EU-Datenschutzgrundverordnung

Worauf KMUs achten müssen

  • Die Datenschutzgrundverordnung bringt einige Änderungen mit sich. So auch für KMUs. Wir bieten Ihnen einen Überblick dazu. Die Datenschutzgrundverordnung (DSGVO) welche mit 25. Mai 2018 in Kraft tritt, dient der Vereinheitlichung der Regelungen für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen im EU-Raum. Notwendig sind die Anpassungen vor allem durch die Vielzahl technischer Möglichkeiten, die in den vergangenen Jahren entwickelt wurden. So arbeiten Cloud-Lösungen, Big Data, Cookies und viele andere Technologien mit personenbezogenen Daten und genau dafür wurde der rechtliche Rahmen adaptiert. Kern der Datenschutzverordnung sind Regelungen, wie personenbezogene Daten durch Unternehmen erhoben, verarbeitet, an Dritte weitergegeben und gelöscht werden müssen. Besonders schützenswert sind also jene Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar gelten natürliche Personen dann, wenn sie – direkt oder indirekt –, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem besonderen Merkmal, identifiziert werden können. So fallen neben dem Namen, der E-Mail Adresse, Wohn- oder Aufenthaltsort auch die Bankverbindung, physische, physiologische, genetische oder medizinische Informationen und die IP-Adresse – das ist die Adresse von Geräten, welche mit dem Internet verbunden sind – unter den neuen Schutz. Im Gegensatz dazu gelten die Grundsätze des Datenschutzes nicht für anonyme Informationen bzw. Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht identifiziert werden kann. Damit diese Daten überhaupt gespeichert werden dürfen, muss eine Einwilligung zur Datenspeicherung seitens der betroffenen Personen vorliegen. Diese muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich getätigt werden. Dies kann schriftlich, elektronisch oder auch mündlich erfolgen, oder auch etwa durch das Anklicken eines Kästchens auf einer Internetseite oder andere Erklärungen oder Verhaltensweisen, die im jeweiligen Kontext eindeutig das Einverständnis der betroffenen Person zur Datenverarbeitung signalisieren. Aber Achtung: Gerade im Falle einer mündlichen Zustimmung wird ein Nachweis zur Einwilligung kaum möglich sein. Für die Speicherung der Daten selbst sind angemessene und dem technischen Stand entsprechende Sicherheitsvorkehrungen zu treffen. Somit liegt es im Ermessen der Unternehmen, welche Maßnahmen zu setzen sind, da der Gesetzgeber hierzu keine exakteren Vorgaben definiert hat. Ist der Schaden, in diesem Fall der Datenklau oder Datenmissbrauch passiert, hat eine Meldung an die Aufsichtsbehörden zu erfolgen. Auch die Weitergabe der Daten wird in der DSGVO geregelt. Dieser Punkt ist vor allem dann als besonders kritisch zu erachten, wenn man sich bei der Durchführung seiner Leistungen externer Dienstleister bedient. So wird beispielsweise ein Online-Shop bei einem externen Hoster betrieben, es werden Bezahlungen durch Banken bzw. Zahlungsdienstleister abgewickelt oder aber die Rechnungen selbst über eine Cloud-Lösung erstellt. In all diesen Fällen erfolgt eine Datenweitergabe. Sofern diese Weitergabe zur Erfüllung des Vertrags notwendig ist und den berechtigten Interessen des Konsumenten entspricht, ist diese zulässig. Eine eigene Zustimmung zur Datenweitergabe ist hier nicht notwendig.
     
    Zu den berechtigten Interessen gehören auch Gewinnmaximierung, Kostensenkung, Optimierung der Dienste und Steigerung der Usability. Wenn die Interessen der Nutzer am Schutz ihrer Daten nicht überwiegen, ist in solchen Fällen die Weitergabe erlaubt.
    Bei dieser Interessensabwägung kommt es auf die Art der Daten, den Zweck der Datenweitergabe und mögliche Risiken für die Betroffenen an. So wird die Abwägung grundsätzlich negativ ausfallen, wenn beispielsweise ein E-Shop Kundendaten an Adresshändler verkauft. Hier wird im Regelfall eine Einwilligung der Nutzer notwendig sein. Dagegen sind die Rechte der Nutzer berufsrechtlich und strafrechtlich gesichert, wenn die Kundendaten an den Steuerberater des E-Shops weitergegeben werden. Die Löschung der Daten stellt einen weiteren Eckpfeiler der DSGVO dar. So müssen Daten unter bestimmten Umständen, wie etwa auf Verlangen des Betroffenen, unverzüglich  gelöscht werden. Wie genau das Löschen zu erfolgen hat, ist im Gesetz nicht geregelt. Es muss jedenfalls gewährleistet sein, dass die Daten entweder physisch zerstört oder  Verknüpfungen oder Codierungen gelöscht werden. Im Fall von wiederbeschreibbaren Datenträgern muss eine spezielle Löschsoftware zum Einsatz kommen. Nicht ausreichend ist jedenfalls die reine Entsorgung von Datenträgern. Zu guter Letzt sei das Datenverarbeitungsverzeichnis erwähnt, welches in Zukunft vom Gesetzgeber verlangt werden wird und das auf Nachfrage vorgelegt werden muss. Betroffen davon sind all jene Unternehmen, die mehr als 250 Mitarbeiter beschäftigen. In diesem Dokument werden alle Eckpunkte zur Datenthematik festgehalten. Das Internet bietet dafür einige hilfreiche Vorlagen an, meistens in Form von Tabellen, wie dieses auszusehen hat.

Tipps

    • Bis 25. Mai 2018 muss das Unternehmen DSGVO-fit sein.
    • Die IP-Adresse fällt zukünftig unter die personenbezogenen Daten, die als besonders schützenswert eingestuft sind.
    • Überprüfen Sie, welche Daten Sie im Unternehmen haben, wo diese abgespeichert werden, ob Sie alle benötigen und wie Sie diese sorgfältig verwahren können.
    • Auch die physische Ablage von personenbezogenen Daten fällt unter die Verordnung: Achten Sie daher auf eine sichere Verwahrung der Dokumente.

Weiterführende Informationen