Datenschutzgrundverordnung

Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung, die seit dem 25. Mai 2018 in Kraft getreten ist und in der gesamten Europäischen Union mit dem Ziel, ein einheitlich hohes Datenschutzniveau zu gewährleisten, angewendet wird. Der englische Begriff lautet General Data Protection Regulation (GDPR).

Die DSGVO erweitert den Geltungsbereich des EU-Datenschutzrechtes auch auf Unternehmen außerhalb der Europäischen Union, sobald diese Daten von EU-Bürgern verarbeiten.

Die Grundstruktur des DSGVO ähnelt stark am derzeitigen deutschen Datenschutzrecht, wobei bestimmte Grundsätze noch stärker und deutlicher herausgestellt werden als im Bundesdatenschutzgesetz.

Datenschutzgrundverordung im E-Commerce[Bearbeiten]

Die DSGVO unterscheidet im E-Commerce-Bereich nicht zwischen B2B oder B2C, sondern gilt für beide Geschäftsfelder. Sie dient dem Schutz natürlicher Personen, statt juristischer Personen. Im B2B-Bereich können allerdings auch juristische Personen durch die Datenschutzgrundverordnung geschützt sein: Die Funktionsträger sind natürliche Personen. Da konkrete Personen, wie Mitarbeiter oder Leitungspersonal angesprochen werden, findet in diesem Fall auch die EU-Datenschutzgrundverordnung Anwendung.

Grundsätze der Datenschutzgrundverordnung[Bearbeiten]

Folgende Grundsätze sollen nach der DSGVO erreicht werden:

• das Recht auf informationelle Selbstbestimmung
• das Prinzip der Datensparsamkeit
• Transparenz

Pflichten des Unternehmens[Bearbeiten]

Laut der DSGVO besteht für das Unternehmen eine Informationspflicht. Im Rahmen dieser Pflicht muss das Unternehmen erheben und dokumentieren,

• was mit den Daten, die im Unternehmen verarbeitet werden, gemacht wird,
• wer die verantwortliche Person in Bezug auf die Datenverarbeitung ist,
• wer der Datenschutzbeauftragte ist
• wie lange Daten gespeichert werden.

Es muss ein Verzeichnis über Verarbeitungstätigkeiten angelegt und geführt werden, aus dem hervorgeht, welche Daten wann, wie und warum im Unternehmen gespeichert werden. Dabei sollten folgende Angaben vorhanden sein:

• Wer ist von der Datenverarbeitung betroffen?
• Welche Arten von Daten falle an (z.B.: name, Adresse, Telefonnummer von Kunden)?
• Wer empfängt die Daten?
• Werden Daten in ein Drittland weitergegeben?
• Welche Maßnahmen werden getroffen um verarbeitete Daten zu schützen?

Geltungsbereich[Bearbeiten]

Die DSGVO gilt nicht nur für die elektronische, sondern auch für die manuelle Datenverarbeitung, beispielweise für Aktenordner, deren Ablage in einem Aktenplan erfolgt.

Maßnahmen[Bearbeiten]

Im Unternehmen muss eine Dokumentation aller mit der Datenverarbeitung verbundenen Prozesse erfolgen, die für den Datenschutz eine besondere Relevanz besitzen. Folgende Aspekte müssen beachtet werden:

• Auf welche Art werden die Geschäftspartner über die Datenverarbeitung informiert?
• Wie sollen Mitarbeiter auf Fragen der Geschäftspartner bezüglich der Datenspeicherung und Verarbeitung vorgehen?
• Welches Prozedere ergibt sich für das Unternehmen falls ein Geschäftspartner eine Datenlöschung wünscht?
• Wie ist bei Verstößen gegen den Datenschutz vorzugehen?
• Die DSGVO schreibt vor, dass Daten automatisch gelöscht werden müssen, sollte das angestrebte Ziel der Datenspeicherung erreicht sein. Ist ein Löschprozess vorgesehen? Wenn ja, wie findet dieser Löschvorgang statt?
• Wie werden Mitarbeiter im Unternehmen geschult, sodass diese in allen Geschäftsprozessen die geltenden Datenschutzrichtlinien einhalten können?

Bei besonders sensiblen Daten, die nach Kriterien wie etwa der Sexualität, Krankheiten, finanzielle Situation, politische oder religiöse Ansichten, ethnische Herkunft kategorisiert werden können, besteht häufig die Gefahr für betroffene Personen bei Datenmissbrauch. Deswegen muss bei Erhebung dieser Daten eine Datenschutz-Folgeabschätzung erfolgen.

Bei Datenschutzverletzungen muss binnen 72 Stunden eine Information an die Aufsichtsbehörde erfolgen, u.U. müssen betroffene Personen ebenfalls in Kenntnis gesetzt werden. Bei Missachtungen des Datenschutzes durch Unternehmen werden Bußgelder in Höhe von vier Prozent des Jahresumsatzes (max. 20 Millionen Euro) fällig.

Datenschutzbeauftragter[Bearbeiten]

Ein Datenschutzbeauftragter muss über Fachwissen verfügen, aber nicht extra zertifiziert werden. Er ist weisungsfrei und darf in seiner Tätigkeit nicht behindert werden. Zu den Aufgaben des Datenschutzbeauftragen zählen:

• Die Beratung der Verantwortlichen für den Datenschutz.
• Die Überwachung der datenschutzrechtlichen Vorschriften.

Weiterführende Links[Bearbeiten]

• DSGVO-Gesetz.de
• VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (PDF)