Datenschutz-Grundverordnung – Ein sperriges Wort mit gewaltiger Wirkung. Gerade für Unternehmen stellen die Regelungen und Anforderungen der Datenschutz-Grundverordnung (DSGVO) seit deren Inkrafttreten im Mai 2018 eine enorme Herausforderung dar. Doch wer sich den Vorschriften gründlich widmet, kann Datenschutz erfolgreich in seine Geschäftsprozesse integrieren. Als erfahrene Anwaltskanzlei wollen wir Ihnen in diesem umfassenden Artikel praxisnahe Einblicke und wertvolle Informationen geben, damit Sie sicher durch den Dschungel an Paragraphen und Vorgaben navigieren können.

Einführung in die DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Datenschutz in den EU-Mitgliedsstaaten vereinheitlichen soll. Ziel der DSGVO ist es, personenbezogene Daten effektiv zu schützen und den freien Datenverkehr innerhalb des Binnenmarkts zu gewährleisten. Seit dem 25. Mai 2018 ist die DSGVO unmittelbar geltendes Recht in allen EU-Staaten.

Warum ist die DSGVO wichtig?

Die Bedeutung der DSGVO ergibt sich aus mehreren Aspekten:

• **Schutz der Privatsphäre** der Bürger vor Missbrauch ihrer persönlichen Daten.
• **Erzwingung** höherer Datenschutzstandards für Unternehmen.
• **Erleichterung** des grenzüberschreitenden Verkehrs personenbezogener Daten innerhalb der EU.

Grundprinzipien der DSGVO

Grundlegend geht es bei der DSGVO um Transparenz und Sicherheit im Umgang mit personenbezogenen Daten. Hierfür hat sie mehrere Prinzipien etabliert:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Jede Verarbeitung personenbezogener Daten muss einen legitimen Grund haben, fair und nachvollziehbar sein. Betroffene müssen offengelegt bekommen, wie ihre Daten verarbeitet und verwendet werden.

Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht weiterverarbeitet werden, als mit diesen Zwecken vereinbar ist.

Datenminimierung

Daten sollen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Richtigkeit

Es muss sichergestellt werden, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.

Speicherbegrenzung

Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung.

Rechenschaftspflicht

Die Einhaltung der Datenschutzprinzipien muss nachgewiesen werden können.

Wichtige Rechte der Betroffenen unter der DSGVO

Eine zentrale Neuerung der DSGVO sind die weitgehenden Rechte der Betroffenen, die ihre Daten betreffen:

Auskunftsrecht

Betroffene haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und wenn ja, Zugang zu diesen Daten sowie Informationen über die Umstände der Verarbeitung zu erhalten.

Recht auf Berichtigung

Es besteht das Recht auf Berichtigung unrichtiger, oder Vervollständigung unvollständiger personenbezogener Daten.

Recht auf Löschung (Recht auf Vergessenwerden)

Unter bestimmten Voraussetzungen haben Betroffene das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung

Betroffene können unter bestimmten Bedingungen verlangen, dass die Verarbeitung ihrer personenbezogenen Daten eingeschränkt wird.

Recht auf Datenübertragbarkeit

Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht

Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen.

Recht auf Widerruf der Einwilligung

Erlangte Einwilligungen können vom Betroffenen jederzeit widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Anforderungen an Unternehmen

Für Unternehmen bedeutet die DSGVO, dass sie umfangreiche organisatorische und technische Maßnahmen ergreifen müssen, um die Einhaltung der Datenschutzvorgaben sicherzustellen. In diesem Abschnitt beleuchten wir die wichtigsten Anforderungen im Detail:

Verzeichnis von Verarbeitungstätigkeiten

Ein zentrales Dokument ist das sogenannte Verzeichnis von Verarbeitungstätigkeiten. Darin muss festgehalten werden, welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden, woher diese Daten stammen, an wen sie weitergegeben werden, sowie wie lange sie gespeichert werden und welche technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen werden.

Datenschutz-Folgenabschätzung (DSFA)

Insbesondere bei neuen Projekten oder Verarbeitungstätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, müssen Unternehmen eine Datenschutz-Folgenabschätzung durchführen. Diese soll Risiken identifizieren und Maßnahmen zu deren Abmilderung vorschlagen.

Technische und organisatorische Maßnahmen (TOM)

Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen:

• **Pseudonymisierung und Verschlüsselung** personenbezogener Daten.
• **Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit** der Daten.
• **Regelmäßige Evaluierung** der Datenschutzmaßnahmen.
• **Schulung und Sensibilisierung** der Mitarbeiter hinsichtlich Datenschutzvorgaben.

Vertrag zur Auftragsverarbeitung

Müssen personenbezogene Daten an einen Dienstleister weitergegeben werden, der diese Daten im Auftrag des Unternehmens verarbeitet, ist ein Vertrag zur Auftragsverarbeitung abzuschließen. Dieser regelt unter anderem:

• **Gegenstand und Dauer** der Verarbeitung.
• **Art und Zweck** der Verarbeitung.
• **Art der personenbezogenen Daten** und Kategorien betroffener Personen.
• **Pflichten und Rechte** des Verantwortlichen und des Auftragsverarbeiters.

Praxisbeispiele und Erfahrungen

In der Praxis kann die Umsetzung der DSGVO sehr unterschiedlich ausfallen. Hier einige anonymisierte Fallstudien aus unserer Kanzlei, die zeigen, wie Unternehmen verschiedener Größen und Branchen die Anforderungen der DSGVO gemeistert haben:

Fallstudie: Mittelständisches Unternehmen im E-Commerce

Ein mittelständisches Unternehmen aus dem E-Commerce-Sektor stand vor der Herausforderung, große Mengen personenbezogener Daten zu verarbeiten, darunter auch sensible Zahlungsinformationen. Durch die Einführung eines umfassenden Datenschutzkonzepts, bestehend aus der Implementierung eines Verzeichnisses von Verarbeitungstätigkeiten, der verpflichtenden DSFA für neue Projekte und der Schulung aller Mitarbeiter, konnte das Unternehmen seine Prozesse auf die Anforderungen der DSGVO ausrichten und erfolgreich einer Prüfung durch die Aufsichtsbehörde standhalten.

Fallstudie: Start-up im Bereich Künstliche Intelligenz

Ein innovatives Start-up, das Technologien der künstlichen Intelligenz entwickelt, sah sich mit der Notwendigkeit konfrontiert, große Datenmengen zu pseudonymisieren und zu verschlüsseln. Hier zahlte es sich aus, dass von Beginn an Datenschutz-First-Prinzipien verfolgt wurden und ein Datenschutzbeauftragter frühzeitig in alle Projekte eingebunden wurde.

Fallstudie: Konzern der Gesundheitsbranche

Ein international tätiger Konzern im Gesundheitswesen musste neben den strengen Anforderungen der DSGVO auch weitere branchenspezifische Datenschutzregelungen berücksichtigen. Durch enge Zusammenarbeit mit einem externen Datenschutzexperten und regelmäßigen Audits könnten Datenschutzverletzungen minimiert und ein hohes Maß an Datensicherheit gewährleistet werden.

Häufig gestellte Fragen (FAQs)

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten durch Unternehmen und andere Organisationen regelt.

Welche Strafen drohen bei Verstößen gegen die DSGVO?

Die Strafen bei Verstößen gegen die DSGVO können erheblich sein. Die Höhe der Geldbußen kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Wer ist verantwortlicher im Sinne der DSGVO?

Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Benötigt jedes Unternehmen einen Datenschutzbeauftragten?

Ob ein Unternehmen einen Datenschutzbeauftragten bestellen muss, hängt von verschiedenen Faktoren ab, wie der Anzahl der Mitarbeiter, die regelmäßig mit personenbezogenen Daten arbeiten, und der Art und Weise der Datenverarbeitung. Grundsätzlich müssen öffentliche Stellen und Unternehmen, deren Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten beinhaltet, einen Datenschutzbeauftragten benennen.

Wie können Unternehmen feststellen, ob sie DSGVO-konform sind?

Unternehmen sollten regelmäßig ihre Datenschutzprozesse überprüfen und gegebenenfalls anpassen. Es bietet sich an, einen externen Datenschutzaudit durchzuführen oder die Beratung durch eine erfahrene Anwaltskanzlei in Anspruch zu nehmen.

Fazit: Datenschutz-Grundverordnung – Was Unternehmen wissen müssen

Die DSGVO bringt komplexe Anforderungen mit sich, die Unternehmen oft vor große Herausforderungen stellen. Sie erfordert nicht nur ein grundlegendes Verständnis der rechtlichen Vorgaben, sondern auch den Willen und die Fähigkeit, Datenschutz in sämtlichen Geschäftsprozessen zu verankern. Dennoch: Wer die Datenschutzanforderungen ernst nimmt und konsequent umsetzt, kann nicht nur Strafen vermeiden, sondern auch das Vertrauen seiner Kunden stärken und einen Wettbewerbsvorteil erzielen. Unsere Kanzlei Herfurtner steht Ihnen dabei zur Seite – von der Erstberatung über die Erstellung relevanter Dokumente bis hin zum fortlaufenden Datenschutzsupport. Bei Fragen oder rechtlichen Anliegen zum Thema Datenschutz-Grundverordnung können Sie sich jederzeit an uns wenden.