Interview zur DS-GVO: Was passiert mit meinen Daten?

24.05.2018

Nach einer Übergangszeit von zwei Jahre gilt ab dem 25. Mai die neue Datenschutz-Grundverordnung, die den Datenschutz in Europa neu regeln soll. Was steckt hinter der DS-GVO und was bedeutet sie für Verbraucher und Unternehmen? Sarah Schwab, wissenschaftliche Mitarbeiterin und Datenschutzkoordinatorin an der GGS, gibt Antworten.  


Zum 25. Mai tritt die Datenschutz-Verordnung mit 99 Artikeln in Kraft. Was muss man dazu wissen?

Mit der Datenschutz-Grundverordnung reagiert der europäische Gesetzgeber auf die zunehmende Verletzlichkeit von Daten im Rahmen der voranschreitenden Digitalisierung.  Grundsätzlich soll die Datenschutzgrund-Verordnung in allen Staaten der Europäischen Union für einheitliche Standards in Sachen Datenschutz sorgen. Die übergeordneten Ziele sind die Harmonisierung und Modernisierung des europäischen Datenschutzrechts.

Mit der Verordnung sollen vor allem die Rechte Einzelner besser geschützt werden. Wie sieht das konkret aus?

Der Definition „personenbezogener Daten“ kommt eine zentrale Rolle zu, da deren Erhebung, Verarbeitung und Nutzung nach der neuen Verordnung zunächst grundsätzlich mal verboten ist. Darunter sind Informationen zu verstehen, die sich auf eine natürliche Person beziehen und so konkrete Rückschlüsse auf deren Persönlichkeit erlauben. Mit der DS-GVO stehen den Betroffenen in Bezug auf ihre eigenen personenbezogenen Daten erweiterte Rechte zu, die beispielsweise  Unternehmen, die diese Daten sammeln, zu beachten haben. So sind die Betroffenen darüber zu informieren, was zu welchem Zweck mit den personenbezogenen Daten gemacht wird und was nicht. Ebenso stehen dem Betroffenen Auskunftsrechte über die betroffenen Daten sowie das Recht auf Berichtigung  und  Löschung der Daten („Recht auf Vergessenwerden“) zu.

Neu hinzugekommen ist das Recht der Datenübertragbarkeit, wonach der Betroffene das Recht hat, dass ihm seine personenbezogenen Daten in einer übersichtlichen Struktur zur Verfügung gestellt werden. Ebenso besteht das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Widerspruch zur Verwendung der personenbezogenen Daten.


Unter welchen Bedingungen dürfen Daten denn überhaupt noch erhoben werden?  

Das Datenschutzrecht legt das sogenannte „Verbot mit Erlaubnisvorbehalt“ zugrunde. So ist die grundsätzlich verbotene Verarbeitung personenbezogener Daten dann möglich, wenn die betroffene Person eine Einwilligung erteilt hat. Weiterhin dürfen personenbezogene Daten verarbeitet werden, wenn sie für die Vertragserfüllung benötigt werden oder aber wenn die personenbezogene Daten für die Wahrung berechtigter Interessen des Verantwortlichen verarbeitet werden, sofern nicht die Interessen der betroffenen Person überwiegen. So ist es beispielsweise zulässig, personenbezogene Daten bei der Anbahnung bzw. Erfüllung eines Vertragsverhältnisses zu verarbeiten. Sofern ein Verkäufer einem Kunden ein Produkt verkauft, benötigt der Verkäufer entsprechende Angaben des Kunden, wie etwa Name, Anschrift- oder Telefonnummer, um den Vertrag erfüllen zu können. Für die Daten zur Abwicklung des Vertrages benötigt der Verkäufer keine gesonderte Einwilligung des Kunden, für darüber hinausgehende Daten allerdings schon. 


Was bedeutet der neue Datenschutz für Unternehmen? 

Unternehmen unterliegen den Regelungen der DS-GVO, wenn sie personenbezogene Daten erheben, verarbeiten und nutzen. Und das sind heutzutage fast ausnahmslos alle. Die Unternehmen müssen die bestehenden Prozesse an die neuen Anforderungen der DS-GVO anpassen und die hierfür notwendigen personellen und finanziellen Ressourcen bereitstellen bzw. schaffen. Setzen sie die aufgrund der DS-GVO notwendigen Anforderungen nicht regelkonform um, drohen ihnen Bußgelder bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten erzielten Jahresumsatzes.

Ein zentraler Punkt ist die Verankerung der Rechenschaftspflicht der Verantwortlichen. Die Unternehmen sind nun verpflichtet, nicht nur die datenschutzrechtlichen Grundsätze einzuhalten, sondern das auch gegenüber den Aufsichtsbehörden nachzuweisen. Dazu bestehen etwa spezielle Dokumentationspflichten: Gemäß DS-GVO haben alle Verantwortlichen beispielsweise ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, um zu dokumentieren, in welchem Zusammenhang sie mit personenbezogenen Daten arbeiten. Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern können allerdings unter gewissen Umständen von einer Verpflichtung des Führens eines Verfahrensverzeichnisses freigestellt werden.


Wie kann ein Unternehmen sicherstellen, dass es die neuen Regeln einhält? 

Zunächst gilt es, die Geschäftsführung für die Bedeutung der Neuregelung und die möglichen Folgen eines Verstoßes zu sensibilisieren. Nur mit der Unterstützung von oben kann die DS-GVO umgesetzt werden. Es ist ein detaillierter Projektplan nötig, der die Umsetzung der neuen Regelungen mit entsprechenden Verantwortlichkeiten festlegt. Die Liste ist nämlich lang. So sind etwa die Verträge der Auftragsdatenvereinbarung  anzupassen und in bereits bestehenden Verträgen Haftungs- und Datenschutzregeln zu überprüfen. Ferner gilt es Betriebsvereinbarungen, Formulare und Einwilligungen sowie Datenschutzerklärungen zu ändern sowie neue Prozesse zu implementieren. Bei Bedarf ist ein Datenschutzbeauftragter zu bestellen, der das Unternehmen bei der Umsetzung berät, schult und ebenso kontrolliert. Denn die implementierten Maßnahmen müssen konstant überprüft und gegebenenfalls aktualisiert werden, um die Einhaltung der Anforderungen der DS-GVO sicherzustellen.