DSGVO kompakt: Das gilt in 2020

Die heute gültige Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft. Mit ihr wurden wichtige datenschutzrechtliche Grundlagen festgelegt, die das bis dahin gültige Bundesdatenschutzgesetz aufhoben. Die datenschutzrechtlichen Grundlagen betreffen den Umgang von Betrieben mit gespeicherten personenbezogenen Daten. Das betrifft nicht nur das Speichern, sondern auch das Nutzen und Verbreiten dieser Daten.

Was ist die Datenschutzgrundverordnung (DSGVO) und was regelt sie?

Auch gewisse Auskunftsrechte sind in dem Gesetz geregelt. So sind Unternehmen beispielsweise dazu verpflichtet, Kunden auf Anfrage Auskunft darüber zu geben, wie ihre Daten im Unternehmen gespeichert und gegebenenfalls auch weitergegeben werden. Diese personenbezogenen Daten können Namen, Geburtstage, Telefonnummern und Adressen sein. Aber auch digitale Datensätze, wie IP-Adressen und Nutzernamen gehören dazu.

Der Ratgeber-Artikel "DSGVO kompakt" dient als Einstieg in die aktuell geltende Datenschutzgrundverordnung und gibt Ihnen einen Überblick darüber, inwiefern Ihr Unternehmen sich an die Anforderungen anpassen sollte und womit Sie am besten anfangen.

Bitte beachten Sie, dass Sie für die Umsetzung der Verordnung selbst verantwortlich sind. Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

Datenschutzgrundverordnung in 2020

Wie betrifft die Datenschutzverordnung kleine Unternehmen?

Die DSGVO betrifft auch kleine Unternehmen, die über eine kleine Datenbank mit Kundendaten verfügen. Bei den Daten kann es sich bei Geburtstagen und Nachnamen um vertrauliche Daten handeln, die unter die DSGVO fallen. Grundsätzlich dürfen Betriebe diese Daten sammeln, sofern sie für die Entstehung des Kundenverhältnisses notwendig sind oder wegen gesetzlicher Vorgaben gespeichert werden müssen. Beispiel: Ein E-Business darf die Daten der Kunden zu Garantiezwecke sowie Finanznachweisen speichern. Ebenso dürfen Vergabestellen im Zuge der eVergabe die eingehenden Angebote sowie Daten der Bieter speichern, um die Angebote zu vergleichen. Kleine und mittlere Unternehmen (KMU) sind somit trotz der geringen Größe von der DSGVO betroffen und müssen sich bei der Bearbeitung personenbezogener Daten an den Richtlinien aus der Datenschutz-Grundverordnung orientieren. Bearbeiten in kleinen Unternehmen weniger als zwanzig Personen die vertraulichen Informationen, wird in der Regel jedoch kein Datenschutzbeauftragter benötigt.

Wie vertraulich sind die gespeicherten Daten?

Regel Nummer 1 der DSGVO im Umgang mit persönlichen Daten ist, dass sie unter keinen Umständen an Dritte weitergegeben werden dürfen - dies gilt sowohl bei großen als auch kleinen Unternehmen! Auch darf zu bereits gespeicherten Daten lediglich eine Person aus dem Betrieb Zugriff haben, dies trifft etwa auf den ausführenden Handwerker zu oder ein bearbeitender Sachbearbeiter nach einem Kauf eines Produktes auf einer E-Marketplaces-Plattform. Dabei untersteht er einem Datengeheimnis. Er hat also sowohl während des Kundenverhältnisses als auch danach eine Schweigepflicht über die erhobenen Daten.

Außerdem dürfen die Daten in der Regel nur so lange gespeichert werden, bis der Auftrag und somit das Kundenverhältnis erledigt ist. Sollten die Daten länger gespeichert werden, muss der Kunde darüber informiert werden und es bedarf einer schriftlichen Genehmigung.

Welche Auskunftsrechte gelten und wer kann davon Gebrauch machen?

Betroffene Personen haben nach Art. 15 Abs. 1 DSGVO das Recht, bei einem Unternehmen anzufragen, ob eigene personenbezogene Daten vorliegen und im Unternehmen verarbeitet werden. Dieser Prozess gliedert sich in zwei Stufen. So muss der Verantwortliche (das Unternehmen) zunächst prüfen, ob überhaupt personenbezogene Daten des Auskunftssuchenden verarbeitet werden. Die betroffene Person muss darüber informiert werden, ob das der Fall ist oder nicht. Die zweite Stufe besteht darin, den betroffenen darüber aufzuklären, welche Daten über ihn wie verarbeitet werden. Das Auskunftsrecht umfasst Angaben über:

  • Verarbeitungszwecke der personenbezogenen Daten
  • Empfänger und Kategorie der Empfänger
  • Speicherdauer und Kriterien der Festlegung
  • Angaben zur Herkunft der Daten, falls diese nicht bei der Person selbst erhoben wurden
  • Informationen zu den Betroffenenrechten bei Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Verarbeitungsvorgänge bei Weitergabe der Daten an Dritte

Die Auskunft kann gemäß Art. 12 Abs. 1 Sätze 2 und 3 DSGVO entweder schriftlich, elektronisch oder mündlich erfolgen. Die Frist, in der die Auskunft erfolgen muss, liegt außerdem bei höchstens einem Monat. Grundsätzlich gilt, dass die Auskunft unverzüglich erfolgen muss. Länger als einen Monat darf sich das Unternehmen nur in begründeten Ausnahmefällen Zeit lassen.

Die Auskunftsleistung erfolgt unentgeltlich. Lediglich bei angeforderten Kopien oder Dokumenten können Verwaltungskosten verlangt werden. In Ausnahmefällen kann der Verantwortliche einen Auskunftsantrag außerdem verweigern. Das ist zum Beispiel bei unbegründeten oder exzessiven Anträgen der Fall.

Wann und warum sind Einverständniserklärungen notwendig?

Grundsätzlich legt die DSGVO fest, dass keine personenbezogenen Daten ohne Benachrichtigung und Einwilligung der betroffenen Personen weitergegeben werden dürfen. Das fängt beispielsweise schon damit an, dass im Betrieb ein Kalender mit allen Geburtstagen der Angestellten im Betrieb aushängt. Da hierdurch im Prinzip schon private, personenbezogene Daten weitergegeben werden, muss von allen betroffenen Angestellten vorher eine schriftliche Einwilligung vorliegen. Das gleiche gilt auch für interne Adress- und Telefonbücher.

Werden personenbezogene Daten länger zur Verarbeitung oder zu Werbezwecken behalten, als vereinbart, muss der Betroffene darüber informiert werden und auch hier sein schriftliches Einverständnis geben. Hier reicht keine kurze Benachrichtigung – es bedarf einer ausführlichen Erklärung darüber, welchem Zweck die Weiterverarbeitung dient und auch, in welchem Umfang die Daten weiterhin verarbeitet werden. Sobald die Person, deren Informationen verwendet werden, eine Löschung der Daten aus der Datenbank wünscht, muss diesem Wunsch Folge geleistet werden.

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter sorgt im Betrieb dafür, dass der Datenschutzgrundverordnung Folge geleistet wird. Unternehmen und Behörden, die regelmäßig mit sensiblen personenbezogenen Daten arbeiten, müssen regelmäßig einen solchen Datenschutzbeauftragten bestellen. Er fungiert im Betrieb als unabhängiges Kontrollorgan, seine Aufgaben sind unter anderem:

  • die Prüfung aller Arbeitsabläufe mit Daten
  • die Überwachung von Prozessen zur Datenschutz-Folgenabschätzung
  • die Schulung von Mitarbeitern in Sachen Datenschutz
  • Zusammenarbeit mit der Aufsichtsbehörde

Stellt er einen Verstoß oder einen problematischen Umgang mit vertraulichen Daten fest, setzt er sich mit der Geschäftsführung in Verbindung und berät darüber, wie damit in Zukunft umgegangen werden sollte.

Unternehmen können selbst entscheiden, ob sie einen Mitarbeiter zum internen Datenschutzbeauftragten ernennen oder ob sie einen externen Experten bestellen. Der Experte kann dabei sowohl eine Organisation als auch eine Person sein. Dies gilt für Unternehmen aus ganz Deutschland, egal ob sich der Firmensitz in Lübeck, Augsburg oder Berlin befindet.

Ab wann ist ein Datenschutzbeauftragter Pflicht?

Anders als in öffentlichen Stellen wie Ämtern und Behörden, wo immer ein Datenschutzbeauftragter bestellt werden muss, gilt das für Unternehmen nicht immer. Die Regelungen dazu, ab wann ein Datenschutzbeauftragter in einem nicht-öffentlichen Unternehmen Pflicht ist, finden sich in Art. 37 der Datenschutzgrundverordnung (DSGVO) und in § 38 des Bundesdatenschutzgesetzes (BDSG).

So ist eine Bestellung dann notwendig, wenn die Haupttätigkeit der Stelle eine regelmäßige und systematische Überwachung der Betroffenen erforderlich machen oder diese Haupttätigkeit darin besteht, besondere Arten von personenbezogenen Daten zu bearbeiten.

Auch die Anzahl der Mitarbeiter ist ausschlaggebend dafür, ob ein Datenschutzbeauftragter gemäß BDSG bestellt werden muss. Die Grundregel besagt, dass der Experte ab einer Menge von zehn Mitarbeitern, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, Pflicht ist.

Welche Strafen und Bußgelder können auf Betriebe zukommen?

Bei schwerwiegenden datenschutzrechtlichen Vergehen sind die nationalen Aufsichtsbehörden dazu verpflichtet, nach der Datenschutzgrundverordnung Bußgelder zu verhängen. Die Bußgelder gehen meist mit anderen Anordnungen, wie zum Beispiel der Aufforderung zur Beendigung bestimmter Vorgänge oder der Löschung von Daten, einher.

Wie werden die Strafen und Höhen der Bußgelder bestimmt?

Um faire und angepasste Strafen zu verhängen, steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung. Ausschlaggebend für die Höhe der Strafe sind unter anderem:

  • welcher Schaden entstand
  • ob das Unternehmen mit Absicht handelte
  • wie viele Personen die Datenschutzverletzung betrifft
  • ob das Vergehen schon einmal vorkam
  • wie lange die Datenschutzverletzung anhielt
  • wie kooperativ der Datenschutzbeauftragte des Unternehmens gehandelt hat

Für besonders schlimme Verstöße nach Art. 83 Abs. 5 DSGVO kann die Geldstrafe bis zu 20 Millionen Euro oder im Falle eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres betragen. Die Behörden wählen immer den höheren der beiden Beträge. Bei kleineren Unternehmen sind auch kleinere Beträge als Bußgelder möglich. Grundsätzlich ist das Ziel der Strafen, die Unternehmen bei schwerwiegenden Fehlern abzuschrecken und so erneute Vergehen zu verhindern.

Um möglichen Strafen aus dem Weg zu gehen und auf der sicheren Seite zu sein, sollte man als Unternehmen immer ordentlich prüfen lassen, ob der Datenschutz in allen Bereichen zureichend eingehalten wird. Bei der Frage, ob Anpassungen und Änderungen in manchen Bereichen notwendig sind, sollte ein Anwalt konsultiert werden. Geeignete Fachanwälte finden sich vor allem in Metropolen wie Köln, Düsseldorf und Hamburg.

Erweiterung um ePrivacy-Verordnung

Als Entwurf liegt neben der bereits bestehenden Grundverordnung außerdem noch die sogenannte ePrivacy-Verordnung vor. Sie soll die DSGVO um weitere Regelungen rund um die elektronische Kommunikation ergänzen und das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) größtenteils ablösen. Bis Ende 2020 wird der Entwurf voraussichtlich im EU-Rat diskutiert. Vor 2021 oder sogar 2022 wird die Verordnung allerdings nicht in Kraft treten.

Betroffen sind von der Erweiterung elektronische Kommunikationsvorgänge wie zum Beispiel das Versenden von Werbemails und die Verarbeitung von personenbezogenen und auch nicht personenbezogenen Daten. Auch die bekannten Cookies, die die Nutzer von Websites derzeit noch zulassen oder annehmen können, werden nach der neuen Verordnung nicht mehr so problemlos möglich sein. Als Cookies bezeichnet man Textinformationen, die von einem Internetbrowser über den Nutzer gesammelt werden. Sie dienen dem Browser dazu, den Nutzer wiederzuerkennen und Inhalte, wie zum Beispiel die Werbung im Onlinemarketing von Onlineshops an sie anzupassen.

Bestehendes Verfahren zu ePrivacy um Unternehmen Planet49

Um solche Cookies im Web geht es auch in einem aktuellen Fall rund um das Glückspiel-Unternehmen Planet49. So ist es auf Websites oft der Fall, dass die Aufforderung an den Nutzer, die Cookies zu akzeptieren, schon mit einem aktiven Haken voreingestellt ist. Mit nur einem Knopfdruck auf „Akzeptieren“ willigt der Nutzer ein, dass Cookies gesammelt werden. So auch auf der Website von Planet49. Um der Sammlung von Cookies zu widersprechen, muss der Nutzer die Vorauswahl zunächst auf „nicht akzeptieren“ umändern und dann bestätigen.

2013 wurde das Unternehmen deshalb vom deutschen Bundesverband der Verbraucherzentralen (VZBV) auf Unterlassung verklagt. Statt der Möglichkeit, das voreingestellte Häkchen wieder zu entfernen (Opt-Out-Verfahren), sollte das entsprechende Kästchen eigentlich leer sein, damit der Nutzer selbst den Haken bei „akzeptieren“ oder eben „nicht akzeptieren“ setzt (Opt-In-Verfahren).

2014 folgte dann die Verurteilung zur Zahlung von Abmahnkosten und zur Unterlassung durch das Landgericht Frankfurt am Main. Danach hatten die Angeklagten allerdings Erfolg mit einer Berufung und beide Parteien legten die vom Oberlandesgericht in Frankfurt am Main zugelassene Revision ein.

Im Oktober 2019 beantwortete der Europäische Gerichtshof (EuGH) dann allerdings einige offene Fragen, die der Bundesgerichtshof in Karlsruhe 2017 an ihn weiterleitete. So sieht der Europäische Gerichtshof die bisherige Regelung der Planet49 GmbH mit dem Opt-Out-Verfahren datenschutzrechtlich als nicht ausreichend an. “Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers“, heißt es vom EuGH. Die Betonung liegt hierbei auf dem Wort „aktiv“. Eine bereits voreingestellte Checkbox mit einem Haken an der richtigen Stelle reiche hier nicht aus.

In dem Urteil heißt es außerdem: “Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten […] keine Einwilligung darstellen.” Am 28. Mai 2020 hat der Bundesgerichtshof die Revision daher zurückgewiesen und das Berufungsurteil und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Um Strafen oder sogar Klagen vorzubeugen, sollte auf einer eigenen Website daher unbedingt darauf geachtet werden, den Nutzer aktiv dazu aufzufordern, der Sammlung von Cookies entweder zuzustimmen oder sie abzulehnen.

Häufige Fragen zur DSGVO

Was ist die DSGVO?

Bei der DSGVO handelt es sich um eine Verordnung der EU, die erstmalig einen einheitlichen Datenschutzstandard für die gesamte EU darstellt. Sie soll den europäischen Datenschutz vereinfachen, da zuvor in den verschiedenen Mitgliedsstaaten unterschiedliche Datenschutzverordnungen galten.

Was regelt die Datenschutz-Grundverordnung?

Mit der DSGVO wird die Verarbeitung personenbezogener Daten natürlicher Personen durch andere natürliche Personen, Unternehmen oder Organisationen innerhalb der EU geregelt.

Die Verordnung ist nicht für die Verarbeitung personenbezogener Daten von Verstorbenen oder juristischen Personen zuwenden; auch die Datenverarbeitung im persönlichen Bereich ist von der DSGVO ausgenommen.

Für wen gilt die Datenschutz-Grundverordnung?

Die DSGVO gilt für alle Unternehmen und Einrichtungen, die personenbezogene Daten in der EU verarbeitet. Dies gilt sowohl für große Konzerne als auch für ein kleines oder mittleres Unternehmen (KMU). Auch Unternehmen außerhalb der EU sind an die Datenschutz-Grundverordnung gebunden, wenn sie Waren und Dienstleistungen in der EU anbieten. Sie gilt sowohl im B2C- als auch im B2B-Bereich.

Seit wann gilt die DSGVO?

Beschlossen wurde die Datenschutz-Grundverordnung bereits am 14. April 2016 vom EU-Parlament, bereits am 25. Mai 2016 trat die Verordnung auch in Kraft. Die Verbindlichkeit für alle EU-Staaten trat jedoch erst zwei Jahre später am 25. Mai 2018 in Kraft.

Ab wann ist ein Datenschutzbeauftragter nötig?

Sobald im Unternehmen mindestens 20 Personen personenbezogene Daten im Unternehmen verarbeiten, ist gemäß § 38 Abs. 1 Satz 1 BDSG ein Datenschutzbeauftragter zu benennen. Der Datenschutzbeauftragte kann sowohl im Unternehmen selbst beschäftigt sein als auch eine externe Person formen. Auch Organisationen können als Datenschutzbeauftragter fungieren.

Abonnieren Sie den ibau Newsletter und verpassen Sie nichts mehr

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich. Bitte bestätigen Sie noch Ihre E-Mail Adresse über unsere Bestätigungs-E-Mail, damit wir Ihnen zukünftig Informationen per E-Mail zusenden können.

Ich möchte regelmäßig über Inhalte, Services und Produkte der ibau GmbH per E-Mail informiert werden. Diese Einwilligung kann ich jederzeit widerrufen. Nach Bestätigung Ihrer E-Mail Adresse erhalten Sie zukünftig unseren ibau Newsletter zu den von Ihnen ausgewählten Themengebieten. Näheres erläutert der Datenschutzhinweis.


Abschließender Hinweis

Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen und personenbezogenen Hauptwörtern auf dieser Website die männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.

Jacqueline Segeth - Redakteurin bei der ibau GmbH
Jacqueline Segeth

Jacqueline Segeth war von Februar 2019 bis April 2021 bei der ibau GmbH in Münster tätig. Als Redakteurin recherchierte und verfasste sie Ratgeber- und Glossarartikel für unsere Onlinemagazine. Ihre vielseitige und strukturierte Schreibweise erlaubt es ihr, Inhalte verschiedener Themenbereiche strukturiert und verständlich aufzubereiten.