Am 25. Mai 2018 tritt sie in allen Mitgliedstaaten der Europäischen Union in Kraft. Die DSGVO betrifft alle Unternehmen, die innerhalb der EU personenbezogene Daten verarbeiten.
Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit einschränken, gibt es nicht. Das heißt: Die DSGVO gilt grundsätzlich für den Einzelhändler und den DAX-Konzern genauso wie für den Bäcker mit fünf Angestellten.
Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit einschränken, gibt es nicht. Das heißt: Die DSGVO gilt grundsätzlich für den Einzelhändler und den DAX-Konzern genauso wie für den Bäcker mit fünf Angestellten.
Bis zu 20 Millionen Euro Bußgeld
Am auffälligsten an der DSGVO ist die Verschärfung des Sanktionsrahmens und die potenziellen Bußgelder. Wurden bisher für schwerwiegende Verstöße gegen den Datenschutz max. 300.000 Euro verhängt, drohen nun bis zu 20 Millionen Euro.
Da die Behörden bereits angekündigt haben, diesen Rahmen auch ausschöpfen zu wollen, ist es auch für KMU essentiell sich mit den Auswirkungen des neuen Datenschutzrechts zu befassen.
Da die Behörden bereits angekündigt haben, diesen Rahmen auch ausschöpfen zu wollen, ist es auch für KMU essentiell sich mit den Auswirkungen des neuen Datenschutzrechts zu befassen.
Ziele und Grundlagen der DSGVO
Die Datenschutz-Ziele der DSVGO in der Übersicht – Zum Vergrößern bitte klicken:
Oberster Grundsatz des alten wie neuen Datenschutzrechts ist das Verbotsprinzip: Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt wurde („Verbot mit Erlaubnisvorbehalt“).
Es muss also eine Rechtfertigung vorliegen. Diese kann sich aus einem Vertrag mit der betroffenen Person ergeben. Der Betreiber eines Online-Shops darf zum Beispiel die Adressdaten des Kunden an einen Logistikdienstleister weitergeben, damit die Ware ausgeliefert werden kann.
Diese Rechtfertigung reicht aber stets nur soweit, wie dies zur Vertragserfüllung erforderlich ist, d. h. eine Bonitätsprüfung ist zum Beispiel schon nicht mehr inbegriffen.
Zudem gibt es deutlich höhere Anforderungen an die freiwillige Einwilligung. Dies betrifft insbesondere die Frage, wann die Einwilligung mit dem Vertragsschluss verbunden wird. Das neue Recht verbietet für bestimmte Umstände eine Kopplung von Einwilligung mit Vertragsschluss. Außerdem sollen für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden. Die Einzelheiten sind unklar, was erhebliche Unsicherheiten mit sich bringt.
Alte Einwilligungen gelten nur (aber immerhin) dann weiterhin, wenn sie im Wesentlichen den Anforderungen der DSGVO entsprechen. Zweifelhaft ist das insbesondere, wenn die Einwilligung – was bisher zulässig war – an den Abschluss des Vertrages geknüpft war.
Es muss also eine Rechtfertigung vorliegen. Diese kann sich aus einem Vertrag mit der betroffenen Person ergeben. Der Betreiber eines Online-Shops darf zum Beispiel die Adressdaten des Kunden an einen Logistikdienstleister weitergeben, damit die Ware ausgeliefert werden kann.
Diese Rechtfertigung reicht aber stets nur soweit, wie dies zur Vertragserfüllung erforderlich ist, d. h. eine Bonitätsprüfung ist zum Beispiel schon nicht mehr inbegriffen.
Zudem gibt es deutlich höhere Anforderungen an die freiwillige Einwilligung. Dies betrifft insbesondere die Frage, wann die Einwilligung mit dem Vertragsschluss verbunden wird. Das neue Recht verbietet für bestimmte Umstände eine Kopplung von Einwilligung mit Vertragsschluss. Außerdem sollen für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden. Die Einzelheiten sind unklar, was erhebliche Unsicherheiten mit sich bringt.
Alte Einwilligungen gelten nur (aber immerhin) dann weiterhin, wenn sie im Wesentlichen den Anforderungen der DSGVO entsprechen. Zweifelhaft ist das insbesondere, wenn die Einwilligung – was bisher zulässig war – an den Abschluss des Vertrages geknüpft war.
Beispiele aus der Praxis
Allgemeine Kundedaten
Alle Daten, die zu einem Kunden gespeichert werden, haben einen Personenbezug. Selbst wenn der Kunde noch in der Akquisephase ist und sich nur für ein bestimmtes Produkt interessiert, ohne es zu kaufen, sind diese Daten genauso personenbezogen, wie die Zahlungsfrist oder die Zahl (und der Inhalt) der Mahnungen, die versandt wurden.
Für jedes einzelne Datum muss geprüft werden, ob ein Rechtfertigungsgrund besteht und wenn ja, wie lange. So besteht beispielsweise kein Grund, eine Kaufabsicht für ein konkretes Produkt ewig zu speichern. Je nach Investment muss diese Information schon wenige Wochen später wieder gelöscht werden.
Die Auftragshistorie darf dagegen länger – im Zweifel bis zum Ablauf der jeweiligen Verjährungsfrist – gespeichert werden. So ist für jedes einzelne Datum eine Löschfrist zu ermitteln. Kreditkartendaten dürfen in aller Regel nur mit zusätzlicher Einwilligung des Kunden gespeichert werden.
Für jedes einzelne Datum muss geprüft werden, ob ein Rechtfertigungsgrund besteht und wenn ja, wie lange. So besteht beispielsweise kein Grund, eine Kaufabsicht für ein konkretes Produkt ewig zu speichern. Je nach Investment muss diese Information schon wenige Wochen später wieder gelöscht werden.
Die Auftragshistorie darf dagegen länger – im Zweifel bis zum Ablauf der jeweiligen Verjährungsfrist – gespeichert werden. So ist für jedes einzelne Datum eine Löschfrist zu ermitteln. Kreditkartendaten dürfen in aller Regel nur mit zusätzlicher Einwilligung des Kunden gespeichert werden.
Konkret in der Warenwirtschaft
Wenn Unternehmen für ihre Warenwirtschaft auf eine Softwarelösung setzen, verarbeiten sie damit automatisch personenbezogene Kunden- und Lieferantendaten mit dieser Software. Es ist essenziell, dass die Software den Anforderungen der DSGVO gerecht wird. So müssen hinreichende technische (und organisatorische) Maßnahmen einen ausreichenden Datenschutz gewährleisten.
Wie Sie die SelectLine Software (ab Version 17.4) optimal einsetzen, um den Anforderungen der EU-DSGVO und des BDSG an die Speicherung personenbezogener Daten gerecht zu werden, stellen wir Ihnen gerne in einer praxisgerechten Themen-Schulung vor. Kontaktieren Sie dafür die schulung@selectline.de mit Ihrer Themenvorstellung.
Beachten Sie bitte: Der Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Internetauftritts zur Verfügung gestellten Informationen werden nach Möglichkeit vollständig und aktuell gehalten.
Wie Sie die SelectLine Software (ab Version 17.4) optimal einsetzen, um den Anforderungen der EU-DSGVO und des BDSG an die Speicherung personenbezogener Daten gerecht zu werden, stellen wir Ihnen gerne in einer praxisgerechten Themen-Schulung vor. Kontaktieren Sie dafür die schulung@selectline.de mit Ihrer Themenvorstellung.
Beachten Sie bitte: Der Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Internetauftritts zur Verfügung gestellten Informationen werden nach Möglichkeit vollständig und aktuell gehalten.
