Ab dem 25. Mai tritt die DSGVO EU-weit in Kraft und regelt fortan den Umgang mit personenbezogenen Daten. Damit ersetzt sie das bisher geltende Bundesdatenschutzgesetz und auch Teile des Telemediengesetzes, welche beide auf nationaler Ebene geregelt sind. Die DSGVO gilt aber nicht nur für Unternehmen innerhalb der EU, sondern auch für Unternehmen die ihren Sitz außerhalb der EU haben, aber Daten von Personen aus der EU verarbeiten.

Betroffen ist jedes Unternehmen, das unter anderem mit Nutzer-Tracking, Kundendaten, Newsletter, Werbemails oder Facebook-Werbung arbeitet oder eine eigene Datenschutzerklärung hat. Diese Mittel enthalten personenbezogene Daten und um genau diese geht es. Personenbezogene Daten sind Informationen, die sich einer bestimmten oder bestimmbaren Person zuordnen lassen. Das sind zum Beispiel Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Kfz-Kennzeichen, Standortdaten, IP-Adressen oder Cookies.

Beruhigend ist, dass sich für die deutschen Unternehmen gar nicht so viel ändert, da Deutschland schon ein sehr strenges Datenschutzgesetz hatte. Viele bekannte Grundsätze bleiben also gleich. Die Bußgelder die bei Nichteinhaltung erhoben werden können, steigen allerdings deutlich. Es können bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes fällig werden. Daher ist es auch wichtig grundsätzlich alle Anfragen und Beschwerden von Nutzern, vor allem aber von Datenschutzbehörden, ernst zu nehmen.

Thin Clients können helfen Datensicherheit zu bieten. Dadurch, dass alle Daten auf einem externen Server gespeichert und die Geräte viel schwieriger zu hacken sind, sind Sie als Unternehmen weniger anfällig für Hacker-Attacken. Auch in dem Fall, dass eines oder mehrere Geräte gestohlen werden sollten, gehen aus demselben Grund keinerlei Daten verloren, diese sind dann noch stets auf dem externen Server und somit nicht gerätegebunden.
Die Zwei-Faktor-Authentifizierung wird ebenso unterstützt, das bedeutet, dass das einloggen sehr viel sicherer ist, als auf einem gewöhnlichen PC.

Bei einer EU-weiten Verordnung kommt natürlich die Frage auf, wer verantwortlich ist bei Fragen und Verstößen gegen die DSGVO. Dies hängt von dem Hauptsitz des Unternehmens ab, denn es ist jeweils die Aufsichtsbehörde in dem Mitgliedsstaat Ansprechpartner, in dem das Unternehmen gefestigt ist.

Der Einfachheit halber haben wir die wichtigsten Grundsätze und Neuregelungen, die Sie kennen sollten, für Sie aufgelistet.

Grundsätze:

Verbot mit Erlaubnisvorbehalt
Sie dürfen personenbezogene Daten nur mit Einwilligung nutzen oder durch ein Gesetz (BDSG, TMG, EU-DSGVO))

Datensparsamkeit
Nicht mehr Daten als benötigt erheben und verarbeiten.

Zweckbindung
Daten nur für den Zweck nutzen, wie erhoben.

Datenrichtigkeit
Daten müssen inhaltlich und sachlich richtig und aktuell sein.

Datensicherheit
Art. 32 DSGVO – Sicherheit der Verarbeitung.

Recht auf Vergessenwerden
Recht auf Löschung – kann bei jeder Stelle, die personenbezogene Daten verarbeitet, geltend gemacht werden.

Recht auf Datenübertragbarkeit
Gibt Nutzern das Recht, Daten zu einem anderen Anbieter mitzunehmen. Daten müssen dann in einem gängigen Format weitergegeben werden. Unter anderem wichtig für Wechsel zu anderen (sozialen) Netzwerken, Wechsel der Bank oder Wechsel des Arbeitgebers.

Rechenschaftspflicht
Einhaltung der Datenschutzanforderungen muss auf Anfrage nachgewiesen werden können – am besten dokumentieren Sie die Einhaltung.

Einwilligung einholen
Dokumentieren Sie die Einwilligung. Sie können die Einwilligung über ein Opt-In Kästchen einholen, ein Opt-Out hingegen ist nicht wirksam. Die Einwilligung muss freiwillig sein und die Vertragserfüllung darf hier nicht von abhängen, wenn dies nicht erforderlich ist. Die Einwilligung muss zweckgebunden sein und der Widerruf muss so einfach sein wie Einwilligung.

Neuregelungen:

-  Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
-  Dokumentationpflichten und Datenschutzfolgenabschätzung
-  Neue Vorgaben für Einwilligungserklärungen online und offline
-  Erweiterte Vorgaben für Datenschutzerklärungen auf Websites
-  Pflicht für Datenportabilität
-  Recht auf Vergessenwerden von Nutzerdaten
-  Neuregelungen bei der Auftragsdatenverarbeitung
-  Neuregelungen bei Mitarbeiterdaten
-  Privacy by Design und Privacy by Default
-  Personenbezogene Daten von Kindern
-  Prinzip des “One-Stop-Shop” (Datenschutzbehörde im eigenen Land)
-  Stellung des Datenschutzbeauftragten
-  Meldepflicht von Datenpannen
-  Neue Haftungsregeln und höhere Bußgelder