Am 25.05.2018 endet die zweijährige Übergangsfrist der DSGVO für alle Unternehmen innerhalb der EU. Dabei greift das Marktortprinzip, was bedeutet, dass nicht der Sitz der Firma ausschlaggebend  dafür ist, ob sie sich an die DSGVO halten muss, sondern der Ort, an dem die Daten gesammelt und erhoben werden. Das bedeutet, dass auch Google und Facebook von dem neuen Gesetz betroffen sind.

Ab dem genannten Stichtag müssen alle Betriebe ausnahmslos die Regeln zum Schutz der personenbezogenen Daten umgesetzt haben. Ansonsten kann es zu einer Klage durch Aufsichtsbehörden, Unternehmen und Privatpersonen kommen – die Bußgelder können bis zu 20 Mio. EUR oder bis zu 4% des Vorjahresumsatzes betragen. Ausnahmen aufgrund der Betriebsgröße gibt es keine. Selbstständige ohne Mitarbeiter sind von der neuen Regelung zum Schutz personenbezogener Daten ebenso betroffen wie multinationale Konzerne.

Bei der neuen Datenschutzverordnung geht es vorrangig darum, dass personenbezogene Daten nicht beliebig gesammelt werden, sondern nur zu dem Zweck, dem eine Person oder ein Kunde ausdrücklich zustimmt. Zudem dürfen die Informationen nur so lange gespeichert werden, wie es für den vorgesehenen Zweck notwendig ist. Danach müssen die verwendeten Daten umgehend und unaufgefordert gelöscht werden. Ebenso sind Unternehmen dazu verpflichtet, sämtliche Vorgänge zu dokumentieren, bei denen Personendaten verarbeitet werden. Auf Anfrage muss ein Betrieb zudem Auskunft darüber erteilen, welche Daten über einen Kunden oder Nutzer vorhanden sind. Folgende Daten sollen auf diesem Weg besser vor Missbrauch geschützt werden:

• Allgemeine Daten zur Person: Name, Anschrift, E-Mail-Adresse, Telefonnummern
• Kontodaten jeglicher Art
• Kundendaten (z.B. Bestellhistorie, Verlauf der Artikelsuche)
• Metadaten, die teilweise unbewusst bei der Nutzung des Internets übermittelt werden wie Standortbestimmungen, IP-Adressen oder Suchanfragenverläufe
• Andere Daten, die aus Verträgen, Bewerbungsvorgängen oder Kontaktformulare gewonnen werden

Daten, die die Gesundheit, Religion, die sexuelle Orientierung oder den Vermögensstand betreffen, sind ebenfalls von der neuen Regelung betroffen.

Ausnahmen für eine längere Speicherung können durch gesetzliche Aufbewahrungspflichten gegeben sein (z.B. von Rechnungen zur Steuerprüfung).

Die Kontrolle wird von Aufsichtsbehörden durchgeführt

Tritt eine Aufsichtsbehörde an ein Unternehmen heran, muss es nachweisen können, dass es DSVGO-konform handelt.

• Sämtliche Vorgänge im Bereich der Datenverarbeitung müssen in einem Verzeichnis dokumentiert werden. Darin wird festgehalten, welche Daten über wen zu welchem Zweck gespeichert werden und wann die jeweilige Löschfrist endet.
• Auch Nutzer können die über sie gesammelten Daten auf Anfrage erhalten. Ebenfalls können sie veranlassen, dass sämtliche gespeicherten Informationen gelöscht werden (Recht auf Vergessenwerden).
• Die Datenschutzerklärung muss sichtbar auf der Webseite positioniert sein. Besucher der Seite müssen der Speicherung ihrer Daten aktiv zustimmen.
• Bei einem Verlust personenbezogener Daten, etwa durch einen Hackerangriff oder aufgrund einer technischen Störung, besteht eine Meldepflicht gegenüber den Nutzern.
• Ab einer Firmengröße von 10 Mitarbeitern ist ein Datenschutzbeauftragter verpflichtend. Letztendlich verantwortlich ist allerdings der Geschäftsführer.

Experten gehen davon aus, dass ab dem 25.05.2018 der Fokus der Aufsichtsbehörden eher auf größeren Firmen liegt. Mittelständische und kleinere Betriebe werden vorerst vermutlich nur stichprobenartig untersucht. Darauf verlassen sollte sich allerdings niemand, denn jeder einzelne Nutzer darf eine Auskunft über seine Daten einfordern und gegebenenfalls gegen Datenschutzverletzungen klagen.

Die neue DSVGO betrifft de facto jedes wirtschaftliche Unternehmen. Eine rechtskonforme Umsetzung und Einhaltung der Grundverordnung ist mit einem erheblichen Zeit- und Kostenaufwand verbunden. Weitere dafür hilfreiche Infos sind in diesem ausführlichen E-Book zur DSVGO zu finden. Darin werden u.a. häufige Fragen zum Thema Datenschutz beantwortet und ein 6-Punkte-Maßnahmenplan zur DSGVO-Umstellung für Unternehmer vorgestellt.