Die DSGVO kommt: Sind Sie vorbereitet?

Die Europäische Datenschutzgrundverordnung naht: Ab dem 25. Mai gelten die neuen Regeln für die Datenverarbeitung. Knapp einen Monat Zeit haben Unternehmen also noch, um sich vorzubereiten. Auch wir als Digitalagentur beschäftigen uns mit dem Thema, denn schließlich ist der Großteil unserer Kunden betroffen: Schon wer Google Analytics einsetzt, um das Nutzerverhalten auf seiner Webseite zu tracken, sollte sich über die Änderungen informieren. Nasanin Bahmani, Geschäftsführerin des Münsteraner Datenschutz-Beratungsbüros bc-digital, fasst zusammen, worauf jetzt zu achten ist.

 

Diee DSGVO kommt! Sind Sie vorbereitet?

 

Es ist in aller Munde und es gibt kaum ein deutsches Unternehmen, welches noch nicht über die anstehende EU-DSGVO informiert worden ist. Ab dem 25. Mai 2018 gelten EU-weit einheitliche Regeln für die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen.

In Kraft getreten ist die Datenschutzgrundverordnung bereits am 25. Mai 2016. Zur Anwendung kommt sie allerdings nach Ende der Übergangsfrist, zwei Jahre später, sprich am 25. Mai 2018. Alle Unternehmen hatten daher zwei Jahre Zeit, sich auf das neue Gesetz einzustellen und Maßnahmen zur Einhaltung zu ergreifen. Dennoch werden nach Schätzungen am Stichtag nur 20% der deutschen Unternehmen datenschutzkonform sein und Anpassungen durchgeführt haben.

Die Ziele der DSGVO bestehen darin, personenbezogene Daten innerhalb der Europäischen Union besser zu schützen und Betroffenen mehr Rechte zu geben. Gleichzeitig soll der freie Datenverkehr ermöglicht werden. Die Verordnung gilt für alle Mitgliedsstaaten, lässt aber an einigen Stellen durch sogenannte Öffnungsklauseln Raum für Sonderregelungen auf nationaler Ebene.

 

Die wichtigsten Fragen und Antworten zur DSGVO

Ich habe Ihnen einige der wichtigsten Punkte, die auf Unternehmen zukommen, zusammengefasst:

 

Für welchen Anwendungsbereich gilt die DSGVO?

Der Anwendungsbereich der Verordnung wird auf alle Verarbeitungen, die sich an EU Bürger richten, ausgeweitet. So gilt die DSGVO bspw. auch dann, wenn ein Unternehmen, das seinen Sitz nicht in der EU hat, in einem Online-Shop Waren an EU-Bürger verkauft.

Was versteht man unter personenbezogenen Daten?

Personenbezogene Daten sind Informationen, die sich auf eine natürliche Person beziehen und so Rückschlüsse auf deren Persönlichkeit erlauben. Auch IP-Adressen und biometrische Daten sind personenbezogene Daten und fallen daher unter die EU-DSGVO. Dies hört sich sehr abstrakt an, aber zu biometrischen Daten gehören z. B. auch Fotos Ihrer Mitarbeiter.

Wann dürfen personenbezogene Daten verarbeitet werden?

Personenbezogene Daten dürfen nur verarbeitet werden, wenn die betroffene Person eindeutig und freiwillig ihr Einverständnis dazu erteilt. Dies kann beispielsweise durch Anklicken eines Kästchens erfolgen.

Keine rechtmäßige Einwilligung sind u. a.

  • stillschweigendes Einverständnis
  • durch den Webseitenbetreiber bereits angeklickte Kästchen
  • Untätigkeit des betroffenen EU-Bürgers.

Der betroffenen Person muss genau dargelegt werden, wofür ihre Daten verwendet werden, wer Zugriff darauf hat und wie lange die Daten gespeichert werden. Die Einwilligung ist sonst nicht zulässig. Diese Erläuterung muss in einer angemessen Sprache und klar verständlich sein. Es kann daher kein Juristendeutsch verwendet werden, das die betroffene Person nicht versteht.

Die Daten dürfen nur zu dem Zweck, für den die Einwilligung besteht, verarbeitet werden.

EU-Bürger können ihre Einwilligung bzgl. der Verarbeitung ihrer Daten einfacher widerrufen. Dies muss jederzeit und ohne Begründung möglich sein. Das Widerspruchsrecht wird ebenfalls erweitert: Betroffene können einzelnen Zwecken der Datenverarbeitung widersprechen, z. B. Profiling oder Direktmarketing.

 

Welche neuen Pflichten kommen auf Unternehmen zu?

Das Kopplungsverbot ist strenger als bisher: Der Abschluss eines Vertrages darf nicht davon abhängig gemacht werden, ob eine Einwilligung zur Datenverarbeitung erteilt worden ist, soweit dies für den Vertrag nicht erforderlich ist.

Informations- und Auskunftspflichten

Unternehmen und Behörden haben mehr Informations- und Auskunftspflichten: Der betroffene EU-Bürger hat u. a. das Recht zu erfahren, auf welche Rechtsgrundlage sich die Datenverarbeitung stützt und wie lange die Daten gespeichert werden sollen. Falls letzteres nicht möglich ist, reichen auch Informationen über die Kriterien zur Festlegung der Dauer.

Personenbezogene Daten, die jemand selbst zur Verfügung gestellt hat, müssen ihm auf Anfrage in einem gängigen, elektronischen Format wieder bereitgestellt werden.

Löschpflicht

Die Löschpflicht bzgl. der Weitergabe von Daten an Dritte wird erweitert: Unternehmen und öffentliche Stellen, die Daten an Dritte weitergegeben haben, müssen diese über falsche oder veraltete Daten informieren.

Dokumentationspflicht

Der Auftragsverarbeiter hat eigene Dokumentationspflichten und haftet bei Datenpannen unter Umständen sogar selbst auf Schadensersatz.

Unternehmen und Behörden müssen die Risikoeinschätzung dokumentieren. Eine Datenschutz-Folgenabschätzung ist für besonders risikoreiche Datenverarbeitungen vorgeschrieben und erfordert eine detaillierte Protokollierung der Risikoabwägung.

Datenverluste und Vorfälle, die ein Risiko für Rechte und Pflichten darstellen, müssen innerhalb von 72 Stunden gemeldet werden. Darüber hinaus muss auch der Betroffene sofort über die Datenpanne informiert werden, wenn sie voraussichtlich ein hohes Risiko bringt.

 

Die DSGVO kommt. Sind Sie vorbereitet?

 

Was die neue Verordnung für Sie als Unternehmen bedeutet

Sie müssen sich auf die Änderungen vorbereiten, indem Sie Ihr Datenschutzmanagement bis zum 25. Mai 2018 an die Vorgaben der DSGVO anpassen. Dabei muss jedes Unternehmen die Lösungen individuell erarbeiten, da sich Datenverarbeitungsvorgänge in der Praxis stark unterscheiden.

Die Neuerungen betreffen u. a. Datenschutz- und Einwilligungsklärungen, Betriebswerkvereinbarungen, Widerspruchsprozesse und die Dokumentation der Datenverarbeitung. Der Aufwand für die Umstellung kann von Unternehmen zu Unternehmen sehr unterschiedlich ausfallen und dies sollte nicht unterschätzt werden.

Die Neuerungen der DSGVO betreffen u. a. Datenschutz- und Einwilligungsklärungen, Betriebswerkvereinbarungen, Widerspruchsprozesse und die Dokumentation der Datenverarbeitung. #dsgvo #datenschutz #DatenschutzGrundverordnung #euf Klick um zu Tweeten

Die Einhaltung der neuen Richtlinien ist ab dem 25. Mai 2018 durch die EU-Datenschutzbehörden und Gerichte überprüfbar, Verstöße können sanktioniert werden. Und zwar mit hohen Geldbußen: Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt – muss ein Unternehmen bei einem Verstoß zahlen.

Als Datenschutzbeauftragte freue ich mich natürlich darüber, dass die Rechte von Verbrauchern gestärkt werden. Es ist immer sinnvoll, mit den eigenen Daten sorgsam umzugehen und darauf zu achten, dass Unternehmen und Behörden sich an die Vorgaben zur Datenverarbeitung halten. Bei der Umsetzbarkeit sehe ich jedoch einige Herausforderungen, auf die Unternehmen sich unbedingt gut vorbereiten sollten.

Ich denke aber auch, Datenschutz muss machbar, verhältnismäßig und für Mitarbeiter und Geschäftsführung verständlich sein, sonst halten sich diese nicht daran. Es lohnt sich deshalb, mit einem professionellen Datenschutzbeauftragten ein individuelles Konzept zu erstellen und alle Mitarbeiter in Bezug auf die Änderungen schulen zu lassen. Nur so kann ein richtiger Datenschutz umfassend und für alle, auch für kleine Unternehmen, durchführbar sein.

 

 

Schlagwörter: ,

Über den Autor

Nasanin Bahmani
Nasanin Bahmani
Geschäftsführerin von bc-digital, Datenschutz-Beratungsbüro aus Münster

keine Kommentare

Hinterlassen Sie einen Kommentar

Cookie-Einstellung

Wir würden uns freuen, wenn Sie uns die Möglichkeit geben, ein paar anonymisierte Daten zu sammeln. Bitte treffen Sie eine Auswahl. Weitere Informationen zu den Auswirkungen Ihrer Auswahl finden Sie unter Hilfe.

Treffen Sie eine Auswahl um fortzufahren

Ihre Auswahl wurde gespeichert!

Hilfe

Hilfe

Um fortfahren zu können, müssen Sie eine Cookie-Auswahl treffen. Nachfolgend erhalten Sie eine Erläuterung der verschiedenen Optionen und ihrer Bedeutung.

  • Alle Cookies und iframes (Google Maps und YouTube) zulassen:
    Jedes Cookie wie z.B. Tracking- und Analytische-Cookies. Wir setzen Google Analytics und den Facebook Pixel ein. Alle iframes wie z.B. Google Maps und YouTube werden direkt geladen.
  • Keine Tracking Cookies und iframes (Google Maps und YouTube) zulassen:
    Es werden nur technisch notwendige Cookies gesetzt. Auch alle eingebundenen iframes wie z.B. Google Maps und YouTube werden unterbunden und müssen per Klick aktiviert werden.

Sie können Ihre Cookie-Einstellung jederzeit hier ändern: Datenschutzerklärung.

Zurück