Suchen

Tipps zur DSGVO

Was Sie jetzt über die Datenschutz-Grundverordnung wissen müssen

Seite: 3/4

Firmen zum Thema

Wesentliche Änderungen für Unternehmen

Unter die EU-DSGVO fällt nun jede Information, die direkt oder indirekt, einzeln oder in Kombination mit anderen Daten Rückschlüsse auf die Identität oder das Verhalten einer Person erlaubt. Im Prinzip ist das auf alle Daten anwendbar wie Namen, Geschlecht, Adressen, Standortinformationen, Fotos, E-Mails, Bankdaten, Posts in sozialen Netzwerken, IP-Adressen, Gerätekennungen, Logfiles von Applikationen, biometrische Daten (Gesichtserkennung, Fingerabdruck, Retina-Scan), Gesundheitsdaten (auch aus Gesundheits- und Sport-Apps). Unkritische Daten? Gibt es damit nicht mehr.

Prinzip „privacy by design“/„privacy by default“

Bildergalerie

Programme und Produkte müssen künftig so entwickelt und konfiguriert werden, dass sie datenschutzkonform gestaltet (privacy by design) und datenschutzfreundlich voreingestellt sind (privacy by default). Unternehmen müssen gewährleisten, dass Daten so sparsam wie möglich erhoben und zum frühesten Zeitpunkt nach Stand der Technik geschützt werden, zum Beispiel indem die Weiterleitung technisch unterbunden wird oder die erforderlichen Daten für die Verarbeitung pseudonymisiert werden (strengere Auslegung der alten Prinzipien der Datenminimierung, Zweckgebundenheit und Vertraulichkeit).

Entwickler von Onlineangeboten, Geräten und mobilen Apps müssen radikal umdenken. Viele Geräte wie Smart-TVs, Digitalkameras oder Ladesäulen für Elektroautos dürfen ohne explizite Einwilligung des Nutzers keine persönlichen Daten mehr an die Hersteller übertragen. Die Einwilligung muss freiwillig und vor der Datenerhebung geschehen, widerrufbar sein, schriftlich erfolgen und auch dem Laien eine Möglichkeit der „Folgenabschätzung“ bieten.

Kopplungsverbot wurde verschärft

Der Kunde darf nicht mehr gezwungen werden, der Verarbeitung seiner Daten zu Marketingzwecken zuzustimmen, wenn er eine Dienstleistung nutzen möchte, zum Beispiel einen Newsletter abonnieren oder an einem Gewinnspiel teilnehmen. Laut Bitkom könnte dies bedeuten, dass Unternehmen ihre Dienstleistung einmal mit und einmal ohne Einwilligung zur Datenweiterverarbeitung anbieten müssen.

Informations- und Auskunftspflicht erweitert

Die Kunden müssen sofort und noch eindeutiger informiert werden, wenn Daten von ihnen erhoben werden. Es muss klar benannt werden, welche Daten genutzt werden, auf welcher Rechtsgrundlage dies geschieht und an welchen Zweck die Verarbeitung gebunden ist. Die Informationspflicht ist eine Bringschuld des Unternehmens, die Datenschutzinformationen müssen dem Kunden unaufgefordert bereitgestellt werden.

Möchte ein Kunde zu einem späteren Zeitpunkt wissen, welche Daten gespeichert sind, muss das Unternehmen diese Daten zeitnah vorweisen. Falsche Daten müssen berichtigt, für zu großzügig erhobene Daten muss auf Wunsch die Nutzung eingeschränkt werden. Zur Informationspflicht gehört auch der Hinweis auf das Widerrufs- und erweiterte Widerspruchsrecht.

Die Datenschutzgrundverordnung bringt unter anderem das Recht auf „Vergessenwerden“ mit sich. Dieses muss auf Verlangen des Betroffenen unverzüglich erfolgen.
Die Datenschutzgrundverordnung bringt unter anderem das Recht auf „Vergessenwerden“ mit sich. Dieses muss auf Verlangen des Betroffenen unverzüglich erfolgen.
(Bild: ©freshidea - stock.adobe.com )

Recht auf „Vergessenwerden“/Löschung

Mit der DSGVO wird auch das Recht auf „Vergessenwerden“ eingeführt. Die Löschung muss „unverzüglich“ geschehen, wenn sich der Kunde auf eine der in der DSGVO festgelegten Situationen beruft (Art. 17). Wurden Daten an Dritte weitergegeben, zum Beispiel an Dienstleister oder Geschäftspartner in Unternehmensgruppen, muss der Löschauftrag auch den Drittnutzern mitgeteilt werden (Art. 19).

Recht auf Datenübertragbarkeit/Portabilität

Persönliche Daten müssen dem Kunden auf Wunsch „in einem strukturierten, gängigen und maschinenlesbaren Format“ zur Verfügung gestellt werden, wenn dieser den Anbieter wechseln möchte (Art. 20). Auch um die direkte Übermittlung an einen Dritten (etwa den neuen Anbieter) kann der Kunde bitten. Hierauf muss die Technik künftig eingerichtet sein.

Umfassende Dokumentationspflichten

Jedes Unternehmen muss eine Risikoanalyse im Sinne des Datenschutzes vornehmen, sein Datenmanagement an die EU-DSGVO anpassen und alle Prozesse systematisch und umfassend dokumentieren, unter anderem in einem „Verzeichnis der Verarbeitungstätigkeiten“ (Art. 30). Die stark ausgeweiteten Dokumentationspflichten sind sehr ernst zu nehmen, auch in Hinblick auf eine Überprüfung oder Datenpanne. Im Ernstfall hilft die Dokumentation, nachzuweisen, dass Sie alle erdenklichen Maßnahmen ergriffen haben, um Datenmissbrauch zu unterbinden. Nur so können Bußgelder reduziert oder vermieden werden.

Datenschutz-Folgenabschätzung

Unternehmen, die viele oder besonders sensible Daten automatisiert verarbeiten oder Profiling betreiben (Verhaltens- und Bewegungsmuster), sind zusätzlich zu einer „Datenschutz-Folgenabschätzung“ verpflichtet (Art. 35). Ob das auf Ihr Unternehmen zutrifft, sagt Ihnen die Aufsichtsbehörde. Beachten Sie, dass damit der Aufwand für Ihre Datenschutzanpassung erheblich steigt und Sie mehr zeitliche, personelle und finanzielle Ressourcen benötigen.

Meldepflicht bei Datenschutzverstößen

Wenn durch eine Datenpanne hohe Risiken für die persönlichen Rechte und Freiheiten der Betroffenen entstanden sind, gilt eine Meldepflicht bei der Aufsichtsbehörde binnen 72 Stunden. Je nach Sensibilität der Daten müssen auch Kunden informiert werden, und zwar unter präziser Angabe der betroffenen Daten. Drittanbieter müssen Datenverlust ebenfalls umgehend ihren Kunden melden.

Haftung der betrieblichen Datenschutzbeauftragten

Die DSGVO wertet die Rolle des Datenschutzbeauftragten auf. Er muss nicht nur auf die Umsetzung der Vorgaben hinwirken, sondern jetzt auch die Einhaltung der DSGVO und der nationalen Sonderregeln überwachen, zum Beispiel die Zertifizierung eines Verarbeiters prüfen. Ob oder in welchem Umfang der Datenschutzbeauftragte persönlich haftet, entscheiden im Ernstfall Aufsichtsbehörden und Gerichte anhand des entstandenen Schadens und der im Betrieb getroffenen Datenschutzmaßnahmen.

Weitergabe an Dritte

Bei der Weitergabe von Daten ist zu unterscheiden zwischen Auftragsverarbeitung nach Art. 28 DSGVO (Zusammenarbeit mit Dritten nach strengen Auflagen zur Abwicklung von Verträgen, keine eigene Datennutzung) und Datenübermittlung (Freigabe der Daten an Dritte zu erweiterter, eigenständiger Nutzung, zum Beispiel zu Werbezwecken). Zweites bedarf der ausdrücklichen Zustimmung der Betroffenen.

Outsourcing der Datenverarbeitung

Bei der Auslagerung datenrelevanter Prozesse, wie Bearbeitung und Sicherung von Daten, geht die Haftung nicht automatisch auf den Dienstleister über. Zwar können die in der DSGVO festgelegten Bußgelder sowohl auf die Datenverantwortlichen als auch die Auftragsdatenverarbeiter zukommen. Im Einzelfall spielen aber Verträge und Aufgabendefinition die entscheidende Rolle.

Schritt für Schritt vorgehen

Der Aufwand für die Umsetzung der EU-DSGVO ist von Fall zu Fall unterschiedlich. Er hängt ab von der Größe und Struktur des Unternehmens, der vorhandenen Datenmenge, der Art der Daten, den technischen Gegebenheiten, dem Umfang der Datennutzung und der schon vorhandenen Kompetenz im Umgang mit Datenschutzprozessen. „Ich würde schleunigst anfangen, wenn ich noch nichts gemacht habe“, sagt Dehmel vom Bitkom. „Einige Aufsichtsbehörden in Deutschland sind aufgestockt worden und haben mehr Ressourcen. Bei neuen Regelungen wie dem Recht auf Datenportabilität hat man noch keine Erfahrungswerte, aber bei Vorgaben, die die Unternehmen auch nach altem BDSG schon lange erfüllen müssten, werden die Prüfer keinen Spaß verstehen, wenn sie merken, es ist gar nichts da.“

Leitfaden für Unternehmen

Um keine finanziellen Risiken einzugehen, empfehlen Datenschutzexperten ein systematisches Vorgehen in der Umsetzung. Vorgaben kann man nachlesen. Bei der Planung interner Prozesse wird es komplizierter, daher haben wir wesentliche Schritte in einem Leitfaden für Sie zusammengefasst, den Sie am Ende des Artikels finden. Derzeit arbeiten wir zusätzlich an einer Infografik zum Herunterladen, die wir Ihnen schnellstmöglich zur Verfügung stellen wollen.

Da schon im alten BDSG ab 10 Mitarbeitern ein betrieblicher Datenschutzbeauftragter vorgeschrieben war, können viele Unternehmen vorhandene Strukturen nutzen und sind mit überschaubarem Aufwand für die EU-DSGVO gerüstet. Wer bisher wenig Augenmerk auf den Datenschutz gelegt hat, muss allerdings schnell und verbindlich handeln. Angesichts der knappen Zeit kann es angeraten sein, externes Expertenwissen in Anspruch zu nehmen, um dem neuen Datenschutzstandard zum Stichtag gerecht zu werden und wirtschaftlichen Schaden abzuwenden. Bei der Risikoanalyse ist auch der Imageschaden im Falle einer Datenpanne nicht zu unterschätzen. Der enttäuschte oder geschädigte Kunde kann jetzt noch leichter und direkter abstrafen: indem er sein Recht auf Datenportabilität in Anspruch nimmt – und geht.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44817785)