Gesperrte Twitter-Konten, abgeschaltete Blogs, laufende Klagen gegen Facebook und Google: Seit dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (DSGVO) Anwendung. Jegliche Betriebe, die mit personenbezogenen Daten von EU-Bürgern in Berührung kommen, müssen den Anforderungen der DSGVO gerecht werden, ansonsten drohen Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Vor allem für kleine und mittelständische Unternehmen (KMU) sowie Startups kann dies eine hohe Belastung darstellen.
Was sind die Ziele der DSGVO?
Generell soll die neue Datenschutz-Grundverordnung die Rechte von Verbrauchern in Bezug auf die Auskunft und die Löschung ihrer personenbezogenen Daten stärken. Unternehmen wiederum sollen durch die Androhung nicht unerheblicher Bussgelder dazu gebracht werden, sich mehr mit dem Thema Datenschutz auseinanderzusetzen. Weiterhin sollen Unternehmen dadurch dazu gebracht werden, zu hinterfragen, wie und weshalb sie gewisse Daten erfassen, auswerten, speichern oder in einer anderen Art und Weise verarbeiten.
Welche Neuerungen bringt die DSGVO mit sich?
Einige Vorschriften, wie z. B. die Verarbeitung besonders sensibler personenbezogener Daten nur mit Einwilligung des Betroffenen, waren bereits im Bundesdatenschutzgesetz (BDSG) geregelt. Innerhalb der DSGVO wurden sie teilweise verschärft, wobei allerdings auch neue Vorgaben hinzugekommen sind. Dazu zählen unter anderem spezielle Auskunfts- und Dokumentationspflichten, die für mehr Transparenz sorgen sollen.
Jede personenbezogene Informationsverarbeitung muss ausführlich dokumentiert werden. Dies bezieht sich nicht nur auf den Zweck oder den Zeitpunkt der Erhebung, sondern auch die Dauer der Speicherung oder die Kategorisierung der jeweiligen Daten. Da dies vor allem Startups und KMU vor eine echte Herausforderung stellt, werden sie in der DSGVO speziell berücksichtigt, was das Führen eines Verzeichnisses von Verarbeitungstätigkeiten angeht.
Art. 30 Absatz 5 DSGVO befreit Unternehmen beispielsweise von dieser Pflicht, wenn weniger als 250 Mitarbeiter dort angestellt sind. Die vorgenommene Verarbeitung darf allerdings kein Risiko für die Rechte und Freiheiten der Betroffenen nach sich ziehen, sie darf nicht nur gelegentlich stattfinden und es darf sich nicht um eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten handeln.
Worauf sollten KMU und Startups ihr Augenmerk legen?
Es existieren einige Punkte, denen Startups sowie KMU besondere Beachtung schenken sollten, um die Umsetzung der DSGVO zu gewährleisten und keine Bussgelder aufgrund von Verstössen zu riskieren:
- Einhaltung der Informationspflichten anhand einer umfassenden Belehrung über die jeweiligen Rechte der Betroffenen (Auskunftsrecht, Recht auf Datenübertragbarkeit, Widerspruchsrecht, Recht auf Einschränkung der Datenverarbeitung, Recht auf Löschung, Recht auf Berichtigung) bereits zum Zeitpunkt der Einholung der Einwilligung.
- Separates Einholen einer Einwilligung für jede Nutzerdatenerhebung, die zudem aus freien Stücken und aktiv erfolgt (z. B. durch das Setzen eines Häkchens auf der Website und dem anschliessenden Versenden eines Bestätigungslinks per E-Mail bei der Anmeldung für einen Newsletter).
- Überprüfung der Verträge mit externen Dienstleistern zur Auftragsdatenverarbeitung, um zu gewährleisten, dass die DSGVO auch von Dritten eingehalten und gleichermassen eine angemessene Grundlage für die Datenverarbeitung geschaffen wird.
- Schutz der personenbezogenen Daten durch technische und organisatorische Massnahmen.
- Durchführung einer Risikoanalyse in regelmässigen Abständen, um Gefährdungen auszuschliessen.
Weitere Informationen rund um die DSGVO findest du auf dem Ratgeberportal datenschutz.org.
Der Berufsverband der Rechtsjournalisten e.V. wurde im August 2015 von Rechtsanwalt Mathis Ruff in Berlin gegründet. Für den juristischen Laien steht einem grundlegenden Verständnis zumeist das „Juristendeutsch“ im Wege; entsprechende Recherchen gestalten sich in der Regel als zeitaufwendig und komplex. Ziel des Verbandes ist es daher, über zentrale rechtliche Themenkomplexe in einer verständlichen Sprache zu informieren. Der Berufsverband der Rechtsjournalisten e.V. stellt ausschließlich Informationsportale bereit, bietet jedoch keine Rechtsberatung an.