Was ist die Datenschutzgrundverordnung?

Die DSGVO ist ein EU-Gesetz, das in Deutschland das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, ablöst. Die Verordnung regelt die Verarbeitung personenbezogener Daten. Ziel ist es, das Datenschutzrecht innerhalb der Europäischen Union auf einen einheitlichen Stand zu bringen. Dadurch sollen nicht nur die Rechte und Kontrollmöglichkeiten der Bürger gestärkt, sondern auch gleiche Wettbewerbsbedingungen für in der EU tätige Unternehmen geschaffen werden.

Für wen gilt die Datenschutzgrundverordnung?

Die DSGVO gilt für alle Webseiten-Betreiber und Unternehmen, die in der EU ansässig sind und mit personenbezogenen Daten arbeiten. Auch Unternehmen, die ihren Sitz außerhalb der EU haben, und ihre Dienste EU-Bürgern anbieten, müssen sich an die neue Verordnung halten.
Zu den personenbezogenen Daten gehören sowohl Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer und Kontoverbindung als auch Kfz-Kennzeichen, Steuernummer, IP-Adresse und Cookies.

Was bedeutet die DSGVO für Privatpersonen?

Neben dem Schutz personenbezogener Daten verfolgt die DSGVO das Ziel, mehr Transparenz zu schaffen. Das heißt im Klartext:

  • Die Datenschutzerklärung muss präzise, leicht zugänglich und klar formuliert sein
  • Neben dem Zweck der Datenverarbeitung muss auch angegeben werden, auf welcher Rechtgrundlage die Daten erhoben werden
  • Das Unternehmen muss den Verbraucher informieren, wie lange die Daten gespeichert werden
  • Firmen müssen ebenfalls darüber Auskunft geben, ob sie die Daten von Dritten bekommen haben

Zudem werden dem Bürger durch die DSGVO erweiterte Rechte eingeräumt:

  1. Auskunftsrecht: Per Brief oder Mail können EU-Bürger Unternehmen dazu auffordern, ihnen Auskunft über ihre persönlichen Daten zu geben. Innerhalb eines Monats müssen Unternehmen die Gesuche beantworten.
  2. Recht auf Datenübertragung: Unternehmen müssen im Falle eines Anbieterwechsels die Daten des Nutzers dem anderen Anbieter übermitteln (z. B. beim Wechsel einer Bank, eines Internet- oder Stromanbieters).
  3. Recht auf Vergessenwerden: Unternehmen sind dazu aufgefordert, personenbezogene Daten zu löschen, wenn diese nicht mehr benötigt werden, unrechtmäßig verarbeitet wurden oder es von dem jeweiligen Nutzer verlangt wird.

Was bedeutet die DSGVO für Unternehmen?

Für Unternehmen gelten auch weiterhin die bisherigen Grundprinzipien des Datenschutzes:

  • Rechtmäßigkeit: Daten dürfen nur verarbeitet werden, wenn es das Gesetz erlaubt.
  • Transparenz: Die Verarbeitung personenbezogener Daten muss nachvollziehbar sein (z. B. durch eine verständliche und vollständige Datenschutzerklärung)
  • Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung personenbezogener Daten ist verboten, sofern sie nicht per Gesetz erlaubt wurde.
  • Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, für den sie erworben wurden (Gibt ein Nutzer z. B. seiner E-Mail-Adresse für einen Newsletter preis, darf diese auch nur dafür verwendet werden).
  • Datenminimierung: Eine Datenerhebung auf Vorrat ist verboten, Unternehmen müssen die Daten auf das dem Verarbeitungszweck notwendige Maß beschränken.
  • Integrität und Vertraulichkeit: Unternehmen müssen mithilfe technischer und organisatorischer Maßnahmen dafür sorgen, dass die Daten vor Zerstörung, unbefugter Verarbeitung, Verlust oder Veränderung geschützt sind.

Neben den Grundprinzipen des Datenschutzes wurden die Prinzipien „Privacy by Design“ und „Privacy by Default“ der neuen Datenschutzverordnung hinzugefügt. Das Prinzip Privacy by Design besagt, dass bereits bei der konzeptionellen Entwicklung von Produkten und Verfahren Datenschutzmaßnahmen einbezogen werden müssen. Privacy by Default schreibt vor, dass technische Geräte und IT-Anwendungen so voreinzustellen sind, dass nur die Daten erhoben werden, die für den jeweiligen Verarbeitungszweck notwendig sind.

Was Unternehmen & Webseiten-Betreiber gemäß der neuen DSGVO tun müssen

Wenn nötig, einen Datenschutzbeauftragen benennen

Der Datenschutzbeauftragte ist dafür zuständig, dass alle Datenschutzvorgaben eingehalten werden. Zu seinen Aufgaben zählen u. a. die Beratung von Verantwortlichen innerhalb des Unternehmens, die Schulung von Mitarbeitern sowie die Zusammenarbeit mit der zuständigen Datenschutzbehörde.
Ein Datenschutzbeauftragter ist nötig, wenn

  • sich mindestens zehn Mitarbeiter eines Unternehmens regelmäßig mit personenbezogenen Daten beschäftigen.
  • Daten verarbeitet werden, für die eine Datenfolgeabschätzung notwendig ist (dies gilt für besonders sensible Daten wie ethnische Herkunft, sexuelle Orientierung, Religionszugehörigkeit, Gesundheit).
  • personenbezogene Daten an Dritte übermittelt oder zu Markt- und Meinungsforschungszwecken verarbeitet werden.

Verzeichnis von Verarbeitungstätigkeiten anlegen

Von großer Bedeutung für Unternehmen und Webseiten-Betreibern sind insbesondere die verschärften Dokumentations- und Rechenschaftspflichten. So muss ein Unternehmen nachweisen können, dass Nutzer eine ausdrückliche Zustimmung zur Datenspeicherung und -verarbeitung gegeben haben. In einem „Verzeichnis von Verarbeitungstätigkeiten“ ist festzuhalten:

  • wie personenbezogene Daten verarbeitet werden,
  • wer auf diese Daten Zugriff hat und
  • wie die Daten geschützt werden.

Webseite gemäß den DSGVO-Vorgaben anpassen

Bis auf Internetseiten, die ausschließlich privaten Zwecken dienen, keine Werbebanner einblenden und keine Analysetools nutzen, sind alle Webseiten von der EU-Datenschutzverordnung betroffen. Webseiten müssen selbst dann DSGVO-konform sein, wenn keine Nutzerdaten abgefragt werden. Grund ist die IP-Adresse, die übertragen wird, wenn ein Nutzer eine Seite aufruft, denn IP-Adressen fallen unter den Begriff personenbezogene Daten. Folgende Punkte müssen gemäß DSGVO erfüllt sein:

  1. die Webseite muss verschlüsselt sein
  2. die Datenschutzerklärung muss den Nutzer ausführlich über die Erfassung von Personendaten, IP-Adressen, zum Umgang mit Social Plugins und Kontaktformularen, zur Nutzung von Cookies sowie zum Einsatz von Analyse- und Targeting-Tools informieren
  3. die Datenschutzerklärung muss eine Opt-Out-Funktion enthalten, die es dem Nutzer ermöglicht, die Datenweitergabe an Google zu widersprechen bzw. zu unterbinden
  4. in eingebundenen Formularen auf der Seite dürfen nur personenbezogene Daten erhoben und als Pflichtfelder markiert werden, die tatsächlich nötig sind, um die entsprechende Anfrage zu beantworten
  5. Nutzer müssen selbst entscheiden können, ob ihre Daten durch Social Plugins an soziale Netzwerke übertragen werden sollen
  6. werden Analyse-Dienste wie Google Analytics genutzt, müssen gesammelte IP-Adressen anonymisiert werden, so dass kein Personenbezug mehr möglich ist; zudem muss mit Google ein Vertrag zur Auftragsverarbeitung geschlossen werden
  7. Nutzer müssen über Cookies informiert werden; bereits beim ersten Aufruf der Seite ist per Cookie-Warnung eine Einwilligung einzuholen
  8. auch mit Newsletter-Diensten wie MailChimp und ggf. mit dem Webhoster müssen Verträge zur Auftragsverarbeitung geschlossen werden

Wer sich noch nicht mit der neuen Datenschutzverordnung auseinandergesetzt und seine Webseite gemäß den neuen Anforderungen angepasst hat, sollte dies unverzüglich nachholen. Andernfalls drohen bis zu 20 Millionen Euro hohe Bußgelder oder 4 Prozent des Vorjahresumsatzes.

© anyaberkut/iStock.com