Datenschutzgrundverordnung – das gilt es ab 2018 zu beachten

  • 06. Dezember 2017

EU-DSGVO – hinter diesem abschreckenden Abkürzungsungetüm verbirgt sich eine der wichtigsten Neuerungen in der Onlinebranche: Die Datenschutzgrundverordnung der Europäischen Union.

Grundsätzlich ist erstmal jeder davon betroffen, der eine Website betreibt und Daten der BesucherInnen erhebt. Im E-Commerce sehen viele Händler die Änderungen kritisch und glauben nicht, dass sich der Verbraucherschutz wirklich verbessert. Auf jeden Fall ist aber klar, dass auch auf Organisationen eine Menge Änderungen und Herausforderungen zukommen werden. Was es im neuen Jahr zu beachten gibt und was konkret Neues passiert, fassen wir hier übersichtlich zusammen.

Was verbirgt sich hinter der neuen Verordnung?

Die Datenschutzgrundverordnung ist das Produkt jahrelanger Verhandlungen aller EU-Mitgliedstaaten. Sie stellt das erste gemeinsame Datenschutzgesetz dar und schafft eine einheitliche Rechtslage in allen beteiligten Ländern.

Nach jahrelangen Protesten und Diskussionen verabschiedete die EU die neue Verordnung. Für VerbraucherschützerInnen ist das ein Anlass zum Feiern. Ziel der Verordnung ist es vor allem, die Rechte der VerbraucherInnen zu stärken und den juristischen „Flickenteppich“ innerhalb Europas zu beseitigen. Somit bestehen keine „Rückzugsräume“ mehr, also Länder in denen Unternehmen von stark gelockerten Datenschutzgesetzen und Schlupflöchern profitieren können. Insbesondere in Hinblick auf die fortschreitende Digitalisierung der Geschäfts- und Arbeitswelt kann dies als wichtiger und zukunftsweisender Schritt betrachtet werden. In Deutschland löst die Verordnung das bisher bestehende Bundesdatenschutzgesetz ab, basiert jedoch in vielen Zügen noch auf den gleichen Grundprinzipien. Unter anderem müssen Daten weiterhin so sparsam wie möglich erhoben werden, einem festen Zweck zugeordnet sein und vertraulich mit zeitlicher Beschränkung gespeichert werden.

Was ist neu ab Mai 2018?

Wenn die Verordnung am 25.05.2018 in Kraft tritt, wird sich in Bezug auf den Datenschutz einiges ändern. Die wichtigsten Neuerungen sehen in Kürze so aus:

  • Recht auf „Vergessenwerden“
  • Einwilligung in Datenverarbeitung ab 16 Jahren
  • Keine Erhebung sensitiver Daten wie Ethnie, Sexualität oder politischer Gesinnung
  • Gültigkeit auch für internationale Organisationen, die in der EU operieren

Erstmals ist nun gesetzlich geregelt, dass VerbraucherInnen einen Anspruch auf die Herausgabe und Löschung ihrer Daten haben, welches sie aktiv einfordern können. Zuvor war dieses „Recht auf Vergessenwerden“ nur lose durch die aktuelle Rechtsprechung gesichert. Unternehmen und Organisationen stehen nun in der Pflicht, die entsprechenden Löschmöglichkeiten auf Anfrage zur Verfügung zu stellen und sollten entsprechend standardisierte Prozesse für diese Forderung bereitstellen.

Des Weiteren werden auch Kinder und Jugendliche vermehrt geschützt. Die Einwilligung in die Datenverarbeitung ist nun erst ab dem Alter von 16 Jahren möglich, statt wie zuvor ab 13 Jahren. Datensammlung unterhalb des Schutzalters ist nicht zulässig. Dies könnte auch dazu führen, dass es für Teenager schwieriger wird sich in sozialen Netzwerken wie Facebook oder Instagram anzumelden – zumindest ohne die Zustimmung der Eltern. Fundraising in dieser Altersgruppe dürfte zumindest indirekt auch von diesen Vorgaben betroffen sein. Nach Artikel 9 der EU-DSGVO ist auch das Verbot der Erhebung von sensiblen Daten, die beispielsweise politische Meinungen, sexuelle Orientierung oder Zugehörigkeit zu Ethnien umfassen, juristisch festgelegt. VerbraucherInnen erhalten obendrein ein verbessertes Auskunftsrecht, nach welchem WebsitebetreiberInnen auf Nachfrage genau offenlegen müssen, welche Daten erhoben wurden.

Zudem sollen Unternehmen zum Vorteil ihrer Beschäftigten nun alle elektronischen Geräte und Anwendungen von Grund auf so datenschutzfreundlich wie möglich einstellen. Insbesondere bei der Einführung neuer Technologien könnte dies künftig eine wichtige Rolle spielen. Hier sind Organisationen ab Mai verpflichtet im Zweifelsfall eine mehrstufige Datenschutzfolgenabschätzung durchzuführen, in welcher die möglichen Risiken erfasst, bewertet und öffentlich gemacht werden.

Ganz besonders wichtig: Von der neuen Verordnung sind alle Unternehmen und Organisationen betroffen, die ihre Geschäfte und Dienstleistungen in der EU anbieten. Hierzu zählen auch internationale Firmen, deren Sitz im außereuropäischen Ausland liegt. Gerade Global Player wie Facebook, Amazon oder Google, aber auch internationale Organisation, sind hiervon betroffen. Verstöße werden mit deutlich verschärften Bußgeldern geahndet: Bis zu 4% des weltweiten Jahresumsatzes können als Strafmaß eingefordert werden.

Worauf müssen Organisationen nun achten?

Viele wohltätige Organisationen haben die Umstellung auf die neue Verordnung bisher völlig verschlafen. Sind also bisher noch keine entsprechenden Maßnahmen zur Anpassung eingeleitet worden, sollte dies nun so schnell wie möglich in Angriff genommen werden. Ein erster wichtiger Schritt ist die Bestimmung von Datenschutzbeauftragten (sofern noch nicht vorhanden) und die Freisetzung und Einplanung von Ressourcen für den Umbauprozess. In erster Linie geht es hierbei um technische Anpassungen der Website: Jugendschutzmaßnahmen müssen etabliert, Löschungsmöglichkeiten geschaffen und Cookies gemäß den neuen Richtlinien justiert werden. Übersteigt dies die Ressourcen und das Knowhow eines Fundraisers, empfiehlt es sich einen externen Dienstleister aus dem IT-Datenschutz heranzuziehen. Zudem sollte im Zweifelsfall rechtlicher Beistand gesucht werden, welcher die Einhaltung der Richtlinien überprüft und den Umstellungsprozess juristisch betreut. Eine solche Investition ist zwar teuer, vermeidet aber langfristig die Bezahlung empfindlicher Bußgelder. Zudem freuen sich potentielle und bestehende UnterstützerInnen, wenn ein sicherer und vernünftiger Umgang mit ihren Daten garantiert werden kann. Eine Investition in Datenschutzmaßnahmen ist somit auch immer eine Investition in die Seriosität der eigenen Organisation.

Checkliste zur Umsetzung der Datenschutzgrundverordnung:
  • Person für die Anpassung bestimmen
  • Welche personenbezogenen Daten werden gesammelt?
  • Welche Datenanwendungen liegen vor?
  • Zweck der Datenverarbeitung?
  • Liegt eine Einwilligung vor?
  • Werden die Informationspflichten erfüllt?
  • Werden die Betroffenrechte erfüllt?
  • Brauchen Sie einen Datenschutzbeauftragten?
  • Besteht Dokumentationspflicht?
  • Benötigt es eine Datenschutz-Folgeabschätzung?
Sie benötigen mehr Informationen und wollen in die Tiefe gehen? Dann laden wir Sie herzlich zu unserem kostenlosen Webinar am 24.01.2018 ein. Melden Sie sich jetzt an.



Für die beste Funktionalität verwenden wir Cookies. Wenn Sie die Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen