INTERNET WORLD Logo Abo
Security
04.07.2017
EU-Datenschutzgrundverordnung

9 Facts: Das müsst ihr zur DSGVO wissen

Datenschutz
shutterstock.com/Den Rise

Die EU-Datenschutz-Grundverordnung (DSGVO) ist kein Gesetz, sie ist eine Verordnung. Deshalb muss sie auch nicht in nationale Gesetze gegossen werden, sie tritt einfach in Kraft. Diese 9 Facts solltet ihr über die DSGVO wissen.

1. Zeitplan und Geltungsbereich
Die DSGVO tritt am 25. Mai 2018 in Kraft. Sie ersetzt eine Reihe von nationalen Gesetzen und Regelungen - eine Übergangsfrist ist nicht vorgesehen. Die EU-DSGVO (auf Englisch: EU-GDPR) gilt innerhalb der EU und tritt in allen EU-Mitgliedsländern gleichzeitig in Kraft. Sie gilt, wenn personenbezogene Daten von EU-Bürgern verarbeitet werden. Das betrifft Firmen innerhalb der EU, auch wenn die ­Datenverarbeitung außerhalb der EU stattfindet. ­Außerdem gilt sie auch für Unternehmen außerhalb der EU, die hier Dienstleistungen und Waren anbieten oder das Verhalten von EU-Bürgern beobachten.

Fingerabdruck
Fotolia.com/destina_Web

2. Erlaubnistatbestände
Um personenbezogene Daten speichern und ver­arbeiten zu dürfen, müssen bestimmte Voraussetzungen vorliegen: Einwilligung des Betroffenen / Berechtigtes Interesse an der Datenverarbeitung, etwa für Werbezwecke. (Achtung: Schutzwürdige Interessen des Betroffenen - insbesondere von Kindern - dürfen dem nicht entgegenstehen) / Erforderlichkeit zur Erfüllung eines Vertrags, für vorvertragliche Maßnahmen auf eine Anfrage hin oder zur Erfüllung einer rechtlichen Verpflichtung

recht_strafe_gesetz
Fotolia.com/fotogestoeber

3. Datenschutzgrundsätze
Die Grundsätze für die Verarbeitung personen-bezogener Daten laut Artikel 5 DSGVO lauten:
Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, Begrenzte Speicherung, Integrität und Vertraulichkeit

wahl
Fotolia.com/der schmock

4. Einwilligungen
Für Einwilligungen zur Verarbeitung personen-bezogener Daten ab dem 25. Mai 2018 gilt:
Nachweisbarkeit: Protokollieren und per Double-Opt-in bestätigen lassen / Belehrung: Der Betroffene muss bei Einwilligung (im Online-Formular) informiert werden, dass er ein Widerrufsrecht hat, zu welchem Zweck die Datenverarbeitung erfolgt und wer der Verantwortliche ist / Zustimmung: Der Betroffene muss aktiv zustimmen, eine vorab angeklickte Checkbox reicht nicht aus

Targeting
Fotolia.com/Jakub_Jirsak

5. Profile anreichern
Ein vorhandenes Kundenprofil darf ohne Benachrichtigung des Betroffenen angereichert werden, wenn:
die Anreicherung statistische Zwecke verfolgt, die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt.

Grundsätzlich werden die Regeln für die Anreicherung von Kundenprofilen ohne Benachrichtigung der Betroffenen verschärft. Im Zweifel sollten ihr deshalb eure Kunden davon in Kenntnis setzen.

Sicherheit
shutterstock/Maksim_Kabakou

6. Betroffenenrechte
Die Betroffenen haben nach Artikel 15 DSGVO eine Reihe von Rechten:
Auskunft - welche Daten wurden von mir erhoben? / Löschung / Recht auf Vergessenwerden - Löschung aus
Archiven / Recht auf Datenübertragbarkeit - Wechsel von einer Plattform auf eine andere Widerspruchsrecht gegen Datenspeicherung / Recht auf Einschränkung der Verarbeitung

Bearbeitungsfrist: maximal ein Monat

Mobile
Fotolia.com/bloomua

7. Informationspflichten
Unternehmen, die personenbezogene Daten verarbeiten, haben Informationspflichten: Zweck und Rechtsgrundlage der Verarbeitung / Informationen zum Datentransfer in Drittstaaten / Angaben zur Speicherdauer der Daten / Bestehen der Betroffenenrechte / Hinweis, ob der Betroffene gesetzlich oder vertraglich zur Bereitstellung der Daten verpflichtet ist / Ggfs. Information über Profiling oder andere Art von automatisierter Einzelfallentscheidung / Ggfs. Herkunft von Daten zur Anreicherung von Profilen

Profil
Fotolia.com/mrswilkins.jpg

8. Datenschutzbeauftragter
Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn: im Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind / die Datenverarbeitung mit einem hohen Risiko für die Betroffenen verbunden ist / oder wenn sie personenbezogene Daten ­geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Stempel
Fotolia.com/Bobo

9. Aufsichtsbehörde
Das neue Datenschutzgesetz sieht eine enge Zusammenarbeit mit der zuständigen Aufsichtsbehörde vor:
bei Datenpannen: Meldepflicht gegenüber der Aufsichtsbehörde (binnen 72 Stunden) und gegenüber den betroffenen Personen (unverzüglich) / Konsultation der Aufsichtsbehörde bei datenschutzrechtlichen Fragen /
Unternehmen sollten Prozesse definieren, wann wer und über was zu informieren ist / Zuständige Behörde ist in der Regel der Datenschutzbeauftragte des Landes, in dem das Unternehmen seinen Sitz hat

Frank Kemper
Autor(in) Frank Kemper
Security Datenschutz Internet-Recht Internet Online-Recht Datenschutz DSGVO

Weitere Bildergalerien

1&1 Website
Digitalbranche und Handel

Kundenservice und Personal: Für diese Firmen hagelt es die meisten Beschwerden

Adidaslogo auf Schuh
Grenzüberschreitender E-Commerce

Die erfolgreichsten Online Shops im Cross-Border-Handel

Harald Melwisch
Digitalbranche

Marktguru, Home24, Patagonia: Das sind die wichtigsten Köpfe der Woche

Bayer-Logo an Gebäude
LinkedIn Top Companies

Das sind die 10 besten Arbeitgeber 2023

Weitere Galerien anzeigen