DSGVO: Neue Datenschutzverordnung in der Praxis

Über eine grundlegende Neuausrichtung der EU-Datenschutz-Grundverordnung (DSGVO) hatten wir bereits 2016 berichtet. Nun wird es für die Unternehmen ernst: Die Übergangsfrist von zwei Jahren ist bald vorbei und die neue Datenschutzverordnung tritt im Mai nächsten Jahres (Stichtag: 25.5.2018) vollständig in Kraft.

Betroffen sind alle Unternehmen unabhängig ihrer Größe und Branche, die in der EU ansässig sind oder auch nur Daten von EU-Bürgern verarbeiten.

Wer bis dato noch keine Vorkehrungen zur Einhaltung der neuen Richtlinien getroffen hat, sollte also schnellstmöglich handeln. Die Verletzung oder Nichtbeachtung des Datenschutzes kann schließlich fortan mit einem Bußgeld von bis zu vier Prozent des Jahresumsatzes und Abmahnungen geahndet werden. Es ist somit eine besondere Sorgfalt geboten.

Datenschutz wird zur Chefsache – 3 Meilensteine

1. Meilenstein: Organisation

Verstöße gegen die neue Datenschutzverordnung sind fortan kein Kavaliersdelikt mehr. Alle Firmen ab 10 Mitarbeitern benötigen einen Datenschutzbeauftragten. Dies kann sowohl ein entsprechend qualifizierter Mitarbeiter sein, oder ein externer Dienstleister. Fortbildende Seminare zum zertifizierten Datenschutzbeauftragten sind daher eine mögliche Alternative zum externen Datenschutzexperten.

Des Weiteren ist neben der Schulung und Sensibilisierung Ihrer Mitarbeiter durch einen Datenschutzbeauftragten eine entsprechende Verfahrensdokumentation bereitzustellen. Letztere sollte immer dem aktuellen Stand entsprechen, sachlich korrekt und für jedermann einsehbar sein.

2. Meilenstein: Im Ernstfall

Tritt tatsächlich der Super-GAU ein und es wird eine Datenschutzverletzung festgestellt, ist ein schnelles Handeln erforderlich. Innerhalb von 72 Stunden nachdem eine Datenschutzverletzung festgestellt wurde, ist die zuständige Aufsichtsbehörde zu informieren sowie die Betroffenen, wenn absehbar ist, dass ein hohes Missbrauchsrisiko besteht.

3. Meilenstein: Stand der Technik

Um Benutzerdaten zu verwalten und archivieren, setzen wir verstärkt Software und IT-Systeme ein. Die Technologie dazu soll laut DSVGO einem aktuellen Stand entsprechen. Das bedeutet, die eingesetzte Technik sollte weder veraltet sein und sich in der Praxis bewährt haben. Schließlich muss auf Grund der gesetzlichen Aufbewahrungsfristen dafür Sorge getragen werden, dass die Daten auch in einem Zeitrahmen von bis zu 10 Jahren rückwirkend abrufbar sind.

Wir haben des Weiteren im Folgenden die wichtigsten inhaltlichen Kriterien der DSVGO  zusammengefasst:

Auskunftsrecht (Art. 15 DSGVO)

Prinzipiell kann jeder Betroffene, der mit Ihrem Unternehmen interagiert (hat) jederzeit sein Auskunftsrecht wahrnehmen. Konkret bedeutet dies, er kann erfragen, ob und welche Daten Sie zu welchen Zwecken verarbeiten und an wen diese ggf. an Dritte weitergegeben werden. Bei besonders großen Unternehmen, z.B. Facebook oder anderes Soziales Netzwerk, kann er außerdem eine Kopie seiner Daten einfordern.

Da man selbst aber nicht ungeprüft Auskünfte an Unbekannte erteilen darf, ist vor der Weitergabe von Daten immer eine vorherige Identitätsprüfung erforderlich. Vergewissern Sie sich zuvor immer, ob bei einer Auskunftsanfrage tatsächlich die Daten an den Antragssteller herausgegeben werden dürfen.

Unter Umständen kann das Zusammentragen der Personendaten mit relativ viel Aufwand behaftet sein. Leider dürfen Sie diese Aufwandskosten dem Antragssteller nicht in Rechnung stellen. Betroffene dürfen ihre Rechte immer kostenlos in Anspruch nehmen.

Berichtigungsrecht (Art. 16 DSGVO)

Bei unrichtigen und unvollständigen Daten können Antragssteller eine Korrektur ihrer Daten einfordern. Auf Wunsch müssen Sie ggf. auch zusätzliche Daten wie eine Bonitätsprüfung (aktuelle SCHUFA-Auskunft) entsprechend berücksichtigen.

Recht auf Löschung und Einschränkung der Verarbeitung von Daten (Art. 17/18 DSGVO)

Sobald ein Antragssteller Sie bittet, seine Daten vollständig zu löschen oder die Zustimmung zu Datenverarbeitung widerruft, müssen Sie seinem Wunsch entsprechen. Dies gilt auch dann, wenn die Datenverarbeitung „nur“ eingeschränkt oder ausgesetzt werden soll.

Ein Recht auf Vergessen sieht überdies vor, dass bei Bedarf veraltete Daten Ihres Kunden oder Lieferanten aus der Historie entfernt werden. Dieser Reputationsschutz soll Unternehmen oder Personen dazu diesen, sich in der vernetzten Gesellschaft neu auszurichten.

Recht auf Löschung und Einschränkung der Verarbeitung von Daten (Art. 20 DSGVO)

Grundsätzlich haben alle Nutzer das Recht, die Herausgabe ihrer Daten in einem maschinenlesbaren Format zu verlangen. Betroffen hiervon sind vor allem diejenigen Daten, die auf Grundlage eines Vertrages mitgeteilt wurden. Die Datenauswertung eines Nutzerprofils eines Online-Profils bleibt hiervon daher ausgeschlossen.

Bei großen Institutionen und Unternehmen kann darüber hinaus der Betroffene eine Exportfunktion zur Datenübermittlung einfordern.

Informationspflichten und Datenschutzerklärungen (Art. 13/14 DSGVO)

Grundlegend müssen Sie allen Betroffenen offen legen, in welcher Form sie ihre Daten weiterverarbeiten. Dies geschieht bei Online-Angeboten und Websites in der Regel bereits über eine Datenschutzerklärung. Alle Angaben innerhalb dieser Datenschutzerklärungen sollten möglichst präzise, transparent und verständlich sein.

Sind Drittanbieter wie Newsletterversanddienste oder Suchmaschinendienste Bestandteil der Online-Präsenz ist eine vollständige und übersichtliche Aufklärung zur Datenverarbeitung aber mitunter kein einfaches Unterfangen. Gerade dann, wenn Drittanbieter aus dem Ausland (Nicht-EU) involviert sind, gelten unter Umständen andere Datenschutzbestimmungen. Als Anbieter müssen Sie letztlich immer gewährleisten, dass die EU-Richtlinien maßgebend sind.

Ausführliche Informationen zu diesem Thema

_
Quelle: t3n und vectorsoft Blog

Bildressource: Copyright Dan Nelson on Unsplash