Unternehmen, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten, sind grundsätzlich verpflichtet, die Vorgaben der Datenschutz-Grundverordnung (DSGVO) vollständig umzusetzen. Dies betrifft praktisch alle Organisationen mit Kunden, Mitarbeitenden oder Geschäftspartnern innerhalb der EU – unabhängig von ihrer Größe oder Branche.
Wer die Anforderungen der DSGVO für Unternehmen nicht einhält, riskiert empfindliche Sanktionen, darunter Bußgelder in Millionenhöhe sowie Reputationsschäden. Dieser Artikel gibt einen praxisnahen Überblick über die wichtigsten Pflichten und Folgen für Unternehmen.
Was sind personenbezogene Daten?
Im Zusammenhang mit Datenschutz und der DSGVO ist sehr häufig von personenbezogenen Daten die Rede. Hierbei handelt es sich um alle Daten, die sich auf identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören unter anderem der Name, Bilder der Person und gespeicherte biometrische Daten, aber auch solche Daten, die eine Identifizierung nur über Umwege zulassen wie beispielsweise die IP-Adresse oder das Kfz-Kennzeichen.
Alle Daten, die auf eine Weise einen Rückschluss auf die dahinterstehende Person zulassen, sind als personenbezogene Daten im Bereich des Datenschutzes durch die DSGVO geschützt. Dabei ist zunächst unwichtig, ob es sich um Daten von Endkunden, Geschäftspartnern oder Mitarbeitern handelt.
Was ist das Opt-in-Prinzip?
Die DSGVO verpflichtet verantwortliche Stellen, die personenbezogene Daten verarbeiten, dazu, vor der Verarbeitung eine explizite Einwilligung bei den Betroffenen einzuholen, damit die Datenverarbeitung rechtmäßig geschieht.
Dazu ist es nötig, die Betroffenen umfassend über alle zu speichernden und verarbeitenden Daten zu informieren, die Zwecke transparent aufzuzählen und auch detailliert zu beschreiben, wie die erhobenen Daten verarbeitet werden und mit wem sie geteilt werden.
Die DSGVO legt dabei einen großen Wert auf die Freiheit jedes Individuums, einzelnen oder allen Zwecken zu widersprechen. Es ist daher beispielsweise nicht rechtmäßig, den Zugang zu Produkten oder Dienstleistungen mit der Zustimmung zu einer Datenverarbeitung zu verknüpfen, die für diese nicht notwendig sind wie beispielsweise für Marktanalysen.
Jedem Betroffenen muss außerdem das Recht eingeräumt werden, seine Einwilligung partiell oder vollständig zu widerrufen.
Die DSGVO lässt den meisten Unternehmen nur wenige Ausnahmen von der Pflicht zur Einholung einer Einwilligung zu. Weitere Rechtsgrundlagen für die rechtsgültige Datenverarbeitung sind:
- Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b)
- Rechtliche Verpflichtungen (lit. c)
- Schutz lebenswichtiger Interessen (lit. d)
- Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e)
Diese sind jedoch für die meisten Unternehmen irrelevant.
Eine weitere potenziell nutzbare Rechtsgrundlage besteht dann, wenn das Interesse einer verantwortlichen Stelle, Daten zu verarbeiten, schwerer wiegt als das Interesse eines Betroffenen am Recht, Kontrolle über seine erhobenen und verarbeiteten Daten auszuüben. Beispiele dafür sind die Verarbeitung personenbezogener Daten im Rahmen eines Bewerbungsverfahrens oder zum Zwecke der Ausführung einer Dienstleistung oder Warenlieferung.
Das sogenannte „berechtigte Interesse“ ist dabei juristisch nur äußerst schwammig definiert und bietet viele Interpretationsspielräume, die in der Vergangenheit bereits von Unternehmen genutzt wurden, um bestimmte Praktiken der Datenerhebung auch ohne explizite Einwilligung der Betroffenen weiterzuführen. Dies ist jedoch äußerst riskant und macht die entsprechenden Unternehmen verwundbar gegenüber disziplinarischen Maßnahmen der Aufsichtsbehörden. Das Risiko sollte daher im Einzelfall gut abgewogen werden.
Pflichten für Unternehmen im Überblick
Aus der DSGVO ergeben sich für Unternehmen zahlreiche Pflichten. Die im folgenden aufgelisteten Punkte stellen dabei nur eine grobe erste Übersicht für Unternehmen dar.
- Informationspflichten & Einholung von Berechtigungen
Wie beschrieben müssen Unternehmen genau festhalten, welche personenbezogenen Daten gesammelt und wie diese im Einzelnen verarbeitet werden. Das gilt sowohl für Daten von Websitebesuchern als auch von Kunden, Geschäftspartnern und Mitarbeitern.
Für die rechtmäßige Verarbeitung muss dabei (mit wenigen Ausnahmen) eine explizite Einwilligung jedes Betroffenen eingeholt werden.
- Dokumentations- & Rechenschaftspflicht
Die DSGVO schreibt zwingend die detaillierte Dokumentation von Verarbeitungstätigkeiten, Weisungen, Datenverarbeitungsverträgen und Datenschutzvorfällen im Zusammenhang mit personenbezogenen Daten vor.
Unter Einhaltung dieser Dokumentationspflichten muss außerdem Aufsichtsbehörden im Rahmen der Rechenschaftspflicht die Einhaltung aller Pflichten auf Anfrage nachgewiesen werden können.
- Herausgabe & Löschung von Daten sowie Widerruf der Berechtigungen
Jeder Betroffene ist berechtigt, zu jedem Zeitpunkt eine detaillierte Auflistung der über ihn gespeicherten und verarbeiteten Daten zu verlangen, erteilte Einwilligungen zur Verarbeitung zu zurückzuziehen und gespeicherte Daten löschen zu lassen.
Ein Unternehmen muss daher in der Lage sein, die Daten auf Anfrage innerhalb eines adäquaten Zeitrahmens vorzulegen und zu löschen.
- Meldepflicht bei Datenschutzverstößen
Kommt es zu einem Datenschutzverstoß („Datenschutzpanne“), sind schnellstmöglich die zuständigen Aufsichtsbehörden zu informieren.
- Datenschutzfolgeabschätzung
Ist vor Beginn einer geplanten Datenverarbeitung abzusehen, dass das Risiko für die Rechte und Freiheiten von Betroffenen besonders hoch ist, muss eine sogenannte Datenschutzfolgeabschätzung an die zuständige Aufsichtsbehörde verschickt werden.
Die Anforderungen an die Unternehmen sind dabei besonders hoch. Allgemein wird daher versucht, eine solche Maßnahme zu vermeiden, falls dies möglich ist. Es kann jedoch immer nur im Einzelfall entschieden werden, ob eine Datenschutzfolgeabschätzung rechtlich erforderlich ist.
- Benennung eines Datenschutzbeauftragten (DSB)
Unternehmen haben das Recht, einen Datenschutzbeauftragten (DSB) zu ernennen, der für die Einhaltung der DSGVO zuständig ist und gleichzeitig als Ansprechperson für Datenschutzanfragen dient. Für manche Unternehmen ist die Ernennung sogar verpflichtend und zwar immer dann wenn…:
- …mindestens 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt werden (nach Bundesdatenschutzgesetz).
- …die Verarbeitung personenbezogener Daten eine Kerntätigkeit des Unternehmens ist.
- …das Unternehmen besonders sensible personenbezogene Daten verarbeitet.
- …die Datenverarbeitung der Datenschutz-Folgenabschätzung unterliegt.
- …das Unternehmen personenbezogene Daten geschäftsmäßig zu Übermittlungszwecken verarbeitet.
Unternehmen haben dabei die Wahl, einen Mitarbeiter intern als Datenschutzbeauftragten zu benennen, oder einen externen Dienstleister dafür zu beauftragen. Das Einbeziehen eines externen Datenschutzbeauftragten hat dabei für viele Unternehmen klare Vorteile.
Mögliche Folgen von Datenschutzverstößen
Moniert eine Aufsichtsbehörde Mängel beim Datenschutz, kann dies hohe Strafen nach sich ziehen. Besonders drastische Verstöße können mit Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden, dabei entscheidet der höhere Wert. Weitere mögliche Folgen sind zivilrechtliche Haftungsrisiken und Reputationsschäden.
Das Thema Datenschutz und DSGVO sollte daher von jedem Unternehmen ernstgenommen werden. Als Unternehmer sind Sie dabei selbst in der Verantwortung, Ihren Pflichten nachzukommen.
Um potenzielle Risiken zu minimieren, bietet sich die Einbeziehung externer Experten an, die den Datenschutz in Ihrem Unternehmen auf das Niveau maximaler Compliance bringen. Als solcher stehe ich Ihnen gerne vollumfänglich zur Verfügung. Kontaktieren Sie mich gerne, um Ihre Situation zu besprechen und die Möglichkeiten einer Zusammenarbeit auszuloten.
