« Zurück zur Übersicht
Header-Bild für Blogbeitrag über die Datenschutzverordnung

Die neue Datenschutzverordnung der Europäischen Union

Seit dem 25. Mai 2018 ist die neue Datenschutzverordnung in Kraft getreten. Sie regelt den Datenschutz innerhalb der europäischen Staaten neu und legt Unternehmen strengere Regeln auf.
Die Verordnung selbst wurde bereits vor ungefähr zwei Jahren beschlossen. Die Abgeordneten der EU haben den Unternehmen eine längere Frist zur Umsetzung eingeräumt, damit die vielen Vorschriften reibungslos in die Firmenprozesse eingebaut werden konnten.
Bis es zum Beschluss dieser Regelungen gekommen ist, hatte jedes EU-Land seinen eigenen Datenschutzrichtlinien. Diese waren von Land zu Land unterschiedlich und entweder strenger oder lockerer ausgelegt.

Mit der neuen Verordnung soll der Datenschutz für alle Mitgliedsstaaten einheitlich umgesetzt werden, damit dem EU-Bürger bei der Erfassung seiner Daten keine Nachteile entstehen. Außerdem gelten für alle Unternehmen die gleichen Regeln, damit im täglichen Wettbewerb niemand benachteiligt wird.

Inhaltsbild Blogbeitrag personenbezogene Daten

Welche neuen Regelungen treten in Kraft?

Personen müssen ab dem 25. Mai 2018 noch umfassender über die Erhebung ihrer Daten informiert werden. Außerdem besteht ein Recht auf das „Vergessen werden“. Dies ermöglicht es einer Person, bei der betreffenden Stelle seine Daten löschen zu lassen.

Zu den personenbezogenen Daten gehören nicht nur Name, Geburtsdatum oder E-Mail-Adresse, sondern auch die IP-Adresse, Steuernummer und Kontoverbindungsdaten.

Unternehmen sind ab jetzt auch dazu verpflichtet, die Zustimmung des Nutzers zur Datenspeicherung einzuholen. Der Betrieb muss außerdem aufführen, wie die Daten gespeichert werden, wer Zugriff darauf hat und wie die Personendaten vor unbefugten Dritten geschützt werden.

Dies ist vor allem bei sensiblen Daten der Fall, die in elektronischer Form gespeichert werden. Dazu gehören zum Beispiel Personalakten und Gesundheitsdokumente in Betrieben.
Für Personalabteilungen ergeben sich neue Herausforderungen bezüglich der Speicherung von Mitarbeiterdaten. Auch sie müssen jetzt verstärkt darauf achten, dass die Daten nicht in unbefugte Hände geraten.
Gegenüber den Mitarbeitern besteht eine Auskunftspflicht, welche personenbezogenen Daten in dem Unternehmen gespeichert werden.

Ab zehn Mitarbeitern muss ein Datenschutzbeauftragter bestimmt werden, der für die Einhaltung der Vorgaben zuständig ist. Somit sind zumindest kleinere Betriebe von der Pflicht eines Datenschutzbeauftragten befreit.

Im Falle von Datenschutzverstößen drohen den Unternehmen höhere Strafen als zuvor. Die zuständigen Behörden in den Ländern sind für die Kontrolle und Einhaltung der Regeln verantwortlich.

Auf was müssen Website-Betreiber achten?

Ab dem 25. Mai 2018 ist die SSL-Verschlüsselung auf einer Website Pflicht. Das Impressum und der Datenschutzhinweis müssen gut sichtbar und mit nur einem Klick erreichbar sein.
Der Datenschutzhinweis sollte alle wichtigen Informationen zu den neuen Regelungen beinhalten. Dazu gehört auch die Angabe eines Datenschutzverantwortlichen mit den dazugehörigen Kontaktdaten.

Inhaltsbild Blogbeitrag Newsletter

Eine weitere Neuerung ergibt sich beim Kontaktformular oder bei der Anforderung eines Newsletters. Bevor der Website-Besucher die Information abschicken kann, muss er der Erhebung und Speicherung ausdrücklich zustimmen. Dafür sollte ein Hinweis in den entsprechenden Formularen hinterlegt werden. Ohne die Zustimmung und das Setzen des jeweiligen Hakens kann das Formular nicht gesendet werden. Dies sorgt für eine zusätzliche Sicherheit, dass der Besucher die Daten nicht aus Versehen absendet, ohne zuvor seine ausdrückliche Zustimmung gegeben zu haben.

Im Datenschutzhinweis ist darauf zu achten, dass wirklich alle Tools und Drittanbieter aufgelistet sind, die Zugriff auf die erhobenen Personendaten haben. In diesem Zusammenhang muss auch ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser ist vor allem zwischen dem Website-Betreiber und dem Hoster wichtig. Der Hosting-Anbieter hat aufgrund der technischen Bereitstellung Zugriff auf die personenbezogenen Daten. Die Anforderung des entsprechenden Formulars funktioniert relativ unkompliziert über den jeweiligen Hoster. Auch für die Verwendung von Google-Analytics muss ein entsprechender Vertrag mit Google abgeschlossen werden.

Bei der Verwendung von Plugins und Tools muss nach den neuen Regelungen geprüft werden, ob diese datenschutzkonform verwendet werden können. Dies ist vor allem bei der Benutzung von WordPress wichtig, da die vielen kleinen Hilfsprogramme die Arbeit mit dem CMS-System erleichtern. Problematisch sind Sicherheits-Plugins oder Plugins zur Erfassung des Nutzerverhaltens. Hier ist vorab genau zu prüfen, ob die installierten Programme noch verwendet werden dürfen. Im Internet existiert eine Vielzahl von Auflistungen, welche die Datenschutzkonformität der Programme abbilden. Dadurch lässt sich sehr schnell feststellen, welche Plugins noch verwendet werden dürfen und welche nicht.

Vorteile und Nachteile der neuen Datenschutzverordnung

Die neue Datenschutzverordnung bringt viele Vorteile für die einzelne Person mit sich. Die erhobenen Daten dürfen nicht mehr ohne weiteres weitergegeben werden. Dies schafft die Sicherheit, dass die Personendaten nicht missbräuchlich verwendet werden. Der Verbraucher hat nun auch das Recht, seine Daten einzusehen und deren Löschung zu beantragen. Ihm wird somit die Möglichkeit gegeben, wieder „Herr“ über die eigenen persönlichen Daten zu werden.

Dieser große Vorteil täuscht nicht darüber hinweg, dass die neue Datenschutzverordnung sehr kompliziert gestaltet ist. Viele Unternehmen tun sich mit der Umsetzung schwer. Seit dem 25. Mai 2018 klingelt bei den zuständigen Datenschutzbehörden unerlässlich das Telefon, weil zahlreiche Firmenvertreter Probleme mit den neuen Vorschriften haben. Gerade für Vereine, deren Arbeit überwiegend von ehrenamtlichen Mitarbeitern durchgeführt wird, stellt die Datenschutzverordnung eine Herausforderung dar. Sie müssen auf einmal einen Datenschutzbeauftragten bestimmen und die Daten ihrer Mitglieder extrem sichern. Sie haben Mühe einen Ehrenamtlichen zu finden, der die Aufgabe des Datenschutzbeauftragen übernimmt, und sehen sich einem kostspieligen Regelwerk ausgesetzt.