Die EU-Datenschutzgrundverordnung im Überblick: Worauf Startups achten müssen

Alles neu macht der Mai: Ab dem 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in allen Mitgliedstaaten in Kraft und ändert damit Grundlegendes in Sachen Datenschutz. Bis zu diesem Datum müssen Händler im Internet eine neue Datenschutzerklärung auf ihrem Shop bereitstellen. Insbesondere in Branchen, in denen die Arbeit mit sensiblen Daten zum Tagesgeschäft gehört, ist der rechtssichere Umgang seit jeher eine konstante Herausforderung. Finanzexperte und Geschäftsführer vom Online-Buchhaltungstool Billomat, Paul-Alexander Thies, beantwortet die wichtigsten Fragen zu den Änderungen, die auf Gründer zukommen:

©rawpixel.com/Unsplash
Die EU-Datenschutzgrundverordnung im Überblick: Worauf Startups achten müssen 1

Für wen gilt die DSGVO?

Die DSGVO betrifft jedes Unternehmen, unabhängig von seiner Größe oder Anzahl an Kundendaten, das im Internet aktiv ist. Zudem geht der Geltungsbereich der Verordnung auch über die EU hinaus. Die neue Datenschutzgrundverordnung gilt also nicht nur für alle Unternehmen, die in der EU ansässig sind, sondern auch außereuropäische Unternehmen. Diese müssen sich auch an die neuen Regelungen halten, sobald sie entweder eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

Umsetzung, aber ab wann?

Die DSGVO trat eigentlich schon am 25. Mai 2016 in Kraft. Jedoch müssen die EU-Mitgliedstaaten die Datenschutzgrundverordnung erst ab dem 25. Mai 2018 umsetzen. Bislang definierten das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) die Rechtslage in Deutschland. Während die Mitgliedstaaten die Richtlinien der EU in Form von nationalem Recht umsetzen, muss die EU-Verordnung unmittelbar umgesetzt werden. Daher gilt die Datenschutzgrundverordnung (DSGVO) mit dem Stichtag 25. Mai 2018 in sämtlichen EU-Staaten gleichermaßen.

Was ändert sich bei der Datenschutzerklärung?

Die DSGVO der EU schreibt genau vor, welche Informationen die Datenschutzerklärung enthalten muss. So gehören nicht nur Name und Adresse des Betreibers, sowie die Kontaktdaten des Datenschutzbeauftragten darin aufgeführt, auch der Zweck der Datennutzung und die Weitergabe an Dritte mit deren Namensnennung muss angegeben werden. Darüber hinaus muss auch die Dauer der Datenspeicherung angegeben und Besucher und Kunden über die Rechtslage des Datenschutzes – wie zum Beispiel auch das Recht auf Beschwerde, Widerruf oder Auskunft – aufgeklärt werden.

Was müssen Unternehmen bei der Arbeit mit Kundendaten beachten?

Bei der Arbeit mit Kundendaten gibt es unter der neuen Verordnung einiges zu beachten. Bei personenbezogenen Daten, die verarbeitet werden können, wie etwa die Anrede, der Vorname und Nachname, die E-Mailadresse sowie die Anschrift, aber auch Cookies, müssen dann unter Berücksichtigung des Stands der Technik, der Implementierungskosten und -Art sowie des Umfangs und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen getroffen werden, um so den Schutz zu gewährleisten. Generell ist die Berechtigungsgrundlage zum Anlegen und Verwenden von Kundenprofilen nach der DSGVO weiter gelegt als das bisher geltende Bundesdatenschutzgesetz. Die Betreiber von Internetshops müssen zudem dem Nutzer Auskunft darüber erteilen, welche Informationen sie sammeln und wie sie diese verarbeiten. Wenn ein Internetshop diese dann an Dritte weiterleitet, müssen die Nutzer einen Zugriff auf ihre Daten erhalten. Wenn diese Informationen wiederum verloren gehen, muss das Unternehmen dies auf schnellstem Wege an die zuständige Behörde innerhalb von 24 Stunden weiterleiten.

Gibt es Besonderheiten bei der Anlage und Pflege von Daten?

Ja, bislang mussten Nutzer der Verarbeitung ihrer Daten aktiv widersprechen. An Stelle der Opt-out-Regelung wird nun das Opt-in-Verfahren eingeführt. Damit müssen Nutzer aktiv der Verarbeitung ihrer Daten zustimmen. Wichtig auch: Erst ab einem Alter von 16 Jahren ist die Zustimmung zur Datenverarbeitung rechtsgültig. Damit können sich nur Jugendliche über 16 Jahren in sozialen Medien anmelden. So sollen Jugendliche verstärkt geschützt werden. Auch müssen Unternehmen nunmehr Daten auf Wunsch hin löschen. Wenn der Nutzer einem Unternehmen seine Daten anvertraut hat, kann er dennoch im Anschluss die Löschung einfordern. Das ist immer genau dann gültig, solange es keine juristischen Gründe gibt, die es erfordern, dass die Daten erhalten bleiben müssen. Internetshops müssen zudem sicherstellen, dass Daten eines Nutzers einfach auf einen anderen Anbieter übertragen werden können.

Wer kontrolliert die Einhaltung der Verordnung?

Die DSGVO sieht auch eine zentrale Aufsichtsbehörde auf nationaler Ebene vor. An diese zentrale Anlaufstelle können sich Unternehmen für sämtliche Belange rund um den Datenschutz wenden. So können sich dann auch Firmen bei Missbrauch ihrer Daten im Ausland bei der Behörde melden, da diese auch grenzüberschreitend arbeiten wird.

Welche Bußgelder fallen bei Nichteinhaltung an?

Die Bußgelder für Verstöße gegen den Datenschutz steigen mit dem Inkrafttreten im Mai. Die EU-Verordnung setzt dabei als Bußgeld bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens fest. Bisher lag der Rahmen des Bundesdatenschutzgesetzes für Bußgelder bei 50.000 Euro bzw. maximal 300.000 Euro für sehr schwere Verstöße. Mit den gestiegenen Strafen soll nun so gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen gefunden werden.

Fazit:

Unternehmen sollten vor jeglicher Implementierung von Maßnahmen datenschutzrelevante Vorgänge analysieren und auf eine datenschutzkonforme Vertragsgestaltung achten. Zudem kann ein betriebsinternes Compliance-Management das ganze Team auf die neue DSGVO einstimmen. Wer sich in diesen Bereichen rechtssicher aufstellt, ist auch im Zuge der neuen Datenschutzgrundverordnung gut gewappnet.