Allgemeine Fragen

Was genau ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung des Europäischen Parlaments, des Rats der Europäischen Union und der Europäischen Kommission. Sie soll den Datenschutz für alle Personen in der EU stärken und vereinheitlichen. Ein Thema der Verordnung ist auch der Transfer/Export von personenbezogenen Daten außerhalb der EU.

Wann tritt die DSGVO in Kraft?

Die DSGVO wurde im April 2016 mit einer Übergangsfrist von zwei Jahren genehmigt. Am 25. Mai 2018 tritt die Verordnung letztendlich in Kraft.

Wen soll diese Verordnung schützen?

Diese Regelung gilt für alle betroffenen Personen (innerhalb der EU). Sie konzentriert sich auf den Schutz personenbezogener Daten, sowie auf ein einfacheres regulatorisches Umfeld für Unternehmen. Es soll sichergestellt werden, dass die betroffene Person der rechtmäßige Eigentümer ihrer personenbezogenen Daten ist und die damit verbundenen Rechte jederzeit gewährleistet sind.

 Welche Unternehmen betrifft die Verordnung?

Jedes Unternehmen, das persönliche Daten sammelt, speichert und verarbeitet, sei es von seinen Kunden, Mitarbeitern oder Partnern. Eine einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Wird die DSGVO meine Firma betreffen? Muss ich sie einhalten?

Wenn Sie mindestens eine dieser Fragen mit JA beantworten, sollten Sie die DSGVO einhalten.

Sammelt Ihr Unternehmen Daten von seinen Kunden?

Sammelt Ihr Unternehmen Daten von seinen Mitarbeitern?

Verarbeitet Ihr Unternehmen digitale Zahlungen (Kreditkarten)?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per E-Mail?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per Post?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter telefonisch?

Versendet Ihr Unternehmen Produkte per Post an Kunden, Lieferanten oder Partner?

 

Wo gilt die DSGVO?

Der räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt. Darin heißt es, dass die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, soweit es die Verarbeitung von Daten von EU-Bürgern betrifft. Dabei spielt es keine Rolle, ob die Person kurz- oder langfristig in der EU ist. Der räumliche Anwendungsbereich kann nachträglich vertraglich nicht geändert werden. Es spielt auch keine Rolle, welche Art von Dienstleistungen oder Produkten Unternehmen oder Organisationen anbieten. Entscheidend ist nur, ob personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden.

Für wen gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt für Personen und Einrichtungen jeder Größe, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, unabhängig davon, wo sich der Auftragsverarbeiter befindet. Diese Regeln gelten auch für Auftragsverarbeiter, einschließlich Dritter wie Cloud-Anbieter. Erneut die einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Macht die DSGVO einen Unterschied zwischen B2B und B2C?

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sie gilt gleichermaßen für beide. Hintergrund ist, dass die Datenschutz-Grundverordnung für den Schutz von Einzelpersonen und nicht von juristischen Personen gilt.

 
Spezifische Fragen – Behörden

Wie wird die Verordnung durchgesetzt?

Nach dem 25. Mai 2018 können Organisationen, die gegen die DSGVO verstoßen, auditiert werden und Sanktionen erleiden. Audits können nach dem Zufallsprinzip oder aufgrund von Beschwerden erfolgen. Dies kann für verschiedene Länder der Europäischen Union etwas variieren.

Wer ist meine Datenschutzbehörde?

Jede Europäische Union und das EFTA-Mitglied benennt eine nationale Organisation / Kommission / Agentur / Büro / Behörde, die für die Durchsetzung der DSGVO innerhalb der Grenzen jedes Landes zuständig ist. Diese Behörde stellt Informationen und Unterstützung bereit, prüft Unternehmen und verhängt Sanktionen. Hier finden Sie die Liste aller Websites für jede nationale Behörde in der EU:

Andorra: https://www.apda.ad/
Österreich: https://www.dsb.gv.at/
Belgien: http://www.privacycommission.be/
Bulgarien: https://www.cpdp.bg/
Kroatien: http://azop.hr/
Zypern: http://www.dataprotection.gov.cy/
Tschechisch: Republik https://www.uoou.cz/
Dänemark: https://www.datatilsynet.dk/
Estland: http://www.aki.ee/en
Finnland: http://www.tietosuoja.fi/en/
Frankreich: https://www.cnil.fr/en/home
Deutschland: https://www.bfdi.bund.de/
Griechenland: http://www.dpa.gr/
Ungarn: https://naih.hu/
Island: https://www.personuvernd.is/
Irland: https://www.dataprotection.ie/
Italien: http://www.gpdp.it/
Lettland: http://www.dvi.gov.lv/en/
Liechtenstein: http://www.dss.llv.li/
Litauen: http://www.dvi.gov.lv/en/
Luxemburg: https://cnpd.public.lu/
Mazedonien: https://www.dzlp.mk/
Malta: https://idpc.org.mt/
Monaco: https://www.ccin.mc/
Niederlande: https://autoriteitpersoonsgegevens.nl/
Norwegen: https://www.datatilsynet.no/
Polen: http://www.giodo.gov.pl/
Portugal: https://www.cnpd.pt/
Rumänien: http://www.dataprotection.ro/
Russland: http://eng.rkn.gov.ru/
Serbien: https://www.poverenik.rs/sr/
Slowakei: https://dataprotection.gov.sk/
Slowenien: https://www.ip-rs.si/
Spanien: https://www.agpd.es/
Schweden: https://www.datainspektionen.se/
Schweiz: https://www.edoeb.admin.ch/
Vereinigtes Königreich: https://ico.org.uk/

 

Bei Verstoß gegen die DSGVO ist die Behörde zuständig, in dem das betroffene Unternehmen physisch oder rechtlich ansässig ist. ACHTUNG: Dies gilt unabhängig davon, wo die Verletzung der Privatsphäre aufgetreten ist.

 

Spezifische Fragen – Betroffene Person

Welche Rechte gibt die DSGVO EU-Bürgern?

Die mächtigste Möglichkeit für Unternehmen Zugriff und Kontrolle über Daten erlangen können, ist zunächst die Zustimmung des Betroffenen. Der Betroffene dieser Daten hat dann drei Hauptrechte:

Zugangsrecht: Jeder EU-Bürger hat auf Anfrage das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen besitzt und / oder verarbeitet.

Recht auf Löschung: Jeder EU-Bürger hat das Recht, die Löschung aller Daten zu verlangen, die das Unternehmen von einem erhalten und / oder verarbeitet hat.

Recht auf Datenübertragbarkeit: Wenn eine betroffene Person zu einem neuen Dienstleister wechseln möchte, kann sie verlangen, dass alle ihre persönlichen Daten in einem maschinenlesbaren Standardformat an den neuen Dienstleister übertragen werden.

Was ist die Zustimmung zur Datenverarbeitung?

Bei der Datenerhebung muss das Unternehmen den Zweck klarstellen. Alle Aktivitäten, die mit diesen Daten durchgeführt werden, müssen in den Bedingungen der Einwilligung beschrieben werden, die von der betroffenen Person als Rechtsgrundlage für die Verarbeitung akzeptiert werden müssen.

Die Zustimmung muss ausdrücklich für die erhobenen Daten und die Zwecke erfolgen, für die die Daten verwendet werden (Artikel 7; definiert in Artikel 4). Die Zustimmung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt werden und nachweisbar sein.

Muss die Zustimmung nachgewiesen werden?

Die für die Datenverarbeitung Verantwortlichen müssen in der Lage sein, eine Einwilligung (Opt-in) nachweisen zu können. Die Einwilligung kann zurückgezogen werden, wenn die betroffene Person darum bittet.

Brauche ich immer eine Zustimmung?

Kurz gesagt, nein bzw. nicht immer. Die Zustimmung ist eine rechtmäßige Grundlage für die Verarbeitung von Daten. Es gibt darüber hinaus fünf weitere Möglichkeiten, das Recht an der Verarbeitung von Daten zu erlangen. Die Zustimmung wird nicht immer die einfachste oder am besten geeignete sein.

Sie sollten immer die gesetzliche Grundlage wählen, die am besten geeignet ist und welche Sie ohne überproportionalen Aufwand bekommen können. Wenn die Zustimmung schwierig ist, liegt dies oft daran, dass eine andere gesetzliche Grundlage angemessener ist. Daher sollten Sie die Alternativen in Betracht ziehen.

Es liegt in Ihrer Verantwortung, eine rechtmäßige Grundlage für die Verarbeitung im Rahmen der DSGVO zu ermitteln.

 

Spezifische Fragen – Maßnahmen

Welche schnellen Maßnahmen sollte mein Unternehmen ergreifen?

Suchen Sie zunächst nach professionellen Ratschlägen. Es muss kein Anwalt sein, es gibt viele andere Fachleute, die auf die DSGVO spezialisiert sind, die Ihnen bei der Einhaltung helfen können. Darüber hinaus helfen Ihnen Online-Lösungen für die Einhaltung der DSGVO wie Ecomply bei der Anleitung und können die Arbeit für Sie sehr vereinfachen.

Was sind die Aufzeichnungen der Verarbeitungstätigkeiten?

Für die Einhaltung der DSGVO ist eine der Hauptanforderungen, dass jedes Unternehmen eine detaillierte Beschreibung aller Aktivitäten protokollieren muss, bei denen personenbezogene Daten verarbeitet werden. Diese Beschreibungen werden als “Datensätze” bezeichnet und bieten einen Überblick über alle Datenverarbeitungstätigkeiten in Ihrer Organisation. Es ermöglicht dem Unternehmen zu verstehen, welche Art von Datenkategorien von wem und für welche Zwecke verarbeitet werden.

Was ist ein Datenschutzbeauftragter (DPO)?

Der Datenschutzbeauftragte ist der Verantwortliche für die Datenschutzaktivitäten und -maßnahmen innerhalb des Unternehmens. Er / Sie hat die Rolle des Sicherheitsleiters inne und ist für die Überwachung der Datenschutzstrategie und -umsetzung verantwortlich, um die Einhaltung der DSGVO-Anforderungen sicherzustellen.

Was ist ein virtueller DPO?

Es handelt sich um einen externen Datenschutzbeauftragten, der einem Unternehmen Online-Hilfe bereitstellt. Es kann auch eine Gruppe von Personen mit verschiedenen Spezialitäten als DPO-Einheit dienen. Bei zweitem Ansatz sollte eine bestimmte Person als Leiter der DPO-Funktion benannt werden.

Was ist eine Datenverarbeitungsvereinbarung? Wann ist es nötig?

Wenn die Verarbeitungstätigkeiten ausgelagert werden – was bedeutet, dass sie von einem anderen Unternehmen durchgeführt werden – muss ein Vertrag zwischen den Parteien geschlossen werden. Dieser Vertrag ist der so genannte Auftragsverarbeitungsvertrag. Die Vereinbarung muss den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der zu verarbeitenden personenbezogenen Daten, die Kategorien der betroffenen Personen, sowie die Pflichten und Rechte für die Verantwortlichen der Datenverarbeitung festlegen.

Was bedeutet “Privacy by Design”?

“Secure by Design” bedeutet, dass der Datenschutz während der Entwicklung der Software, des Produkts oder des Prozesses beachtet und integriert wird. Die Verarbeitung der Daten soll verständlich sein und das Produkt, die Software oder der Prozess über Werkzeuge verfügen, die den betroffenen Personen das Recht auf Zugang, Löschung und Übertragbarkeit gewähren.

Wie wird das CCTV-Sicherheitssystem von der DSGVO beeinflusst?

Aufnahmen von Überwachungsvideos unterliegen der DSGVO, da sie zur Nachverfolgung und Identifizierung von Personen verwendet werden können. Es ist wichtig, einen klaren Zweck für diese Angelegenheit vorzulegen, ebenso wie die Zustimmung der Personen, die aufgezeichnet werden.

Wie wird der E-Mail-Posteingang des Mitarbeiters beeinflusst?

Jeder E-Mail-Account eines jeden Mitarbeiters ist privat und enthält personenbezogene Daten. Damit die Firma vorsätzlich darauf zugreifen kann, muss der Mitarbeiter dazu ausdrücklich zustimmen. Wenn ein Mitarbeiter das Unternehmen verlässt, kann das Unternehmen eingehende Nachrichten entweder an eine von diesem Benutzer bestimmte Adresse weiterleiten oder um Erlaubnis (Zustimmung) bitten, auf diese neuen Nachrichten zugreifen zu dürfen.

 
Spezifische Fragen – Klassifikationen

Was ist der Unterschied zwischen persönlichen und sensiblen Daten?

Personenbezogene Daten werden auf Informationen bezogen, die sich auf die betroffene Person beziehen und die dazu genutzt werden können, ihre Identität direkt oder indirekt zu bestimmen.

Sensible Daten beziehen sich auf die Informationen in Bezug auf die Grundrechte, die Intimität und den freien Willen der betroffenen Person. Beispiele hierfür sind Krankenakten, religiöse Überzeugungen, politische Meinungen, biometrische Daten oder genetische Daten.
 

Spezifische Fragen – Strafen

Was sind die Strafen?

Gemäß Artikel 83 Absatz 5 DSGVO kann die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung bis zu 20 Mio. EUR oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Nach Art. B. kann ein Unternehmen mit 2% verurteilt werden, wenn es seine Aufzeichnungen nicht in der richtigen Reihenfolge führt (Artikel 28).

 

Spezifische Frage – Deutschland

Wer ist der “Verantwortliche” und welche Aufgaben hat er / sie?

Ein für die Verarbeitung Verantwortlicher ist eine “natürliche oder juristische Person, Agentur, Institution oder andere Einrichtung”, die personenbezogene Daten für ihre eigenen Zwecke verarbeitet. Er entscheidet “über die Zwecke und Mittel der personenbezogenen Datenverarbeitung” (Artikel 4 (7) DS-BER).
Die Entscheidung über die Zwecke und die Schutzmaßnahmen muss jedoch im Rahmen der Bestimmungen der DSGVO erfolgen. Die Schutzmaßnahmen für die personenbezogenen Daten müssen entsprechend den Schutzbedürfnissen ausgewählt werden. Der Verantwortliche muss die Rechtmäßigkeit und Zweckmäßigkeit der Datenverarbeitung, sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden, sicherstellen. Er muss auch die Einhaltung der DSGVO nachweisen können.

Was bedeutet “Prozessor”?

Ein Prozessor oder auch Verarbeiter ist eine “natürliche oder juristische Person, Behörde, Stelle oder Organisation, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet” (Artikel 4 Absatz 8 DS-GMO). Der Prozessor verarbeitet die personenbezogenen Daten nur im Rahmen von Anweisungen der verantwortlichen Person. Er ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Daten.

Im Vergleich zu den vorherigen Regelungen, was sind die wichtigsten Änderungen?

Der Anwendungsbereich der Verordnung wird auf alle Verarbeitungen ausgeweitet, die sich
an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten.

Es gibt einige neue Begriffsdefinitionen (Artikel 4):
Beispiele:
– Umfassender Verarbeitungsbegriff (Art. 4 Nr. 2) – Aufhebung der Dreiteilung
(Erhebung, Verarbeitung, Übermittlung)
– Auftragsverarbeiter (Art. 4 Nr. 8) – keine Beschränkung mehr auf Auftragsverarbeitung im EWR
– Profiling (Art. 4 Nr. 4)
– Einwilligung (Art. 4 Nr. 11)
– Besondere Arten von Daten: So gibt es z. B. unter der DSGVO neue Definitionen für
»biometrische Daten« und »genetische Daten« (Art. 4 Nr. 12, 13). Unternehmen, die z. B.
mit Verfahren wie Gesichtserkennung und Fingerabdruck arbeiten. Sie sollten nicht nur die
neuen Definition, sondern auch die damit verbundenen Vorschriften prüfen.

Die Verarbeitung zu anderen Zwecken als den ursprünglichen Erhebungszwecken ist anders
geregelt als im BDSG – Weiterverarbeitung nur bei kompatiblen Zwecken zulässig (war auch
in der Richtlinie schon so, aber im BDSG anders umgesetzt).

Die Anforderungen an die freiwillige Einwilligung wurden graduell erhöht.

Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt.

Das Kopplungsverbot wurde verschärft.

Die Informations- und Auskunftspflichten wurden um weitere Angaben erweitert.

Es gibt eine neue Portabilitätsverpflichtung für Daten: diese muss in gängigem Format wieder zur Verfügung gestellt werden und ggf. auf Wunsch sogar direkt an Dritte übermittelt werden.

Die Löschpflicht wird erweitert (Hinweispflicht bei Weitergabe von Daten an Dritte).

Das Widerspruchsrecht wird erweitert.

Die »Joint Controllership«, bei der zwei verantwortliche Stellen gemeinsam Daten mit
jeweils vertraglich festgelegten Verantwortlichkeiten verarbeiten, war im BDSG ebenfalls
nicht enthalten (jedoch schon in der EU-Richtlinie enthalten).

Die Pflichten im Auftragsverhältnis haben sich teilweise geändert. Der Auftragsverarbeiter
wird für seinen Verantwortungsbereich stärker in die Pflicht genommen. Er hat eigene Dokumentationspflichten und haftet bei Datenpannen unter Umständen auch direkt gegenüber
den Betroffenen.

Die Verordnung hat in Bezug auf die technisch-organisatorischen Maßnahmen einen stärker
risikobasierten Ansatz, der eine Dokumentation der Risikoeinschätzung nötig macht.

Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-
Folgenabschätzung vorgeschrieben. Dafür entfällt die Pflicht zur Meldung der Verfahren
bei der Aufsichtsbehörde (Vorabkontrolle gem. §4d Abs. 5 BDSG).

Ausweitung der Meldepflicht bei Datenpannen an eine Aufsichtsbehörde auf jeden Vorfall,
der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt. Der Vorfall muss binnen 72 h gemeldet werden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt.

Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem
Hauptsitz bzw. der Niederlassung.

Die möglichen Geldbußen für Verstöße wurden drastisch erhöht – auf bis zu 4% des
weltweiten Umsatzes pro Verstoß.



Was ist zum größten Teil gleich geblieben?

Bereits bestehende Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Transparenz bleiben erhalten. Ab 2018 wird die Datenverarbeitung weiterhin eine Rechtsgrundlage haben, z.B. sind “Vertragserfüllung” oder “Zustimmung der betroffenen Person” erforderlich. Die wesentlichen Rechtsgrundlagen für die Datenverarbeitung bleiben: eine heute zulässige Datenverarbeitung wird ebenfalls ab 2018 erwartet.

 

Gilt die DSGVO nur für die neu erworbenen Daten und Anwendungen?

Nein, die neue Verordnung betrifft alle bestehenden und neuen Daten. Das bedeutet, dass die DSGVO auch Daten betrifft, die im Voraus gespeichert wurden. Die Einhaltung der Vorschriften muss daher für alle – sowohl alte als auch neue – Verarbeitungen überprüft werden. Die folgenden Probleme sollten zum Beispiel berücksichtigt werden:

– Entspricht die bestehende Dokumentation der Datenverarbeitungsprozesse den neuen Datenschutzanforderungen?

– Werden die erweiterten Informationspflichten innerhalb der bestehenden Datenschutzrichtlinie erfüllt?

– Sind die formellen Voraussetzungen für die Einwilligung erfüllt?

– Berücksichtigt der bestehende Risikomanagementprozess die Anforderungen zur Ermittlung geeigneter technisch-organisatorischer Schutzmaßnahmen?

Brauche ich noch einen Datenschutzbeauftragten?

Nach heutigem Stand wird ein Datenschutzbeauftragter in Deutschland weiterhin benötigt, wenn mindestens zehn Personen im Unternehmen mit der automatisierten Datenverarbeitung beschäftigt sind.

Wer ist für die Einhaltung der DSGVO im Unternehmen verantwortlich?

Auch wenn ein Datenschutzbeauftragter bestellt wird, liegt die Verantwortung für die Einhaltung der DSGVO ausschließlich beim Verantwortlichen / beim Unternehmen. Der Datenschutzbeauftragte (DPO) berät und unterstützt nur bei der Umsetzung.