FAQ
Was ist die Datenschutzgrundverordnung?
Die Datenschutzgrundverordnung, kurz DSGVO, ist eine Verordnung der Europäischen Union, die einen einheitlichen Datenschutzrahmen in der gesamten EU festlegt. Die Kürzel „DSGVO“ (kurz für: Datenschutz-Grundverordnung) und „GDPR“ (kurz für: General Data Protection Regulation) sind dabei gleichbedeutend.
Welches Ziel verfolgt die DSGVO?
Die DSGVO hat das Ziel die Bürger der EU bei der Verarbeitung von personenbezogenen Daten zu schützen. Weiterhin soll durch die neue Verordnung das Recht der EU-Bürger auf den Schutz personenbezogener Daten gewahrt werden. Dadurch, dass Verordnungen der EU direkte Gesetzeswirkung haben, kann von nun an von einem überwiegend einheitlichen Datenschutzniveau in der EU gesprochen werden.
Seit wann gilt die DSGVO?
In Kraft getreten ist die DSGVO bereits im Mai 2016. Anzuwenden sind die Vorschriften jedoch erst ab Mai 2018. Theoretisch hätten sich die betroffenen Unternehmen also bereits im Vorfeld an die Vorschriften der DSGVO anpassen sollen, um einen reibungslosen Start zu gewährleisten.
Zusammenfassend ist die Anwendung ist erst ab dem 25. Mai 2018 verpflichtend.
Muss die DSGVO in nationales Recht umgesetzt werden?
Nein, da es sich bei der Datenschutz-Grundverordnung um eine Verordnung der EU handelt, ist keine Umsetzung durch den deutschen Gesetzgeber notwendig. Die Verordnung gilt wie ein Gesetz unmittelbar in der gesamten EU. Anders wäre dies bei einer EU-Richtlinie. Diese müssen erst durch die nationalen Gesetzgeber umgesetzt werden.
Für wen gilt die DSGVO?
Die Datenschutzgrundverordnung gilt für alle EU-Unternehmen, die personenbezogene Daten verarbeiten. Auch erfasst sind öffentliche Stellen wie z.B. Behörden. Das gleiche gilt auch für Unternehmen aus dem EU-Ausland, wenn diese ihre Waren oder Dienstleistungen in der EU anbieten.
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Das bedeutet, dass jegliche Informationen erfasst sind, die auch nur die Möglichkeit geben, eine Person zu identifizieren. Klassischer Weise fallen darunter der Name, die Adresse oder die Telefonnummer der Personen. Aber auch Email-Adressen, Kontonummern oder IP-Adressen sind erfasst.
Ausreichend ist also, wenn durch die Daten in irgendeiner Weise ein Personenbezug hergestellt werden kann.
Gibt es Ausnahmen von der DSGVO?
In der Datenschutzgrundverordnung sind nur einige wenige Ausnahmen aufgezählt. So gilt eine Ausnahme für die zuständigen Behörden zum Zwecke der Strafverfolgung. Weiterhin ausgenommen sind Personen, die ausschließlich persönliche oder familiäre Tätigkeiten ausüben. Da dies jedoch nicht auf Unternehmen zutrifft, sind diese Ausnahmen regelmäßig irrelevant.
Welche Sanktionen gibt es beim Verstoß gegen die DSGVO?
Das deutsche Bundesdatenschutzgesetz sah zuvor ein maximales Bußgeld von 300.000€ vor. Mit der DSGVO wurden diese Bußgelder stark erhöht, um ein effektives Mittel (auch zur Kontrolle von internationalen Unternehmen) zu haben. Die DSGVO sieht nun in bestimmten Fällen Geldbußen von bis zu 20 Mio. € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens vor. Dies ist also im Vorfeld durch eine intensive rechtliche Prüfung und entsprechende Anpassung der Prozesse dringend zu vermeiden.
Ist ein Datenschutzbeauftragter verpflichtend?
Ein Datenschutzbeauftragter ist für viele Unternehmen verpflichtend. Ob dies auch auf Ihr Unternehmen zutrifft, hängt von der Art und dem Umfang ab, in welchem Daten verarbeitet werden.
Die Benennung eines Datenschutzbeauftragten ist insbesondere dann verpflichtend, wenn Ihr Unternehmen besonders sensible Daten verarbeitet. Weiterhin ist ein Datenschutzbeauftragter verpflichtend, wenn die Kerntätigkeit Ihres Unternehmens in Datenverarbeitungsvorgängen besteht, welche eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Weiterhin kann sich eine Pflicht aus § 38 BDSG ergeben, wenn in Ihrem Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Unabhängig von der Anzahl der Personen, sind Unternehmen die zu einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO verpflichtet sind von der Pflicht zum Datenschutzbeauftragten betroffen. Weiterhin betroffen sind alle Unternehmen, die personenbezogene Daten für Meinungs- oder Marktforschungszwecke verarbeiten.
Muss der Datenschutzbeauftragte gleichzeitig ein Angestellter sein?
Das Gesetz sieht verschiedene Möglichkeiten vor, dieser Pflicht zum Datenschutzbeauftragten gerecht zu werden. Grundsätzlich ist es möglich, einen internen oder einen externen Datenschutzbeauftragten zu beauftragen. Dies legt Artikel 38 Absatz 6 DSGVO fest. Wichtig ist jedoch, dass die Auswahl auf Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts erfolgt.
Welche Vorteile kann ein externer Datenschutzbeauftragter bieten?
Insbesondere in Bezug auf die Außenwirkung des Unternehmens, die fachliche Qualifikation und das Haftungsrisiko kann ein externer Datenschutzbeauftragter sinnvoll sein.