Die DSGVO betreffen personenbezogene Daten – Name, Adresse, Geburtsdatum, Bankdaten, etc. sowie sensible Daten wie Fingerabdruck, Iris-Scan, Krankengeschichte oder sexuelle Ausrichtung. Doch auch Kontaktdaten – etwa in CRM-Programmen oder Adressdateien für Kundeninfo-Mails – gehören dazu.

Wirklich neu und nicht zu unterschätzen ist die von der DSGVO sehr stark geforderte Eigenverantwortung der Unternehmen. Diese müssen in der Regel selbst entscheiden, welche Maßnahmen sie aus rechtlicher, organisatorischer und technischer Sicht treffen, um ein möglichst hohes Niveau des Datenschutzes und der Datensicherheit herzustellen.

Die Verantwortlichen (das sind jene, die über die Mittel und Zwecke der Datenverarbeitung entscheiden) und die Auftragsverarbeiter (das sind jene, die die Daten im Auftrag der Verantwortlichen verarbeiten) sind gegenüber den betroffenen Personen, deren Daten verarbeitet werden, dafür verantwortlich, dass deren Daten nur rechtmäßig und den Bestimmungen der DSGVO entsprechend verarbeitet werden.

Es kann sehr teuer werden! Bei Verstößen gegen die DSGVO können Geldbußen von bis zu 20 Millionen Euro (bzw. bis zu 4 % des weltweiten Umsatzes) verhängt werden. Die betroffenen Personen, deren Datenschutzrechte verletzt worden sind, können von Verantwortlichen und Auftragsverarbeitern auch immateriellen Schadenersatz fordern.

Auch dort, wo von der DSGVO kein Datenschutzbeauftragter zwingend vorgeschrieben ist, wird die Bestellung eines solchen sinnvoll sein. Die Einhaltung der umfangreichen Verpflichtungen der DSGVO für Verantwortliche erfordert auch ein ausgefeiltes Dokumentationssystem, beispielsweise zum Nachweis der Zustimmungserklärungen.

Das wird je nach Unternehmen sehr unterschiedlich sein. In der Regel wird man im unternehmerischen Geschäftsleben aber mit der Erstellung einer Kundendatei, der Aufnahme der Daten zur Erstellung einer Rechnung oder der Erstellung einer Mitarbeiterdatenbank zu tun haben. Künftig müssen Sie nachweisen, wie Sie diese Daten speichern, verarbeiten – und dass Sie diese Daten nur mit Zustimmung der Betroffenen in gewissen Fällen weitergeben dürfen.
Im ersten Schritt müssen Sie im Unternehmen feststellen, welche Daten zu welchen Zwecken auf welcher Rechtsbasis erhoben werden. Achtung: Eine Verarbeitung ohne rechtliche Grundlage ist streng untersagt! Die wichtigsten rechtlichen Grundlagen sind die Zustimmungserklärung der betroffenen Person und die Erforderlichkeit der Datenverarbeitung für die Vertragserfüllung. Der nächste Schritt ist die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten. Hier muss jede Verarbeitungstätigkeit erfasst werden, beispielsweise auch die Speicherung von Daten am Diensthandy.

Der Unternehmer, der Kundendaten (von natürlichen Personen) zur Erstellung einer Rechnung an den Kunden erfasst, ist „Verantwortlicher“. Der externe Buchhalter, der die Rechnungsdaten für die Bilanzerstellung von diesem Unternehmer erhält und verarbeitet, ist „Auftragsverarbeiter“. Weitere Beispiele für den „Auftragsverarbeiter“: Rechenzentrum, Lohnverrechner, Cloud-Anbieter, etc. Etwas legistischer formuliert:  Als „Verantwortlichen“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.

Entscheidend ist, dass die Zustimmung zur Datenverarbeitung („Einwilligung“) von der betroffenen Person auf freiwilliger Basis gegeben wird. Diese Einwilligung kann schriftlich, elektronisch oder mündlich erfolgen, beispielsweise durch Anklicken eines Kästchens auf einer Website. Achtung: Sollte keine Rückmeldung vorliegen („Stillschweigen“), so gilt die Einwilligung nicht. Ebenso nicht bei bereits vorangekreuzten Kästchen. Die „ausdrückliche“ Einwilligung ist jedoch nur bei der Verarbeitung von sensiblen Daten erforderlich, etwa Gesundheits- oder biometrische Daten.

Ja, in der täglichen Praxis ist die „Vertragserfüllung“ eine sehr gute Rechtsgrundlage für die Verarbeitung (z.B. bei einer Bestellung sind alle nötigen Schritte der Abwicklung erlaubt, auch ohne zusätzliche Einwilligung). Diese Rechtsgrundlage ist solide und benötigt wenig Administration.

Die Zweckbestimmung ist das Rückgrat der DSGVO. Sie besagt, dass Daten nur für einen oder mehrere bestimmte Zwecke verarbeitet werden dürfen, beispielsweise für eine Bestellung. Andere Zwecke, wie Marketingaktivitäten, sind daher von der Verwendung ausgeschlossen. Eine weitere bzw. sekundäre Nutzung von Daten widerspricht der Zweckbindung. Es sei denn, es liegt eine ausdrückliche Einwilligung der Personen vor, auf die sich die Daten beziehen.