Seite auswählen

Heute zeige ich Ihnen, mit welchen Artikeln der DSGVO Sie sich unbedingt vertraut machen sollten und welche Bereiche zwar wichtig, aber Detailkenntnisse nicht zwingend notwendig sind.

Das Beste?

Die EU-Datenschutzgrundverordnung umfasst derzeit (Stand: Mai 2018) 99 Artikel und 173 begleitende Erörterungen in Form von sog. „Erwägungsgründen“.

Doch nur 38 Artikel sind für Sie wirklich relevant.

Welche das genau sind, zeige ich Ihnen in diesem Blogbeitrag!

Artikel, bei denen ich Detailkenntnisse empfehle, sind mit einem „(!)-Symbol“ versehen.

r

Schweizer Unternehmer aufgepasst:

Sie fragen sich, warum Sie sich überhaupt mit der EU-Datenschutzgrundverordnung beschäftigen sollten, die ein „EU“ im Namen trägt und somit doch eigentlich nur für die EU gelten sollte?

Die Antwort dazu finden Sie in Artikel 3 der DSGVO.

Kurzum: Sie dürfen davon ausgehen, dass Sie die EU-Datenschutzgrundverordnung nur dann nicht betrifft, wenn es sich um eine Datenverarbeitung im rein persönlichen oder familiären Bereich handelt bzw. Ihr Unternehmen in keinster Weise Kontakte in einen Mitgliedsstaat der EU unterhält (Kunden, Lieferanten, Interessenten, etc.).

DSGVO – Kapitel 1 & 2 (Allgemeine Bestimmungen & Grundsätze)

Aus den ersten beiden Kapiteln sind insbesondere die Artikel 4 – 9 von Relevanz.

In Artikel 4 (Link) geht es um die Begriffsbestimmungen (Was sind überhaupt „personenbezogene Daten“ im Sinne des Gesetzes?, Was ist eine „Verarbeitung“?, Wer gilt als „Verantwortlicher“?, etc.).

In Artikel 5 (Link) geht es um die Grundsätze für die Verarbeitung personenbezogener Daten, d.h. um all die Dinge, die Sie beachten müssen, wenn Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten, wie z.B. Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit, usw..

Artikel 6 (!) (Link) legt die Rechtmässigkeit der Verarbeitung dar. Grundsätzlich ist die Verarbeitung personenbezogener Daten unzulässig, es sei denn, dass eine der in Artikel 6 aufgeführten Bedingungen zutrifft. Dazu gehören u.a. die Einwilligung der betroffenen Person, die Verarbeitung zu Vertragszwecken und die Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortlichen.

Eine dieser Bedingungen ist die sog. „Einwilligung“, um die es dann auch in Artikel 7 (Link) der DSGVO geht. Was wird benötigt, damit eine Verarbeitung personenbezogener Daten auf Basis einer Einwilligung rechtmässig ist? Hier finden Sie Ihre Antworten.

Artikel 8 (Link) („Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft“) ist insbesondere für die Unternehmen relevant, die sich mit ihren Dienstleistungen an Kinder richten. Hinweis: Das 13. bzw. 16. Lebensjahr spielen hier eine besondere Rolle.

Wer personenbezogene Daten aus dem Bereich der sog. besonderen Kategorien verarbeitet, sollte unbedingt einen Blick in Artikel 9 (Link) der DSGVO werfen. Besondere Kategorien sind z.B. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, etc. hervorgehen (können). Auch genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung gehören dazu.

DSGVO – Kapitel 3 (Rechte der betroffenen Person)

Kapitel 3 startet direkt mit der Informationspflicht des Verantwortlichen gegenüber den betroffenen Personen. In Artikel 12 (!) (Link) können Sie nachlesen, welche (Auskunfts-)Pflichten Sie als Verantwortlicher für eine Datenverarbeitung gegenüber den betroffenen Personen, deren Daten Sie verarbeiten (lassen), haben.

Artikel 13 (!) (Link) behandelt konkret die Sie betreffenden Informationspflichten bei der Erhebung personenbezogener Daten. Wichtig ist, dass diese Informationspflichten bereits bei der Erhebung der persönlichen Daten umgesetzt / angewendet sein müssen.

Artikel 14 (!) (Link) behandelt ergänzend Ihre Informationspflicht, wenn Sie die personenbezogenen Daten nicht direkt bei der betroffenen Person erheben. Dies kann z.B. der Fall sein, wenn Sie die Daten von einem Vermittler erhalten.

In Artikel 15 (!) (Link) erfahren Sie, welche Auskunftsrechte die Person, deren Daten Sie verarbeiten, Ihnen gegenüber hat. Die Auskunfts- und Informationspflichten stellen, auch aufgrund der möglichen hohen Strafen, wesentliche Punkte dar, die Sie im Detail kennen sollten.

Artikel 16 (Link) handelt von dem Recht der betroffenen Person, bei Fehlerhaftigkeit der sie betreffenden Daten unverzügliche Berichtigung zu verlangen.

Das Recht auf Löschung, auch als „Recht auf Vergessenwerden“ bezeichnet, findet sich in Artikel 17 (Link). Die betroffene Person hat gemäss DSGVO das Recht, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn z.B. die Person ihre Einwilligung widerruft, die Daten für den eigentlichen Zweck ihrer Erhebung nicht mehr benötigt werden, die personenbezogenen Daten unrechtmässig verarbeitet wurden, usw..

Wenn z.B. eine betroffene Personen die Richtigkeit der verarbeiteten Daten anzweifelt oder z.B. ihr Widerspruchsrecht geltend macht, ist der Datenverarbeitende zur Einschränkung der Verarbeitung verpflichtet. Details dazu finden sich in Artikel 18 (Link).

Werden personenbezogene Daten berichtigt oder gelöscht bzw. wird deren Verarbeitung eingeschränkt, treffen den Verantwortlichen weitere Pflichten, wie z.B. die Informierung der Empfänger dieser Daten darüber, es sei denn, dass sich der Aufwand als unverhältnismässig darstellt. Auf Wunsch der betroffenen Person muss der Verantwortliche sie über diese Empfänger unterrichten. Details dazu in Artikel 19 (Link) – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung.

Neu hat die betroffene Person auch das Recht auf Datenübertragbarkeit. Artikel 20 (Link) der DSGVO schreibt vor, dass personenbezogene Daten, die von der betroffenen Person dem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format ihr gegenüber ausgehändigt bzw. einem anderen Verantwortlichen übertragen werden müssen (soweit technisch durchführbar), wenn die Verarbeitung auf einer Einwilligung beruht oder zu Vertragszwecken erfolgt und mithilfe automatisierter Verfahren durchgeführt wird. Manch einer mag hier insbesondere an Soziale Netzwerke denken…

Das Widerspruchsrecht wird in Artikel 21 (Link) behandelt. Wichtig zu wissen ist, dass eine Person jederzeit gegen die Verarbeitung der sie betreffenden personenbezogene Daten widersprechen kann, wenn der Verantwortliche die Daten auf Basis des sog. berechtigten Interesses verarbeitet (Artikel 6 Absatz 1 f). Unter anderem ist in Artikel 21 unter Ziffer (3) auch gezielt das Widerspruchsrecht für den Zweck der Direktwerbung aufgeführt.

Werden beim Verantwortlichen automatisierte Entscheidungen getroffen (einschliesslich des Profilings), die rechtliche Wirkung gegen über der betroffenen Person entfalten, klärt Artikel 22 (Link) über diesbezügliche Rechte und Pflichten auf. Kreditvergabe, Marketing-Automatisierung und die immer stärker Verbreitung findende Künstliche Intelligenz (KI), die häufig auch hinter sog. Chatbots steht, kommen mir dabei direkt in den Sinn.

DSGVO – Kapitel 4 (Verantwortlicher und Auftragsverarbeiter)

Schonmal etwas von den TOMs gehört? TOMs ist eine Abkürzung für die Technischen und Organisatorischen Massnahmen, die ergriffen werden sollten/ müssen, wenn der DSGVO entsprochen werden soll (die Konsequenzen der Nichteinhaltung finden Sie in Kapitel 8 der DSGVO, siehe unten).

Artikel 24 (Link) verpflichtet den Verantwortlichen zur Verarbeitung personenbezogener Daten unter Berücksichtigung der Art, des Umfangs, und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen. Dies geschieht auf Basis der erwähnten TOMs, deren Umsetzung nachzuweisen ist.

Praktizierter Datenschutz ist übrigens keine Eintagsfliege. Artikel 24 z.B. weisst daraufhin, dass die Massnahmen des Datenschutzes gegebenenfalls überprüft und (kontinuierlich) aktualisiert werden müssen.

Artikel 25 (Link) – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung behandelt u.a. den technischen Bereich und konkretisiert die Anforderungen bei der Verarbeitung personenbezogener Daten. Die Pseudonymisierung kann dabei ein Instrument sein.

Ganz wichtig sind hier auch die datenschutzfreundlichen Voreinstellungen bei der Erhebung personenbezogener Daten. Benötige ich wirklich alle Daten, die ich bis dato abgefragt habe oder komme ich, z.B. bei der Erfüllung eines Vertrags, auch mit weniger Daten aus?

Das Thema „Organisation“ behandelt auch die interne Organisation bzw. die Zuständigkeit(en). Gibt es zwei oder mehr Personen, die als Verantwortliche über Zweck, Art und Mittel der Datenverarbeitung entscheiden, findet sich in Artikel 26 (!) (Link) der Anspruch des Gesetzgebers an die diesbezügliche Organisation („Gemeinsam Verantwortliche“).

Artikel 27 (!) (Link) ist insbesondere für alle Unternehmen aus Drittstaaten, wie z.B. der Schweiz, relevant, die personenbezogene Daten von EU-Bürgern verarbeiten. Dieser Artikel behandelt die Bestellung eines Vertreters von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern. Haben Sie als Unternehmer bzw. Unternehmerin in der Schweiz bereits Ihren Vertreter bestellt und z.B. auf der Webseite benannt?

Übertragen Sie die Datenverarbeitung an eine andere Stelle bzw. übernehmen Sie die Datenverarbeitung für ein anderes Unternehmen (z.B. im Bereich der IT), liegt eine Auftragsverarbeitung vor. Artikel 28 (!) (Link) klärt über Grundlagen und Notwendigkeiten auf. Praktisch jedes Unternehmen wird sich mit diesem Artikel beschäftigen müssen.

Artikel 29 (Link) weisst darauf hin, dass die Auftragsverarbeitung nur auf Weisung des Verantwortlichen stattfinden darf. Mit den personenbezogenen Daten des Verantwortlichen dürfen also keine eigenen Interessen verfolgt werden.

Bezüglich der Dokumentationspflichten kommt Artikel 30 (!) (Link) eine wichtige Bedeutung zu. Jeder Verantwortliche ist nämlich dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu erstellen und in aktueller Form vorzuhalten. Was in ein solches Verzeichnis hineingehört, können Sie in Artikel 30 nachlesen. Auch zum Thema Löschfristen sollte man sich hier ein paar Gedanken machen.

„Better safe than sorry!“ Das könnte auch der Leitspruch für Artikel 32 (Link) der DSGVO sein, geht es doch hier um die Sicherheit bei der Verarbeitung personenbezogener Daten. Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, Datenwiederherstellung sowie ein kontinuierlicher Verbesserungsprozess stellen zukünftig hohe Anforderungen an Unternehmen.

Wurde der Schutz der personenbezogene Daten verletzt, regelt Artikel 33 (Link) die weitere Vorgehensweise. Insbesondere die Meldung an die Aufsichtsbehörde (i.d.R. spätestens innert 72 Std.) sowie die Pflicht zur Informierung der Betroffenen (in Artikel 34) gilt es hier zu beachten.

Wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen beinhaltet, so gibt es die Pflicht zur sog. Datenschutz-Folgenabschätzung aus Artikel 35 (Link). Hierbei erstellt der Verantwortliche eine Einschätzung, inwieweit die geplante Datenverarbeitung ein hohes Risiko darstellen kann und auch welche Massnahmen zur Eindämmung dieser Risiko getroffen werden. Insbesondere muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn öffentlich zugängliche Bereiche auf dem Firmengelände videoüberwacht werden, besonders sensible Daten verarbeitet werden (z.B. Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen und Straftaten) und/oder das Unternehmen automatisierte Entscheidungsprozesse, die eine Rechtswirkung entfalten können, einschliesslich des Profilings, einsetzt.

Und wann muss eigentlich ein Unternehmen (Verantwortlicher bzw. Auftragsverarbeiter) einen Datenschutzbeauftragten benennen? Artikel 37 (Link) schreibt dazu, dass ein Datenschutzbeauftragter dann benannt werden muss, wenn in umfangreicher Art und Weise Daten besonderer Kategorien bzw. Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden. Ein Datenschutzbeauftragter muss in jedem Fall auch dann benannt werden, wenn die Kerntätigkeit des Verantwortlichen bzw. Auftragsverarbeiters aufgrund von Art, Umfang und/oder Zweck eine umfangreiche und systematische Überwachung von betroffenen Personen erforderlich macht. Bezüglich der Benennung eines Datenschutzbeauftragten sind ergänzend nationale Vorgaben zu beachten. In Deutschland z.B. findet sich eine Konkretisierung in Artikel 38 des BDSG-neu.

Im Zweifel empfiehlt es sich, die Meinung einer Aufsichtsbehörde dazu einzuholen.

Wenn ein Datenschutzbeauftragter (intern oder extern) beauftragt wurde, stellt Artikel 38 (Link) klar, dass diese verantwortungsvolle Position unabhängig von Weisungen der Geschäftsleitung bzw. des/der Verantwortlichen ausgeführt werden muss. Der Verantwortliche stellt dem Datenschutzbeauftragten sämtliche Mittel und Ressourcen zur Verfügung, die notwendig sind, damit dieser den gesetzlichen Pflichten in gebührender Weise nachkommen kann. Die DSGVO sieht eine herausragende Stellung des Datenschutzbeauftragten vor. Wichtig ist ergänzend, dass der Datenschutzbeauftragter keiner Interessenskollision unterliegt, insbesondere dann, wenn er weitere Tätigkeiten für den Verantwortlichen ausführt.

Artikel 39 (Link) konkretisiert die Aufgaben des Datenschutzbeauftragten. Neben der Beratung des Verantwortlichen bzw. des Auftragsverarbeiters sowie der Beschäftigten, die personenbezogene Daten verarbeiten, zählt u.a. auch die Überwachung der Einhaltung der DSGVO sowie die Schulung der Mitarbeiter zu seinen Aufgaben.

DSGVO – Kapitel 5 (Übermittlung personenbezogener Daten an Drittländer)

Artikel 44 (Link): Sollen personenbezogene Daten an Drittländer übermittelt werden, ist dies nur unter bestimmten Bedingungen zulässig.

Die Übermittlung personenbezogener Daten an ein Drittland darf dann vorgenommen werden, wenn die EU-Kommission beschlossen hat, dass der Staat ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dies regelt Artikel 45 (Link). In diesen sog. Angemessenheitsbeschlüssen findet sich derzeit eine erlaubte Datenübermittlung an folgende Länder: Andorra, Argentinien, Kanada, Faröer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (sofern das Unternehmen Mitglied im Privacy Shield ist).

Wenn (voraussichtlich) 2019 die Schweiz ihr überarbeitetes Datenschutzrecht in Kraft treten lässt, wäre es denkbar, dass die Liste der Länder, für die ein Angemessenheitsbeschluss besteht, von der Schweiz übernommen wird. In praktischer Hinsicht sind Schweizer Unternehmen sicherlich nicht falsch beraten, wenn Sie insbesondere bei der häufig vorkommenden Datenübermittlung in die USA (Newsletter-Software, CRM-Software, etc.) darauf achten, dass das datenverarbeitende Unternehmen im Privacy Shield gelistet ist.

Doch was, wenn kein Angemessenheitsbeschluss vorliegt? Dann zeigt Artikel 46 (Link) Mittel und Wege, wie personenbezogene Daten dennoch übermittelt werden können. Ganz wichtig dabei ist, dass der Verantwortliche bzw. Auftragsverarbeiter darauf achtet, dass den betroffenen Personen, deren Daten übermittelt werden, durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Artikel 49 (Link) legt dar, wie bei der Übermittlung personenbezogener Daten vorzugehen ist, wenn weder Artikel 45 zutrifft (kein Angemessenheitsbeschluss) noch die Bestimmungen aus Artikel 46 (keine geeignete Garantien) umgesetzt werden können. Im Alltag vieler KMUs wohl eher selten ein Thema, dennoch etwas, was im Hinterkopf behalten werden sollte.

DSGVO – Kapitel 8 (Haftung und Sanktionen)

In Artikel 82 (Link) wird klargestellt, dass ein laxer Umgang mit den Rechten betroffener Personen, deren Daten verarbeitet werden, keine Bagatelle darstellt. Entsteht einer Person, deren Daten verarbeitet werden / wurden ein (materieller) Schaden, so haftet der Verantwortliche bzw. Auftragsverarbeiter für den entstandenen Schaden.

In Artikel 83 (Link) findet sich der Rahmen der zu verhängenden Geldbussen. So ist dort zu lesen, dass Bussen „wirksam, verhältnismässig und abschreckend“ sein sollen. Und die Verantwortlichen, die es mit der (rechtswirksamen) Einwilligung sowie den Rechten der betroffenen Personen nicht so genau nehmen, droht ein Bussgeld i.H.v. bis zu 20.000.000 EUR (ja, es sind 20 Millionen) bzw. 4% des Vorjahresumsatzes. Je nachdem, was höher ist.

An dieser Stelle appelliere ich besonders an alle Schweizer Unternehmerinnen und Unternehmer mit Beziehungen zum EU-Raum (Interessenten, Kunden, Lieferanten, etc.) die DSGVO nicht als „Hirngespinst“ der ach so weit entfernten EU wahrzunehmen, sondern wirksame Schritte zu unternehmen, die die Implementation der DSGVO vorsehen.