Der 25.5.2018 sollte bei allen deutschen Unternehmen dick im Kalender angestrichen sein. An diesem Tag wird nämlich die neue Datenschutz-Grundverordnung der EU (DSGVO, im Englischen auch GDPR) wirksam. Dabei handelt es sich nicht einfach um einen bürokratischen Paragraphen, sondern um die Neugestaltung des Datenschutzes innerhalb der Europäischen Union. Ab dem 25. Mai 2018 müssen Unternehmen die Anforderungen der DSGVO umgesetzt haben. Wer das nicht tut, dem drohen empfindliche Bußgelder.
Trotz der nahenden Deadline geht die Umsetzung in der deutschen Industrie eher schleppend voran. Im September hatten laut einer Umfrage des Bitkom erst 13 Prozent der befragten Unternehmen erste Maßnahmen zur Umsetzung der DSGVO begonnen oder abgeschlossen. Und im November gab der Bitkom bekannt, dass wohl nur jedes achte Unternehmen die Umstellung zum Stichtag beendet haben wird.
Wie sieht es mit Ihnen aus? Haben Sie die DSGVO bereits umgesetzt? Wenn nein, dann wird es höchste Zeit, einen Gang höher zu schalten. Mit unserer aktuellen Blogserie erklären wir Ihnen genau, worum es bei der DSGVO geht, welche Auswirkungen sich für Ihr ERP-System ergeben und wie Sie eine ERP-Lösung sogar bei der Umsetzung unterstützt.
Fangen wir zunächst jedoch klein an und befassen uns mit ein paar grundlegenden Fragen.
1. Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten innerhalb der Europäischen Union regelt. Damit ersetzt die DSGVO viele der Vorschriften, die bisher im Bundesdatenschutzgesetz (BDSG) festgehalten sind. Die Verordnung trat am 25. Mai 2016 in Kraft. Allerdings befinden wir uns zurzeit noch in einer Art Übergangsphase. Erst ab dem 25. Mai 2018 sind die EU-Mitgliedsstaaten dazu verpflichtet, die Verordnung auch anzuwenden.
Entgegen der Annahme vieler Unternehmen muss die DSGVO nicht erst in nationalen Gesetzen umgesetzt werden. Ab dem 25. Mai 2018 sind alle Regeln sofort gültig. Die Zeit drängt also!
2. Welche Ziele verfolgt die EU mit der Verordnung?
Die DSGVO wurde mit dem Ziel geschaffen, das Datenschutzrecht in Europa zu vereinheitlichen und die Rechte von Nutzern zu stärken. Unternehmen sollen sich darauf verlassen können, dass in der gesamten EU einheitliches Recht in Bezug auf den Umgang mit personenbezogenen Daten besteht. Umgekehrt wird auch das Recht von natürlichen Personen (also nur Menschen, keine Organisationen) auf den Schutz ihrer persönlichen Daten gestärkt. Damit geht die EU auf ihre eigene Charta ein, die den Schutz personenbezogener Daten zum Grundrecht erklärt (Art. 8 Abs. 1 GRC).
In besonders schweren Fällen sieht die DSGVO Geldbußen bis zu 20.000.000 Euro oder 4 Prozent des globalen Jahresumsatzes vor (je nachdem, was höher ist).
3. Was ändert sich mit der DSGVO?
Ein Teil der Vorgaben ist bereits aus dem bisherigen Bundesdatenschutzgesetz bekannt (z. B. Datensparsamkeit oder Zweckbindung) und sollte daher für deutsche Unternehmen keine Herausforderung darstellen. Allerdings bringt die DSGVO auch einige neue Regeln mit sich und verschärft andere.
Hier ist eine Übersicht der wichtigsten Kernpunkte der Datenschutz-Grundverordnung:
Recht auf Löschung:
Eine betroffene Person hat die Möglichkeit, die vollständige Löschung ihrer bei einem Unternehmen gespeicherten personenbezogenen Daten zu verlangen; die Daten müssen daraufhin gelöscht werden, sofern sie von dem Unternehmen nicht mehr länger benötigt werden. Die Daten sind von dem Unternehmen zudem automatisiert zu löschen, sobald der Grund für ihre Speicherung weggefallen ist. Hierbei gilt es zu beachten, dass Löschen in der DSGVO auch wirklich Löschen bedeutet – ohne Möglichkeit der Wiederherstellung. Es reicht nicht aus, das Profil der Person einfach als inaktiv zu markieren oder zu archivieren. Es ist allerdings auch möglich, der Löschpflicht durch irreversible Anonymisierung nachzukommen (z. B. indem Sie alle personenbezogenen Daten durch zufällige Zeichen ersetzen). Das macht vor allem dann Sinn, wenn Abhängigkeiten zwischen Datensätzen bestehen.
Recht auf Datenübertragbarkeit:
Jede Person kann von Ihnen eine Kopie ihrer Daten in einem gängigen, maschinenlesbaren Format verlangen (z. B. XML). Diese Regelung erlaubt es Nutzern unter anderem, ihre Daten mitzunehmen, wenn sie den Anbieter (oder auch Arbeitgeber) wechseln. Als Unternehmen müssen Sie also die Frage beantworten können, woher die Daten stammen, mit welcher Begründung sie erhoben wurden und wer sie verarbeitet hat. Zudem müssen Sie auf Anfrage auch die Übertragung zu einem neuen Anbieter organisieren und durchführen.
Informationspflicht:
Eine betroffene Person muss jederzeit nachvollziehen können, wer ihre Daten erhebt, welche Daten das sind und in welcher Form sie verarbeitet werden. Damit will die EU verhindern, dass die Rechte einer Person hinter ihrem Rücken verletzt werden. Das heißt für Sie als Unternehmen: Wann immer Sie personenbezogene Daten erheben, müssen Sie die betroffene Person über diesen Vorgang informieren. Das gilt nicht nur, wenn Sie die Daten direkt von den Betroffenen erhalten (z. B. über eine Auftragsanfrage). Die Informationspflicht greift auch, wenn Sie Daten über Dritte erhalten (z. B. als Kontaktliste eines Geschäftspartners).
Accountability:
Mit der DSGVO kommen umfangreiche Nachweispflichten auf Unternehmen zu. Laut der Verordnung müssen Sie nicht nur alle Vorgaben einhalten, sondern dies zudem auch noch nachweisen können. Ohne klar definierte und vor allem dokumentierte Prozesse wird das kaum gelingen. Hinzu kommt, dass Unternehmen in manchen Fällen vor der Verarbeitung extra kontrollieren müssen, ob die Rechte des Betroffenen angemessen berücksichtigt werden. Solch eine Folgeabschätzung wird zum Beispiel dann gefordert, wenn eine Persönlichkeitsbewertung des Betroffenen stattfindet.
Privacy-by-Default:
Während der Entwicklung eines Produkts oder einer Anwendung muss der Anbieter darauf achten, dass ein maximales Datenschutzniveau voreingestellt ist. Das heißt, wenn der Nutzer die Standardoptionen nicht verändert, werden standardmäßig nur die Daten erhoben, die für das Angebot zwingend notwendig sind. Damit sollen vor allem Nutzer geschützt werden, die nur wenig technikaffin sind.
Arbeitnehmerdatenschutz:
Die DSGVO enthält keine expliziten Regelungen bezüglich der Verarbeitung personenbezogener Daten von Mitarbeitern. Allerdings hat der Gesetzgeber von der Öffnungsklausel in Art. 88 DSGVO Gebrauch gemacht und eine Aktualisierung des Bundesdatenschutzgesetzes (genauer §26 BDSG) beschlossen. Demnach dürfen personenbezogene Daten von Mitarbeitern ab dem 25. Mai nur noch verwendet werden, wenn sie für die Bewertung eines Bewerbers oder die Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich sind. Und natürlich haben Ihre Mitarbeiter als natürliche Personen auch alle anderen Rechte, die ihnen die DSGVO gewährt. Der Arbeitnehmerdatenschutz wurde also deutlich gestärkt.
Die DSGVO hat Auswirkungen für jedes Unternehmen, jeder Größe, welches mit personenbezogenen Daten arbeitet.
4. Bin auch ich von der DSGVO betroffen?
Grundsätzliche gilt die DSGVO für alle Organisationen, die folgende Kriterien erfüllen:
- Sie verarbeiten personenbezogene Daten teil- bzw. vollautomatisiert oder sie speichern diese Daten innerhalb eines Dateisystems.
- Die Personen, deren Daten verarbeitet werden, halten sich innerhalb der EU auf.
Das klingt erst einmal abstrakt. Aber wenn wir diese beiden Aussagen näher betrachten, fällt auf, dass die DSGVO für praktisch alle europäischen Unternehmen (und auch viele nicht-europäische) gilt. Schließlich verarbeitet jeder von uns personenbezogene Daten im beruflichen Umfeld. Speichern Sie Kundendaten für die Auftragsverarbeitung? Dann müssen Sie auch die DSGVO beachten. Selbst der Betrieb eines beruflichen E-Mail-Kontos reicht bereits aus. Schließlich archivieren Sie dort auch E-Mail-Adressen von Kunden und Geschäftspartnern.
Wenn Sie jetzt glauben, Sie sind sicher, weil sich Ihr Unternehmenssitz außerhalb der EU befindet, liegen Sie leider falsch. Es reicht bereits aus, wenn Sie die Daten einer Person verarbeiten, die sich zurzeit innerhalb der EU aufhält und schon unterliegen Sie der DSGVO – auch dann, wenn Sie beispielsweise ein kanadisches Unternehmen sind.
Sie können also grundsätzlich davon ausgehen, dass die DSGVO auch für Ihr Unternehmen relevant ist.
5. Welche Strafen drohen mir bei Nichteinhaltung der DSGVO?
Sollten Sie sich ab dem 25. Mai 2018 nicht an die Vorgaben der DSGVO halten, sieht die Verordnung Sanktionen und Bußgelder vor. Die Höhe dieser Strafen hängt selbstverständlich von der Art des Vergehens ab und bezieht verschiedene Faktoren mit ein – wie z. B. die Schwere des Verstoßes, eventuelle Vorsätzlichkeit und Umfang der Zusammenarbeit mit den Aufsichtsbehörden. In besonders schweren Fällen sieht die DSGVO Geldbußen bis zu 20.000.000 Euro oder 4 Prozent des globalen Jahresumsatzes vor (je nachdem, was höher ist).
Im Vergleich zu den 300.000 Euro, die bisher das Bundesdatenschutzgesetz maximal vorsieht, ist das ein erstaunlicher Betrag. Und eventuelle Schadensersatzforderungen durch die Geschädigten sind da noch gar nicht mit eingerechnet. Kein Wunder, dass die DSGVO solche Wellen schlägt.
Sind Sie gut auf die DSGVO vorbereitet?
Natürlich ist die DSGVO viel zu umfangreich, um sie im Rahmen eines Blogbeitrags zu besprechen. Das ist auch gar nicht unsere Absicht. Wir möchten Ihnen lediglich einen kurzen Überblick verschaffen und Kontext für die nächsten beiden Beiträge dieser Serie schaffen. In den nächsten zwei Wochen gehen wir noch einmal tiefer auf die Auswirkungen der DSGVO auf Ihr ERP-System ein. Außerdem beschreiben wir, wie genau eine ERP-Lösung sogar dabei hilft, die Richtlinien der Verordnung zu erfüllen.
Übrigens ist der Text der Datenschutz-Grundverordnung ist im EU Amtsblatt L 119 öffentlich einsehbar. Wenn Sie sich weiter informieren möchten, lohnt sich mit Sicherheit ein Blick in die Originaldokumente.
Rechtlicher Hinweis:
Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.
Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.
Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.
