DSGVO

DSGVO - Wozu braucht es Datenschutz?

Aufgrund der fortschreitenden Digitalisierung spielt der Datenschutz eine immer wichtigere Rolle. Mithilfe des Datenschutzes werden wir vor Datenmissbrauch geschützt.

Heute teilen wir unsere Informationen in sozialen Netzwerken, besuchen tagtäglich zahlreiche Websites und geben Bestellungen in Onlineshops auf.

Gäbe es den Datenschutz nicht, wäre es für Website- und Onlineshopbetreiber ein Leichtes, personenbezogene Daten zu erheben und für ihre eigenen Zwecke zu nutzen.

Gerade im Internet ist es besonders schwer, Verstöße zu ahnden.

DSGVO - Datenschutzgrundverordnung

Dank der DSGVO gibt es nun einen einheitlichen Rechtsrahmen, der für die gesamte Europäische Union gilt. Früher musste man sich auf die Regelungen der einzelnen Mitgliedstaaten berufen, was bei einem Verstoß gegen den Datenschutz zu Unklarheiten führen konnte. Das Recht auf informationelle Selbstbestimmung, das im Grundgesetz verankert ist, gibt Personen das Recht, über die eigenen personenbezogenen Daten zu entscheiden. Damit dieses Recht von Bürgerinnen und Bürgern ausgeübt werden kann, kontrollieren Datenschutzbeauftragte die Abläufe zur Einhaltung der Datenschutzbestimmungen. Dabei unterscheidet man zwischen behördlichen und betrieblichen Datenschutzbeauftragten. Erstere agieren auf Landes- oder Bundesebene, während Letztere für den Datenschutz innerhalb eines bestimmten Betriebes verantwortlich sind.

Bei der Verarbeitung von Daten gelten einige wichtige Grundprinzipien. Diese Grundsätze sollen sicherstellen, dass die Daten von Personen im Laufe der Verarbeitung geschützt sind. Zu den wichtigsten Regeln in Bezug auf den Datenschutz zählen Datensparsamkeit, Speicherbegrenzung, Zweckbindung, Richtigkeit und Rechenschaftspflicht.

Seit wann ist die DSGVO in Kraft?

Die DSGVO ist seit dem 25. Mai 2018 in Kraft. Die in elf Kapitel gegliederte Verordnung gilt in der gesamten Europäischen Union. Somit handelt es sich um ein vergleichsweise neues Gesetzeswerk. Viele Unternehmen nehmen fälschlicherweise an, nicht zu den Betroffenen zu gehören. Dabei greift die DSGVO für alle Unternehmen, mögen sie noch so klein sein.

Obwohl die DSGVO in erster Linie Verbraucherinnen und Verbraucher schützt, unterstützt sie auch die Internetwirtschaft, indem sie ihr eine EU-weite Rechtssicherheit einräumt. In Deutschland gibt es bereits seit mehr als 40 Jahren Gesetze zum Datenschutz. Vor allem große Unternehmen mit zahlreichen Kunden werten die personenbezogenen Daten ihrer Kunden aus und verkaufen sie an Werbeunternehmen weiter. Nun weitet sich im Internet de Kreis des Personen aus, die potenziell Zugriff auf personenbezogene Daten haben könnten.

DSGVO: Wer haftet?

Hin und wieder kommt es zu einem Datenschutzverstoß vonseiten eines Unternehmens. In einem solchen Fall haftet das Unternehmen. Genauer gesagt haftet diejenige Person, die über die Verarbeitung von personenbezogenen Daten entscheidet. Selbst wenn das Unternehmen einen externen Datenschutzbeauftragten hinzugezogen haben sollte, trifft die Haftung dennoch den internen Datenschutzexperten. Hier wird der Vorteil eines externen Datenschutzbeauftragten deutlich. Wenn ein Unternehmen einen externen Datenschutzbeauftragten hinzuzieht, haftet nicht mehr der Unternehmer, sondern ausschließlich der interne Datenschutzexperte. Die DSGVO kennt mehrere Rechtsfolgen, die sich aus einem Verstoß gegen das Datenschutzgesetz ergeben. Dazu gehören der Schadenersatzanspruch des Betroffenen und eine Geldbuße bis maximal 20 Millionen Euro bzw. 4 % des Umsatzes des Unternehmens.

Gelegentlich kommt es vor, dass externe Datenschutzbeauftragte einen Fehler begehen. Ist dies der Fall, haftet der externe Datenschutzbeauftragte in den folgenden Situationen:

Es kann aber auch sein, dass der Datenschutzbeauftragte den Auftraggeber auf einen Fehler aufmerksam macht, Letzterer sich jedoch dafür entscheidet, ihn zu ignorieren. In einem solchen Szenario macht sich der Datenschutzbeauftragte nicht schuldig.

Wie lange dürfen Daten gespeichert werden?

Wie lange Daten gespeichert werden dürfen, hängt von verschiedenen Faktoren ab. Es gibt keine einheitliche Antwort auf diese Frage. Im Großen und Ganzen jedoch gilt, dass die Speicherfrist personenbezogener Daten so kurz wie möglich sein sollte.

Hier greift das Prinzip der Speicherbegrenzung. Dieses ist an die Zweckbindung gebunden. Das Speichern personenbezogener Daten ist nur den Zeitraum zulässig, in dem die Daten tatsächlich notwendig sind. Dabei sollte man als Unternehmer versuchen, die Speicherfrist auf ein Minimum zu reduzieren. Sobald der Hauptgrund für das Speichern personenbezogener Daten wegfällt, sollten diese gelöscht werden.

Wie lange ist eine Einwilligung gültig?

Bevor personenbezogene Daten überhaupt gespeichert werden dürfen, muss die betroffene Person ihre Einwilligung dazu geben. Dabei gibt es in der DSGVO keinen speziellen Hinweis darauf, über welchen Zeitraum hinweg diese Einwilligung gültig ist. Bei einem Widerruf der Einwilligung vonseiten der betroffenen Person müssen die personenbezogenen Daten umgehend gelöscht werden. Da kein allgemeines Verfallsdatum gilt, muss man sich hier an die Zweckbindung halten. Entfällt der Zweck, müssen auch die personenbezogenen Daten gelöscht werden. Gegen ein Verfallsdatum spricht auch die Tatsache, dass Betroffene auf zahlreichen Ebenen geschützt sind.

DSGVO: Was ist das?

Die DSGVO (Datenschutz-Grundverordnung) ist eine europaweite Verordnung, die den Umgang mit personenbezogenen Daten in der Europäischen Union regelt. Sie umfasst 11 Kapitel und 99 Artikel. Die DSGVO gilt für öffentliche Stellen ebenso wie für private Unternehmen. Dabei spielt die Größe des Unternehmens keine Rolle. Die DSGVO gilt seit dem 25. Mai 2018. Sie basiert auf den Vorläufern - der EU-Datenschutzrichtlinie und dem Bundesdatenschutzgesetz (BDSG). Anders als bei den früheren Datenschutzrichtlinien räumt die DSGVO auch Privatpersonen das Recht auf eine Klage ein. Früher galt die Klage als Privileg der Aufsichtsbehörde, nun können auch Privatpersonen immaterielle und materielle Schäden durch missbräuchliche oder unerlaubte Verwendung ihrer Daten einklagen. Die Beweispflicht liegt dabei stets beim Unternehmen.

Die DSGVO wurde eingeführt, um den Umgang mit personenbezogenen Daten in der Europäischen Union zu vereinheitlichen. Dabei soll die Verordnung vor allem die Transparenz erhöhen und etwaige Sicherheitsmängel in kürzester Zeit aufdecken. Die Rechte des Einzelnen treten bei der DSGVO in den Vordergrund, sodass Unternehmen die Erhebung und Verwendung personenbezogener Daten offen kommunizieren müssen. Privatpersonen haben das Recht, ihre Einwilligung jederzeit zu widerrufen oder das Unternehmen darauf aufmerksam zu machen, dass die gespeicherten Daten fehlerhaft sind.

Die Grundsätze der DSGVO

Die DSGVO basiert auf fünf Hauptgrundsätzen, die bei der Erhebung und Verarbeitung personenbezogener Daten besonders wichtig sind.

Datensparsamkeit: Es sollen nur so viele Daten gesammelt werden, wie für die jeweilige Verwendung unbedingt nötig ist. Eine konkrete Umsetzung der Datensparsamkeit ist beispielsweise das Recht auf informationelle Selbstbestimmung. Wenn beispielsweise für eine Bestellung in einem Onlineshop keine Telefonnummer erforderlich ist, besteht für das Unternehmen kein Grund, diese Information zu erheben und zu speichern.

Speicherbegrenzung: Die Speicherbegrenzung bezieht sich auf die Dauer, während der die personenbezogenen Daten gespeichert bleiben. Es ist nicht erlaubt, diese Daten länger als unbedingt nötig zu speichern. Hier lehnt man sich an die Zweckbindung: Entfällt der Zweck der Speicherung, müssen die Daten umgehend gelöscht werden.

Zweckbindung: Daten dürfen nur dann erhoben und verarbeitet werden, wenn ein legitimer Grund vorliegt. Ein Beispiel wäre ein Onlineshop, der nach Namen und Adresse des Kunden fragen muss, um eine Bestellung zu erfüllen. Eine Website, die einen Newsletter verschicken möchte, benötigt diese Informationen jedoch nicht, da eine E-Mail-Adresse ausreicht. Somit liegt hier keine Zweckbindung zur Erhebung von Name und Anschrift der betroffenen Person vor.

Richtigkeit: Als Unternehmer muss man gewährleisten können, dass die erhobenen Daten richtig sind und sich auf dem neuesten Stand befinden. Unrichtige Daten müssen umgehend gelöscht oder korrigiert werden. Der Verantwortliche muss proaktiv sein und sollte nicht darauf warten, dass ihn die betroffene Person eines Besseren belehrt. Handelt es sich bei dem Unternehmen um einen kleinen Onlineshop, hat die Unrichtigkeit von Daten kaum Auswirkungen. Anders jedoch verhält es sich in denjenigen Fällen, wenn Daten nachträglich nur sehr schwer oder gar nicht korrigiert werden können. Dies gilt beispielsweise für Auskunfteien, die Personenbewertungen an Dritte weiterleiten. In einer solchen Situation kann sich die Unrichtigkeit von Daten gravierend auf die betroffene Person auswirken.

Rechenschaftspflicht: Das Unternehmen muss gegenüber der Aufsichtsbehörde beweisen können, dass es die Grundsätze der DSGVO einhält.

DSGVO für Freelancer, Selbstständige und Kleinstunternehmen

Es wird oft angenommen, dass die DSGVO nur für große bis mittelständische Unternehmen eine Rolle spielt. In Wirklichkeit greift sie für alle Unternehmen, die eine eigene Website betreiben. Dabei kann es sich auch um Freelancer oder Selbstständige handeln. Im Zusammenhang mit der DSGVO spielen Cookies eine besonders wichtige Rolle. Jede Website muss ein Cookie-Banner anzeigen, das durch die User konfiguriert werden kann. Somit gibt jeder Besucher Deiner Website seine Einwilligung zur Erhebung bestimmter Daten.

Cookie-Banner DSGVO-konform gestalten

Jede Website, die personenbezogene Cookies verwendet muss ein Cookie-Banner anzeigen. Sofern die Cookies technisch nicht notwendig sind, musst Du bei Besuchern eine Einwilligung einholen. Cookies sind kleine Textdateien, die auf dem Rechner des Users gespeichert werden und die Nutzung der Website erleichtern bzw. überhaupt möglich machen. Doch gibt es nicht nur eine einzige Art von Cookies. Technisch erforderliche Cookies erfüllen den Grundsatz der Datensparsamkeit. Allerdings kann es sein, dass Du als Unternehmer einen genaueren Einblick in das Verhalten Deiner Besucher erlangen möchtest. Sogenannte Tracking-Cookies erlauben es Dir, wichtige Daten zu Deinen Usern zu sammeln.

Bei der Gestaltung des Cookie-Banners musst DU bestimmte Regeln beachten. Das Banner darf das Impressum nicht überdecken. Außerdem muss es sofort eingeblendet werden, sodass der User unverzüglich seine Einwilligung zu Cookies geben muss. Der User muss selbst entscheiden können, zu welchen Cookies er seine Einwilligung gibt - daher sind bereits abgehakte Kästchen nicht zulässig.

Widmet sich die DSGVO dem Thema Cookies?

Obwohl Cookies sehr wohl mit Datenschutz zu tun haben, wird das Thema in der DSGVO nicht genannt. Der Europäische Gerichtshof hat sich jedoch mit dem Thema befasst und die aktuellen Cookie-Richtlinien festgelegt. Sofern Cookies für das Funktionieren einer Website nicht unbedingt erforderlich sind, muss die Einwilligung des Users eingeholt werden.

DSGVO: Was sind personenbezogene Daten?

Unter personenbezogenen Daten versteht man Daten jeglicher Art, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei ist die Definition der natürlichen Person besonders wichtig, denn der Schutzbereich der DSGVO gilt nicht für juristische Personen oder Personengruppen. Jedoch sind die Daten einer verstorbenen Person nicht als personenbezogene Daten zu werten.

Praktische Beispiele für personenbezogene Daten:

Wohin kann man sich wenden, um einen Verstoß gegen die DSGVO zu melden?

Jeder Verstoß gegen das Datenschutzgesetz muss der zuständigen Datenschutzbehörde gemeldet werden. Gemäß DSGVO ist ein Datenschutzverstoß eine Verletzung des Schutzes personenbezogener Daten. Diese kann sich in der Vernichtung, dem Verlust, der Veränderung oder der Offenlegung der Daten äußern. Man spricht auch von einer Datenpanne. Verstöße sollten laut Abschnitt 33 der DSGVO binnen 72 Stunden gemeldet werden. Die DSGVO legt darüber hinaus auch fest, wer den Verstoß melden muss. Der Verantwortliche muss sich an die Datenschutzbehörde wenden. Unter dem Verantwortlichen versteht man diejenige Person, die über die Zwecke und Mittel der Verarbeitung entscheidet. Dies ist in Abschnitt 4 der DSGVO festgehalten. Es gibt aber auch Ausnahmen: Ist das Verletzungsrisiko in Bezug auf die personenbezogenen Daten sehr gering, ist eine Meldung nicht erforderlich. Dies ist zum Beispiel dann der Fall, wenn ein sicher verschlüsselter Datenträger verloren geht, auf dem sich entsprechende Daten befinden.

Es kommt oft vor, dass ein Unternehmen gar nicht wahrnimmt, dass es sich bei einem kleinen Vorfall bereits um eine meldepflichtige Datenpanne handelt. Hier muss der Datenschutzbeauftragte agieren und die Sache in die Hand nehmen.