Datenschutz Grundverordnung DSGVO – Worum geht es dabei eigentlich?

Ich möchte meine kleine Artikelserie zum Thema DSGVO mit einer allgemeinen Übersicht beginnen.
Worum geht es beim DSGVO überhaupt?

Und zwar mit meinen eignen Worten, so wie ich es verstehe. Natürlich ist das keine juristische Beratung und es besteht kein Anspruch auf Vollständigkeit oder Korrektheit.

Aber es sollte Ihnen das neue Gesetz in leicht verdaulichen Worten näherbringen. Hoffe ich ?

Unsere Daten sind heutzutage ein wertvolles Handelsgut. Wer viel über seine Kunden weiß, erhöht die Chancen seine Produkte zu verkaufen. Deswegen wollen Unternehmen möglichst viel über uns wissen.
Aber wollen wir das?
Sollten wir nicht entscheiden können, wer was über uns weiß?
Und was mit diesem Wissen angestellt werden darf?
Ich finde: Ja, sollten wir!

Unser Gesetzgeber und die EU sind da ganz meiner Meinung.
Deswegen gibt es schon seit längerem nationale Datenschutzgesetze. Und im Mai 2016 ist die EU Datenschutz Grundverordnung (DSGVO) in Kraft getreten, die ab 25.5.2018 umgesetzt werden muß und die uns als Unternehmern ein paar Aufgaben stellt. Außerdem gibt es das dazugehörige österreichische Anpassungsgesetz, das einige Punkte spezifisch für Österreich regelt.

Worum geht es dabei?

Grundsätzlich ist die Verarbeitung von persönlichen Daten erst mal verboten.
Damit wir trotzdem mit Kunden kommunizieren können, definiert das Gesetz Ausnahmen.
Das wären zum Beispiel lebenswichtige Aufgaben, Verträge, gesetzliche Vorschriften und (ganz wichtig) mit ausdrücklicher Erlaubnis.

Bin ich betroffen?

Das Ganze gilt nur für persönlichen Daten die im geschäftlichen Umfeld verarbeitet werden. Also nicht für die Telefonnummern der Freunde auf dem privaten Handy oder familiäre Aufzeichnungen. In Österreich sind allerdings auch die Daten juristischer Personen geschützt.

Als Unternehmer sind wir alle davon betroffen. Ausnahmen für EPUs oder nach Umsatzgrenzen gibt es prinzipiell nicht.

Dafür fordert die DSGVO nur angemessene Maßnahmen. Angemessen in Bezug auf Umsatz und Risiko. D.h. solange wir nicht mit sensiblen Daten wie Gesundheitszustand oder politischen Meinungen hantieren, verlangt niemand von uns, Unsummen in Datenschutzmaßnahmen zu investieren. Es reicht, wenn wir uns Gedanken machen, diese dokumentieren und ein paar grundlegende Schutzmaßnahmen ergreifen.
Nichts, wovor man Angst haben muss.

Die DSGVO gilt übrigens auch für amerikanische Firmen, denn es gilt für jeden, der am europäischen Markt teilnimmt.

Die Grundsätze

Die DSGVO definiert ein paar einfache Grundsätze, an denen es ausgerichtet ist und an die wir uns halten müssen:

• Wir dürfen nur Daten benutzen, die wir rechtmäßig erlangt haben.
  Z.B. weil ein Vertag besteht oder wir um Erlaubnis gefragt haben.
• Transparenz ist Pflicht.
  D.h. jeder hat das Recht zu erfahren, welche Daten über sie/ihn gespeichert wurden und was damit gemacht wird.
• Daten dürfen nur für einen bestimmten Zweck benutzt werden.
  Wenn wir um Erlaubnis fragen, muss der Zweck schon klar sein. Wollen wir etwas anderes mit den Daten machen, müssen wir nochmal fragen.
• So wenig wie Daten wie möglich.
  Wenn wir einen Newsletter verschicken wollen, brauchen wir die Telefonnummer nicht. Also fragen wir erst gar nicht danach.
• Nur so lange wie nötig.
  Wenn die Daten nicht mehr gebraucht werden, löschen wir sie. Dabei müssen wir keine gesetzlichen Vorschriften, insbesondere nicht die Aufbewahrungspflichten, verletzen. Aber wenn sich jemand vom Newsletter abmeldet und wir sonst keinen Vertag mit demjenigen haben, löschen wir Name und E-Mail-Adresse.
• Daten korrekt und sicher aufheben.
  Wir müssen Daten korrigieren, z.B. wenn ein Kunde seine Adresse ändert. Daten dürfen nicht versehentlich geändert werden, und sie dürfen nicht verloren gehen. Ansonsten könnten wir dem Grundsatz der Transparenz nicht mehr nachkommen. Und die Daten müssen vertraulich behandelt werden, d.h. wir dürfen sie nicht ausgedruckt im Café liegen lassen und müssen sie gegen Diebstahl schützen.

Was bedeuten diese Grundsätze für uns?

Aus diesen Grundsätzen ergeben sich Rechte für den Betroffenen und Pflichten für uns als Unternehmer. In den folgenden Beiträgen werde ich jeweils näher auf einzelne Punkte eingehen, hier nur eine Übersicht.

Ein Betroffener hat folgende Rechte:

• Das Recht auf Information
  Jeder hat das Recht zu erfahren, welche Daten wofür benutzt werden, wie lange sie gespeichert werden und welche Rechte man diesbezüglich hat.
• Das Recht auf Auskunft
  Jeder kann verlangen, die über ihn/sie gespeicherten Daten zu erfahren. Aber es gibt ein paar Ausnahmen.
• Das Recht auf Berichtigung, Löschung und Einschränkung
  Man kann seine Daten korrigieren oder löschen lassen. Außerdem kann die Nutzung der Daten einschränken. Auch hier gibt es Ausnahmen, z.B. wenn die Löschung eine Aufbewahrungspflicht verletzen würde.
• Das Recht auf Widerspruch
  Eine einmal erteilte Einwilligung kann jederzeit zurückgezogen werden.
• Das Recht auf Übertragung
  Ich kann verlangen, dass meine Daten an einen anderen Dienstleister weitergegeben werden.

Passend dazu haben wir als Verarbeiter der Daten folgende Pflichten:

• Umsetzung der Betroffenenrechte
  Na ja, eigentlich logisch, oder? ?
• Informationspflicht
  Wir müssen wie oben beschrieben informieren. Z.B. mit Hilfe einer Datenschutzerklärung.
• Maßnahmen zum Datenschutz
  Wir sind verpflichtet die gesammelten Daten gegen Verlust, Veränderung, Diebstahl, etc. zu schützen. Diese Maßnahmen müssen wir dokumentieren und jährlich überprüfen.
• Datenschutz schon bei der Planung berücksichtigen
  Die DSGVO spricht von „Privacy by design“ und meint damit, dass wir den Datenschutz bei neuen Prozessen, neuen Tools oder auch neuen Geräten schon bei der Planung berücksichtigen müssen.
• Dokumentationspflicht
  Wir müssen dokumentieren welche Daten wir zu welchem Zweck benutzen, wann und wie wir sie wieder löschen, wer Zugriff hat, was wir zum Schutz der Daten tun, usw.
  Das klingt schlimmer als es ist, ist aber wahrscheinlich der aufwendigste Punkt am DSGVO.
• Meldung von Datenschutzverletzungen
  Sollten Daten verloren gehen oder gestohlen werden, müssen wir die Datenschutzbehörde innerhalb von 72 Stunden informieren. Bei hohem Risiko auch die Betroffenen.
• Zusammenarbeit mit den Datenschutzbehörden
  … ist auch eine Pflicht. Wir müssen Auskünfte erteilen und unsere Dokumentation offenlegen.
• Risikoanalyse
  Sollten wir besonders sensible Daten verarbeiten oder uns hauptsächlich mit der Verarbeitung von Daten beschäftigen, müssen wir die Risiken abschätzen, eine Datenschutzfolgeabschätzung durchführen.
  Glücklicherweise trifft das auf die meisten von uns nicht zu.
• Ernennung eines Datenschutzbeauftragten
  Große Firmen oder solche die sich primär mit der Verarbeitung von persönlichen Daten beschäftigen, müssen einen Datenschutzbeauftragten benennen. Dieser überwacht den Datenschutz und ist dabei nicht an die Anweisungen des Unternehmers gebunden. Auch das dürfte die meisten von uns nicht betreffen.

Ich denke das reicht für den Anfang 🙂

Beim nächsten Artikel der Serie geht es dann um die Informationspflicht. Das ist dann auch weniger theoretisch.