Wichtige Änderungen im Datenschutz 2018
2018 wird ein besonders wichtiges Jahr in puncto Datenschutz, denn ab Ende Mai gilt die neue EU-Datenschutzgrundverordnung (EU-DSGVO), die den Umgang mit persönlichen Daten völlig neu regeln wird.
Deutsche Unternehmen müssen die neuen Vorgaben bis zum 26. Mai 2018 umsetzen – es gibt weder eine weitere Übergangsfrist noch sonstige Milderungsgründe. Wer den Umstieg verpasst, dem drohen schwerwiegende Bußgelder – bei großen Unternehmen können Geldbußen sogar bis zu 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes betragen!
Alle neuen Regeln der EU-DSGVO im Überblick:
- Personenbezogene Daten sind schutzbedürftig. Das Sicherheitsniveau muss dem jeweiligen Gefahrenpotenzial angemessen angepasst sein.
- Betroffenen stehen Löschansprüche zu, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.
- Nutzer können ihre Daten zu einem anderen Anbieter „mitnehmen“.
- Über die Einhaltung der datenschutzrechtlichen Grundsätze ist Rechenschaft abzulegen (Stichwort dokumentiertes Datenschutzmanagement).
- Jede Datenverarbeitung bedarf nach wie vor einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen.
Im Folgenden haben wir Ihnen eine genauere Ausführung zu allen wichtigen Änderungen im Datenschutz zusammengestellt:
Was ist die EU-DSGVO?
Die neue EU-DSGVO vereinheitlicht das Datenschutzrecht innerhalb der EU. Sie enthält Vorschriften und einheitliche Regeln für die Verarbeitung, Speicherung und Wiedergabe personenbezogener Daten durch private Unternehmen und Behörden.
Die Verordnung ist bereits am 25. Mai 2016 in Kraft getreten. Sie wird aber erst nach Ablauf der zweijährigen Übergangsfrist, am 25. Mai 2018, angewendet. In Deutschland ersetzt die EU-DSGVO das Bundesdatenschutzgesetz (BDSG) in weiten Teilen.
Für wen gilt die EU-DSGVO?
Sie gilt für jedes Unternehmen, das im Internet aktiv ist oder personenbezogene Daten nutzt. Betroffen sind:
- alle europäischen Unternehmen
- Unternehmen, die eine Niederlassung in der EU haben
- Unternehmen außerhalb der EU, die Daten von EU-Bürgern verarbeiten, wie zum Beispiel US-Anbieter wie Facebook oder Google
Was ist neu?
Im Rahmen der Datenschutzgrundverordnung müssen Unternehmen eine Reihe neuer Verpflichtungen umsetzen. Viele der Vorschriften sind an deutsches Recht angelehnt, so dass auf hiesige Händler weniger Änderungen zukommen als auf solche anderer EU-Mitgliedsstaaten. Hier erhalten Sie einen Überblick, welche wichtigen (alten und neuen) Grundsätze, Sie kennen müssen.
Wichtige Grundsätze:
- Verbot mit Erlaubnisvorbehalt
Daten dürfen nur dann erhoben, verarbeitet oder genutzt werden, wenn dies eine gesetzliche Vorschrift erlaubt oder durch Einwilligung der betroffenen Person. Die Datenverarbeitung bleibt also grundsätzlich verboten, es sei denn, es gibt dafür einen guten Grund. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten regelt Art. 6 Abs. 1 DSGVO.
- Datensparsamkeit
Art. 5 Abs. 1 DSGVO: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)”.
Sie dürfen also nur so wenig Daten wie möglich erheben und verarbeiten. Diese sollen wo möglich pseudonymisiert und anonymisiert werden.
- Zweckbindung
Art. 1. Abs. 1 b DSGVO: „Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […]“
Daten dürfen nur zu dem Zweck verarbeitet werden, für welche sie erhoben wurden.
- Datenrichtigkeit
Art. 5 Abs. 1 d DSGVO: „Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“)”.
Es ist Ihre Pflicht, Daten auf dem korrekten Stand zu halten.
- NEU: Datensicherheit
Art. 32 DSGVO: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […].“
Personenbezogene Daten sind schutzbedürftig. Das Sicherheitsniveau muss dem jeweiligen Gefahrenpotenzial angemessen angepasst sein.
- NEU: Recht auf Löschung (Recht auf Vergessenwerden)
Art. 17 Abs. 1 DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass […] betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: […]“
Betroffenen stehen Löschansprüche zu, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Das Recht auf Vergessenwerden können Nutzer gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet.
- NEU: Recht auf Datenübertragbarkeit
Art. 20 Abs. 1 DSGVO: „Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, […]“.
Nutzer können also ihre Daten zu einem anderen Anbieter „mitnehmen“.
- NEU: Die Rechenschaftspflicht
Art. 5 Abs. 2 DSGVO besagt, dass Datenverantwortliche dafür sorgen müssen, dass datenschutzrechtliche Grundsätze eingehalten werden. Über die Einhaltung der datenschutzrechtlichen Grundsätze ist Rechenschaft abzulegen. Daher ist ein dokumentiertes Datenschutzmanagement für Unternehmen wichtig, um Haftungsrisiken auszuschließen.
- NEU: Rechtmäßigkeit der Verarbeitung (Einwilligungen)
Jede Datenverarbeitung bedarf nach wie vor einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen. In Art 6 DSGVO wird erläutert, unter welchen Bedingungen eine Datenverarbeitung rechtmäßig ist. Danach sind mündliche, schriftliche und elektronische Einwilligungen erlaubt. Einwilligungen von Minderjährigen unter 16 Jahren (bzw. unter 13 Jahren, je nach Bestimmung des nationalen Rechts) sind nach DSGVO nur dann wirksam, wenn Eltern damit einverstanden sind!
Für Händler und Unternehmer spielen Einwilligungen eine wichtige Rolle. Wie Einwilligungen aussehen müssen, können Sie hier bei e-Recht24.de nachlesen.
Jetzt Datenschutzerklärungen anpassen!
Ab Mai 2018 werden die Vorgaben für Datenschutzerklärungen verschärft. Datenschutzerklärungen müssen dann auf die Vorgaben der EU-DSGVO abgestimmt sein. Die Fülle der erforderlichen Angaben ist hoch, gehen Sie auf Nummer sicher und lassen Sie sich daher von Profis beraten!
Hier finden Sie die vollständigen Gesetztestexte zum Nachlesen.
Wer schreibt hier? Mein Name ist Thomas Angotti [tom]. Seit 2000 führe ich die Werbeagentur tma pure, bin SEO-Nerd und verrückt nach guten Ideen und interessantem Marketing - online und offline.
Kommentieren