltung der DSGVO zukünftig stärker überprüft wird, als das in der Vergangenheit beim Bundesdatenschutzgesetz der Fall war.
 

3. DSGVO und BDSG-neu

In Deutschland galt bis zum 25.05.2018 das Bundesdatenschutzgesetz in seiner alten Fassung. Dabei handelte es sich um die Umsetzung der alten EU Datenschutz-Richtlinie in geltendes Recht. Denn eine Richtlinie ist nicht direkt wirksam. Bei einer EU-Verordnung wie der DSGVO ist das anders. Sie ist bereits geltendes Recht und muss nicht mehr umgesetzt werden.
 
Jetzt könnte man meinen, dass wir kein BDSG mehr brauchen. Das stimmt allerdings nicht ganz. Die DSGVO enthält nämlich Öffnungsklauseln, die auf nationaler Ebene konkretisiert werden können und müssen. Und dafür kommt jetzt das Bundesdatenschutzgesetz wieder ins Spiel. Dieses wurde an die EU-Verordnung angepasst und heißt jetzt: BSDG-neu. Es ist also die Präzisierung der DSGVO. Beide gelten zum aktuellen Zeitpunkt parallel. Eine EU-Verordnung hat allerdings in Zweifelsfällen Vorrang vor nationalem Recht. Deshalb wird im allgemeinen Sprachgebrauch auch nicht mehr das Bundesdatenschutzgesetz verwendet, sondern die Datenschutz-Grundverordnung.

4. Zentrale Begriffe der DSGVO

In der DSGVO gibt es einige Begriffe, die regelmäßig verwendet werden und die wichtig für das Verständnis der Verordnung sind. Wir geben Ihnen hier eine Übersicht der Begriffe und erklären sie möglichst verständlich. Wir beschränken uns in diesem Artikel auf die Schlüssel-Begriffe, die für ein allgemeines Verständnis erforderlich sind. Auf unser Detailwissen können Sie natürlich auch zurückgreifen – dieses steckt in unserem JURAFOX.
 

Diese Beschreibung ist zur Abwechslung mal kurz und knapp: Eine betroffene Person ist die Person, deren Daten erhoben und verarbeitet werden sollen. Kinder unterliegen in diesem Zusammenhang einem besonderen Schutz, da sie die Folgen einer Weitergabe ihrer Daten noch nicht abschätzen können.

Die DSGVO regelt den Schutz der personenbezogenen Daten, so viel wissen wir schon mal. Doch welche Daten sind damit genau gemeint und welche Kategorien gibt es?
Personenbezogene Daten sind alle Daten, die mittelbar oder unmittelbar Rückschlüsse auf eine bestimmte natürliche Person zulassen. Einfache Beispiele hierfür sind der Name, das Geburtsdatum oder die Adresse. Diese Daten geben wir sehr häufig an, zum Beispiel bei Bestellungen.
 
Es gibt allerdings auch Daten, die etwas schützenswerter als die oben genannten sind. Deshalb gibt es eine zweite Kategorie personenbezogener Daten: die sensiblen Daten.
 
Warum müssen sie besonders geschützt werden? Die Antwort lautet ganz eindeutig: wegen des möglichen Schadens. Die Verarbeitung dieser Daten birgt ein höheres Risiko für erheblichen Schaden bei der betroffenen Person, wenn unbefugte Personen Zugang zu ihnen haben. Der Schaden beginnt bei Diskriminierung und endet bei einem möglichen Identitätsdiebstahl. Deshalb müssen besondere Anstrengungen unternommen werden, um diese Daten zu schützen. Folgende Kategorien zählen zu den sensiblen Daten:

  • rassische oder ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • Gesundheitsdaten
  • Angaben zum Sexualleben
  • Angaben zu Straftaten

Mit Verarbeitung ist die Verwendung personenbezogener Daten gemeint. Das sind alle Vorgänge, bei denen die Daten verwendet werden. Die Verarbeitung beginnt bereits bei der Erhebung. Auch alle weiteren Tätigkeiten wie die Eintragung in Dokumente und die Speicherung auf Datenträgern oder Servern gehören dazu. Dabei ist es egal, ob die Daten in Akten oder einem Computersystem geführt werden. Sie werden verarbeitet.
Hier noch ein Hinweis: Wussten Sie, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist? Eine Verarbeitung darf also nur stattfinden, wenn dies ausdrücklich erlaubt ist. Bei einer Webseite kann eine Einwilligung zum Beispiel durch das DSGVO-konforme JURAFOX Cookie-Banner (Consent-Banner) erfolgen.

Die Einwilligung in die Verarbeitung ist der zentralste Punkt. Ohne eine gültige Einwilligung ist die Verarbeitung nämlich wie bereits beschrieben, untersagt. Die Einwilligung kann mündlich oder schriftlich erfolgen. Als Nachweis ist es allerdings ratsam, eine Bestätigung zumindest in Textform einzuholen.
 
Ein wichtiges Kriterium der Einwilligung ist die Freiwilligkeit. Niemand darf zu einer Einwilligung genötigt werden. Außerdem muss sie unmissverständlich sein, eine aktive Handlung erfordern und auf einen konkreten Zweck bezogen sein. Gibt es unterschiedliche Verarbeitungszwecke, muss für jeden einzelnen Zweck eine Einwilligung gegeben werden. Außerdem muss der Zweck der Verarbeitung zum Zeitpunkt der Einwilligung bereits feststehen. Pauschale bzw. verallgemeinernde Einwilligungen sind deshalb unzulässig. Stillschweigen und Untätigkeit, wie beispielsweise durch ein vorausgefülltes Feld, gelten ebenfalls nicht. Das Cookie-Banner von JURAFOX ist DSGVO konform, da es all diese Anforderungen erfüllt.

Eine Pseudonymisierung oder auch Anonymisierung der Daten ist eine Maßnahme, um Risiken beim Datenschutz zu reduzieren. Es ist dadurch deutlich schwieriger, Rückschlüsse auf die betroffene Person zu ziehen. Beispiele für eine Pseudonymisierung sind Codes oder Kennzahlen, die als Ersatz für die tatsächliche Angabe gemacht werden. So verwenden einige Unternehmen Personalnummern statt Namen oder Ärzte Diagnoseschlüssel anstelle der konkreten Diagnose.

Als Verantwortliche werden die Personen oder Unternehmen und Institutionen bezeichnet, die darüber entscheiden, wie die personenbezogenen Daten innerhalb der Institution bzw. des Unternehmens verarbeitet werden. Sie sind verantwortlich für die Art und Weise der Verarbeitung.
Sie können auch für die Verarbeitung zuständig sein, müssen es aber nicht. Denn mit der Verarbeitung können auch Externe beauftragt werden. Und so kommen wir auch schon zum nächsten Begriff.

Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen.  Auch hier kann es sich wieder um natürliche Personen oder Unternehmen, Vereine oder auch um eine Behörde handeln. Beispiele für Auftragsverarbeiter sind externe Call-Center, Hosting von Onlineshops oder Webseiten oder IT-Dienstleister. Sie verarbeiten personenbezogene Daten außerhalb der Institution, die für die Verarbeitung verantwortlich ist. 

Das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter muss zwingend schriftlich, in einem so genannten Auftragsverarbeitungsvertrag (AVV) geregelt werden. Dieser stellt sicher, dass der Auftragsverarbeiter die Anforderungen der DSGVO umsetzt. Nur dann ist die Beauftragung eines Externen zulässig.

Auftragsverarbeiter und Verantwortliche haften für missbräuchliche Verarbeitung. Deshalb hat der Auftragsverarbeiter gegenüber dem Verantwortlichen gewisse Pflichten zu erfüllen. Diese sollen eine reibungslose Zusammenarbeit sicherstellen. Im AVV bestätigt der Auftragsverarbeiter die Sicherheit der Verarbeitung. Dafür muss er geeignete technische und organisatorische Maßnahmen treffen. Außerdem unterliegt er einer Meldepflicht bei Datenpannen oder Datenvorfällen und muss eine Datenschutz-Folgenabschätzung durchführen.

Als Datenpanne oder Datenvorfall wird jede Verletzung der Datensicherheit bzw. des Datenschutzes bezeichnet. Die Art der Panne kann ganz unterschiedlicher Natur sein. Das kann zum Beispiel ein verlorenes Handy, ein gestohlener Laptop, eine offen ausliegende Liste oder ein Hackerangriff sein. Also jeder Vorgang, der dazu führen kann, dass unbefugte Dritte Zugang zu personenbezogenen Daten erhalten oder sich verschaffen.
 
Eine Datenpanne unterliegt der Meldepflicht. Innerhalb von 72 Stunden muss der Verantwortliche den Vorgang bei der zuständigen Aufsichtsbehörde melden. Ausgenommen von der Meldepflicht sind die Vorgänge, durch die kein Risiko für die betroffenen Personen besteht. Um das einschätzen zu können, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Ein Datenschutzbeauftragter ist eine unabhängige natürliche Person. Er ist dafür zuständig zu überwachen, ob die Vorschriften der DSGVO innerhalb eines Unternehmens, Vereins oder einer Behörde eingehalten werden. Für Behörden ist ein Datenschutzbeauftragter zwingend vorgeschrieben. Unternehmen oder Vereine müssen erst einen DSB beauftragen (intern oder extern), wenn mindestens 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Es kann natürlich noch weitere Gründe geben, die für die Ernennung eines DSB sprechen.


Der DSB steht als Ansprechpartner für Mitarbeiter und die betroffenen Personen zur Verfügung. Er muss also erreichbar sein. Außerdem schult er die Mitarbeiter und ist das Bindeglied zur Aufsichtsbehörde.

5. Grundsätze für die Verarbeitung personenbezogener Daten

Ein weiterer zentraler Aspekt der DSGVO betrifft die Rahmenbedingungen, die für die Verarbeitung personenbezogener Daten verbindlich gelten. Diese Grundsätze spiegeln den Sinn und Zweck der Verordnung wider. Verantwortliche und Auftragsverarbeiter müssen nach diesen Grundsätzen handeln:

  • Rechtmäßigkeit und Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht für Verantwortliche

 
Eine Rechtmäßigkeit der Verarbeitung gemäß DSGVO liegt zum Beispiel vor, wenn eine Einwilligung der betroffenen Person vorliegt oder die Verarbeitung für die Erfüllung eines Vertrages notwendig ist. Rechtliche Pflichten und öffentliches Interesse zählen ebenfalls dazu.
Die Transparenz bezieht sich auf die Art und Weise der Verarbeitung und die Kommunikation mit der betroffenen Person. Jede Mitteilung oder Information, die die Verarbeitung personenbezogener Daten betrifft, muss verständlich formuliert und leicht zugänglich sein. So dürfen zum Beispiel keine Informationen online zur Verfügung gestellt werden, wenn die betreffende Person keinen Internetzugang hat.
 
Auf die Zweckbindung sind wir schon im Zusammenhang mit der Einwilligung eingegangen. Die Datenverarbeitung im Sinne der DSGVO muss zu einem bestimmten Zweck erfolgen. Dieser ist bereits vor Beginn der Verarbeitung zu bestimmen.
 
Der Grundsatz der Datenminimierung soll sicherstellen, dass nur die Daten erhoben werden, die auch tatsächlich benötigt werden. Für die Anmeldung zu einem Newsletter ist beispielsweise keine Sozialversicherungsnummer erforderlich. Deshalb darf sie auch nicht in dem Zusammenhang erhoben werden.
 
Die gespeicherten personenbezogenen Daten müssen korrekt sein. Die Speicherung ist außerdem auf den Zeitraum begrenzt, in dem der Zweck besteht, beziehungsweise den eine gesetzliche Aufbewahrungsfrist vorschreibt.
 
Die Sicherheit der personenbezogenen Daten muss zu jedem Zeitpunkt gewährleistet sein. Das ist das wichtigste Anliegen der DSGVO.
Die Einhaltung der Grundsätze der DSGVO muss von den verarbeitenden Stellen so dokumentiert werden, dass sie nachvollziehbar nachgewiesen werden kann. Wer diese Grundsätze nicht einhält, begeht einen Datenschutzverstoß. In Zweifelsfällen muss der Verantwortliche bzw. der Auftragsverarbeiter beweisen können, dass er DSGVO-konform gehandelt hat.

6. Rechte betroffener Personen

Durch die DSGVO wurden die Rechte betroffener Personen in erheblichem Umfang gestärkt. Jeder Betroffene darf diese Rechte gegenüber dem Verantwortlichen oder der Aufsichtsbehörde geltend machen. Die Rechte umfassen folgende Bereiche:

Jede Stelle, die personenbezogene Daten verarbeitet, muss die betroffene Person vorher über die Verarbeitung informieren. Und zwar nicht nur darüber, dass sie Daten gemäß DSGVO verarbeitet, sondern auch welche das sind und zu welchem Zweck sie verarbeitet werden. Die Information muss nachweisbar erfolgen. Das Unternehmen ist nämlich in der Pflicht zu beweisen, dass es die Information spätestens zum Zeitpunkt der Erhebung übermittelt hat. Wenn dieser Nachweis nicht erbracht werden kann (digital oder schriftlich), hat die betroffene Person die Möglichkeit Schadenersatz geltend zu machen. Die Grundlage dafür ist, dass die Person nicht weiß, wofür ihre Daten verwendet werden.

Sind gespeicherte Daten unvollständig oder falsch, müssen diese korrigiert werden. In diesem Zusammenhang ist auch das Recht auf Datenübertragbarkeit in der DSGVO geregelt. Der Betroffene kann verlangen, seine personenbezogenen Daten vom Verantwortlichen zu erhalten.
Zusätzlich kann jeder Betroffene die Löschung seiner Daten verlangen, sobald der Zweck der Verarbeitung wegfällt. Gesetzliche Aufbewahrungsfristen müssen allerdings eingehalten werden. Das Recht auf Löschung wird in der DSGVO auch Recht auf Vergessenwerden genannt. Das stärkt zum Beispiel die Position von Arbeitnehmern, die eine negative Eintragung in ihrer Personalakte haben.

Eine einmal getätigte Einwilligung ist nicht in Stein gemeißelt. Jede betroffene Person kann diese Einwilligung auch widerrufen, wenn sie nicht mehr mit der Verarbeitung einverstanden ist. Dieser Schritt muss nicht begründet werden. Außerdem kann Widerspruch gegen die Verarbeitung eingelegt werden.

Stellt eine betroffene Person fest, dass nicht DSGVO konform mit ihren personenbezogenen Daten gearbeitet wird, hat sie das Recht, sich bei einer unabhängigen Aufsichtsbehörde oder sofern vorhanden bei dem zuständigen Datenschutzbeauftragten zu beschweren.

Jede Person, der ein Schaden durch einen Datenverstoß entstanden ist, hat das Recht auf Schadenersatz gegenüber der verantwortlichen Person oder dem Auftragsverarbeiter. Dabei ist es irrelevant, ob es sich um einen materiellen oder immateriellen Schaden handelt. Beide Fälle werden berücksichtigt weil die betroffene Person, die einen immateriellen Schaden erlitten hat, nicht benachteiligt werden soll. Auch wenn der entstandene Schaden nicht genau beziffert werden kann ist er trotzdem entstanden. Wie ein immaterieller Schaden in der Praxis entstehen kann, zeigt dieses Beispiel:
 
Betreiber von Webseiten sind verpflichtet die Eingaben von personenbezogenen Daten auf ihrer Seite zu verschlüsseln. Das Ausfüllen eines Kontaktformulars oder das Abonnieren eines Newsletters sind hierfür gängige Beispiele. Fehlt diese Verschlüsselung, so besteht die Gefahr, dass Unbefugte sich Zugang dazu verschaffen und die Daten zum Schaden der betroffenen Person verwenden.
Aufgrund dieses DSGVO-Verstoßes der fehlenden Verschlüsselung kann ein Bußgeld verhängt und Schadenersatzanspruch von den betroffenen Personen geltend gemacht werden.

7. Unabhängige Aufsichtsbehörde

Jedes Bundesland hat eine eigene Aufsichtsbehörde, die unabhängig von anderen Behörden und Unternehmen arbeitet. Es ist ihre Aufgabe, die Anwendung der Bestimmungen der Verordnung zu überwachen. Sie soll auch dazu beitragen, dass die DSGVO einheitlich angewendet wird.
Zur Durchsetzung dieser Aufgaben ist die Behörde mit weitreichenden Befugnissen ausgestattet. Dazu zählen zum Beispiel die Durchführung von Datenschutzprüfungen, ein freier Zugang zu allen erforderlichen Informationen und Räumlichkeiten, die Aussprache von Verwarnungen, der Entzug der Erlaubnis zur Verarbeitung bis hin zur Verhängung von Bußgeldern oder die Einleitung einer Strafverfolgung.

Fazit

Sie sehen das Thema DSGVO ist sehr komplex. Dabei haben wir auf allzu detaillierte Ausführungen bereits verzichtet. Wenn Sie es trotzdem noch genauer wissen möchten, dann können Sie zum Beispiel diese offizielle Seite aufrufen: https://www.gesetze-im-internet.de/bdsg_2018/
 
Wenn Sie sich jetzt nicht noch tiefer in die Materie einarbeiten möchten, ist das nur allzu verständlich. Das ist ja auch nicht Ihr Fachgebiet. Dennoch ist es wichtig, auf Rechtssicherheit bei der Verarbeitung personenbezogener Daten Wert zu legen. Die Konsequenzen einer Nichteinhaltung der DSGVO können teilweise erheblich sein. Gerade im Zusammenhang mit Internetseiten ist der Schutz der personenbezogenen Daten wichtiger denn je. Webseiten müssen DSGVO konform sein!
 
Für Rechtssicherheit bei der Datenschutzerklärung und des Impressums auf der Webseite sorgt JURAFOX. Wir sind Experten in Sachen DSGVO und immer auf dem aktuellen Stand. Ergeben sich Veränderungen und neue Interpretationen, wie zuletzt hinsichtlich der EU-Cookie-Richtlinie, integrieren wir diese unverzüglich in JURAFOX und sorgen so laufend und aktuell für Rechtssicherheit. Unser Bot scannt Ihre Seite oder die Ihres Kunden und prüft, ob alles auf dem aktuellen Stand ist. Mit JURAFOX brauchen Sie sich keine Sorgen mehr um die Datenschutzerklärung oder das Impressum zu machen. Wir kümmern uns drum zu einem monatlichen Festpreis – fair und transparent. Kontaktieren Sie uns gleich hier: Link einfügen