1. Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, und zwar unabhängig davon, ob das betreffende Unternehmen in der EU ansässig ist oder nicht.
2. Die Definition des Begriffs „personenbezogene Daten“ ist dabei keineswegs auf Name, Anschrift oder Ausweisnummer beschränkt. Vielmehr besagt die Verordnung, dass selbst Unternehmen, die lediglich eine Social-Media-Adresse speichern, die sich auf einen EU-Bürger bezieht, unter die neue Regelung fallen können. Der Begriff personenbezogene Daten wird dabei definiert als „alle Informationen, die alleine oder in Verbindung mit anderen Daten genutzt werden könnten, um eine Person zu identifizieren“.
3. Erfüllt Ihr Unternehmen die Vorgaben der Verordnung nicht, sind heftige Bußgelder die Folge. So können bei Verstößen, die sich auf die Bereiche Kontrolle und Beherrschung beziehen, Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden. Bei Verstößen im Bereich Rechte und Pflichten sieht es noch düsterer aus. Hier können bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes eingefordert werden. Dabei greift übrigens stets der jeweils höhere Betrag.
4. Wie die bestehende Regelung unterscheidet auch die neue Verordnung zwischen Datenverantwortlichen und Datenverarbeitern. Datenverantwortlicher ist dabei die Organisation, die den Zweck und die Mittel der Datenverarbeitung vorgibt, während der Datenverarbeiter die entsprechenden Aufgaben lediglich im Auftrag ausführt. Die meisten modernen Unternehmen fallen unter die Kategorie Datenverantwortlicher, und das bedeutet, dass sie ab Mai 2018 verschiedene neue Datenanforderungen zu beachten haben. Aber auch die Datenverarbeiter werden in die Pflicht genommen, und das ist neu. Denn bislang lag die gesamte Verantwortung beim Datenverantwortlichen. So müssen Datenverarbeiter ab Mai 2018 Verstöße gegen das Datenrecht melden und den Datenverantwortlichen benachrichtigen, wenn sie der Ansicht sind, dass eine Anweisung für die Datenverarbeitung nicht regelkonform ist.
5. Die neue Verordnung ist dabei ziemlich anspruchsvoll. Hier die drei wichtigsten Veränderungen:
- Falls Sie in größerem Umfang personenbezogene Daten verarbeiten, müssen Sie einen Datenschutzbeauftragten ernennen.
- Es wird deutlich schwieriger, das Einverständnis des Kunden einzuholen, da dieser der Nutzung seiner Daten aktiv zustimmen muss. Sie als Unternehmen müssen obendrein den Sinn und Zweck der Datenerfassung glasklar definieren.
- Zudem werden Verbraucher mit einigen neuen Rechten ausgestattet. So haben sie künftig das Recht, einfach verständliche Informationen einzufordern, aus denen hervorgeht, welche Daten über sie gespeichert wurden; und sie können verlangen, dass diese Daten korrigiert oder komplett gelöscht werden.