Gastbeitrag DSGVO: Welche Änderungen sind zu beachten?

Die DSGVO gilt nahezu vollständig für alle in Deutschland ansässigen Unternehmen, unabhängig von der jeweiligen Größe. Also auch für Start-ups. Entscheidend ist allein, ob personenbezogene Daten verarbeitet werden.
DSGVO: Welche Änderungen sind zu beachten?

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Eine Übergangsfrist gibt es nicht. Folglich müssen die neuen Anforderungen ab dem 25. Mai 2018 eingehalten werden. Durch die Neuregelung des Datenschutzrechts ändern sich die Rahmenbedingungen für den Umgang mit Daten fundamental. Unternehmen, insbesondere auch Start-Ups, sollten sich daher frühzeitig mit dem Thema auseinandersetzen und entsprechende Vorbereitungen treffen. Noch bleibt hierfür ausreichend Zeit.

Für wen gilt die DSGVO?
Die DSGVO gilt nahezu vollständig für alle in Deutschland ansässigen Unternehmen, unabhängig von der jeweiligen Größe. Also auch für Start-ups. Entscheidend ist allein, ob personenbezogene Daten verarbeitet werden. Die DSGVO gilt auf der einen Seite für Unternehmen, die im Rahmen der Tätigkeit einer Niederlassung in der Europäischen Union („EU“) Daten verarbeiten, sowie auf der anderen Seite auch für außerhalb der EU ansässige Unternehmen, sofern sie Waren und Dienstleistungen in der EU anbieten und somit mit personenbezogenen Daten von in der EU ansässigen Personen oder Unternehmen in Kontakt kommen (Art. 3 DSGVO).

Was ändert sich?

Betroffenenrechte werden gestärkt
Ein Ziel der DSGVO ist die Stärkung der Betroffenenrechte. So sind die Dokumentationspflichten gestiegen und die Selbstbestimmungsrechte der Betroffenen gestärkt worden. In den Unternehmen sollte es daher klare Regeln geben, wie zu verfahren ist, wenn beispielsweise ein Kunde / Nutzer von seinem Widerspruchsrecht oder seinem Auskunftsrechts Gebrauch macht.

Rechenschaftspflicht
Darüber hinaus haben Unternehmen mit in Kraft treten der DSGVO eine deutlich erhöhte Rechenschaftspflicht und müssen sämtliche Datenschutzmaßnahmen detailliert protokollieren. Die Verantwortung liegt in Zukunft allein bei den Unternehmen. Das kann die IT- Abteilung in Unternehmen vor echte Herausforderungen stellen. Eine Schwierigkeit liegt in diesem Zusammenhang bereits darin, nachvollziehen zu können, wie und wo personenbezogene Daten genutzt werden; gerade für Start-Ups, die digital eine Vielzahl von Daten erheben und Werbung verstärkt bis teilweise vollständig über digitale Kanäle vornehmen.

Strengere Sanktionen
Eine weitere Neuerung ist die Einführung strengerer Sanktionen bei Datenverstößen. Bei Nichteinhaltung der Regelungen der DSGVO drohen Bußgelder von bis zu 20 Mio. EUR oder 4% des jährlichen weltweiten Umsatzes. Bislang drohten bei Verstößen dagegen nur Strafen bis zu EUR 300.000.

Welche Maßnahmen sollten vorgenommen werden?

Betrieblicher Datenschutzbeauftragte
Wie bereits nach dem bisherigen Recht muss jedes Unternehmen, das mindestens 10 Personen beschäftigt, einen Datenschutzbeauftragten bestellen. Bei der Anzahl der Personen kommt es allein auf die Personen an, die mit der Datenverarbeitung ständig befasst sind, unabhängig davon ob Vollzeit- oder Teilzeitmitarbeiter oder Student oder freier Mitarbeiter.

Darüber hinaus sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und bei der zuständigen Datenschutz-Aufsichtsbehörde zu melden. Die Mitteilung an die Aufsichtsbehörde hat wohl pauschal und anlasslos zu erfolgen. Nicht ausreichend wäre es deshalb, die Kontaktdaten erst auf Anfrage mitzuteilen. Die Veröffentlichung der Kontaktdaten sollte standardmäßig in dem Internetauftritt des Unternehmens erfolgen.

Datenschutzinformationen – Überarbeitung der Datenschutzerklärung
Die Informationspflichten sind nach dem neuen Recht wesentlich umfangreicher als dies bisher der Fall war. Die Datenschutzbestimmungen auf der Internetseite müssen daher überarbeitet werden. Der Nutzer muss über alle Vorgänge aufgeklärt werden, bei denen personenbezogene Daten verarbeitet werden. Es müssen jeweils Angaben zum (i) Umfang, (ii) zum Zweck und (iii) zu der Rechtsgrundlage gemacht werden. Zudem empfiehlt es sich auch Angaben zu der Dauer der Speicherung, zu dem Recht des Nutzers auf Auskunft, Berichtigung, Löschung sowie Widerruf zu machen.

Darüber hinaus sind Unternehmen auch verpflichtet ihre eigenen Mitarbeiter ausreichend zu informieren und aufzuklären. Die DSGVO sieht zudem vor, dass Beschäftige regelmäßig zu schulen sind und über die Vertraulichkeit von personenbezogenen Daten zu belehren.

Verzeichnis der Verarbeitungstätigkeiten
Mit Inkrafttreten der DSGVO sind Unternehmen verpflichtet ein „Verzeichnis für Verarbeitungstätigkeiten“ zu führen. Das Verzeichnis stellt eine strukturierte Übersicht der gesamten Datenverarbeitung dar. Anhand des Verzeichnis soll die Aufsichtsbehörde in der Lage sein, sich einen Überblick vom Datenschutzniveau des jeweiligen Unternehmens zu verschaffen. Bei Datenschutzprüfungen muss das Verzeichnis ggfs. der Aufsichtsbehörde vorgelegt werden.

Auftragsverarbeitung
Im Rahmen der Auftragsverarbeitung – bisher als „Auftragsdatenverarbeitung“ bekannt – ist die Datenverarbeitung durch Dienstleister aus dem Europäischen Wirtschaftsraum durch sog. „AV-Verträge“ abzusichern. Bei Dienstleistern außerhalb der EU (sog. Drittstaaten) ist die Einbeziehung von EU-Standardvertragsklauseln zusätzlich erforderlich. Bestehende Verträge müssen daher an das neue Recht angepasst werden.

Datenschutz-Management-System
Nach der DSGVO ist ein aktives Management der Datenschutzprozesse erforderlich. Es muss ein Nachweis geführt werden, dass die Vorgaben der DSGVO eingehalten werden. Hierunter ist eine Sammlung aller Dokumentationen, Richtlinien und Maßnahmen, die dazu dienen, dass die Vorgaben der DSGVO eingehalten werden, zu verstehen. Wichtig ist hierbei, dass die definierten Prozesse auch im Unternehmen implementiert und gelebt werden.

Konzept für die Daten- und Informationssicherheit
Die Integrität und Vertraulichkeit von Daten muss auch noch den Regelungen der DSGVO geschützt werden. Unternehmen sind daher verpflichtet die technischen und organisatorischen Maßnahmen der Daten- und Informationssicherheit zu implementieren und zu dokumentieren.

Über die Autorin
Carolin Spönemann ist als Rechtsanwältin in der Wirtschaftskanzlei ANDERSEN Tax & Legal in Berlin tätig. Ihre Tätigkeitsschwerpunkte liegen im Bereich Gesellschaftsrecht/Venture Capital, mit einem Fokus auf die Beratung von Start-Up Unternehmen. In diesem Zusammenhang begleitet sie derzeit einige Start-Ups bei der Umsetzung der neuen Vorgaben nach der DSGVO. Zuvor arbeitete sie einige Jahre als Rechtsabteilungsleiterin eines Berliner Start-Ups.

Kennt Ihr schon unseren #StartupTicker? Der #StartupTicker berichtet tagtäglich blitzschnell über die deutsche Start-up-Szene. Schneller geht nicht!

Mehr Startup-Substanz im Newsfeedfolgt ds auf Facebook

Startup-Jobs: Auf der Suche nach einer neuen Herausforderung? In der unserer Jobbörse findet Ihr Stellenanzeigen von Startups und Unternehmen.

Foto (oben): Shutterstock

Aktuelle Meldungen

Alle