Die neue Datenschutz-Grundverordnung (DS-GVO)

Einleitung

Seit dem 25.05.2018 gilt in ganz Europa die (EU-)Datenschutz-Grundverordnung ((EU-)DS-GVO). Die Verordnung enthält viele aus dem Bundesdatenschutzgesetz (BDSG) bereits bekannte Anforderungen, aber auch viele neue Vorgaben, die bis zum 25.05.2018 umgesetzt sein mussten. Es gibt keine Übergangsfristen!

Anwendungsbereich der DS-GVO

Die Verordnung gilt generell für alle Organisationen, Unternehmer und Unternehmen einschließlich deren Niederlassungen in der Europäischen Union (EU), die personenbezogene Daten verarbeiten. Sie gilt ferner für Unternehmen mit Sitz außerhalb der Europäischen Union (EU), sofern die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Angebot von Waren und Dienstleistungen in der EU steht oder das Verhalten von natürlichen Personen in der EU beobachtet wird. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören auch Kennungen, Kennnummern, Standortdaten oder andere Merkmale einer Person, die eine Identifikation ermöglichen. Verarbeiten ist ein umfassender Begriff für den Umgang mit personenbezogenen Daten. Er umfasst das Erheben, Speichern, Ändern, Übermitteln, Verknüpfen oder Löschen. Mit anderen Worten: Es ist egal, was Sie mit personenbezogenen Daten machen, es handelt sich immer um ein Verarbeiten im Sinne der DS-GVO. Es spielt auch keine Rolle, ob Sie die Daten für eigene Zwecke (dann Verarbeiter) oder fremde Zwecke (dann Auftragsverarbeiter) verarbeiten. Jedes nicht rein private Handling von personenbezogenen Daten unterliegt der DS-GVO!

Wesentliche Anforderungen der DS-GVO

Die DS-GVO enthält Bestimmungen zur datenschutzkonformen Verarbeitung von personenbezogenen Daten, zur Sicherstellung der Betroffenenrechte, zur Handhabung von Datenschutzverletzungen sowie zu den Dokumentations- , Nachweis- und Rechenschaftspflichten. Diese Pflichten betreffen alle Bereiche der Unternehmenstätigkeit einschließlich der Auslagerung von Tätigkeiten und Dienstleistungen (Steuerberater, Webhoster, u.a.). Die Verarbeitung der Daten betrifft damit z.B. Mitarbeiter, Kunden, Lieferanten, Mitglieder und Interessenten.

Bedeutung der DS-GVO für den Bereich Webauftritte, Online-Marketing und elektronische Kommunikationsmittel

Soweit dies den Bereich Internet betrifft, sind Datenverarbeiter zu transparenter Information der Betroffenen und zu sicherer Kommunikation mit den Betroffenen verpflichtet. Betroffener ist jede Person, deren personenbezogenen Daten verarbeitet werden (sollen). Konkret betrifft dies damit die Pflicht zur datenschutzkonformen - Veröffentlichung eines Impressums - Veröffentlichung einer Datenschutzerklärung mit Informationen zu Umfang sowie Zweck der Erhebung der Daten, zu Auskunftsansprüchen, zum Widerruf der Einwilligung, zur Berichtigung, Löschung oder Übertragbarkeit der Daten - Gestaltung von Kontaktformularen - Einbindung von Verlinkungen (z.B. Links auf Social Media) - Einbindung von Bildern (z.B. Mitarbeiter, Kunden) - Einwilligung zu bestimmten Verwendungszwecken (z.B. Newsletter, E-Mail-Werbung, Cookies) - Verschlüsselung der Kommunikation (z.B. TLS, SSL, https) für Kontaktformulare und Bestellvorgänge - Datenweitergabe (Auftragsverarbeitung) an Dritte (z.B. Webhoster, Suchmaschinen, Cloud-Anbieter, Social-Media, Analyse- und Werbe-Dienste)

Gesetzliche Grundlagen

Die Datenschutz-Grundverordnung ist ab dem 25.05.2018 in Deutschland unmittelbar anzuwendendes Recht. Es bedarf keiner Umsetzung mehr in nationales Recht. Die DS-GVO wird flankiert durch die Erwägungsgründe der DS-GVO, die integraler Bestandteil der Verordnung sind und weitere konkrete Definitionen und Pflichten enthalten. Weitere gesetzliche Grundlagen und Bestimmungen ergeben sich aus der ePrivacy-Verordnung, dem BDSG-NEU, UWG und TMG.