SUCHE

Am 25. Mai 2018 tritt die EU-DSGVO in Kraft (© Alamy)
Datenschutz-Grundverordnung
15.05.2018

Am 25. Mai 2018 tritt die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Unternehmen müssen sich beim Umgang mit Daten auf weitergehende Änderungen einstellen.

Mario Ohoven, Präsident des Bundesverbandes mittelständische Wirtschaft (BVMW)(© dpa)

Ein Gespenst geht um in Europa. Selten in den letzten Jahren hat eine Neuregelung in Unternehmen so viel Unsicherheit hervorgerufen wie die neue europäische Datenschutz-Grundverordnung (EU-DSGVO). Am 25. Mai 2018 soll das Regelwerk in Kraft treten, und es treibt vielen Unternehmern Sorgenfalten auf die Stirn. Denn die Änderungen sind umfassend und bergen neue Anforderungen an Unternehmen im Umgang mit Datenschutz. „Wir wissen aus unserer aktuellen Unternehmerumfrage, dass erst jeder zweite Mittelständler ausreichend auf die Datenschutz-Grundverordnung vorbereitet ist“, sagt Mario Ohoven, Präsident des Bundesverbandes mittelständische Wirtschaft (BVMW). „Das ist in höchstem Maße fahrlässig, weil hohe Strafen drohen.“

In der Tat können bei Missachtung Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängt werden. Eine solche Strafe ist für einen großen Mittelständler ein Schlag ins Kontor. Einen kleinen Mittelständler kann sie schnell die Existenz kosten. Wie drängend das Problem ist, zeigt sich daran, dass von Wirtschaftsverbänden zum Thema EU-DSGVO angebotene Workshops derzeit schnell ausgebucht sind.

Solche Veranstaltung bringen etwas mehr Klarheit, können aber eine ausführliche Rechtsberatung nicht ersetzen. Das Bedrohungsszenario entsteht auch durch die Möglichkeit von Abmahnungen darauf spezialisierter Anwälte. Sobald mittelständische Unternehmen eine Website betreiben, werden sie ein potenzielles Ziel für Abmahn-Anwälte. Cookies oder auch zielgerichtetes Marketing durch Retargeting setzt fast jedes Unternehmen auf seiner Website ein. Daher gehören die rechtlichen Hinweise auf der Website, das Tracking und die Websiteanalyse auf den Prüfstand. Dokumente, insbesondere ihre AGB und die Datenschutzerklärung, müssen auf Transparenz und Verständlichkeit geprüft werden. Nach Art. 25 EU-DSGVO ist Datenschutz auf der Website eines Unternehmens durch die Gestaltung technischer Abläufe („privacy by design“) und durch datenschutzfreundliche Voreinstellungen („privacy by default“) zu gewährleisten. Der Schutz der Privatsphäre ist in allen Stufen der Produktentwicklung zu beachten. Voreinstellungen von Online-Diensten müssen so beschaffen sein, das möglichst wenig personenbezogene Daten erhoben werden.

Wann ein Datenschutzbeauftragter abgestellt werden muss

Nach „Erwägungsgrund 58“ der EU-DSGVO müssen alle für die Öffentlichkeit bestimmten Informationen präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein. Verträge zur Auftragsdatenverarbeitung müssen zudem an die EU­DSGVO angepasst werden. Bisher war nach § 11 BDSG ein Vertrag zur Auftragsdatenverarbeitung nötig, wenn ein Dienstleister im Auftrag von Unternehmen personenbezogene Daten erhoben, verarbeitet oder genutzt hat. Dieser wird nun durch zwei neue Artikel (28,29) der EU-DSGVO ersetzt.

Unternehmen müssen überdies einen Datenschutzbeauftragten abstellen, wenn eine „umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen“ besteht oder eine „umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten“ (wie beispielsweise Religion oder die ethnische Zugehörigkeit) besteht. (EU-DSGVO Art. 37). Sobald in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter ebenfalls nötig. Dazu kommen weitere Bestimmungen.

Die Anforderung des EU-DSGVO sind so hoch, dass bis zum Stichtag wohl nur wenige Unternehmen sie vollumfänglich erfüllen. Etwaige Nachbesserungen des Gesetzgebers sind natürlich jederzeit möglich. Dennoch sollte die Verordnung keinesfalls ignoriert werden. Denn ab dem 25. Mai ist die EU-DSGVO aller Voraussicht nach geltendes Recht.

Die zwölf wichtigsten Fragen, die sich Unternehmer stellen sollten, finden Sie unter diesem Link.