Am 25. Mai 2018 trat die bereits im Mai 2016 verabschiedete DSGVO EU
(Datenschutz-grundverordnung EU) in Kraft. Die Zeiten, wo Datenschutz innerhalb einer Firma, Organisation oder Verein nicht aktiv betrieben wurden, sind vorbei. Es reicht nicht mehr aus, nur die
Datenschutz Angaben auf der Webseite abzubilden.
Aber was muss im Zuge der neuen Datenschutzgrundverordnung seit dem
25. Mai 2018 umgesetzt werden, bevor Bußgelder drohen? Und für wen ist die neue DSGVO überhaupt relevant?
Für wen gilt die DSGVO?
- Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher
Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter,
einschließlich Dritter wie Cloud-Provider.
- Nach § 4f Bundesdatenschutzgesetz (BDSG) müssen Daten verarbeitende Stellen
zusätzlich eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten und damit in der Regel
mehr als 20 Personen ständig beschäftigen. Gleiches gilt bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten auf andere Weise, wenn hiermit in der Regel mindestens
zwanzig Personen beschäftigt sind.
- Zudem gilt die neue Datenschutz-Grundverordnung für alle
Unternehmen, die
- eine nicht rein
private Webseite und/oder einen Online-Shop betreiben,
- eine Datenschutzerklärung auf ihrer Webseite veröffentlicht
haben,
- Newsletter verschicken,
- einen gewerblichen Blog betreiben,
- Google Analytics nutzen.
Was sind personenbezogene Daten?
- Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten
all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben. Dazu zählen Name, Anschrift und
Telefonnummer. Aber auch IP-Adresse, Standortdaten, Cookies oder auch Merkmale wie Körpergröße, Haarfarbe etc.
- Besondere personenbezogene Daten umfassen Informationen über die ethnische und
kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.
- Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das
Speichern und Verarbeiten von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig.
Beispiele für personenbezogene Daten
können sein: Mitarbeiter-; Kunden- oder Lieferantendaten.
Worauf ist beim Umgang mit personenbezogenen Daten zu
achten?
Nach der DSGVO gelten für Unternehmen und Betreiber von Webseiten in der Europäischen
Union folgende Grundsätze:
- Sie dürfen personenbezogene Daten nur dann erheben, verarbeiten und speichern, wenn
ausdrücklich eine Einwilligung erteilt ist. Dazu muss die betroffene Person eine Einwilligung erteilen, oder die Erlaubnis muss durch ein Gesetz gegeben sein – etwa das
Telemediengesetz (TMG).
- Sie dürfen nur Daten speichern und verarbeiten, die sie tatsächlich
brauchen. Daten, die nicht unmittelbar gebraucht werden, dürfen nur unter strengen Voraussetzungen erhoben werden. Welche genau das sind, legt die DSGVO fest.
- Die Daten dürfen nur für den Zweck genutzt werden, zudem sie erhoben
wurden.
- Recht auf Vergessen: Die Person, über die Daten gespeichert sind, muss
auf ihre Daten zugreifen können, wenn sie dies wünscht. Sie hat auch ein Recht darauf, dass ihre Daten auf ihren Wunsch hin umgehend gelöscht werden.
- Webseitenbetreiber und Unternehmen müssen personenbezogene Daten sicher
aufbewahren und löschen, wenn sie sie nicht mehr benötigen.
- Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen. Das meint nicht nur passwortgeschützte
Arbeitsplätze und Datenbänke, sondern vor allem auch angemessene Verschlüsselungsprogramme und höchstwirksame Maßnahmen zur Unterbindung einer Infiltrierung durch Schadsoftware
(Antivirenprogramme, Firewall etc.).
Bis wann sind die neuen Regelungen der Datenschutz-Grundverordnung
umzusetzen?
Im Grunde ist die
Europäische Datenschutz-Grundverordnung bereits seit dem 25. Mai 2016 in Kraft. Aber erst zwei Jahre später, am 25. Mai 2018, endete die Übergangsphase. Seitdem gilt die DSGVO und
ist für alle verpflichtend. Unternehmen und Selbstständige haben demnach bei der Verarbeitung von personenbezogener Daten die neuen Regeln der Datenschutz-Grundverordnung
anzupassen.
Was passiert, wenn man die
Regelungen missachtet?
Die Datenschutzbehörde der
EU-Mitgliedstaaten kontrolliert seit Mai 2018, ob die EU-DSGVO eingehalten wird. Entspricht die Verarbeitung der Daten in den Unternehmen nicht der neuen E-Privacy-Verordnung, weil ein Unternehmen
beispielsweise keine Einwilligungen einholt, droht ein Bußgeld. Das kann jedoch sehr teuer werden: Im schlimmsten Fall beträgt es 20 Millionen Euro oder vier Prozent des Jahresumsatzes – je nachdem,
was höher liegt.
Fazit: Seien Sie gut
vorbereitet, um mögliche Strafgelder zu vermeiden
Durch die DSGVO besteht für viele
Unternehmer dringender Handlungsbedarf in Sachen Datenverarbeitung. Falls Sie sich noch nicht intensiv mit dem Thema Datenschutz befasst haben, sollten Sie dies spätestens jetzt tun. Denn die
Schonfrist ist vorbei und bei einer Verletzung der neuen Regelungen drohen hohe Geldstrafen und zudem Reputationsverluste. Daher sollten Sie unbedingt Vorkehrungen treffen, um einem solchen
wirtschaftlichen Schaden vorzubeugen.
Als kompetenter Partner an Ihrer Seite unterstütze ich Sie und Ihr Unternehmen bei der Umsetzung der EU-DSGVO. Hierzu habe ich ein
spezielles Angebot für Kleinstunternehmen, kleinere Betriebe sowie für mittlere Unternehmensgrößen ausgearbeitet: JSG Hotel Consulting bietet Ihnen eine einheitliche, überschaubare Lösung
für die Einhaltung der neuen Rechtsnormen an – und das zu fairen Konditionen.
Für Kleinstunternehmen und kleinere Betriebe biete ich folgendes Datenschutz-Angebot an:
Kleinstunternehmen sind Betriebe, die weniger als 20 Personen beschäftigen, welche mit personenbezogenen Daten arbeiten. Diese
Unternehmen haben keine Bestellpflicht eines Datenschutzbeauftragten!
Auszug aus dem Leistungskatalog des Datenschutz-Pakets für Kleinstunternehmen:
- Erstellung eines Verzeichnisses für
Verarbeitungstätigkeiten - Vorlagenerstellung & Beratungsleistung
- Einführung in die Dokumentation der Technischen und
Organisatorischen Maßnahmen - Vorlagenerstellung & Beratungsleistung
- Kleines datenschutzrechtliches Website-Audit
inklusive Erstellung eines Impressums und einer Datenschutz-erklärung
- Auftragsverarbeitungsvertrag mit Dienstleistern -
Vorlagenerstellung & Beratungsleistung
- Datenschutzschulung Kompakt nach DSGVO für alle
Mitarbeiter ( 1 Stunde)
- Mitarbeiterverpflichtung auf Datenschutz als Anlage
zum Arbeitsvertrag - Vorlage
- Kontingent Datenschutzberatung für weitere
Datenschutzfragen ( 1 Stunde)
Angebot Datenschutz-Paket für Kleinstunternehmen und kleinere Betriebe:
- einmalige Kosten (Individuelles Paket auf Anfrage)
- Weitere unterstützende Leistungen auf Anfrage
Für mittlere Unternehmensgrößen aus Hotellerie, Gastronomie und anderen Branchen, inklusive Stellung eines externer Datenschutzbeauftragten, bietet JSG Hotel Consulting folgendes Datenschutz-Angebot
an:
Auszug aus dem Leistungskatalog:
- Einmalige Erstellung des Impressums und der
Datenschutzerklärung für Ihre Webeite
- Unterstützung bei der Einführung eines
Datenschutzmanagements mit Dokumentenvorlage
- Erstellung eines individuellen
Mitarbeiter-Schulungskonzepts
- Überwachung der Einhaltung der
Datenschutzvorschriften
- Zusammenarbeit mit den
Aufsichtsbehörden
- Stellung von Vorlagen für Ihr
Datenschutz-Management-System
Angebot Datenschutz-Paket für mittlere Unternehmensgrößen aus Hotellerie,
Gastronomie
und anderen Branchen:
- einmaliger Erstaufwand inklusive der Grundmaßnahmen aus dem Leistungskatalog
- Persönliche, monatliche Vor-Ort Betreuung
- Mindestvertragslaufzeit: Monatliche Kündigungsfrist
Alle Angebote & Preise verstehen sich zuzüglich gesetzlicher Mehrwertsteuer und € 0,50 je gefahrener Kilometer bei
Vorort-Terminen mit mehr als 20 km Anfahrtsweg.
Ein gutes Datenschutzkonzept ist ein
Qualitätsmerkmal Ihrer Firma
und schafft Vertrauen bei Ihren
Kunden.
Wie kann ich Sie bei der DSGVO Umsetzung unterstützen?
Sprechen Sie mich an und vereinbaren einen
unverbindlichen Telefontermin mit mir.