DSGVO – Das müssen Sie über die Datenschutzgrundverordnung wissen
Am 28. Mai 2018 trat die DSGVO (EU-Datenschutz-Grundverordnung) in Kraft und ersetzte die bereits seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). Doch was bedeutet das für Sie und Ihr Unternehmen?
Was ist die DSGVO?
Die DSGVO beinhaltet zahlreiche Neuerungen für die Verwendung und Speicherung personenbezogener Daten. Unternehmen ab einer bestimmten Anzahl von Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, sind seitdem verpflichtet, ein Datenschutzmanagement zu besitzen. Mit diesem müssen sie persönliche Daten sichern und schützen. Wer gegen die Vorgaben der DSGVO verstößt, muss mit erheblichen Strafen rechnen, die neben finanziellen Einbußen auch einen Image-Schaden für das Unternehmen nach sich ziehen können.
Was bedeutet das konkret für Sie und Ihr Unternehmen?
Das Bundesdatenschutzgesetz (§64 BDSG-neu) schreibt vor, dass Unternehmen sowie öffentliche Einrichtungen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben. Darunter zählen alle Maßnahmen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Sobald personenbezogene Daten erhoben, verarbeitet oder genutzt werden, muss der Betroffene nach der Informationspflicht der DSGVO sofort darüber eine Information erhalten.
Zusätzlich ist seine Genehmigung einzuholen. Bislang wurden Verstöße gegen den Datenschutz oftmals wie Kavaliersdelikte behandelt und entsprechend leicht bestraft. Mit der neuen DSGVO ist damit jetzt Schluss. Im Klartext heißt das: Bußgelder sind nach den neuen Regelungen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend. Es drohen Bußgeldstrafen bis zu 20.000.000 Euro oder im Fall eines großen Unternehmens bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes. Die konkrete Form der Strafe richtet sich danach, welcher der beiden Beiträge höher ausfällt. Jede Person, die geschäftsmäßig mit personenbezogenen Daten umgeht, tut gut daran, sich mit den neuen Vorschriften auseinanderzusetzen, um einen Bußgeldbescheid zu vermeiden.
Personenbezogene Daten sind zu schützen
Geschäftsführer von Unternehmen sind im Rahmen ihrer Sorgfaltspflichten angehalten, einen Missbrauch der ihnen anvertrauten Daten zu verhindern. Kommen dennoch personenbezogene Daten abhanden, ist dies der Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Zudem ist der betroffene Personenkreis aufgrund der Mitteilungspflicht unverzüglich über den Datenverlust zu informieren, es sei denn, mit dem Verlust der Daten ist kein hohes Risiko verbunden. Erleidet der betroffene Personenkreis durch den Datenverlust einen Schaden (materiell oder immateriell), hat er nach Art 82 Abs. 1 DSGVO sogar einen Schadenersatzanspruch. Alternativ können auch Unterlassungsansprüche gegenüber dem Betreiber geltend gemacht werden.
Gültigkeit der DSGVO für kleine Unternehmen
Unternehmen mit weniger als zehn Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, mussten bislang keinen Datenschutzbeauftragten beschäftigen (§38 BDSG-neu) oder über ein Verfahrensverzeichnis verfügen (§70 BDSG-neu). Mit der DSGVO ist dies nun Pflicht. Somit ist besonders für kleine mittelständische Unternehmen (KMUs) die Umsetzung der Vorgaben der neuen Datenschutzbestimmung schwierig. Die Einhaltung der DSGVO für KMU, beispielsweise bei der sicheren Verwahrung von Kundendaten, kann ein Problem werden. Dabei hilft Ihnen TeamDrive!
Was bedeutet die DSGVO für Privatpersonen?
Auch Privatpersonen haben mit der DSGVO neue Rechte für ihre Privatsphäre erhalten. Neu hinzugekommen ist die Auskunftspflicht für Webseitenbetreiber in der EU. Sie sind dazu verpflichtet, dem Nutzer Auskunft über die hinterlegten Cookies zu geben und auch die Zustimmung für die Verwendung einzuholen. Zudem gibt es nun das Recht auf Vergessenwerden. Dieses Recht umfasst die Zurücknahme der Einverständniserklärung zur Erhebung, Speicherung und Verwendung von Nutzerdaten auf der Website. Wünscht der Seitenbesucher dieses Recht, muss der Webseitenbetreiber diese Daten sofort löschen. Aber nicht nur in der digitalen Welt gelten diese Bestimmungen. Auch in der Offline-Welt haben Kunden die Möglichkeit, Auskunft über die Verwendung ihrer persönlichen Daten zu erfragen.
Cloud Computing und die DSGVO rechtssicher gestalten
Viele Unternehmen speichern die personenbezogenen Daten ihrer Kunden in der Cloud. Wenn Sie auch dazu gehören, sollten Sie überprüfen, wo der Cloud-Dienst-Anbieter seinen Firmensitz hat und wo sich sein Rechenzentrum befindet. Sollte sich Ihr Cloud-Anbieter in der Europäischen Union befinden, müssen Sie einen AV-Vertrag abschließen. Darüber hinaus sind Sie verpflichtet, regelmäßig die technischen und organisatorischen Maßnahmen des Cloud-Anbieters zum Datenschutz zu prüfen. Sollte sich ihr Cloud-Anbieter außerhalb der EU befinden, beispielsweise in den USA, sollten Sie über einen Wechsel nachdenken. Denn wenn personenbezogene Daten in Drittländer außerhalb der EU übermittelt werden, müssen Sie die betroffenen Personen über die Weitergabe informieren und deren Zustimmung einholen. Darüber hinaus haben Sie sicherzustellen, dass der Cloud-Anbieter im Drittland die Standards der DSGVO einhält und diese Einhaltung auch überwacht!
DSGVO konforme Cloud-Lösung mit TeamDrive
Durch die in TeamDrive verwendete Ende-zu-Ende-Verschlüsselung (AES 256-Bit) sind Ihre Daten auf dem Transportweg zwischen Ihrem Computer oder Ihrem mobilen Endgerät und dem Server zu jedem Zeitpunkt nach dem heutigen Stand der Technik vor dem unberechtigten Zugriff von Dritten geschützt. Hierdurch reduzieren Sie Bußgeldrisiken und Meldepflichten im Fall eines Schadens und schützen nicht nur Ihre Daten, sondern auch Ihre Mitarbeiter wie beispielsweise Ihre Datenschutzverantwortlichen und Ihre Geschäftsführer. Zahlreiche Kunden legen großen Wert darauf, dass ihre Daten in Deutschland verbleiben. In Deutschland gehostete Daten müssen die Datenschutz- und Sicherheitsstandards gemäß deutschem Recht erfüllen. Die TeamDrive Systems GmbH speichert Daten und Dokumente ihrer Kunden, anders als zum Beispiel Microsoft, Dropbox, Google, Amazon oder Apple, ausschließlich in Rechenzentren in Deutschland. Behörden und Unternehmen müssen in der Lage sein, die Sicherheit ihrer Datenverarbeitung jederzeit nachzuweisen. Das bedeutet schlussendlich, den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) gerecht zu werden. TeamDrive erfüllt diese Ansprüche. Dies wurde auch mit dem EuroPriSe Datenschutzsiegel bescheinigt, welches als Qualitätsnachweis für Datensicherheit steht.
Die ergänzende ePrivacy Verordnung
Die ePrivacy Verordnung spezifiziert die DSGVO in Hinblick auf Vorgaben für datenschutzkonforme Software. Zudem soll sie die bisher geltende E-Privacy-Richtlinie (2002/58/EG) sowie die Cookie-Richtlinie (2009/136/EG) ablösen. Sie sieht Neuregelungen zum Schutz der Verbraucher und ihrer Daten im Netz vor. So sollen beispielsweise Regeln zum Umgang mit Cookies vereinfacht und die Datensicherheit für Kommunikationsdienste wie WhatsApp ausgeweitet werden. Ziel ist es, europaweit die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen und den Umgang mit personenbezogenen Daten im Online-Bereich zu regeln.
Ursprünglich war geplant, dass die ePrivacy Verordnung zusammen mit der DSGVO in Kraft treten sollte. Nach über vierjähriger Verhandlungsphase haben sich die EU-Ratsmitglieder am 10.02.2021 auf eine gemeinsame Position geeinigt und im gleichen Jahr wurden die Verhandlungen zwischen dem Europäischen Parlament, dem EU-Rat und der Europäischen Kommission aufgenommen. Die Positionen von Rat und Parlament liegen weit auseinander, sodass seitdem nur kleine Fortschritte gemacht wurden. Aktuell ist nicht absehbar, wann es zu einer Verabschiedung der Verordnung kommt. Zusätzlich ist eine anschließende Übergangsphase von 24 Monaten vor dem Inkrafttreten vorgesehen.
Für umfangreichere Informationen fordern Sie unser Whitepaper zum Thema Cloud-Collaboration nach EU-DSGVO an.