Was ist die DSGVO? Die DSGVO (lang: Datenschutz-Grundverordnung) ist eine EU-weit gültige Verordnung, die die Verarbeitung personenbezogener Daten durch öffentliche Stellen und private Unternehmen vereinheitlicht. Sie dient dem Schutz personenbezogener Daten und der Gewährleistung eines freien Datenverkehrs innerhalb des EU-Binnenmarktes. Sie ist auch unter der englischsprachigen Bezeichnung GDPR (General Data Protection Regulation) bekannt.
DSGVO: ab wann, wie und wo gilt sie?
Die DSGVO ist in allen Mitgliedstaaten der Europäischen Union ab dem 25. Mai 2018 anzuwenden. Die einzelnen Staaten können Rechtsvorschriften erlassen, um das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen. Für Rechtsvorschriften dieser Art ist die DSGVO bereits seit Inkrafttreten im Mai 2016 maßgeblich. Darüber hinaus sind abschwächende oder verstärkte nationale Regelungen nicht erlaubt, mit Ausnahme von bestimmten Öffnungsklauseln.
DSGVO und neues BDSG in Deutschland
In Deutschland werden Öffnungsklauseln und die Bereinigung des nationalen Datenschutzrechts auf Bundesebene durch die Neufassung des Bundesdatenschutzgesetzes (BDSG) und der Änderung weiterer Gesetze geregelt. Die DSGVO ersetzt die EG-Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995. Sie ist ab Mai 2018 für sämtliche Unternehmen verpflichtend, die personenbezogene Daten natürlicher Personen speichern und verarbeiten. Hierzu zählen auch Mitarbeiterdaten für Gehaltsabrechnungen und Ähnliches. Somit ergibt sich ein annähernd flächendeckender Anwendungsbereich der DSGVO. Sie gilt darüber hinaus auch für Unternehmen, die nicht in der EU ansässig sind, wenn diese Daten von EU-Bürgern bearbeiten und/oder Ihr Produktangebot auch an EU-Kunden richten.
Was sind die Kernbestandteile der DSGVO?
Die DSGVO baut auf der Richtlinie 95/46/EG auf, ändert diese aber zugleich an vielen Stellen teils deutlich ab. Einige Kernpunkte der neuen EU-Datenschutzrichtlinie sind:
Das Recht auf Löschung:
Unternehmen müssen auf Verlangen die zu einer betroffenen Person gespeicherten Daten vollständig löschen, sofern sie diese nicht mehr benötigen – und zwar so, dass sie nicht wiederhergestellt werden können. Eine Alternative ist die Anonymisierung. Generell sind Daten automatisiert zu vernichten, sobald kein Speicherungsgrund mehr besteht. Grundlage dafür ist die Zweckgebundenheit der Datenerfassung. Besteht dieser Zweck nicht mehr bzw. wurde dieser von der betroffenen Person widerrufen, entfällt auch der Speicherungsgrund.
Das Recht auf Datenübertragbarkeit:
Betroffenen Personen müssen ihre Daten in einem üblichen und
maschinenlesbaren Format ausgehändigt werden, sofern sie dies wünschen. Dies dient u. a. der Übertragung von personenbezogenen Daten im Zuge von Arbeitgeberwechseln. Auf Anfrage müssen Unternehmen einen solchen Datentransfer zudem selbst in die Wege leiten und abwickeln.
Die Informationspflicht der Unternehmen:
Ob, welche und wie entsprechende Daten erhoben und verarbeitet werden, muss für die betroffenen Personen zu jeder Zeit nachvollziehbar sein. Abgesehen davon haben die Unternehmen die Personen bei jeder Datenerhebung über den Vorgang in Kenntnis zu setzen; es besteht Informationspflicht. Dies gilt auch für den Erhalt von Daten über Dritte.
Um die neuen Anforderungen der DSGVO überhaupt erfüllen zu können, sind klar strukturierte Abläufe und Prozesse notwendig, einhergehend mit einer lückenlosen Dokumentation.
Die Auskunftspflicht („Accountability“):
Aus den bisherigen Punkten geht bereits hervor, dass die DSGVO weitreichende Nachweispflichten für die Unternehmen mit sich bringt. Zudem muss in manchen Situationen gesondert geprüft werden, ob die Rechte der betroffenen Person in angemessener Weise berücksichtigt sind. Dies kann etwa bei einer Persönlichkeitsbewertung der Fall sein.
Der Arbeitnehmerdatenschutz (und seine Stärkung):
Hier hat der deutsche Gesetzgeber die Öffnungsklausel genutzt und festgelegt, dass personenbezogene Mitarbeiterdaten nur dann verwendet werden dürfen, wenn sie für die Bewertung von Bewerbern oder das Arbeitsverhältnis erforderlich ist. In Verbindung mit den erweiterten Rechten der DSGVO führt dies zu einer Steigerung des Arbeitnehmerdatenschutzes.
Strafen: Was ändert sich durch die DSGVO?
Wie bereits erwähnt, entspricht die DSGVO in weiten Teilen der Richtlinie 95/46/EG. Ungeachtet dessen existieren neue datenschutzrechtliche Vorgaben, die von den Unternehmen allein schon wegen des drastisch erhöhten Bußgeldrahmens unbedingt beachtet werden sollten. Ist zurzeit nach § 43 BDSG im Einzelfall ein Bußgeld von bis zu 300.000 Euro möglich, liegt die maximale Geldbuße gemäß DSGVO bei bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes des gesamten Konzerns, der weltweit im vorangegangenen Geschäftsjahr erzielt wurde. Maßgeblich ist hierbei der höhere Wert. Eine Kontrolle und die Sanktionierung von Verstößen ist ausdrücklich vorgesehen.
Vorteile durch die Nutzung eines ERP-Systems
Um die neuen Anforderungen der DSGVO überhaupt erfüllen zu können, sind klar strukturierte Abläufe und Prozesse notwendig, einhergehend mit einer lückenlosen Dokumentation. Letztere ist vor allem, wenngleich nicht nur, im Hinblick auf das Recht auf Datenübertragung und die Auskunftspflicht entscheidend. Eine Datenverschlüsselung permanent auf aktuellem Stand ist ebenfalls unabdingbar, um unautorisierte Zugriffe auf die gespeicherten Daten zu verhindern. Ein ERP-System wie APplus bietet die optimale Grundlage für eine Einhaltung der DSGVO von Anfang an. Es hilft dabei, ihren Ansprüchen gerecht zu werden und das Risiko von Strafzahlungen zu minimieren.
Rechtlicher Hinweis:
Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.
Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.
Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.