Nicht auf die leichte Schulter nehmen

Was die neue Datenschutz-Grundverordnung für Vereine und Unternehmen bedeutet

26.04.2018 | Stand 02.12.2020, 16:30 Uhr
Stark gestiegene Anforderungen: Auch Unternehmen und Vereine müssen sich auf die neuen Datenschutzbestimmungen einstellen. Sie treten am 25. Mai in Kraft. −Foto: Berg/dpa/Steffen

Zahlreiche Datenskandale haben die Verbraucher verunsichert. Die EU reagiert darauf mit umfassenden neuen Regelungen. Doch die bedeuten nicht zuletzt für Unternehmen und Vereine einiges an Mehrarbeit.

Am 25. Mai 2018 tritt die Europäische Datenschutz-Grundverordnung (DSGVO) nach zweijähriger Übergangsfrist verbindlich in Kraft. Sie regelt den Umgang mit personenbezogenen Daten europaweit neu und stellt Unternehmen wie auch Vereine vor große Herausforderungen. Daniel Steffen (kleines Foto), Geschäftsführer der Digitalagentur novinet aus dem Raum Ingolstadt und zertifizierter Datenschutzberater, hat im Rahmen einer Veranstaltung des Kommunalunternehmens Strukturentwicklung (KUS) Landkreis Pfaffenhofen unter dem Titel "Sicher durch den Datenschutz-Dschungel" einen Einblick in die Welt des neuen Datenschutzes gewährt.

Was genau ist die Datenschutz-Grundverordnung?

Der Schutz personenbezogener Daten wird in Deutschland bisher durch das 1978 in Kraft getretene Bundesdatenschutzgesetz (BDSG) geregelt. Entsprechende Gesetze gibt es in allen übrigen EU-Ländern. Diese nationalen Datenschutzregelungen werden am 25. Mai 2018 durch eine einheitliche europäische Datenschutz-Grundverordnung (DSGVO) ersetzt. Sie regelt, wie sensible Daten verarbeitet werden dürfen, an wen sie weitergegeben werden können und wann sie zu löschen sind. Gleichermaßen betrifft die DSGVO auch weltweit alle Unternehmen, die innerhalb der EU tätig sind.

Was ist neu an der DSGVO?

Die DSGVO lehnt sich an dem bisher geltenden BDSG an. Neu oder angepasst wurden unter anderem die Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten, die Dokumentationspflichten (mit einer Datenschutzfolgeabschätzung), Vorgaben für Einwilligungserklärungen (online und offline) sowie erweiterte Vorgaben für Datenschutzerklärungen auf Webseiten. Hinzugekommen sind außerdem das Recht auf Datenportabilität oder das "Recht auf Vergessenwerden". Auch gibt es Neuregelungen bei der Auftragsdatenverarbeitung. Insgesamt sind die Anforderungen an Informations- und Dokumentationspflichten gestiegen.

Welche Bedeutung hat die DSGVO für Unternehmen?

Die Datenschutz-Grundverordnung soll sicherstellen, dass "die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten" (Art. 1 DSGVO) gewahrt werden. Viele Rechte und Pflichten der DSGVO sind in gleicher oder ähnlicher Form bereits heute Bestandteil des BDSG. Wir müssen aber leider feststellen, dass es bis dato häufig an der Umsetzung mangelt. Hier hat die EU durch die Androhung teils drastischer Geldbußen (bis zu 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes) den Druck auf Unternehmen erhöht. Die DSGVO wird zu einem bewussteren Umgang mit personenbezogenen Daten führen. Dafür müssen in Unternehmen interne Strukturen aufgebaut sowie datenschutzkonforme Prozesse eingeführt, nachhaltig kontrolliert und dokumentiert werden.


Was passiert ab dem 25. Mai?

Die deutschen Landesdatenschutzbeauftragten haben bereits angekündigt, die Kontrollen hinsichtlich der Einhaltung der Datenschutz-Grundverordnung zu intensivieren. Einige EU-Länder haben zudem klargemacht, dass sie den Strafrahmen ausreizen wollen. Wir befürchten außerdem, dass es eine Welle von Abmahnungen geben wird. Insbesondere Webseiten und deren Datenschutzerklärungen sind öffentlich zugänglich und sollten daher so schnell wie möglich auf Konformität geprüft werden. Gemäß dem Sprichwort "better safe than sorry" rate ich allen Unternehmen, die DSGVO nicht auf die leichte Schulter zu nehmen und sich ernsthaft mit ihr auseinanderzusetzen.

Gilt die DSGVO gleichermaßen für Vereine?

Der Gesetzgeber kennt hier keinen Unterschied. Die DSGVO gilt für alle verantwortlichen Stellen, wie Unternehmen, Vereine oder Freiberufler, die mit personenbezogenen Daten arbeiten. Ein Verein führt beispielsweise eine Liste oder Datenbank von Mitgliedern, hat Werbepartner oder betreibt eine eigene Webseite. In allen Fällen greift die Datenschutz-Grundverordnung. Das Bayerische Landesamt für Datenschutzaufsicht hat vor Kurzem sehr gute Anleitungen für kleine Unternehmen und Vereine veröffentlicht, welche unter www.lda.bayern.de heruntergeladen werden können.

Wie sollte man vorgehen, um die neuen Datenschutzvorgaben der DSGVO zu erfüllen?

Unternehmen sollten ein Projektteam bestehend aus Geschäftsführung, IT, Personalverantwortlichen und Fachabteilungen sowie Datenschutzexperten bilden. In diesem Team müssen alle Prozesse identifiziert werden, bei denen personenbezogene Daten erfasst, gespeichert oder verarbeitet werden. Das gilt zum Beispiel für Daten von Mitarbeitern, Bewerbern aber auch Kunden gleichermaßen wie für Daten, die über die Webseite erhoben werden (Besucheranalyse, Kontaktformulare, Newsletter). Da eine Verarbeitung nur auf Basis von Rechtsgrundlagen (Einwilligung, Vertragserfüllung oder gesetzliche Verpflichtungen) erlaubt ist, muss die Rechtmäßigkeit geprüft und dokumentiert werden. Daten, die ohne Rechtsgrundlage verarbeitet werden, müssen gelöscht und dürfen nicht weiter erhoben werden. Im nächsten Schritt müssen die einzelnen Prozesse in Verarbeitungsverzeichnissen erfasst werden. Findet eine Weitergabe von Daten an Dritte statt, ist zudem zu prüfen, ob ein Auftragsverarbeitungsvertrag mit dem jeweiligen Partner geschlossen werden muss. Die deutschen Landesdatenschutzbeauftragten haben sehr gute Leitfäden für die DSGVO-Compliance mit Hinweisen, auf welche Anforderungen der Gesetzgeber besonders achtet, veröffentlicht. Für die ersten Schritte ist das eine sehr gute Ausgangsbasis.