EU-Vorschrift

Ab Mai wird’s ernst: Dann tritt EU-weit eine umfassende Datenschutzreform in Kraft. Noch ist Zeit zu handeln. Wir geben Ihnen einen Überblick über die zentralen Inhalte der neuen Verordnung.

Die neue Datenschutz-Grundverordnung im Überblick


Der Stichtag ist der 26. Mai. Ab dann gelten EU-weit neue Anforderungen an den Datenschutz. Für Unternehmen bedeuten die Anforderungen ein nicht zu unterschätzender Aufwand. Doch viele haben noch keine Vorkehrungen getroffen.

Zum Teil mag auch daran liegen, dass nicht immer klar ist, was die neue Datenschutz-Grundverordnung eigentlich fordert. Wir versuchen, etwas Klarheit zu verschaffen. Fragen und Antworten zur neuen Datenschutz-Grundverordnung:

An wen richtet sich die Verordnung?

Betroffen sind Unternehmen und Freiberufler. Verantwortlich für die Umsetzung der Anforderungen ist der Verantwortliche des Unternehmens, also in der Regel der Geschäftsführer. Der Datenschutzbeauftragte, sofern es ihn in einem Unternehmen gibt, hat nur eine beratende Funktion. Die Unternehmen müssen prüfen, ob gemäß der neuen Verordnung ein Datenschutzbeauftragter nötig ist.

Für welche Daten gilt die neue Verordnung?

Die Datenschutz-Grundverordnung gilt für alle personenbezogenen Daten. Das sind solche Daten, die sich auf eine natürliche Person beziehen und geeignet sind, die Identität einer Person zu ermitteln. In der Praxis sind dies vor allem Daten von Kunden, Nutzern und Mitarbeitern.

Welche Grundsätze liegen der Verordnung zugrunde?

Nach der neuen Verordnung gilt der Grundsatz des „Verbots mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und nur dann erlaubt ist, wenn das Gesetz es ausdrücklich gestattet oder der Betroffene ausdrücklich einwilligt. Bestellt beispielsweise ein Kunde eine Ware oder Dienstleistung, muss der Kunde explizit einwilligen, dass der Verkäufer die Kundendaten speichern darf.

Hinzu kommt, dass personenbezogene Daten nur für „festgelegte, eindeutige und rechtmäßige Zwecke“ erhoben werden dürfen.

Welche Grundpflichten schreibt die Verordnung für die datenverarbeitende Stelle vor?

Die neue Verordnung enthält strenge Informationspflichten. So muss derjenige, die die personenbezogenen Daten verarbeiten will, dem Kunden/Nutzer oder Mitarbeiter zum einen die Rechtsgrundlage zur Verarbeitung der Daten mitteilen. Zum anderen muss er ihn über Dauer der Speicherung und ggf. die Weitergabe an Auftragsdatenverarbeiter informieren. Letzteres betrifft insbesondere auch die eventuelle Weitergabe der Daten an ausländische Anbieter außerhalb der EU.

Ferner ist dem Kunden mitzuteilen, dass er einen Anspruch auf Auskunft darüber hat, welche Daten gespeichert werden. Auch muss ihm mitgeteilt werden, dass er einen Anspruch auf Korrektur und Löschung seiner Daten hat. Der Kunde hat das sogenannte „Recht auf Vergessenwerden“. Unabhängig davon gilt: Werden die Daten nicht mehr benötigt, müssen sie gelöscht werden.

Gibt es einen Datenschutzbeauftragten, muss das Unternehmen auch die Kontaktdaten des Beauftragten veröffentlichen. Dazu reicht die Nennung seiner E-Mail-Adresse.

Die Informationspflichten sind sehr ernst zu nehmen. Denn in einem Streitfall ist es Aufgabe des datenverarbeitenden Unternehmens, durch Dokumente zu belegen, dass es alle Vorschriften eingehalten hat. Bislang musste der Betroffene den Nachweis erbringen.

Wie kann man die Informationspflicht umsetzen?

In der Regel erfolgt die Information über die Datenschutzerklärung, der Kunden oder Nutzer bei Bestellung einer Ware oder Dienstleistung zustimmen müssen. Für alle Informationen gilt der Grundsatz, dass sie verständlich und transparent sein müssen. Auf einer Webseite sollte der Link zur Datenschutzerklärung gut sichtbar auf der Startseite stehen.

Welche Ansprüche können Betroffene noch geltend machen?

Neu in der EU-Verordnung ist, dass der Betroffene ein Recht auf Datenportabilität hat. Er kann also von seinem bisherigen Vertragspartner verlangen, dass dieser die Daten an einen anderen Anbieter übermittelt, soweit dies technisch möglich ist.

Welche Aufgaben kommen sonst noch auf Unternehmen zu?

Gemäß der neuen Verordnung müssen Unternehmen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass personenbezogene Daten in Übereinstimmung mit den neuen EU-Regelungen verarbeitet werden. Dazu müssen sie sich zunächst einen Überblick verschaffen, wie sämtliche personenbezogenen Daten derzeit verarbeitet werden. Dazu zählen beispielsweise auch Reisekostenabrechnungen von Mitarbeitern.

Im ersten Schritt müssen sie sogenannte Verarbeitungsverzeichnisse erstellen, die den technischen und organisatorischen Ist-Zustand der Datenverarbeitung beschreiben. Diese müssen sodann mit den Anforderungen der neuen EU-Verordnung abgeglichen werden. Die Dokumentation muss fortlaufend geprüft und ggf. aktualisiert werden. Der Branchenverband Bitkom hat hierzu einen Leitfaden herausgegeben, die die Vorgehensweise detailliert beschreibt.

In bestimmten Fällen ist auch eine Datenschutz-Folgeabschätzung erforderlich. Dabei muss unter anderem abgeschätzt werden, welche Risiken aus der Datenverarbeitung für den Betroffenen resultieren können und welche Maßnahmen ergriffen werden müssen, um die Risiken zu bewältigen.

Gilt die Verordnung auch für Anbieter außerhalb der EU?

Ja. Unternehmen außerhalb der EU müssen in jedem Fall die neue Datenschutz-Grundverordnung beachten, die im demjenigen Land gilt, wo das Unternehmen die Daten erhebt. Dies betrifft auch kostenlose Dienste von Konzernen wie Google, Facebook oder Microsoft.

Welche Strafen drohen im Fall der Missachtung der neuen Verordnungsvorschriften?

In jedem Fall Bußgelder, die wehtun können. Die Verordnung sieht Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor.


Weiterführende Informationen:

  • Hilfreiche Informationen mit Checklisten und Anwendungsfällen finden Sie auch beim Zentralverband des Deutschen Handwerks.
  • Im ix-Fachmagazin ist vor kurzem eine interessante Artikelserie veröffentlicht worden, die uns die Kollegen freundlicherweise zur Verfügung gestellt haben. Artikel 1, Artikel 2, Artikel 3.

Alle Angaben ohne Gewähr.

Mehr zum Thema
Landgericht München muss Lkw-Kartellprozess neu aufrollen
Die neue Abfall­­­verbringungsverordnung kann kommen
Erstes deutsches Unternehmen für Schiffsrecycling
Verpackungsmüll: Warum bayerische Kommunen weiterhin auf das Bringsystem setzen
Zu viel Bürokratie: „Das macht manche Firmen verrückt“
Regierung in Sachsen beschließt Förderung der Kreislaufwirtschaft
Videoüberwachung an Containern ist „schwieriges Thema“
Circular Economy: München hat die meisten Start-ups
Voestalpine will Buderus Edelstahl verkaufen
Wertstofftonne: Karlsruher hadern mit privatem Entsorger
EU-Länder unterstützen Verpackungs­verordnung
„Das größte Bürokratie­entlastungspaket, das es je gab“